Una macchina che impara a leggerti: come Chat Control trasforma la struttura del potere nell’ambiente digitale
Chat control – Sorveglianza digitale – dossier Unione Europea
Il 9 luglio 2026 il Parlamento europeo ha lasciato passare, per inerzia procedurale, la proroga dello scan volontario dei messaggi non cifrati fino al 2028. Il vero banco di prova, lo scan obbligatorio sulle app cifrate, torna in autunno: dietro entrambi i regimi si muove un’architettura che sposta il controllo dal recinto giudiziario al codice che modula ogni conversazione in tempo reale.
Chat Control è il nome con cui è conosciuta la spinta normativa europea per la ricerca di materiale di abuso sessuale su minori dentro le comunicazioni degli utenti, e sotto quel nome convivono due regimi distinti che la cronaca tende a confondere. Il primo, prorogato dal Parlamento europeo il 9 luglio 2026 fino al 3 aprile 2028, riguarda lo scan volontario che piattaforme come Gmail, Outlook o Discord possono già applicare ai contenuti che transitano sui loro server, un regime che esclude le applicazioni cifrate end-to-end come WhatsApp, Signal e iMessage. Il secondo, quello che la mobilitazione contro Chat Control considera il vero bersaglio del dossier, è la proposta di scansione obbligatoria lato client destinata proprio a quelle applicazioni, attesa in autunno sotto la presidenza irlandese: lì l’ambizione dichiarata è che ogni messaggio, ogni foto, ogni file scambiato su un’app cifrata venga analizzato da un sistema automatico prima ancora che la cifratura lo trasformi in un segreto tra chi scrive e chi riceve, e nella versione più avanzata del meccanismo l’analisi avviene direttamente sul telefono di chi scrive.
Se quella seconda fase entrerà in vigore, il cambiamento nell’uso quotidiano sarà meno visibile di quanto suggerisca la parola scansione, e proprio per questo più profondo. La schermata di WhatsApp resterà identica, il lucchetto della cifratura resterà al suo posto, nulla segnalerà all’utente che una foto inviata alla propria compagna o un messaggio scritto a un amico sia stato letto da un algoritmo prima della consegna. Chi difende la misura ripete a Bruxelles che i messaggi restano cifrati, che il lucchetto crittografico non viene forzato, che la riservatezza tecnica delle comunicazioni resta intatta, un’affermazione già vera oggi per il regime volontario appena prorogato sui servizi non cifrati. Applicata alla fase ancora in trattativa, quella pensata per le app cifrate, la stessa affermazione meriterebbe di essere osservata da vicino, perché nasconderebbe uno spostamento che riguarda la forma stessa del potere. Il client-side scanning legge il contenuto del messaggio direttamente sul dispositivo, un istante prima che la cifratura lo trasformi in un segreto tra chi scrive e chi riceve. La stanza verrebbe fotografata mentre la porta è ancora aperta, e quando la porta si chiude la fotografia sarebbe già stata scattata, archiviata, confrontata con un database. Difendere l’integrità del lucchetto mentre si sposta la lettura un passo prima della sua chiusura manterrebbe intatta la lettera della crittografia e ne svuoterebbe la funzione sociale, quella per cui la comunicazione appartiene solo a chi la scambia.
Questo scarto tra la forma che la crittografia promette di mantenere intatta e la sostanza che il monitoraggio dissolverebbe attraversa l’intero dispositivo normativo, e per comprenderlo conviene appoggiarsi a una distinzione che Michel Foucault e Gilles Deleuze hanno costruito lungo la seconda metà del Novecento. Foucault aveva descritto un potere che si esercitava attraverso recinti, luoghi chiusi e sorvegliati come la scuola, la fabbrica, la caserma, il carcere, ciascuno con un dentro in cui la regola vale e un fuori in cui si sospende, ciascuno organizzato attorno a un ingresso controllato e a un momento di giudizio. Deleuze, in un testo breve del 1990 sulle società di controllo, osservava che quel modello stava cedendo il passo a una forma più continua e meno visibile, un potere che accompagna l’individuo in ogni istante attraverso codici che modulano l’accesso, la tariffa, la reputazione, il rischio, senza mai chiudere del tutto né aprire del tutto. L’intero impianto di Chat Control, dal regime già in vigore fino alla fase ancora negoziata, appartiene a questa seconda famiglia in modo quasi didascalico: applica un codice di valutazione a ogni conversazione, in modo continuo, prima ancora che sia possibile sapere se quella conversazione contenga qualcosa da giudicare.

Come i quattro livelli tecnici di Chat control del regolamento formano un unico gradiente di intrusione
Il testo che il Parlamento europeo ha esaminato il 9 luglio 2026 riguarda soltanto il primo dei livelli tecnici che il disegno complessivo mette in campo, e leggere quei livelli come stadi progressivi di un unico movimento chiarisce la traiettoria lungo cui il dispositivo si muove. L’hash matching, il primo stadio, confronta l’impronta digitale di un file con un archivio di materiale già identificato come illegale, e opera secondo la logica netta del confine: un contenuto corrisponde a qualcosa di già noto oppure non corrisponde, senza zone intermedie. Il secondo stadio, la rilevazione di materiale mai visto prima, sostituisce quella nettezza con la stima probabilistica di un classificatore che azzarda un punteggio su ciò che è nuovo, e introduce per la prima volta il margine di errore come componente strutturale del sistema. Il terzo stadio, la rilevazione dell’adescamento, sposta la soglia dal file al linguaggio, perché stabilire se una conversazione sia grooming richiede di analizzare il tono, il contesto, l’età presunta degli interlocutori, l’intenzione ricostruita a partire dalle parole, e il punteggio di rischio comincia così ad applicarsi a una relazione tra due persone. Il quarto stadio, il client-side scanning, compie l’ultimo spostamento nello spazio fisico, portando l’analisi dal server remoto al telefono che si tiene in mano. A ogni passaggio il confine perde nettezza mentre l’intrusione guadagna prossimità al corpo di chi comunica.
La coerenza di questa progressione si riflette nel lessico del regolamento, che evita la parola sorveglianza e parla di valutazione del rischio, adottando il vocabolario della modulazione continua descritto da Deleuze in luogo di quello del recinto e del giudizio descritto da Foucault. La scelta terminologica pesa, perché stabilire un obbligo di valutare il rischio istituisce un’operazione senza inizio né fine, che si distende su ogni comunicazione come una condizione permanente del comunicare.
A ogni passaggio il confine perde nettezza mentre l’intrusione guadagna prossimità al corpo di chi comunica.
Chat control: un centro di raccolta del rumore che accumula fragilità
Ogni architettura che dispieghi sensori alla periferia ha bisogno di un punto verso cui far convergere ciò che quei sensori raccolgono, e il regolamento lo prevede nella figura del futuro EU Centre, che secondo la posizione del Consiglio condividerà le informazioni con Europol e con le autorità nazionali, diventando il nodo verso cui risalgono le segnalazioni prodotte lungo i quattro stadi. La questione decisiva riguarda la capacità di questo centro di distinguere ciò che riceve, e la teoria cibernetica offre uno strumento di lettura che i dati del 2025 confermano con precisione sgradevole. Norbert Wiener, fondando la cibernetica a metà del secolo scorso, definiva il controllo come la capacità di un sistema di correggere la propria azione sulla base della differenza tra ciò che accade e ciò che dovrebbe accadere. Un sistema di controllo si misura allora dalla sua capacità di separare l’informazione utile dal rumore prima di agire, molto più che dalla quantità di informazione che riesce ad assorbire.
I numeri dei centri di raccolta esistenti mostrano quanto questa separazione sia il vero punto di crisi. Il centro statunitense NCMEC ha ricevuto nel 2025 un milione e mezzo di segnalazioni collegate all’intelligenza artificiale generativa, una cifra circolata a lungo come prova di un’esplosione di materiale sintetico di abuso, finché un’indagine ha verificato la composizione di quel numero e ha scoperto che oltre un milione e centomila di quelle segnalazioni provenivano da un unico mittente, Amazon, e riguardavano possibile materiale intercettato nei propri dataset di addestramento, prive di qualsiasi informazione su una vittima o su un sospetto, e dunque prive di ogni possibilità di azione investigativa per ammissione della stessa azienda. La stessa dinamica torna nel caso irlandese analizzato da uno studio commissionato dal Parlamento europeo, dove su quattromilacentonovantadue segnalazioni giunte alla polizia soltanto ottocentocinquantadue riguardavano materiale reale, mentre quattrocentosettantuno, l’undici virgola due per cento, si sono rivelate falsi positivi confermati. In ciascuno di questi casi il centro fallisce nel suo funzionamento ordinario, perché la parte più consistente di ciò che riceve è rumore da smaltire, e un sistema che spende la propria capacità operativa smaltendo rumore accresce soltanto la propria esposizione all’errore.
| Fonte | Segnalazioni | Esito verificato |
|---|---|---|
| NCMEC, dati 2025 | oltre 1,5 milioni | con nesso IA generativa; oltre 1,1 milioni dal solo mittente Amazon, zero azionabili per assenza di dati su vittima o sospetto |
| Polizia irlandese (studio EPRS per il Parlamento europeo) | 4.192 | 852 materiale reale (20,3%), 471 falsi positivi confermati (11,2%) |
| Meta, EU CSAM Derogation Report 2025 | circa 1,5 milioni | contenuti rimossi su Facebook nell’UE; circa 1.800 ripristinati in seguito a ricorso |
Chat control: leggere le conversazioni prevedere il futuro
La relazione tra la periferia che comunica e il centro che raccoglie non si esaurisce nel flusso a senso unico in cui il primo invia e il secondo riceve, e un caso documentato illumina il movimento in cui la periferia riprogramma il centro. Nel maggio del 2020 i ricercatori del Citizen Lab, il laboratorio dell’Università di Toronto specializzato nello studio della sorveglianza digitale, hanno pubblicato un’indagine intitolata “We Chat, They Watch”, dedicata al modo in cui la piattaforma WeChat tratta le comunicazioni dei propri utenti, e la scoperta centrale riguardava gli account esterni alla Cina. Immagini e documenti scambiati tra utenti registrati fuori dal paese, teoricamente estranei alla giurisdizione della censura cinese, venivano comunque sottoposti ad analisi del contenuto, e quando un file risultava politicamente sensibile secondo i criteri della piattaforma la sua impronta digitale veniva aggiunta a un indice usato per bloccare in tempo reale i contenuti circolanti tra gli account registrati in Cina. Un utente a Berlino che invia una fotografia a un amico alimenta senza saperlo il database che stabilirà cosa un altro utente, altrove, potrà scrivere il giorno successivo.
Questo caso chiude l’anello cibernetico rimasto aperto in precedenza, perché mostra un centro che utilizza ciò che riceve dalla periferia per aggiornare i propri criteri di selezione, e trasforma il parametro di ciò che va cercato da costante fissata nella legge a variabile che il sistema ridefinisce attraverso il proprio funzionamento. È in questo punto che l’obiezione sul function creep, l’espansione progressiva degli scopi, smette di essere un timore ipotetico e diventa una proprietà strutturale dell’architettura, perché un’infrastruttura costruita per leggere non contiene alcun limite tecnico a ciò che può cercare, e il confinamento a una singola categoria di contenuto dipende da una decisione politica sempre riscrivibile da chi controllerà il sistema più tardi. Lo stesso squilibrio riappare nella distribuzione diseguale della capacità di sottrarsi alla lettura. Gli studi sull’hashing percettivo, la tecnologia che sostiene l’hash matching, hanno mostrato tassi di evasione molto elevati nelle condizioni sperimentali del 2021 e assai più contenuti in uno studio del 2024 che introduce vincoli realistici sul numero di tentativi e sul grado di distorsione ammesso. Quale delle due letterature descriva meglio la realtà conta meno del fatto che un attore organizzato dispone del tempo e dell’incentivo per testare quei limiti, mentre chi scrive un messaggio ambiguo a un conoscente non ne dispone. La periferia dotata di risorse elude il centro, quella priva di risorse vi resta esposta, e il rovesciamento discende dalla struttura del sistema più che da una sua intenzione.
Un utente a Berlino alimenta, senza saperlo, il database che deciderà cosa un altro utente, altrove, potrà scrivere il giorno successivo.
Come la stessa Unione che vieta il punteggio sociale ne riproduce l’architettura nello spazio più intimo
Il contrasto più rivelatore emerge dall’interno dell’ordinamento europeo, dove convivono principi che si contraddicono a vicenda una volta letti come espressioni di una medesima idea di potere. Il Digital Services Act stabilisce che ai fornitori di servizi non può essere imposto alcun obbligo generale di sorvegliare attivamente le informazioni che trasmettono, e l’AI Act, entrato in applicazione da pochi mesi, vieta le pratiche di punteggio sociale e limita in modo severo l’identificazione biometrica di massa, muovendo dal riconoscimento che classificare automaticamente il comportamento di intere popolazioni intacca diritti fondamentali sottratti alla negoziazione amministrativa. La medesima Unione che scrive questi due divieti sta negoziando, nello stesso arco di tempo, un regime che applica una logica strutturalmente affine, fatta di prevenzione algoritmica, classificazione del rischio e monitoraggio su larga scala, e lo fa nello spazio più intimo che esista, la conversazione privata tra due persone. La tecnologia differisce da quella del punteggio sociale proibito altrove, l’architettura di pensiero è la stessa, applicata esattamente dove il legislatore ha deciso di sospendere il principio che afferma in altri contesti. La sospensione selettiva rivela che la posta in gioco riguarda la coerenza di un ordinamento nel decidere fin dove il potere di classificazione preventiva possa spingersi.
Attorno a questa sospensione si è già formato un mercato, perché ogni obbligo di rilevazione genera una domanda di chi quella rilevazione la fornisce, dai produttori di classificatori ai gestori di database di indicatori fino ai servizi di audit e conformità, tutti portatori di un interesse a che l’obbligo si mantenga nel tempo e si estenda a nuovi ambiti. Diverse testate hanno documentato il timore, diffuso tra chi segue il dossier europeo da anni, che dietro la spinta a normalizzare la scansione converga una rete di interessi tecnologici e di sicurezza più ampia della sola tutela dei minori. Nessuno di questi attori compie qualcosa di illecito, e ciascuno fa ciò che un mercato fa quando una norma gli garantisce una domanda stabile per un lungo periodo. La convergenza economica verso il centro replica sul piano degli interessi la stessa convergenza dei dati verso l’EU Centre, e le due si rafforzano a vicenda, perché il mercato che vive dell’obbligo preme affinché il centro raccolga di più, e il centro che raccoglie di più giustifica l’esistenza del mercato che lo alimenta.
In che modo la procedura che ha prorogato la deroga modula le proprie soglie di legittimità con la stessa logica che il regolamento applica alle conversazioni
La vicenda parlamentare che accompagna il regolamento riproduce sul piano procedurale la medesima logica di soglia mobile che il dispositivo tecnico applica alle comunicazioni. Il 26 marzo 2026 il Parlamento europeo aveva respinto l’estensione della deroga temporanea che consente la scansione volontaria, con trecentoundici voti contrari, duecentoventotto favorevoli e novantadue astenuti. Il Consiglio ha reagito riportando il fascicolo in discussione, la presidenza del Parlamento ha aperto una procedura d’urgenza raramente utilizzata, e il 7 luglio l’assemblea ha deciso di rimettere il testo ai voti con un margine ristretto, trecentotrentuno favorevoli contro trecentoquattro. Il voto del 9 luglio, collocato nell’ultimo giorno di seduta prima della pausa estiva, si è svolto in seconda lettura, e per bloccare il testo proveniente dal Consiglio serviva una maggioranza assoluta di trecentosessantuno voti: trecentoquattordici deputati hanno votato per il rigetto, duecentosettantasei contro il rigetto, diciassette si sono astenuti, e centododici erano assenti. La soglia non è stata raggiunta, e la proroga è passata per inerzia procedurale, valida fino al 3 aprile 2028.
La disposizione temporale di questi passaggi ha pesato sull’esito più del merito della questione, perché la stessa maggioranza che aveva potuto respingere il testo a marzo, quando bastava una maggioranza semplice, si è trovata a luglio priva della forza numerica per fermarlo, davanti al requisito della maggioranza assoluta e a un’aula semivuota nell’ultimo giorno di seduta. Il regolamento che introduce la modulazione continua nello spazio delle conversazioni private è stato approvato, in questo suo primo stadio, attraverso una modulazione altrettanto continua delle proprie soglie di legittimità. Il livello richiesto per legittimare o bloccare una decisione si è spostato cambiando il momento della misurazione, il numero dei presenti, la lettura procedurale invocata, e i centododici assenti dell’ultimo giorno utile hanno pesato quanto un voto contrario al rigetto, con lo stesso movimento del punteggio di rischio applicato a un messaggio, che il sistema modula di continuo.
Perché il modello alternativo esisteva già, era stato votato a larga maggioranza, ed è stato scavalcato per la sua stessa natura
La scelta in gioco separa due modelli distinti di potere più che contrapporre la protezione dei minori alla tutela della privacy, e la conferma viene da un voto che la cronaca di questi giorni tende a dimenticare. L’undici marzo 2026, due settimane prima di respingere l’estensione generalizzata, lo stesso Parlamento aveva approvato con quattrocentocinquantotto voti favorevoli e appena centotré contrari una posizione alternativa, che limitava la rilevazione al materiale già identificato o segnalato, la vincolava a un’autorizzazione giudiziaria ed escludeva le comunicazioni cifrate end-to-end dal monitoraggio indiscriminato. Questa posizione corrisponde al modello disciplinare descritto da Foucault, fondato su un sospetto concreto, su un giudice che lo valuta, su un caso che si apre e si chiude entro confini definiti, e la maggioranza che l’aveva sostenuta era quattro volte più ampia di quella che il 9 luglio ha deciso le sorti della deroga generale.
Che un modello approvato con un consenso tanto vasto sia stato scavalcato poche settimane dopo dal ritorno del modello a modulazione continua rivela il vero criterio della scelta. Il recinto disciplinare è stato accantonato per ciò che offre in meno a chi governa l’architettura, e nulla nel modello mirato lo rende meno capace di colpire il materiale illegale già noto. Il recinto giudica un caso alla volta e si esaurisce con esso, mentre il codice di controllo continuo non conosce esaurimento e mette a disposizione ogni caso in permanenza. Questa differenza di rendimento per chi controlla, e non una differenza di efficacia contro il crimine, spiega perché il modello meno invasivo, pur disponibile e già legittimato dal voto, sia stato messo da parte in favore di quello che estende la lettura a ogni conversazione.
La deroga è tornata in vigore, e con essa l’infrastruttura di lettura continua sui servizi non cifrati resta installata fino al 2028, in attesa che qualcuno ne restringa o ne allarghi i criteri. Resta installato, insieme a questa infrastruttura, il precedente di un’assemblea che ha riscritto le proprie soglie di legittimità pur di rimettere in gioco un testo già respinto in marzo, e con esso la dimostrazione che una maggioranza contraria non basta più a fermare un’architettura di controllo quando chi la sostiene governa il calendario in cui la si misura: sono bastate centododici assenze nell’ultimo giorno di seduta perché la soglia richiesta diventasse irraggiungibile. La partita più ampia, quella sul client-side scanning obbligatorio esteso alle app cifrate, torna in autunno sotto presidenza irlandese, e c’è chi già prevede lo stesso copione, un rigetto di merito che una soglia procedurale trasforma in approvazione. La domanda che il 9 luglio non risolve riguarda quale dei due modelli di potere l’Unione adotterà come impostazione predefinita quando quella partita si chiuderà, il recinto che giudica un caso alla volta o il codice che modula ogni conversazione in ogni istante, e se qualcuno, tra cinque anni, conserverà ancora gli strumenti concettuali per distinguere l’uno dall’altro.
- Citizen Lab: We Chat, They Watch (2020)
- NCMEC: The Work Never Stops, primi dati 2025
- Senate Judiciary Committee: dati sulle segnalazioni Amazon a NCMEC
- Dati dello studio EPRS per il Parlamento europeo sui falsi positivi in Irlanda
- Helsinki Times: l’esito del voto del 9 luglio 2026
- Meta: EU CSAM Derogation Report 2025
- Korben: il dettaglio numerico del voto del 9 luglio
Post scriptum
Il video che accompagna questo dossier approfondisce il funzionamento tecnico del client-side scanning e le obiezioni sollevate da centinaia di crittografi, con un riferimento al caso Apple NeuralHash, testato nel 2021 e abbandonato nel dicembre 2022 proprio per questi rischi di estensione.
Follow the Algorithm continuerà a seguire il dossier nei prossimi mesi, in particolare il ritorno di Chat Control 2.0 in autunno sotto presidenza irlandese, quando la discussione si sposterà dal regime volontario appena prorogato allo scan obbligatorio sulle applicazioni cifrate.






