BitCal's avatar
BitCal
bitcal@botrift.com
npub1ltd8...yyha
Informazione e Cultura Bitcoin - Bitcoin-only -
image Chat Control è il tentativo di rendere controllabili le comunicazioni private dei cittadini europei: chat, messaggi, immagini, link e file personali. Non parliamo di intercettazioni mirate su persone sospettate, ma di tecnologie di rilevamento applicate su chiunque prima che esista un chiaro sospetto individuale. Il Parlamento europeo aveva già frenato questa strada due volte: l’11 marzo 2026, provando a limitare la proroga e a proteggere le comunicazioni cifrate, e il 26 marzo 2026, quando la proroga della deroga temporanea non è stata approvata. Ora il testo torna in aula. Il 2 luglio 2026 il Consiglio dell’Unione Europea ha adottato una nuova posizione per estendere la deroga temporanea alla direttiva ePrivacy. Il voto dei governi è stato unanime: 27 favorevoli, nessun contrario, nessun astenuto. Il Parlamento ha accettato la procedura d’urgenza e il voto sul merito è previsto per il 9 luglio 2026. Nonostante anni di critiche, proteste, stop parlamentari e mobilitazioni civiche, l’idea continua a riapparire. Cambiano le parole, cambiano le versioni giuridiche, cambia il contenitore normativo. Il risultato resta lo stesso: introdurre, normalizzare o prorogare un’infrastruttura di controllo automatico sulle comunicazioni dei cittadini europei. Il messaggio politico è evidente: “Finché non verrà approvato, continueremo a provarci.” La misura viene presentata come uno strumento per contrastare il materiale di abuso sessuale sui minori. Il crimine evocato è gravissimo, e proprio per questo viene usato come leva morale per rendere accettabile la sorveglianza preventiva su milioni di cittadini innocenti. Questa non è tutela dei diritti. È sorveglianza a tutti i costi. In cosa consiste Chat Control ribalta il principio dello Stato di diritto. In una democrazia, un’indagine dovrebbe partire da elementi concreti: un sospetto, un’autorizzazione dell’autorità giudiziaria, responsabilità definite. Con Chat Control, invece, il controllo diventa uno standard preventivo. Non servono colpevolezza, indagini o tribunali per essere sottoposti a verifica automatica: ogni cittadino europeo viene trattato come un soggetto da controllare a monte. È un cambiamento culturale e giuridico. Il cittadino non viene osservato perché sospettato, ma perché potrebbe diventarlo. È il passaggio dalla presunzione di innocenza alla presunzione di sospetto. Siamo tutti individui sospetti. Il bersaglio è la crittografia end-to-end La crittografia end-to-end serve a garantire che una comunicazione possa essere letta solo dal mittente e dal destinatario. Nessun altro. Nemmeno il gestore del servizio. Per analizzare automaticamente immagini, messaggi o file serve introdurre un meccanismo di verifica: client-side scanning, rilevamento, detection o qualunque altro nome venga usato. La sostanza non cambia. Se il contenuto viene controllato, la promessa della crittografia viene meno. Dire che si vuole mantenere la crittografia e contemporaneamente controllarne i contenuti è una contraddizione. Non esiste una crittografia end-to-end intatta con al proprio interno un sistema di ispezione, una backdoor. O il contenuto resta accessibile solo a mittente e destinatario, oppure qualcuno ha introdotto un punto di accesso. Di fatto, la promessa di salvare entrambe le cose è falsa. La strada del regolatore Il 14 luglio 2021 viene adottato il Regolamento UE 2021/1232, presentato come deroga temporanea alla direttiva ePrivacy. Non impone ai fornitori di servizi di cercare materiale di abuso sessuale sui minori, ma consente loro di farlo volontariamente, entro alcune condizioni. È il primo livello: rendere possibile l’analisi automatica delle comunicazioni private in nome di una finalità dichiarata. L’11 maggio 2022 la Commissione europea presenta la proposta COM(2022)209, cioè il regolamento permanente per prevenire e combattere l’abuso sessuale sui minori online. Non più una semplice deroga temporanea, ma un quadro stabile con ordini di rilevamento, obblighi per i fornitori, autorità di coordinamento e un nuovo centro europeo dedicato. Il 14 novembre 2023 la commissione LIBE del Parlamento europeo vota sul dossier e spinge verso una linea meno indiscriminata, più legata a sospetti mirati e alla tutela delle comunicazioni cifrate. Il 19 dicembre 2025 la Commissione presenta un’altra proposta, COM(2025)797, per prorogare ancora il regime temporaneo del 2021. L’11 marzo 2026 il Parlamento europeo prova a limitare quella proroga, escludendo la scansione generalizzata e proteggendo le comunicazioni cifrate. Il 26 marzo 2026 l’estensione non raggiunge la maggioranza finale. Poi il dossier torna ancora. Il 1 luglio 2026 viene chiesta una procedura d’urgenza. Il 2 luglio 2026 il Consiglio adotta la propria posizione in prima lettura sulla nuova estensione. Il 6 luglio 2026 il fascicolo viene annunciato in Parlamento in seconda lettura. Il voto in plenaria è previsto per il 9 luglio 2026. Nel voto del Consiglio del 2 luglio 2026 il dato ufficiale è netto: 27 Stati membri favorevoli, 0 contrari, 0 astenuti. Tutti hanno votato sì alla posizione del Consiglio sulla proroga temporanea. Anche l’Italia ha votato a favore, ma ha lasciato a verbale una dichiarazione pesante: opposizione ai poteri di scansione affidati a soggetti privati, in larga parte non europei; richiesta di proporzionalità rigorosa; necessità di controllo giudiziario o istituzionale indipendente; esclusione esplicita dei contenuti protetti da crittografia end-to-end da ogni attività di rilevamento. Tradotto: l’Italia riconosce i rischi centrali del sistema, ma vota comunque a favore della proroga. Nelle trattative sul regolamento permanente, Germania, Paesi Bassi, Polonia e Austria sono stati tra i governi più chiaramente contrari alla scansione indiscriminata delle comunicazioni private. In passaggi diversi sono stati indicati tra i contrari o tra i critici anche Lussemburgo, Finlandia, Cechia e Belgio. Le ragioni ruotano attorno agli stessi punti: tutela della crittografia, rischio di sorveglianza generalizzata, sproporzione della misura, sicurezza informatica, falsi positivi, ruolo opaco dei fornitori privati e assenza di garanzie sufficienti per i cittadini. Queste posizioni, però, non sono state ascoltate e quando un progetto di sorveglianza incontra opposizione democratica, dovrebbe fermarsi. Qui invece viene riformulato, ammorbidito, ripresentato. Il dissenso dei cittadini non chiude il dossier, non viene ascoltato ma viene aggirato. Non è la prima guerra contro la crittografia Questa battaglia non nasce oggi. Negli Stati Uniti, negli anni Novanta, governo e agenzie federali tentarono di limitare la diffusione della crittografia forte. Il caso più noto fu il Clipper Chip. L’idea era permettere ai cittadini di usare comunicazioni cifrate, mantenendo però una chiave custodita dal governo che, in determinate circostanze, avrebbe consentito alle autorità di decifrarle. La proposta venne presentata come una misura di equilibrio: sicurezza, protezione, accesso limitato, garanzie. Le stesse parole che ricorrono oggi. All’epoca si parlava di key escrow, cioè di chiavi conservate da soggetti terzi. Oggi si parla di scansione lato client, rilevamento dei contenuti, obblighi di detection. Cambiano le tecnologie, cambia il lessico, ma non cambia il principio: una comunicazione realmente privata non deve esistere. Chat Control ripropone quella stessa idea con strumenti diversi. Diritti tutelati sulla carta, aggirati nella pratica La riservatezza delle comunicazioni non è un favore concesso dalle istituzioni. È un diritto fondamentale di ogni individuo. In Italia l’articolo 15 della Costituzione stabilisce che la libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili. Le limitazioni possono avvenire solo con atto motivato dell’autorità giudiziaria e con le garanzie previste dalla legge. A livello europeo, la Carta dei diritti fondamentali tutela la vita privata, le comunicazioni e i dati personali. Anche la Convenzione europea dei diritti dell’uomo tutela il rispetto della vita privata e della corrispondenza. Chat Control aggira lo spirito di questi principi perché non interviene su un soggetto specifico, dentro un’indagine specifica, con un controllo specifico. Sposta il controllo a monte, sulla comunicazione in quanto tale. Se una comunicazione privata può essere analizzata automaticamente prima ancora che esista un sospetto, allora la sua riservatezza non è più una condizione di partenza. Diventa una concessione subordinata al funzionamento dell’infrastruttura di sorveglianza. È qui che il diritto viene svuotato: resta scritto sulla carta, ma viene aggirato nella pratica. L’efficacia non è dimostrata Da anni piattaforme, organizzazioni specializzate e autorità raccolgono segnalazioni, rimuovono contenuti, aggiornano database di hash e collaborano con le forze dell’ordine. Questa attività produce numeri enormi. Ma quei numeri non dimostrano che la scansione generalizzata delle comunicazioni private sia necessaria, tutt’altro. Dimostrano che il fenomeno è grave, persistente e in crescita e che i sistemi di controllo su larga scala hanno sempre fallito portando all’esposizione di cittadini comuni e alla paradossale protezione di quei criminali che hanno mezzi e capacità per eludere i controlli. Se dopo anni di detection, reporting e rimozioni il problema continua ad aumentare, usare quei dati per giustificare un salto verso la sorveglianza di massa è un cortocircuito. Il fallimento di una strategia non può diventare la scusa per renderla più invasiva. Prima di calpestare la riservatezza delle comunicazioni di milioni di cittadini, chi propone Chat Control dovrebbe dimostrare almeno tre cose: che la misura funziona, che non esistono alternative meno invasive, che il danno prodotto ai diritti fondamentali non supera il beneficio dichiarato. Dove finiscono i dati? Ogni sistema di sorveglianza produce dati. Anche quando non conserva l’intero contenuto delle comunicazioni, genera segnalazioni, hash, metadati, classificazioni, log, identificativi degli account e decisioni automatizzate. Quei dati devono essere raccolti, conservati, trasferiti, consultati e protetti da qualcuno. Ogni nuova infrastruttura di controllo diventa anche una nuova superfice d’attacco e nessuna infrastruttura informatica è inviolabile. Negli ultimi anni sono stati compromessi governi, ministeri, ospedali, banche, compagnie telefoniche, servizi di intelligence, aziende tecnologiche e perfino società specializzate nella sicurezza informatica. Una banca dati di questo tipo sarebbe un obiettivo enorme: per criminali informatici, servizi di intelligence stranieri, gruppi di estorsione, organizzazioni criminali e chiunque abbia interesse a ricattare, profilare o identificare milioni di persone. Il rischio non è soltanto la sorveglianza da parte dello Stato. È la creazione di un patrimonio informativo che, una volta prodotto, può essere copiato, rubato, venduto, diffuso o usato per finalità diverse da quelle dichiarate. Il falso positivo non è un dettaglio A questo si aggiunge un secondo problema: nessun sistema automatico è infallibile. Nel caso di Chat Control, un errore non significa ricevere una pubblicità sbagliata o vedere un contenuto rimosso per sbaglio. Significa poter essere associati al reato più infamante che esista. Una fotografia familiare, un’immagine medica, un contenuto privato, un file condiviso fuori contesto o una conversazione interpretata in modo errato possono bastare per generare una segnalazione. Chat Control nasce con l’obiettivo dichiarato di proteggere i cittadini, ma costruisce un’infrastruttura che li espone contemporaneamente alla sorveglianza, agli errori automatici e al rischio che i loro dati più sensibili finiscano nelle mani sbagliate. Fight Chat Control I cittadini europei hanno già reagito. La campagna Fight Chat Control ha mobilitato migliaia di persone, invitandole a scrivere agli eurodeputati per chiedere il blocco della proposta. Quelle email hanno mostrato una volontà politica chiara: una parte dei cittadini europei non accetta che la protezione venga usata come giustificazione per introdurre la scansione delle comunicazioni private. Eppure la proposta è ancora lì. Questo passaggio è decisivo. Se la mobilitazione dei cittadini non basta a fermare una misura che incide su diritti fondamentali, allora il problema non è solo Chat Control. Il problema è il rapporto tra potere politico e cittadini. Il cittadino viene presentato come il soggetto da proteggere, ma nei fatti non viene ascoltato quando rifiuta gli strumenti scelti per “proteggerlo”. La sua volontà diventa secondaria e la sua esistenza politica viene subordinata a un apparato che decide quali e quanti diritti possono essere sacrificati in nome della (propria) sicurezza. Quando il potere insiste nel riproporre una misura respinta, contestata e denunciata dai cittadini, sta dicendo che la libertà dell’uomo non è più un confine da rispettare, ma una resistenza da superare. Assuefazione alla violenza La forza di misure come Chat Control non dipende solo dalla volontà del potere. Dipende anche dall’assuefazione dei cittadini. Per anni ci siamo ripetuti che “tanto ci controllano già”. Alcuni lo accettano per rassegnazione, altri per paura, altri ancora arrivano perfino a chiederlo, convinti che più controllo significhi più sicurezza. È così che la sorveglianza smette di apparire come un’eccezione e diventa normalità. Dobbiamo ragionare in termini di violenza. Non solo controllo, non solo privacy, non solo tecnologia. Violenza. La violenza non è solo fisica. Non viene solo da una voce che si alza sopra le altre, da mani che colpiscono, da pugni che si chiudono. Non ha un genere e non ha un’età. Spesso la violenza è un atto normativo che si traduce in aggressione al cittadino. Una legge può aggredire quando riduce i diritti fondamentali a concessioni revocabili, quando tratta ogni persona come un soggetto da verificare, quando trasforma la comunicazione privata in materiale da analizzare, classificare e inoltrare. Chat Control è questo: una violenza normativa mascherata da protezione. Non colpisce il corpo, ma colpisce la dignità dell’individuo. Non lascia lividi, ma cambia la posizione del cittadino davanti al potere. Lo riduce a profilo, rischio, dato, contenuto da analizzare. Quando questo accade, la libertà non viene soltanto limitata. Viene umiliata. Se le parole non servono, se il dissenso non viene considerato, quanto manca prima che venga represso con manganelli e arresti? Quando le basi di una civiltà vengono meno, e a minarle sono le stesse istituzioni che dovrebbero garantirle, al cittadino cosa resta? Rassegnazione? Resa? O la scelta di una frattura sociale più dura, più pericolosa, più difficile da contenere? Bisogna evitare di arrivare a questi estremi. Ma per farlo bisogna tornare a ragionare in termini umani di libertà, di dignità, di responsabilità e anche di limiti del potere.
post.image Se vieni truffato dopo aver emesso un bonifico istantaneo, la risposta della banca può suonare più o meno così: l’operazione è stata autorizzata, il denaro è già partito, recuperarlo è difficile. Com’è possibile? Stiamo parlando di un sistema bancario centralizzato, autorizzato, sorvegliato, regolato e pieno di intermediari identificati. Non stiamo parlando di contanti passati di mano in mano in un vico buio. Stiamo parlando di conti correnti, IBAN, prestatori di servizi di pagamento, procedure KYC, controlli antiriciclaggio, monitoraggio delle operazioni e infrastrutture sottoposte a vigilanza. Eppure, quando il cittadino subisce una frode concreta, spesso scopre che tutto questo apparato non garantisce una protezione adeguata. Quello che viviamo è un paradosso. L’Unione Europea spinge verso controlli sempre più estesi. Nel settore finanziario questo orientamento si vede nel nuovo pacchetto antiriciclaggio approvato nel 2024: un insieme di norme che rafforza gli obblighi per banche e intermediari, crea una nuova Autorità europea antiriciclaggio, AMLA, e rende più uniforme il controllo sui flussi finanziari in tutta l’Unione. I riferimenti sono il Regolamento UE 2024/1620, che istituisce AMLA, il Regolamento UE 2024/1624, cioè il nuovo regolamento antiriciclaggio direttamente applicabile, e la Direttiva UE 2024/1640, nota come AMLD VI. L’obiettivo dichiarato è contrastare riciclaggio e finanziamento del terrorismo. Ma nella pratica questo sistema produce un effetto molto più ampio: obbliga banche, intermediari e piattaforme regolamentate a trattare milioni di cittadini come soggetti da verificare, classificare, profilare e monitorare. Il primo problema è la quantità di informazioni personali che il cittadino viene spinto a consegnare per poter continuare a usare servizi ormai essenziali, non si parla più solo di un documento d’identità. Si parla di prove di residenza, bollette, estratti conto, origine dei fondi, movimenti bancari, dati fiscali, informazioni sul lavoro, fotografie del volto, video di riconoscimento, indirizzi IP, dispositivi usati per accedere ai servizi, sistemi operativi, browser, metadati tecnici e tracciamenti comportamentali. Una mole di dati enorme, raccolta in nome della sicurezza, che finisce in archivi centralizzati, sistemi di verifica esterni, provider KYC, database aziendali e infrastrutture che possono essere violate, vendute, aggregate, condivise o usate per altri scopi. Il cittadino viene quindi esposto due volte. Prima viene trattato come un rischio da controllare. Poi diventa un bersaglio più fragile, perché i dati raccolti per “proteggerlo” aumentano il danno potenziale in caso di fuga, abuso o compromissione. Il secondo problema è il costo economico dei controlli. Un rapporto della Corte dei Conti olandese del 2026 sull’antiriciclaggio bancario mostra bene questa sproporzione. Nel 2024 le banche analizzate hanno speso circa 1,6 miliardi di euro per i controlli antiriciclaggio e impiegato circa 13.000 lavoratori a tempo pieno. Le segnalazioni di transazioni “inusuali” sono passate da quasi 250.000 nel 2020 a oltre 530.000 nel 2024. Il dato che possiamo verificare da questa analisi non è purtroppo che il sistema funzioni meglio, l’unico dato certo è che il sistema controlla di più. Aumentano le segnalazioni, ma non è chiaro quante corrispondano davvero a riciclaggio. Aumentano i costi, ma non è chiaro quale beneficio concreto producano. Aumenta il potere degli intermediari di interrogare, bloccare e limitare i clienti, ma non aumenta in modo altrettanto evidente la protezione del cittadino quando subisce una frode reale. Neanche nel campo digitale e delle comunicazioni l’approccio è migliore. La proposta di Regolamento COM(2022)209, per prevenire e combattere gli abusi sessuali sui minori online, è diventata nota ai critici come “Chat Control”. Il tema dichiarato è grave e reale. Nessuno mette in discussione la necessità di contrastare gli abusi sui minori, ma sarebbe onesto chiedersi fino a dove può spingersi il controllo sulle comunicazioni private senza distruggere la riservatezza delle comunicazioni stesse. Accanto alla proposta “Chat Control” c’è il Regolamento UE 2021/1232, una deroga temporanea alla direttiva ePrivacy che autorizza alcuni fornitori di servizi di comunicazione di usare tecnologie automatiche per rilevare materiale di abuso online. Secondo una politica per cui per controllare ciò che circola nelle comunicazioni private, bisogna rendere quelle comunicazioni più ispezionabili. Da qui nasce lo scontro con la crittografia end-to-end. La crittografia end-to-end serve a impedire che il contenuto di una comunicazione privata sia leggibile da soggetti esterni alla conversazione: piattaforme, fornitori, intermediari, aggressori informatici o autorità. Non protegge solo criminali. Protegge cittadini comuni, famiglie, imprese, professionisti, giornalisti, avvocati, attivisti e minori. Per questo è una tecnologia di sicurezza, non un ostacolo alla sicurezza. Eppure, viene spesso descritta come un problema, perché riduce la possibilità di ispezionare le comunicazioni private in modo generalizzato. E sembra essere questo il modello europeo: quando una tecnologia protegge l’autonomia e la riservatezza del cittadino, viene trattata come un rischio, quando una tecnologia aumenta controllo, identificazione, sorveglianza e dipendenza dagli intermediari, viene presentata come tutela. Ma sicurezza e controllo non sono la stessa cosa. La sicurezza rafforza il cittadino. Il controllo rafforza chi gestisce l’infrastruttura. Se l’Europa impone controlli sempre più invasivi in nome della protezione non basta aumentare segnalazioni, obblighi, verifiche, database e poteri di intervento, bisogna misurare i risultati, i danni collaterali e la proporzione tra sacrificio imposto e beneficio ottenuto. Perché se il cittadino viene controllato perché potenzialmente un rischio ma non viene protetto quando subisce un danno, allora il sistema non sta mettendo al centro la sua sicurezza. Sta mettendo al centro la propria capacità di controllo. Una società sicura non si costruisce trattando ogni cittadino come un sospetto preventivo, si costruisce dando alle persone strumenti efficaci per difendere il proprio denaro, i propri dati, le proprie comunicazioni, la propria libertà.