Al Linux Day 2025 di Palermo, sabato 25 ottobre, il divulgatore informatico Moreno Razzoli, conosciuto dal grande pubblico come Morrolinux, con un suo intervento dal titolo “Matrix, il futuro della comunicazione cifrata e decentralizzata”. ha trattato uno dei dibattiti più accesi d’Europa: la proposta di regolamento ChatControl, che mira a combattere l’abuso online sui minori ma che, secondo molti esperti, rischia di aprire la strada a una sorveglianza diffusa delle comunicazioni private.
Nota come Child Sexual Abuse Regulation (CSAR), presentata dalla Commissione Europea nel 2022 e fa parte del pacchetto legislativo per la lotta all’abuso sessuale su minori e, se approvata, introdurrebbe l’obbligo per le piattaforme digitali di analizzare automaticamente i contenuti delle comunicazioni online. L’obiettivo dichiarato è tutelare i minori, ma il metodo scelto — la scansione preventiva dei messaggi — solleva interrogativi profondi sulla compatibilità con il diritto alla riservatezza e con i principi del GDPR.
In un’epoca in cui tutto passa da uno schermo — messaggi, foto, file, conversazioni — capire come funzionano davvero la crittografia, la privacy digitale e le reti decentralizzate significa parlare di libertà, sicurezza e fiducia.
Con Moreno Razzoli, tra i principali divulgatori italiani del mondo Linux e delle tecnologie libere, abbiamo discusso di cosa comporterebbe il ChatControl nella vita quotidiana dei cittadini europei, del ruolo dell’open source come garanzia di trasparenza e del valore della conoscenza condivisa come forma di resistenza digitale.
L’intervista che segue nasce da questo incrocio tra tecnologia e diritti civili, tra la difesa dei minori e quella della nostra libertà di comunicare.
Crittografia, privacy e sicurezza minori in rete: cosa prevede
la proposta di regolamento europea?
Negli ultimi anni l’Unione Europea ha avviato una proposta di legge che intende colpire in modo più incisivo il materiale di abusi sessuali su minori (CSAM, dall’inglese Child Sexual Abuse Material) che circola online: immagini, video, messaggi. L’obiettivo è combattere in modo sistematico la diffusione di questi contenuti, che avviene spesso attraverso piattaforme di messaggistica, social network, servizi cloud o chat private.
Quella che all’inizio doveva essere una misura volontaria — un impegno delle piattaforme a collaborare — si è trasformata in qualcosa di più profondo e controverso. La proposta, formalmente chiamata CSAR (Child Sexual Abuse Regulation), è diventata nota al grande pubblico con un nome più diretto: “ChatControl”.
Il motivo è chiaro: nel testo viene ipotizzata la possibilità di far “scansionare” automaticamente anche le comunicazioni private per individuare contenuti illegali.
In sintesi, la proposta stabilisce che i fornitori di servizi di comunicazione online — quindi chat, messaggi, email e piattaforme social — possano essere obbligati a installare strumenti automatici che analizzino ciò che gli utenti inviano: immagini, video, link, documenti e messaggi di testo. L’obbligo potrebbe valere anche per i servizi che usano crittografia end-to-end, cioè quei sistemi (come WhatsApp, Signal o Telegram) che garantiscono che solo il mittente e il destinatario possano leggere il messaggio.
Le autorità di ciascun Paese membro potrebbero emettere “ordini di rilevazione” (detection orders) nei confronti di piattaforme specifiche, obbligandole a eseguire analisi automatizzate su tutti i contenuti che transitano sui loro server.
L’obiettivo “dichiarato” è ridurre la diffusione del materiale pedopornografico, aumentare le segnalazioni e proteggere più efficacemente i minori vittime di abusi online.
Perché nasce ora questa proposta?
Negli ultimi dieci anni le istituzioni europee hanno notato che, nonostante accordi internazionali e misure volontarie, il fenomeno dell’abuso online sui minori è rimasto grave e in crescita. Ogni anno vengono segnalati milioni di casi, ma si stima che solo una parte minima venga realmente scoperta.
Da qui la spinta della Commissione europea a proporre un nuovo quadro normativo vincolante, che obblighi le aziende tecnologiche a fare di più.
In altre parole, Bruxelles vuole passare da una cooperazione “di buona volontà” a un sistema di obblighi di legge, che permetta alle autorità di intervenire in modo coordinato su scala europea.
Lo stato attuale del dibattito politico
Ad oggi la proposta non è ancora diventata legge. Il testo è al centro di negoziati serrati tra Consiglio, Parlamento e Commissione, con forti divisioni sia politiche sia tecniche. Alcuni Stati membri, come la Germania, hanno dichiarato la propria contrarietà alla versione attuale, ritenendola incompatibile con i diritti fondamentali dei cittadini europei. Altri, come la Francia o la Polonia, si mostrano più favorevoli, pur chiedendo aggiustamenti.
Il testo, che ha suscitato diverse polemiche, ha avuto un iter legislativo travagliato. Un primo alt è arrivato dal Parlamento europeo. Nel suo mandato negoziale, l’Eurocamera ha emendato la proposta, eliminando i controlli indiscriminati sulle chat e aprendo alla possibilità di sorvegliare in modo mirato solo specifici individui e gruppi sospetti.
I Ventisette invece non sono riusciti finora a raggiungere un compromesso, facendo naufragare tutti i tentativi messi in campo. Da ultimo, la presidenza di turno danese del Consiglio Ue, molto sensibile sul tema, ha avanzato una proposta con misure di salvaguardia, tra cui il solo rilevamento di foto e video, la classificazione dei rischi e il rispetto della crittografia.
Una votazione chiave al Parlamento europeo era prevista per il 14 ottobre 2025, ma è stata rinviata proprio per le forti pressioni e i contrasti tra gruppi politici.
È quindi un testo “vivo”, ancora in discussione, che non ha ancora una forma definitiva.
I punti più controversi
Sebbene la finalità — proteggere i minori — sia ampiamente condivisa, molte delle soluzioni proposte hanno sollevato timori e critiche da parte di cittadini, organizzazioni per i diritti digitali, giuristi e persino autorità garanti della privacy.
Le preoccupazioni principali riguardano cinque aspetti:
1. La privacy delle comunicazioni private.
Se ogni messaggio o immagine venisse analizzato, anche solo da un algoritmo, ciò implicherebbe che nessuna comunicazione resti davvero privata. Molti esperti parlano di una forma di “sorveglianza preventiva” su scala di massa.
2. La crittografia end-to-end.
Oggi la crittografia è la barriera che impedisce anche alle stesse piattaforme di leggere i messaggi degli utenti.
Rompere questa protezione, anche solo per analisi automatiche, significherebbe indebolire la sicurezza di tutti i servizi digitali, aprendo la strada a nuovi rischi di hackeraggio o spionaggio.
3. Il rischio di sorveglianza generalizzata.
Il regolamento non si limiterebbe a chi è sospettato di un reato, ma potrebbe portare a un controllo generalizzato di ogni utente europeo, anche senza motivi di sospetto.
4. I “falsi positivi”.
Gli algoritmi di riconoscimento automatico non sono infallibili.
Una foto innocente inviata in chat potrebbe essere segnalata come contenuto illecito, con conseguenze legali o sociali gravi per chi non ha fatto nulla di male.
5. L’effetto dissuasivo sulla libertà digitale.
Sapere che ogni messaggio può essere analizzato potrebbe cambiare il modo in cui comunichiamo: meno fiducia, più autocensura, più paura di essere fraintesi.
Le critiche delle istituzioni e della società civile
Il Garante europeo per la protezione dei dati (EDPS) ha espresso “serie preoccupazioni” sul rischio che ChatControl violi la Carta dei diritti fondamentali dell’UE, in particolare l’articolo 7 (rispetto della vita privata) e l’articolo 8 (protezione dei dati personali).
Anche l’Autorità europea per la protezione dei dati (EDPB) ha definito “incompatibile con i principi di proporzionalità e necessità” la scansione indiscriminata di tutte le comunicazioni.
A livello nazionale, diverse organizzazioni — tra cui Privacy International, NOYB (l’associazione fondata da Max Schrems) e Access Now — hanno lanciato campagne di informazione per chiedere modifiche profonde al testo.
In Germania e nei Paesi Bassi si sono tenute anche manifestazioni pubbliche contro la proposta, accusata di aprire “una porta legale alla sorveglianza di massa”.
Le posizioni delle aziende tecnologiche
Anche varie aziende e sviluppatori di software di messaggistica hanno espresso forti riserve. Signal, ad esempio, ha dichiarato che “non implementerà mai un sistema che comprometta la crittografia end-to-end”. WhatsApp, parte del gruppo Meta, ha ribadito che “la privacy è una delle basi del servizio” e che “non è tecnicamente possibile garantire sicurezza e privacy se si obbligano le app a scansionare i messaggi”.
Alcune piattaforme, come Apple, hanno fatto un passo indietro dopo aver tentato di introdurre sistemi di rilevazione automatica sul proprio servizio iCloud, proprio perché le reazioni pubbliche furono fortemente negative.
Forti riserve sono state espresse da un fronte composito di ricercatori, attivisti e big tech. X di Elon Musk ha bollato la proposta come “pericolosa” e ha fatto appello a Germania e Polonia, tra gli Stati Ue più critici della proposta, a continuare a opporsi per “evitare la sorveglianza di massa dei propri cittadini da parte dei governi e gravi violazioni della sicurezza degli utenti da parte di soggetti malintenzionati”.
Cosa accadrebbe, in concreto, se venisse approvato?
Immaginiamo una situazione quotidiana: inviamo una foto di famiglia su WhatsApp, oppure scriviamo un messaggio affettuoso a un amico.
Se la legge venisse approvata nella forma attuale, il messaggio verrebbe scansionato automaticamente prima di essere consegnato al destinatario.
Un software cercherebbe “modelli” sospetti: immagini che somigliano a contenuti illegali, frasi o link che ricordano scambi noti tra pedofili.
Se il sistema ritiene che qualcosa sia “sospetto”, il messaggio viene segnalato alle autorità competenti.
Ma l’algoritmo non ha il contesto: una foto del proprio figlio al mare, o un’immagine artistica, potrebbero finire erroneamente nel sistema di segnalazione.
Ecco perché molti esperti di sicurezza informatica ritengono che la misura sia tecnologicamente pericolosa e giuridicamente sproporzionata.
La questione tocca un equilibrio delicato tra protezione dei minori e diritto alla privacy. Non è in discussione la necessità di combattere l’abuso online, ma il modo con cui si intende farlo.
Perché se si apre una “porta” nei sistemi crittografati, quella porta può essere usata anche da altri — governi autoritari, hacker, criminali informatici.
La stessa tecnologia che oggi si vorrebbe usare per scopi legittimi potrebbe domani essere impiegata per controllare opinioni politiche, movimenti sociali, giornalisti o attivisti.
È quello che gli esperti chiamano function creep, cioè la deriva graduale di uno strumento verso usi diversi e più invasivi rispetto a quelli iniziali.
La posizione dei giovani e dei cittadini europei
Nello stesso tempo, un’altra parte dell’opinione pubblica ritiene che, se usata correttamente, la tecnologia possa aiutare a prevenire crimini gravissimi. Questo dimostra che il dibattito non è solo tecnico, ma profondamente etico e sociale.
Le prospettive politiche e le possibili modifiche
All’interno del Parlamento europeo sono state presentate decine di emendamenti. Alcuni chiedono di limitare gli ordini di rilevazione solo ai casi in cui esistano indizi concreti; altri vogliono escludere in modo esplicito le app con crittografia end-to-end.
La relatrice della proposta, Ylva Johansson, ha difeso il testo dicendo che “non si tratta di spiare le persone, ma di proteggere i bambini”. Tuttavia, anche all’interno della Commissione europea ci sono voci discordanti: diversi commissari hanno chiesto di rivedere radicalmente il progetto.
Le prossime settimane saranno decisive: il voto rinviato dovrebbe essere riprogrammato entro la fine del 2025, ma non è escluso che la proposta venga riscritta o rinviata alla prossima legislatura europea.
Un dibattito che coinvolge tutti
Il caso “ChatControl” non è un tema per soli esperti di informatica o avvocati dei diritti digitali. È una questione che riguarda chiunque usi un telefono o un computer per comunicare. Ogni messaggio inviato a un familiare, a un amico o a un collega rientrerebbe in quel meccanismo di controllo preventivo. Discuterne significa chiedersi quanto siamo disposti a sacrificare della nostra privacy in nome della sicurezza, e se esistono modi più intelligenti e meno invasivi per proteggere i minori.
Al Linux Day, il divulgatore informatico Moreno Razzoli, noto come Morrolinux, ha affrontato proprio questi temi nel suo intervento dedicato a “Matrix, il futuro della comunicazione cifrata e decentralizzata”. Un’occasione per capire non solo come funziona la tecnologia che ci protegge, ma anche quanto sia fragile l’equilibrio tra libertà e controllo nell’era digitale.
Nell’intervista a Razzoli parlare di ChatControl significa parlare del futuro della comunicazione privata, della fiducia nelle piattaforme e, in fondo, della democrazia digitale europea.
L’intervista a Moreno Razzoli (Morrolinux)
1. Al Linux Day di Palermo hai parlato compiutamente di “Matrix” e comunicazione decentralizzata. Cosa significa, in parole semplici, “decentralizzare” la comunicazione?
“Le piattaforme di messaggistica “classiche” (come WhatsApp, Telegram o Discord) sono gestite dalle rispettive aziende, che ne controllano ogni aspetto e possono oscurare messaggi, utenti e gruppi in base alle proprie politiche interne o perfino analizzare le conversazioni tra gli utenti e implementare sistemi di controllo come quelli ipotizzati in ChatControl.
Decentralizzare la comunicazione significa eliminare questo unico punto di controllo: i dati e le conversazioni vengono distribuiti su molti server indipendenti, gestiti da persone o organizzazioni diverse in tutto il mondo, mantenendo la totale confidenzialità delle conversazioni tra gli utenti”.
2. Il ChatControl europeo punta a contrastare gli abusi, ma prevede la scansione dei messaggi privati. Qual è il rischio reale per la nostra privacy?
“Il rischio principale è quello di istituire una sorveglianza di massa e indiscriminata di tutte le comunicazioni private dei cittadini. Per permettere la scansione dei messaggi, la legge impone di fatto una “porta di servizio” o backdoor che bypassa la crittografia.
Questo compromette la nostra privacy perché espone non solo i messaggi dei criminali, ma tutte le nostre comunicazioni a potenziali errori algoritmici (i falsi positivi) e abusi da parte delle autorità o di malintenzionati. In pratica, trasforma i nostri dispositivi personali in strumenti di sorveglianza”.
3. È possibile proteggere i minori online senza trasformare internet in uno spazio di sorveglianza?
“Sì, è assolutamente possibile. Invece di controllare preventivamente tutti, si dovrebbe potenziare la prevenzione educativa rivolta a minori, genitori e scuole per riconoscere i pericoli.
Parallelamente, si possono usare strumenti tecnologicamente meno invasivi e più mirati, applicando il controllo solo a soggetti già sospettati come già viene fatto per le indagini attuali.
In questo scenario, la conoscenza è cruciale. Solo un pubblico informato può richiedere soluzioni equilibrate che tutelino sia la sicurezza che le libertà fondamentali, impedendo che leggi frettolose e scellerate sacrifichino la privacy in nome della sicurezza”.
4. Il mondo Linux nasce dall’idea di libertà. In che modo questi valori possono servire oggi anche ai cittadini comuni, non solo agli esperti?
In un’epoca dominata da poche grandi aziende che controllano i dati, il modello Open Source offre l’idea fondamentale di non essere prigionieri di un solo fornitore.
Questo valore di autonomia è vitale per tutti, perché ci ricorda che dovremmo essere noi, e non le aziende, a controllare i nostri strumenti e la nostra vita digitale”.
5. Guardiamo avanti: come possiamo bilanciare tecnologia, etica e libertà digitale? Quali sono i prossimi obiettivi della battaglia sul ChatControl e i prossimi passi?
“Il bilanciamento si ottiene con la “progettazione etica”, ovvero integrando i valori di libertà e privacy nei requisiti di base di ogni nuova tecnologia, non solo aggiungendoli dopo.
Sul fronte ChatControl, la battaglia immediata è per escludere definitivamente la scansione universale dei messaggi crittografati sul dispositivo. Dobbiamo spingere per soluzioni alternative: indagini mirate solo sui sospettati e forte investimento nell’educazione e nella prevenzione, così che la sicurezza non sacrifichi mai la riservatezza delle comunicazioni”.
