Parlamento UE limita le scansioni contro gli abusi online sui minori
Il Parlamento europeo ha compiuto un nuovo passo nel difficile negoziato sulle norme temporanee contro gli abusi sessuali online sui minori, approvando alcuni emendamenti alla posizione del Consiglio dell'Unione europea. Il voto non rende ancora operativa la proroga, ma definisce la linea dell'Eurocamera: consentire ai servizi digitali di riprendere determinate attività volontarie di individuazione, segnalazione e rimozione dei contenuti illegali, escludendo però le comunicazioni protette dalla crittografia end-to-end.La distinzione è essenziale. Il Parlamento non ha approvato una legge definitiva e immediatamente applicabile, ma ha modificato in seconda lettura il testo con cui il Consiglio intende ripristinare una deroga temporanea alle regole ePrivacy. Il provvedimento deve ora tornare agli Stati membri, che potranno accettare integralmente gli emendamenti oppure respingerli, aprendo una fase di conciliazione tra le due istituzioni.Il regime precedente è scaduto il 3 aprile 2026. Da allora manca il quadro europeo uniforme che permetteva ad alcuni fornitori di servizi di comunicazione di analizzare volontariamente determinati messaggi e allegati per cercare materiale di abuso sessuale su minori o possibili condotte di adescamento.La nuova posizione parlamentare prova a trovare un equilibrio tra due esigenze entrambe fondamentali: proteggere i bambini dalla diffusione di immagini e video di violenza e, nello stesso tempo, evitare che la lotta ai reati venga utilizzata per giustificare forme generalizzate di controllo delle comunicazioni private.
La proroga non è ancora entrata in vigore
Il primo elemento da chiarire riguarda lo stato della procedura. Il Parlamento europeo ha adottato emendamenti alla posizione del Consiglio, ma il testo non può ancora essere considerato diritto vigente.Il Consiglio dispone ora di tre mesi, prorogabili secondo le regole della procedura legislativa, per decidere se accettare tutte le modifiche parlamentari. Se gli Stati membri approveranno gli emendamenti, il regolamento potrà essere formalmente adottato, pubblicato ed entrare in vigore.Qualora il Consiglio rifiutasse anche una sola delle modifiche, si aprirebbe invece la procedura di conciliazione. Rappresentanti delle due istituzioni dovrebbero cercare un testo comune, successivamente sottoposto a un nuovo voto sia del Parlamento sia del Consiglio.Fino al completamento di questi passaggi, non esiste una proroga europea già operativa. Il precedente regolamento è terminato e la disciplina proposta deve essere descritta come un regime in fase di negoziazione, non come una legge definitivamente approvata.
Che cosa prevedeva il regime transitorio
La deroga originaria era stata introdotta nel 2021 per permettere ai fornitori di alcuni servizi di comunicazione interpersonale, come piattaforme di messaggistica, posta elettronica e telefonia via internet, di continuare a utilizzare volontariamente tecnologie dirette a individuare abusi sessuali sui minori online.L'intervento si era reso necessario dopo che l'ampliamento della disciplina europea sulle comunicazioni elettroniche aveva sottoposto questi servizi alle regole sulla riservatezza previste dalla direttiva ePrivacy. Senza una deroga specifica, alcune attività di analisi dei contenuti e dei dati di traffico avrebbero potuto risultare incompatibili con la protezione della segretezza delle comunicazioni.Il regolamento non obbligava tutte le piattaforme a controllare i messaggi. Consentiva invece a quelle che decidevano volontariamente di farlo di beneficiare di una eccezione limitata agli obblighi ePrivacy, purché rispettassero determinate condizioni.La norma non costituiva neppure una base giuridica autonoma per qualsiasi trattamento di dati. I fornitori dovevano continuare a rispettare il GDPR, individuare un fondamento legittimo e applicare le garanzie previste per la protezione dei dati personali.
Perché la norma è scaduta il 3 aprile
La deroga, inizialmente destinata a durare fino al 2024, era stata prolungata una prima volta fino al 3 aprile 2026. L'obiettivo era mantenere uno strumento temporaneo in attesa della futura disciplina europea permanente.Alla scadenza, tuttavia, Parlamento e Consiglio non erano riusciti a raggiungere un accordo su una nuova estensione. I negoziati si erano bloccati soprattutto sulla portata delle scansioni, sulla necessità di controlli giudiziari e sulla protezione delle comunicazioni cifrate.Il Parlamento aveva inizialmente proposto una proroga più breve e fortemente limitata. Dopo il fallimento dei colloqui interistituzionali, il 26 marzo aveva respinto il progetto complessivo, determinando la cessazione della deroga europea temporanea pochi giorni dopo.La scadenza ha creato quello che le istituzioni definiscono un vuoto normativo. I fornitori non possono più invocare il precedente regolamento europeo per giustificare quelle attività volontarie, anche se possono esistere situazioni disciplinate da altre basi giuridiche o da specifiche norme nazionali.
Il tentativo del Consiglio di ripristinare le regole
Il 2 luglio 2026 il Consiglio ha adottato una propria posizione per riportare in vigore il regime transitorio contro gli abusi online. Poiché il regolamento precedente era già scaduto, non era più tecnicamente possibile limitarsi a spostarne la data finale.Gli Stati membri hanno quindi proposto un nuovo regolamento autonomo, costruito in gran parte sul testo della disciplina precedente e destinato ad applicarsi fino al 3 aprile 2028.La finalità dichiarata è permettere ai fornitori di riprendere volontariamente la ricerca, la segnalazione e la rimozione del materiale illegale, mentre proseguono i negoziati sulla normativa permanente.Il testo del Consiglio conserva numerose garanzie già presenti nel precedente regolamento, ma non escludeva esplicitamente dal campo di applicazione tutte le comunicazioni cifrate end-to-end. Proprio questo elemento ha prodotto il principale intervento del Parlamento.
Il voto del 9 luglio al Parlamento europeo
La votazione ha avuto un esito particolarmente complesso. In seconda lettura, per respingere o modificare la posizione del Consiglio non è sufficiente la maggioranza dei voti espressi: serve la maggioranza assoluta dei componenti del Parlamento europeo.Una prima proposta di rigetto ha raccolto 314 voti favorevoli, 276 contrari e 17 astensioni. Pur avendo ottenuto più consensi che opposizioni, non ha raggiunto la soglia di 360 voti necessaria in quella fase della procedura.Sono stati quindi approvati alcuni emendamenti, tra cui quello che esclude le comunicazioni protette dalla crittografia end-to-end. Una successiva proposta di rigettare anche il testo modificato non è passata: 276 deputati hanno votato per il rifiuto, 286 contro e 30 si sono astenuti.Il risultato dimostra quanto il tema rimanga divisivo. Il Parlamento non ha accettato senza modifiche la posizione del Consiglio, ma non l'ha neppure respinta. Ha scelto di proseguire il percorso legislativo introducendo una protezione più esplicita della cifratura.
La crittografia end-to-end viene esclusa dalle scansioni
L'emendamento centrale stabilisce che la deroga non debba applicarsi alle comunicazioni alle quali la crittografia end-to-end è stata, viene o sarà applicata.La formulazione è ampia e mira a impedire non soltanto l'analisi dei messaggi già cifrati durante il transito, ma anche sistemi che controllino il contenuto sul dispositivo prima della cifratura o dopo la decodifica.Questa esclusione va oltre una generica dichiarazione secondo cui la cifratura non deve essere indebolita. Una norma potrebbe infatti affermare di non voler modificare l'algoritmo crittografico e permettere contemporaneamente l'analisi del messaggio quando è ancora leggibile sul telefono dell'utente.La posizione parlamentare tenta di chiudere proprio questa possibilità, stabilendo che le comunicazioni destinate alla protezione end-to-end restino completamente fuori dal regime volontario di rilevamento.
Come funziona la crittografia end-to-end
In un servizio dotato di cifratura end-to-end, il messaggio viene reso illeggibile sul dispositivo del mittente e può essere decifrato soltanto su quello del destinatario.Il fornitore che gestisce i server trasporta il contenuto, ma non dovrebbe possedere le chiavi necessarie per leggerlo. Questa architettura protegge le conversazioni da criminali informatici, sorveglianza illegittima, furti di dati e accessi non autorizzati.La protezione è utilizzata da cittadini, giornalisti, avvocati, aziende, medici, attivisti e istituzioni pubbliche. È inoltre importante per gli stessi minori, che possono avere bisogno di comunicare in modo sicuro con familiari, servizi di assistenza e persone di fiducia.Indebolire la cifratura per una categoria di indagini potrebbe creare vulnerabilità sfruttabili anche da soggetti ostili. Per questo il Parlamento considera la sicurezza delle comunicazioni cifrate una garanzia generale e non un ostacolo da rimuovere facilmente.
Il problema della scansione prima della cifratura
Quando il fornitore non può leggere un messaggio cifrato, una possibile alternativa tecnica consiste nell'analizzarlo direttamente sul dispositivo prima che venga protetto. Questo sistema viene comunemente definito client-side scanning.La cifratura rimarrebbe formalmente intatta durante la trasmissione, ma il contenuto sarebbe già stato confrontato con database o modelli automatici mentre era ancora leggibile.I sostenitori di questa soluzione ritengono che possa permettere di individuare materiale illegale senza creare una chiave generale per decifrare tutti i messaggi. I critici osservano invece che un controllo effettuato prima della cifratura compromette comunque la riservatezza promessa dal sistema.Una tecnologia capace di analizzare immagini e testi sui dispositivi potrebbe inoltre essere modificata o estesa in futuro. L'emendamento parlamentare mira a impedire che la deroga temporanea diventi la base per una infrastruttura di scansione preventiva delle comunicazioni cifrate.
Che cosa possono cercare le piattaforme
Le attività di rilevamento possono riguardare diverse categorie di contenuti. La prima è costituita dal materiale di abuso sessuale già conosciuto, cioè immagini o video precedentemente identificati e classificati dalle autorità o da organizzazioni specializzate.La seconda comprende materiali mai segnalati in precedenza, che gli strumenti automatici tentano di riconoscere attraverso classificatori basati sull'analisi delle immagini.La terza riguarda l'adescamento online dei minori, cioè conversazioni nelle quali un adulto cerca intenzionalmente di stabilire un rapporto finalizzato a commettere reati sessuali o a ottenere immagini intime.Queste attività presentano livelli di difficoltà e invasività molto differenti. Riconoscere la copia esatta di un file già classificato è tecnicamente diverso dal valutare una fotografia nuova o interpretare il significato di una conversazione privata.
La ricerca tramite impronte digitali
Il metodo generalmente considerato più preciso è il confronto attraverso hash crittografici o impronte digitali. Da un file già riconosciuto come illegale viene ricavata una sequenza matematica che ne rappresenta il contenuto.Quando un utente carica o invia un'immagine, il sistema può produrre una nuova impronta e confrontarla con quelle archiviate. Se esiste una corrispondenza, il file può essere bloccato, sottoposto a verifica o segnalato.Alcuni strumenti utilizzano impronte percettive capaci di riconoscere anche versioni ridimensionate, ritagliate o leggermente modificate. Il sistema è utile contro la ripetuta circolazione dello stesso materiale, che continua a provocare una rivittimizzazione delle persone rappresentate.Anche il confronto tramite hash richiede garanzie. I database devono contenere soltanto materiale validamente classificato, essere protetti da accessi illeciti e prevedere procedure per correggere eventuali associazioni errate.
Il riconoscimento dei contenuti nuovi
Individuare materiale mai visto prima è molto più complesso. I sistemi devono utilizzare modelli di classificazione automatica capaci di valutare immagini o video sulla base delle caratteristiche apprese durante l'addestramento.Un algoritmo può confondere contenuti illegali con fotografie familiari, immagini mediche, documentazione giornalistica o rappresentazioni artistiche. Anche un tasso di errore apparentemente basso può produrre numerose segnalazioni quando vengono analizzati miliardi di file.I falsi negativi rappresentano il problema opposto: materiale illecito può non essere riconosciuto perché modificato, realizzato in condizioni differenti o non sufficientemente simile agli esempi utilizzati per addestrare il sistema.Per queste ragioni, il rilevamento di nuovo materiale di abuso richiede controlli più rigorosi rispetto al semplice confronto con file già identificati.
Riconoscere l'adescamento è ancora più difficile
Il rilevamento automatico dell'adescamento sessuale online deve interpretare il significato di conversazioni che possono svilupparsi per giorni o mesi.Parole apparentemente innocue possono assumere un significato preoccupante quando considerate insieme all'età delle persone, alla progressione dei messaggi e alle richieste formulate. Al contrario, frasi isolate potrebbero essere fraintese se estratte dal contesto.I modelli possono cercare sequenze ricorrenti: costruzione della fiducia, richiesta di segretezza, isolamento del minore, progressiva sessualizzazione della conversazione e proposta di trasferirsi su un'altra piattaforma.La valutazione di questi segnali implica però un'analisi molto più profonda delle comunicazioni. È proprio nella ricerca dell'adescamento che il conflitto tra protezione dei bambini e riservatezza dei messaggi diventa più evidente.
Volontario non significa privo di regole
Il regime transitorio consente attività volontarie. Le piattaforme non ricevono un obbligo generale di esaminare ogni messaggio, ma possono decidere di utilizzare specifiche tecnologie se rispettano le condizioni del regolamento.La volontarietà riguarda la scelta del fornitore, non l'assenza di responsabilità. Una volta avviato il trattamento, la società deve applicare il GDPR, giustificare la base giuridica, limitare i dati utilizzati e informare gli utenti.Deve inoltre garantire che le tecnologie siano proporzionate, sufficientemente affidabili e meno invasive possibile rispetto all'obiettivo perseguito.La differenza tra il regime temporaneo e la futura legislazione permanente è quindi centrale. Il primo permette alcune attività facoltative; il secondo progetto europeo discute un sistema più strutturato di valutazione dei rischi e obblighi per i fornitori.
La deroga riguarda soltanto alcuni servizi
La disciplina è rivolta ai fornitori di servizi di comunicazione interpersonale indipendenti dalla numerazione. La definizione comprende, in generale, applicazioni che permettono scambi diretti senza utilizzare tradizionali numeri telefonici assegnati dalla rete.Possono rientrare nella categoria servizi di messaggistica, webmail e chiamate via internet. Non ogni sito, social network o servizio di archiviazione ricade automaticamente nello stesso quadro.Il precedente regolamento escludeva espressamente la scansione delle comunicazioni audio. Il nuovo testo del Consiglio riprende gran parte di quella struttura e mantiene l'impostazione di una deroga circoscritta.Definire con precisione i soggetti interessati è importante per evitare che una norma temporanea venga interpretata come autorizzazione generale a controllare qualsiasi attività digitale degli utenti.
Le garanzie già previste dal regolamento precedente
Il precedente regime richiedeva che le tecnologie fossero conformi allo stato dell'arte e costituissero il mezzo meno invasivo per la privacy disponibile rispetto alla finalità.I fornitori dovevano svolgere una valutazione d'impatto sulla protezione dei dati e, in determinati casi, consultare preventivamente l'autorità competente. Le tecnologie dovevano limitare al massimo errori e falsi positivi.Era prevista una supervisione umana. Materiale non precedentemente identificato o possibili casi di adescamento non potevano essere trasmessi alle autorità senza una conferma effettuata da una persona.Gli utenti dovevano inoltre ricevere informazioni sulle attività compiute, sulla possibile condivisione dei dati e sui rimedi disponibili in caso di rimozione, blocco dell'account o segnalazione errata.
Il ruolo della verifica umana
La revisione umana rappresenta una garanzia importante, ma non elimina automaticamente ogni rischio.Chi controlla una segnalazione deve essere formato, operare secondo criteri definiti e avere accesso soltanto ai dati strettamente necessari. L'esposizione ripetuta a materiale violento può inoltre avere conseguenze psicologiche rilevanti per gli operatori.Il revisore può correggere un errore evidente dell'algoritmo, ma alcune situazioni restano ambigue. Stabilire l'età di una persona da un'immagine, comprendere il contesto familiare o interpretare una conversazione può richiedere informazioni non disponibili alla piattaforma.La supervisione deve quindi essere inserita in un sistema che includa controllo della qualità, tracciabilità delle decisioni e possibilità di correggere rapidamente una segnalazione infondata.
I dati non possono essere conservati senza limiti
Quando non viene identificato alcun contenuto sospetto, i dati utilizzati per il controllo devono essere eliminati rapidamente. Quando emerge una segnalazione, la conservazione deve essere limitata alle finalità necessarie per reporting, tutela dei diritti e collaborazione investigativa.Il regolamento precedente stabiliva un limite massimo di dodici mesi per determinati dati collegati a sospetti individuati, salvo differenti obblighi derivanti da altre disposizioni applicabili.Conservare intere conversazioni o file per periodi indefiniti aumenterebbe il rischio di violazioni informatiche, accessi impropri e utilizzi incompatibili con l'obiettivo iniziale.La minimizzazione temporale è quindi parte essenziale della proporzionalità: un'attività destinata alla protezione dei minori non deve trasformarsi in un archivio permanente delle comunicazioni private.
Gli utenti devono poter contestare gli errori
Un sistema automatico può determinare la rimozione di contenuti, il blocco di un account o la trasmissione di informazioni alle autorità. Per questo devono esistere procedure di reclamo e rimedi effettivi.L'utente deve essere informato, quando ciò non comprometta un'indagine, delle ragioni del provvedimento e delle modalità per chiedere una revisione.La possibilità di correggere un errore è importante soprattutto quando l'account contiene ricordi personali, contatti professionali o conversazioni familiari. Una sospensione ingiustificata può produrre conseguenze concrete anche senza l'avvio di un procedimento penale.Il diritto al ricorso non riduce la necessità di intervenire rapidamente contro materiale illegale, ma impedisce che una decisione algoritmica iniziale diventi automaticamente definitiva.
Perché il materiale viene definito CSAM
Nel dibattito internazionale viene sempre più utilizzata l'espressione materiale di abuso sessuale su minori, abbreviata con la sigla inglese CSAM.Il termine "pedopornografia", ancora presente in alcune norme e nel linguaggio comune, può suggerire impropriamente una produzione assimilabile alla pornografia consensuale tra adulti.Le immagini e i video rappresentano invece la documentazione di una violenza, di uno sfruttamento o della sessualizzazione illegale di una persona minorenne.Utilizzare una terminologia più precisa aiuta a ricordare che dietro ogni file esiste una vittima reale e che la ripetuta condivisione del contenuto prolunga nel tempo le conseguenze dell'abuso.
Perché la rimozione dei file conosciuti è urgente
Una stessa immagine può essere copiata, archiviata e distribuita migliaia di volte. Ogni nuova diffusione sottrae alla vittima il controllo sulla propria immagine e può alimentare ulteriori forme di ricatto, umiliazione e vittimizzazione.I sistemi basati su impronte digitali permettono di riconoscere rapidamente copie di materiale già classificato senza richiedere a un operatore di esaminare manualmente ogni file.La velocità è fondamentale perché i contenuti possono essere trasferiti tra piattaforme, servizi cloud, gruppi privati e account temporanei in pochi minuti.La possibilità di individuare e bloccare materiale conosciuto è quindi considerata uno degli strumenti tecnologicamente più maturi e proporzionati nella lotta alla diffusione del CSAM.
La tecnologia non sostituisce le indagini
Una segnalazione automatica non dimostra da sola che l'utente abbia commesso un reato. Un file può essere ricevuto senza richiesta, inviato da un account compromesso o presente in un archivio senza che il proprietario ne conosca il contenuto.Le autorità devono quindi svolgere accertamenti investigativi, verificando provenienza, intenzionalità, contesto, dispositivi coinvolti e possibili collegamenti con vittime o responsabili.Concentrare tutte le risorse sul numero delle segnalazioni potrebbe produrre grandi quantità di dati di bassa qualità e rallentare l'identificazione dei casi realmente urgenti.La qualità del sistema dipende dalla capacità di trasformare le segnalazioni più affidabili in interventi che consentano di identificare i minori, interrompere gli abusi e perseguire gli autori.
Le posizioni favorevoli alla proroga
I sostenitori del ripristino ritengono che le attività volontarie delle piattaforme abbiano permesso di individuare vittime e responsabili, rimuovere materiale e fornire alle autorità informazioni altrimenti difficili da ottenere.Secondo questa posizione, lasciare scadere la deroga senza una disciplina sostitutiva impedisce ai servizi che già disponevano di strumenti di controllo di utilizzarli all'interno di un quadro europeo uniforme.L'assenza di regole comuni potrebbe produrre differenze tra Stati membri, incertezza per le imprese e trasferimento delle attività illecite verso servizi meno controllati.I sostenitori ricordano inoltre che non si tratta di una sorveglianza obbligatoria imposta a tutte le piattaforme, ma di una possibilità condizionata da garanzie, trasparenza e controllo delle autorità.
Le obiezioni delle organizzazioni per la privacy
Le organizzazioni critiche temono che la deroga legittimi una forma di analisi generalizzata dei messaggi privati, soprattutto quando non è limitata al confronto con materiale già conosciuto.Secondo questa posizione, una scansione effettuata su tutte le comunicazioni tratta ogni utente come potenziale sospetto, anche quando l'obiettivo perseguito è legittimo e urgente.I rischi aumentano con i classificatori di immagini nuove e con i sistemi destinati a interpretare il linguaggio, perché gli errori sono più difficili da prevedere e il contenuto delle conversazioni deve essere analizzato in maggiore profondità.Le critiche non negano la necessità di proteggere i minori, ma chiedono strumenti più mirati: investigazioni basate su sospetti concreti, infiltrazione nelle reti criminali, rimozione rapida dei contenuti pubblici e maggiore sostegno alle unità specializzate di polizia.
Protezione dei minori e privacy non sono obiettivi opposti
Presentare il dibattito come una scelta tra sicurezza dei bambini e riservatezza degli adulti rischia di semplificare eccessivamente il problema. Anche i minori hanno bisogno di comunicazioni sicure e private.Un adolescente può utilizzare una chat cifrata per chiedere aiuto in caso di violenza, bullismo, problemi familiari o sfruttamento. Una vulnerabilità introdotta nel sistema potrebbe esporlo proprio alla persona dalla quale sta cercando di proteggersi.Allo stesso tempo, la riservatezza non può diventare un argomento per ignorare la distribuzione di immagini di abuso o l'adescamento intenzionale dei bambini.La sfida legislativa consiste nel costruire misure capaci di raggiungere i responsabili e proteggere le vittime senza creare una infrastruttura utilizzabile per controlli indiscriminati.
La differenza tra regole temporanee e legge permanente
Il provvedimento discusso riguarda una deroga transitoria all'ePrivacy. Non deve essere confuso con il più ampio progetto europeo destinato a creare una disciplina stabile contro gli abusi sessuali online sui minori.La futura normativa permanente dovrebbe definire obblighi di valutazione e riduzione dei rischi, procedure di segnalazione, meccanismi di rimozione e forme di coordinamento europeo.Il negoziato è complesso proprio perché una disciplina permanente avrebbe conseguenze molto più ampie rispetto a una deroga limitata nel tempo.L'estensione fino al 2028, qualora approvata, dovrebbe funzionare come ponte. Il rischio politico è che una misura definita temporanea venga prolungata ripetutamente senza riuscire a sostituirla con un quadro stabile e condiviso.
Perché il Consiglio propone il 3 aprile 2028
Il termine del 3 aprile 2028 è stato scelto per concedere alle istituzioni il tempo necessario a completare la legge permanente e permetterne l'effettiva applicazione.Adottare un nuovo regolamento richiede infatti non soltanto l'accordo politico, ma anche traduzioni, pubblicazione, preparazione delle autorità e adeguamento tecnico dei fornitori.Una proroga troppo breve potrebbe creare una nuova scadenza prima che il sistema definitivo sia pronto. Una durata eccessiva potrebbe invece ridurre la pressione politica a trovare un compromesso stabile.Il Parlamento aveva sostenuto in precedenza una scadenza più ravvicinata. Nel testo derivante dalla seconda lettura di luglio, il nodo immediatamente evidenziato riguarda soprattutto l'esclusione della crittografia end-to-end, mentre l'intero impianto resta subordinato alla risposta del Consiglio.
Che cosa accade ora
Il Consiglio dovrà valutare se accettare l'emendamento sulla protezione integrale delle comunicazioni cifrate e le altre modifiche approvate dal Parlamento.Se gli Stati membri daranno il proprio consenso a tutto il testo, il regolamento potrà essere adottato senza ulteriori negoziati sostanziali.Se il Consiglio non accetterà gli emendamenti, verrà convocato un comitato di conciliazione. Parlamento e Consiglio avranno un periodo limitato per trovare una formulazione comune.Il fallimento della conciliazione farebbe decadere definitivamente la proposta. In quel caso continuerebbe il vuoto prodotto dalla scadenza di aprile, mentre resterebbero aperti i negoziati sulla legislazione europea permanente.
Le conseguenze per le piattaforme
I fornitori interessati si trovano in una fase di incertezza. Prima della scadenza potevano impostare le proprie attività volontarie sulla base di un regolamento uniforme; oggi devono valutare con maggiore cautela la legittimità di ogni trattamento.Qualora il nuovo regime entrasse in vigore, le piattaforme non cifrate potrebbero riprendere le attività comprese nella deroga, rispettando le condizioni applicabili.I servizi end-to-end encrypted resterebbero invece esclusi se il Consiglio accettasse la formulazione parlamentare. Non potrebbero utilizzare quella specifica deroga per analizzare i contenuti destinati alla cifratura.Rimarrebbero comunque possibili altri interventi: strumenti di segnalazione da parte degli utenti, controllo dei contenuti pubblici, moderazione degli account, analisi di comportamenti non protetti e collaborazione con le autorità sulla base di richieste legalmente valide.
Le piattaforme cifrate non diventerebbero prive di responsabilità
L'esclusione delle comunicazioni end-to-end non significa che un servizio cifrato possa ignorare qualsiasi segnalazione di abuso. Le piattaforme possono adottare misure di sicurezza non basate sulla lettura sistematica dei messaggi.Possono offrire funzioni semplici per segnalare utenti, bloccare contatti, limitare la ricezione di messaggi da sconosciuti e proteggere automaticamente gli account dei minorenni.Quando un utente decide di segnalare una conversazione, può autorizzare l'invio di specifici messaggi alla piattaforma affinché vengano esaminati. In questo caso il contenuto viene fornito volontariamente dal destinatario interessato e non acquisito attraverso una scansione generale.Anche la progettazione del servizio può ridurre i rischi, impedendo per esempio che adulti sconosciuti individuino facilmente profili di bambini o inviino loro comunicazioni non richieste.
Il ruolo della sicurezza fin dalla progettazione
La tutela dei minori non dipende soltanto dalla capacità di trovare materiale dopo che è stato condiviso. Un approccio efficace comprende la sicurezza integrata nella progettazione delle piattaforme.I profili dei minorenni possono essere privati per impostazione predefinita, la localizzazione può essere nascosta e le richieste provenienti da adulti sconosciuti possono essere limitate.Sistemi di verifica o stima dell'età possono essere utilizzati in modo proporzionato, evitando di creare grandi archivi di documenti e dati biometrici.La prevenzione deve inoltre comprendere avvisi, strumenti educativi, assistenza rapida e procedure che permettano ai ragazzi di uscire facilmente da una conversazione indesiderata. Queste misure intervengono prima della produzione di un contenuto penalmente rilevante.
L'intelligenza artificiale aumenta opportunità e rischi
I sistemi di intelligenza artificiale possono migliorare il riconoscimento di immagini modificate, ridurre duplicazioni e aiutare gli operatori a ordinare le segnalazioni in base all'urgenza.La stessa tecnologia può però generare immagini artificiali di abusi, alterare volti reali e produrre contenuti sempre più difficili da distinguere dalle fotografie autentiche.Anche il materiale sintetico può danneggiare persone reali quando utilizza il volto di un minore, viene impiegato per ricattarlo o alimenta comunità interessate allo sfruttamento sessuale.I sistemi di rilevamento dovranno quindi evolversi senza trasformarsi in strumenti che analizzano indiscriminatamente ogni immagine privata. L'aumento della capacità tecnica rende ancora più necessarie regole chiare e controlli indipendenti.
La prevenzione non può dipendere soltanto dalla scansione
La ricerca automatica dei contenuti rappresenta soltanto una parte della risposta. La prevenzione richiede educazione digitale, sostegno alle famiglie, servizi per le vittime e formazione per insegnanti, medici e operatori sociali.I minori devono sapere riconoscere richieste manipolative, proteggere i propri account e chiedere aiuto senza temere colpevolizzazioni. Le campagne devono evitare di attribuire alla vittima la responsabilità dello sfruttamento subito.Le forze dell'ordine hanno bisogno di personale capace di analizzare dispositivi, seguire flussi finanziari, operare sotto copertura e collaborare oltre i confini nazionali.Senza investimenti in queste attività, un grande numero di segnalazioni automatiche può sovraccaricare gli uffici senza tradursi in un aumento proporzionale delle vittime identificate e protette.
La trasparenza resta una condizione essenziale
Le piattaforme che utilizzano strumenti di rilevamento devono pubblicare informazioni sul volume dei dati analizzati, sulle segnalazioni e sugli errori.I dati devono distinguere il materiale conosciuto, quello nuovo e i sospetti casi di adescamento. Mescolare categorie tanto diverse impedisce di valutare l'efficacia delle tecnologie.È importante conoscere anche quanti contenuti vengono successivamente giudicati leciti, quanti account vengono riattivati e quanti casi conducono realmente a un'indagine.La trasparenza non può rivelare dettagli capaci di aiutare i criminali a eludere i controlli, ma deve essere sufficiente per permettere a istituzioni e ricercatori di verificare se la compressione della riservatezza sia giustificata dai risultati.
Il controllo indipendente delle tecnologie
Non dovrebbe spettare esclusivamente alle società che sviluppano o acquistano gli strumenti stabilire se i sistemi siano abbastanza precisi. Servono valutazioni indipendenti, effettuate con dati rappresentativi e procedure verificabili.Un modello può funzionare bene nei test interni e produrre risultati peggiori quando viene applicato a lingue, culture, fasce di età o tipologie di immagini differenti.Gli errori possono inoltre colpire in modo sproporzionato determinati gruppi, per esempio famiglie che condividono fotografie di bambini per ragioni mediche o comunità con pratiche culturali non sufficientemente rappresentate nei dati di addestramento.Audit periodici, registrazione delle versioni e valutazione dei cambiamenti permetterebbero di evitare che una tecnologia venga mantenuta in funzione sulla base di prestazioni non più attuali.
Il punto di equilibrio resta da costruire
Il voto del Parlamento non chiude il dibattito europeo. Stabilisce una linea chiara sulla crittografia end-to-end, ma lascia al Consiglio la scelta se accettarla o portare il testo alla conciliazione.La protezione dei minori richiede strumenti efficaci contro la ripetuta circolazione delle immagini, l'adescamento e le reti criminali. La protezione dei diritti fondamentali richiede che gli stessi strumenti siano limitati, controllabili e non trasformabili in sistemi di sorveglianza generalizzata.La sfida non consiste nel scegliere quale diritto sacrificare completamente. Consiste nel distinguere le tecnologie proporzionate, come il riconoscimento di materiale già noto, da quelle che richiedono l'analisi profonda di conversazioni appartenenti a milioni di persone non sospettate di alcun reato.Il futuro regolamento dovrà dimostrare che la lotta agli abusi sessuali online può essere rafforzata senza rendere strutturalmente meno sicure le comunicazioni utilizzate ogni giorno da adulti e bambini.E voi ritenete corretta l'esclusione completa delle chat cifrate end-to-end dalle scansioni volontarie, oppure considerate necessario introdurre controlli più ampi pur di individuare gli abusi? Lasciate un commento e spiegate quale equilibrio dovrebbe adottare l'Unione europea tra tutela dei minori, sicurezza digitale e riservatezza.

