A fine novembre 2025 l’Unione Europea ha compiuto un passaggio formale nell’iter del cosiddetto “Chat Control”, ossia il Regolamento per la prevenzione e la lotta contro l’abuso sessuale sui minori (CSAR).
Il Consiglio dell’Unione Europea ha adottato la propria posizione negoziale il 26 novembre 2025, introducendo modifiche sostanziali rispetto alla proposta della Commissione del 2022.
L’adozione non chiude il procedimento: si apre ora la fase di trilogo con Parlamento e Commissione, da cui deriverà il testo definitivo.
Origine e finalità del Regolamento
L’iniziativa normativa nasce per rafforzare la prevenzione, l’individuazione e la rimozione di materiale che ritrae abusi sessuali su minori (CSAM) e per contrastare fenomeni di adescamento online.
La proposta del 2022 (COM/2022/209) intendeva stabilire obblighi uniformi per i fornitori di servizi digitali, inclusi i servizi di messaggistica. Il dibattito si è però rapidamente concentrato sul rapporto tra strumenti di rilevamento automatizzato e riservatezza delle comunicazioni, tutelata dall’art. 7 e 8 della Carta dei diritti fondamentali dell’UE, oltre che dalla disciplina sulla privacy elettronica.
La proposta originaria e le ragioni delle contestazioni
La versione iniziale prevedeva la possibilità di imporre obblighi di rilevamento sistematico di CSAM e comportamenti di grooming, potenzialmente anche all’interno di comunicazioni coperte da crittografia end-to-end.
Le principali criticità evidenziate nei pareri tecnici, nelle analisi accademiche e nelle posizioni delle autorità garanti europee (come l’EDPS) riguardavano:
- interferenze strutturali con la cifratura, dovute all’eventuale introduzione di tecniche di analisi client-side;
- affidabilità degli algoritmi, con rischi di falsi positivi e conseguenze operative rilevanti;
- incertezze sulla governance delle segnalazioni, sul ruolo dei fornitori e sul perimetro di intervento delle autorità pubbliche;
- tensione con i principi di necessità e proporzionalità, cardini del diritto UE in materia di trattamento dei dati personali.
Cosa cambia con la posizione del Consiglio del 26 novembre 2025
La posizione negoziale del Consiglio modifica aspetti essenziali della proposta iniziale. In sintesi, elementi verificati e ad oggi pubblici:
- Assenza di un obbligo generalizzato di scansione
La posizione del Consiglio non introduce un obbligo di rilevamento indiscriminato sulle comunicazioni private.
Si parla di facoltà per i fornitori di adottare tecnologie di individuazione del CSAM, non di un dovere generalizzato.
Resta da definire se e come questa “volontarietà” si tradurrà in pratica.
- Istituzione dell’EU Centre on Child Sexual Abuse
È prevista la creazione di un Centro europeo dedicato al coordinamento, allo scambio di informazioni e al supporto alle indagini. Il Centro gestirà un set di indicatori e potrà ricevere segnalazioni dalle piattaforme.
- Mandato per il trilogo
La posizione del Consiglio costituisce il mandato formale per l’avvio dei negoziati con Parlamento e Commissione.
La posizione del Parlamento (novembre 2023), più restrittiva sulla tutela della cifratura, dovrà essere armonizzata con quella del Consiglio.
Alcuni Stati membri – tra cui Italia e Germania – hanno espresso riserve o si sono astenuti, segnalando divergenze sulle soluzioni tecniche adottabili.
La “volontarietà”: cosa implica davvero
Il passaggio da una scansione obbligatoria a un regime “volontario” modifica la struttura del testo, ma non risolve tutte le questioni di fondo. In particolare:
- pressioni indirette: anche senza obbligo normativo, pressioni politiche, mediatiche o di mercato possono spingere all’adozione diffusa degli strumenti di detection;
- asimmetria tra servizi: alcune piattaforme potrebbero adottare sistemi invasivi, altre no, creando livelli molto differenti di tutela della privacy;
- ruolo centrale dell’EU Centre: la governance del Centro, le sue modalità operative, i flussi informativi con le autorità nazionali e gli audit indipendenti saranno determinanti per la tutela effettiva dei diritti fondamentali.
Questioni giuridiche e tecniche aperte
Il trilogo dovrà affrontare diversi profili critici, alcuni già normativamente vincolati, altri di natura tecnica:
- Diritti fondamentali e proporzionalità
Ogni misura dovrà rispettare gli artt. 7, 8 e 52 della Carta UE, i principi del GDPR e la giurisprudenza della Corte di giustizia, che richiede garanzie stringenti per la sorveglianza delle comunicazioni.
La compatibilità normativa dipenderà dal testo finale, soprattutto su limiti, condizioni d’uso e garanzie procedurali.
- Standard tecnici e affidabilità
Il funzionamento dei sistemi di detection dipende da algoritmi, dataset e soglie operative.
Ad oggi non esistono dati pubblici verificabili su tassi di errore specifici dei sistemi ipotizzati.
- Accountability e responsabilità
Resta aperto il tema di chi definisce le segnalazioni, quali audit devono essere previsti, quali obblighi informativi ricadono sui fornitori e come si articola la responsabilità in caso di errori o abusi.
Saranno fondamentali eventuali atti delegati o norme secondarie.
Impatti operativi
Le disposizioni che emergeranno dal trilogo influenzeranno:
- politiche interne di sicurezza, incident handling e gestione delle segnalazioni;
- valutazioni d’impatto (DPIA) per l’adozione di tecnologie di rilevamento;
- contrattualistica con fornitori e partner tecnologici;
- procedure di cooperazione con l’EU Centre e con le autorità di contrasto;
- gestione dei dati derivanti da eventuali segnalazioni, inclusi tempi di conservazione e regole di de-identificazione.
Questi aspetti non sono prescrittivi allo stato: dipendono dal testo finale del regolamento e dagli standard tecnici adottati.
Come va interpretato questo “compromesso UE”
La posizione del Consiglio UE segna un’evoluzione significativa rispetto alla proposta originaria: scompare l’idea di un obbligo generalizzato di scansione delle comunicazioni private e viene rafforzato il ruolo di coordinamento europeo tramite l’EU Centre.
Tuttavia, nodi tecnici e giuridici fondamentali rimangono aperti e saranno al centro del trilogo.
L’esito finale dipenderà dall’equilibrio tra tutela dei minori, riservatezza delle comunicazioni, garanzie procedurali e accountability dei soggetti coinvolti.
Se necessiti di supporto su questi temi rivolgiti ai nostri partner dello Studio Legale FCLEX, esperti di diritto dell’informatica e delle nuove tecnologie.