L’Unione Europea ha formalizzato la propria posizione negoziale sul regolamento per prevenire e contrastare gli abusi sessuali sui minori online, approvando il mandato del Consiglio in una seduta senza discussione.
Il testo introduce una modifica sostanziale rispetto alla proposta originaria della Commissione: non è più previsto alcun obbligo per le piattaforme di messaggistica di scansionare in modo sistematico le comunicazioni private, compresi i servizi basati su crittografia end-to-end, superando quindi la cosiddetta misura di “Chat Control”. Viene invece resa permanente l’attuale cornice normativa transitoria che consente alle aziende di effettuare controlli volontari sui propri servizi alla ricerca di materiale pedopornografico (Csam), misura altrimenti destinata a scadere nel 2026.
L’Italia si è astenuta, precisando — secondo quanto riferito da fonti governative — di condividere l’obiettivo di rafforzare il contrasto agli abusi sessuali online, ma non la possibilità di introdurre forme di controllo preventivo delle comunicazioni personali. La delegazione italiana ha chiesto che nella fase negoziale con Parlamento e Commissione vengano esaminate con maggiore dettaglio le implicazioni legate alla tutela dei diritti costituzionalmente garantiti, sollecitando la Presidenza di turno ad aprire uno spazio di confronto sul perimetro tecnico e giuridico delle misure previste.
Come cambia il regolamento
La rimozione dell’obbligo di analisi automatica delle comunicazioni private rappresenta il principale elemento di discontinuità rispetto al testo del 2022. La Commissione aveva proposto di introdurre un sistema di individuazione preventiva del materiale pedopornografico, applicabile anche ai servizi con crittografia end-to-end. L’iter negoziale aveva però registrato resistenze prolungate, in particolare dopo la decisione della Danimarca di ritirare il sostegno a quella formulazione e indicare la preferenza per un modello basato su strumenti volontari. Parallelamente, la Germania aveva espresso la propria contrarietà al controllo generalizzato delle chat private, collegando tale impostazione ai rischi associati all’introduzione di un meccanismo di analisi delle comunicazioni che non preveda una base giuridica mirata. Queste posizioni avevano già trovato spazio nelle valutazioni tecniche condotte in varie sedi europee, con particolare attenzione ai profili di compatibilità con il quadro normativo in materia di privacy e di comunicazioni elettroniche.
Il nuovo mandato del Consiglio riformula la struttura della normativa mantenendo attiva l’esenzione che permette ai fornitori di effettuare, su base volontaria, attività di rilevazione del materiale Csam nei propri servizi. Si tratta dello stesso regime previsto dalla legislazione transitoria vigente, che sarebbe altrimenti decaduta nel 2026. L’estensione di questa possibilità risponde alla necessità di evitare un’interruzione nei meccanismi attualmente in uso e di consentire agli operatori di adottare soluzioni tecniche senza dover ricorrere a obblighi generalizzati.
Nel mandato negoziale compare, inoltre, una clausola che invita la Commissione a valutare la necessità e la fattibilità di introdurre in futuro procedure di individuazione più strutturate. Tale valutazione, espressamente richiesta, verrà condotta in relazione all’evoluzione tecnologica e all’effettiva disponibilità di strumenti che possano garantire un equilibrio tra prevenzione degli abusi e tutela dei diritti fondamentali.
Classificazione dei servizi digitali e nuovi obblighi di mitigazione
Il regolamento riformulato stabilisce un sistema di classificazione dei servizi digitali basato su tre livelli di rischio — basso, medio, alto — definiti attraverso criteri oggettivi. Fra i parametri indicati rientrano la natura del servizio, le modalità di interazione tra utenti, le funzionalità di condivisione e gli strumenti che potrebbero essere impiegati per diffondere materiale illecito o per l’adescamento di minori. Ogni fornitore dovrà redigere una valutazione del rischio che sarà esaminata dalle autorità competenti dello Stato membro in cui opera.
Le piattaforme saranno tenute ad adottare misure di mitigazione proporzionate al livello di rischio individuato. Tra le misure elencate figurano sistemi che consentano agli utenti di segnalare contenuti sospetti, impostazioni predefinite sulla privacy per i minori, verifiche sulla condivisione di contenuti che li riguardano e strumenti destinati a ostacolare l’uso improprio delle funzionalità del servizio. Per i servizi classificati come ad alto rischio, le autorità nazionali potranno imporre ulteriori obblighi, inclusa la partecipazione allo sviluppo di tecnologie che contribuiscano a limitare la diffusione del materiale pedopornografico.
Le autorità avranno anche il potere di richiedere la rimozione o il blocco dei contenuti illeciti, oltre alla deindicizzazione dai motori di ricerca nei casi in cui la diffusione avvenga tramite risultati organici. La struttura delineata dal Consiglio si concentra quindi su obblighi organizzativi e procedurali, senza prevedere un controllo preventivo dei contenuti da parte dei fornitori. Questa impostazione è stata illustrata anche nei materiali di aggiornamento tecnico resi disponibili dagli uffici competenti e nelle ricostruzioni pubbliche che hanno seguito l’avanzamento dei negoziati europei.
La posizione italiana, formalizzata con l’astensione, richiama l’attenzione sulla necessità di valutare i margini costituzionali di intervento quando la regolazione incide sulla sfera delle comunicazioni personali. Roma ha chiesto che nella fase di trilogo venga esaminata con precisione la proporzionalità delle misure proposte e il rapporto con gli obblighi derivanti dalla legislazione nazionale ed europea in materia di trattamento dei dati.
Il nuovo Centro europeo per il contrasto agli abusi sessuali sui minori
Il testo prevede l’istituzione di un Centro europeo dedicato alla prevenzione e al contrasto degli abusi sessuali sui minori. Il Centro raccoglierà, verificherà e gestirà le segnalazioni provenienti dai fornitori digitali, creando un database europeo degli indicatori utilizzabili per le attività di rilevazione volontaria. Sarà inoltre responsabile della condivisione delle informazioni con Europol e con le autorità nazionali, con l’obiettivo di standardizzare le procedure e assicurare una gestione coordinata dei casi rilevati.
Il nuovo organismo avrà anche competenze riguardanti l’assistenza alle vittime. Le persone che richiedono la rimozione di contenuti pedopornografici potranno rivolgersi direttamente al Centro, che verificherà l’avvenuta eliminazione o disabilitazione dell’accesso da parte delle piattaforme interessate. L’introduzione di questo meccanismo risponde alla necessità di creare un riferimento unico, superando la frammentazione delle procedure attualmente adottate nei diversi Stati membri.
L’istituzione del Centro è destinata a incidere sull’operatività degli operatori digitali: le aziende dovranno trasmettere le segnalazioni secondo procedure standardizzate, fornire i dati tecnici necessari alla valutazione e cooperare con le autorità nazionali in caso di richiesta di verifiche aggiuntive. Le modalità organizzative del Centro e la sua futura sede saranno definite in un passaggio successivo, mentre il negoziato proseguirà sul fronte degli obblighi tecnici richiesti ai fornitori.
Nel 2023 e 2024, la discussione pubblica sul tema aveva evidenziato una forte attenzione sugli effetti delle tecnologie di individuazione preventiva delle comunicazioni. In più occasioni, questo punto è stato approfondito attraverso analisi dedicate al rapporto tra sicurezza dei minori e tutela della riservatezza, come quelle che hanno esaminato i possibili rischi associati a sistemi di scansione automatizzata delle chat senza un fondamento giuridico specifico. Il nuovo mandato del Consiglio si inserisce in questo contesto, delineando un quadro che rinvia alle fasi successive il confronto sulle tecnologie potenzialmente utilizzabili per l’individuazione dei contenuti illeciti.
