
Chat Control: più eurodeputati hanno votato no che sì, ed è passato lo stesso
By, zero-adm
- 13 Lug, 2026
- 3 Views
Il 9 luglio 2026, al Parlamento europeo i deputati che hanno votato per respingere la deroga di scansione nota come Chat Control sono stati più di quelli che volevano mantenerla: 314 contrari, 276 favorevoli. È passata comunque. Per bloccare la posizione del Consiglio in seconda lettura serviva la maggioranza assoluta, 361 voti su 720, e l’opposizione si è fermata a 47 voti dal traguardo. Così la regola di scansione volontaria resta in vigore, reintrodotta e prorogata fino al 3 aprile 2028.
Chat Control 2.0 è invece il regolamento CSA, permanente e ancora in negoziato, quello che potrebbe obbligare persino le piattaforme cifrate end-to-end a scansionare i messaggi privati sul dispositivo stesso, prima dell’invio. Non è ancora legge. I triloghi riprendono a settembre 2026, ed è per questo che il momento di fissare una policy è ora, mentre l’esito è ancora aperto.
Che cosa è passato davvero al Parlamento europeo la scorsa settimana?
Il voto del 9 luglio riguardava Chat Control 1.0: un’eccezione temporanea e volontaria alle regole ePrivacy dell’UE, che consente a certi fornitori di scansionare i contenuti alla ricerca di materiale pedopornografico. Permette la scansione. Non la impone.
Una maggioranza semplice di eurodeputati, 314, ha votato per respingerla, e solo 276 volevano mantenerla. Ma con la procedura di seconda lettura, per fermare la posizione del Consiglio serve la maggioranza assoluta dell’intera aula: 361 su 720. La maggioranza relativa non bastava, così una misura che la maggior parte dei presenti al voto ha respinto è stata reintrodotta per via procedurale e prorogata al 3 aprile 2028.
Non è passata perché il Parlamento la voleva, ma perché non abbastanza deputati sono riusciti a superare uno sbarramento procedurale. È il motivo per cui la stampa ha parlato di un’approvazione entrata dalla porta di servizio, in sordina.
Ciò che 1.0 copre è in realtà circoscritto. Consente la scansione volontaria dei soli servizi non cifrati: i messaggi diretti su Instagram, Discord, Snapchat, Skype e Xbox, più la posta su Gmail e iCloud. Non tocca i messaggi cifrati end-to-end. Il Parlamento ha anzi adottato un emendamento proposto da Renew che esclude esplicitamente dall’ambito tutto ciò che è cifrato end-to-end: WhatsApp, Signal e Telegram restano formalmente fuori.
Critici come la EFF e l’ex eurodeputato Patrick Breyer definiscono quell’esclusione in gran parte simbolica, perché i servizi cifrati non venivano comunque scansionati. Il testo emendato torna ora al Consiglio, che ha circa tre mesi, fino al 9 ottobre 2026 circa, per accettarlo o respingerlo.
Perché Chat Control 2.0 è la versione che dovrebbe preoccupare chi decide?
Perché la 2.0 introdurrebbe la scansione obbligatoria: ordini di rilevamento che possono forzare anche le app cifrate end-to-end, mentre la 1.0 resta soltanto volontaria. Se seguite solo la versione 1.0, state guardando lo spettacolo secondario. La partita davvero contesa è Chat Control 2.0, il regolamento CSA permanente (CSAR).
A differenza della 1.0, la 2.0 introdurrebbe gli ordini di rilevamento: strumenti giuridici capaci di obbligare una piattaforma, anche cifrata end-to-end, a cercare materiale illegale nei messaggi privati degli utenti. Poiché un messaggio cifrato non è leggibile in transito, l’unico modo realistico di conformarsi è la scansione lato client: ispezionare il contenuto direttamente sul telefono o sul portatile, prima che venga cifrato e inviato.
La scansione avviene sul vostro dispositivo, dal vostro lato della cifratura. Il messaggio resta tecnicamente cifrato end-to-end, e viene comunque ispezionato prima che la busta sia sigillata. Per un’azienda significa che la garanzia di riservatezza su cui contate viene controllata nell’unico punto che la cifratura non può proteggere: l’endpoint che non controllate. I ricercatori di sicurezza lo denunciano da anni, perché uno scanner installato sul dispositivo è una capacità di sorveglianza generica, che non si cura di cosa gli verrà chiesto di cercare la volta dopo.
Due fatti mantengono onesto il discorso. Primo: la scansione lato client obbligatoria non fa parte di nessuna versione oggi in vigore, né 1.0 né altro. Esiste solo come possibilità concreta all’interno del negoziato sulla 2.0. Secondo: la 2.0 non è stata concordata. Il quinto trilogo, quello presunto definitivo, del 29 giugno 2026 si è chiuso senza accordo. I colloqui riprendono a settembre 2026.
Quindi l’inquadramento corretto non è che l’UE ha approvato la scansione delle chat cifrate. Non l’ha fatto. L’UE continua a provarci, l’ultimo tentativo si è arenato, e torna in autunno. Ed è proprio per questo che ora è il momento di fissare una policy, non di reagire.
Chat Control 1.0 e 2.0 a confronto
| Dimensione | Chat Control 1.0 (in vigore) | Chat Control 2.0 (CSAR, proposta) |
|---|---|---|
| Stato | Legge, prorogata al 3 aprile 2028 | Non concordata; triloghi da sett. 2026 |
| Natura | Deroga temporanea | Regolamento permanente |
| Scansione | Volontaria | Obbligatoria via ordini di rilevamento |
| Messaggi cifrati | Esplicitamente esclusi | Potrebbero rientrare nell’ambito |
| Metodo | Lato server, servizi non cifrati | Scansione lato client, sul dispositivo |
| Copre | DM di Instagram, Discord, Snapchat, Skype, Xbox; email Gmail, iCloud | Potenzialmente qualsiasi piattaforma, cifrate incluse |
Che cosa significa per le comunicazioni della vostra azienda?
Significa che alcuni dei vostri canali riservati sono già dentro la superficie scansionabile, oggi. Se il vostro team porta avanti conversazioni riservate con controparti UE tramite Gmail, posta iCloud, DM di Instagram o Discord, quei canali rientrano già nell’ambito attuale della 1.0, prima ancora che la 2.0 decida qualcosa. Non è uno scenario futuro.
Una trattativa con un fornitore, un thread di due diligence, dati sensibili di clienti: niente di tutto questo appartiene a una casella di posta consumer che il fornitore può passare al setaccio.
Ora guardate avanti, alla 2.0. Se un futuro ordine di rilevamento imponesse la scansione lato client su una piattaforma diffusa, il controllo vivrebbe nel software client che usano le vostre persone: l’app sul portatile, la messaggistica sul telefono. Un obbligo di scansione agganciato al software viaggia con il software, in larga misura a prescindere da dove ha sede legale la vostra azienda.
È qui il punto strategico per qualunque CISO o IT manager. La domanda non è più solo se i vostri dati sono cifrati in transito, ma chi controlla gli endpoint dove i vostri dati sono leggibili, e cosa può essere costretto a girarci sopra. La cifratura end-to-end genuina è necessaria e, contro la scansione lato client, da sola non basta. La contromisura è una decisione di classificazione dei dati che prendete ora, non un acquisto fatto nel panico a settembre.
E in Svizzera? Qualcosa di tutto questo arriva a un'azienda svizzera?
La Svizzera non è nell’UE, quindi Chat Control non vincola direttamente i fornitori né gli utenti svizzeri. Non esiste un obbligo di scansione equivalente nel diritto svizzero, e la revisione della Legge federale sulla protezione dei dati (nLPD) è già in vigore senza nulla di comparabile.
Questa è la parte pulita. L’esposizione è indiretta, ed è reale, per tre ragioni.
Primo: un’azienda di Chiasso o di un qualunque punto del Ticino che scrive a un partner UE via Gmail, o scambia messaggi su Instagram, comunica sulle stesse piattaforme coperte dalla 1.0. Il lato svizzero della conversazione non resta fuori dalla superficie scansionata solo perché l’azienda è svizzera.
Secondo: se la 2.0 dovesse mai imporre la scansione lato client sulle grandi app di messaggistica, il software che porta quello scanner è lo stesso che installano gli utenti svizzeri. L’app non controlla il vostro passaporto, e la giurisdizione non la disinstalla.
Terzo: tutto questo affila, più che risolvere, la questione della sovranità digitale. La risposta sensata non è l’allarme, è l’architettura: tenere le comunicazioni davvero sensibili su cifratura end-to-end reale, su infrastruttura sovrana e self-hosted con residenza dei dati in Svizzera che controllate davvero, invece di dare per scontato che le promesse di una piattaforma consumer reggano fino al prossimo ciclo legislativo. È la stessa logica che già guida le decisioni nLPD e NIS-2: sapere dove vivono i vostri dati e chi può raggiungerli. Essere fuori dall’UE è un’opzione, non una protezione automatica.
Cosa fare adesso, prima dei colloqui di settembre?
Quattro mosse, prima di settembre: classificare le comunicazioni, mappare i canali su quella classificazione, spostare il livello sensibile su infrastruttura controllata, mettere la policy per iscritto. La tempistica del negoziato vi fa un favore: avete l’estate per decidere mentre l’esito è ancora aperto. Ecco le quattro mosse in dettaglio, lette attraverso la lente della sovranità dei dati e non dei titoli di giornale.
- Classificate le vostre comunicazioni. Tracciate una linea netta tra le conversazioni che possono tollerare il rischio scansione e quelle che non possono: trattative, legale, finanza, HR, proprietà intellettuale, dati regolamentati dei clienti. Non potete proteggere ciò che non avete ordinato.
- Mappate i canali su quella classificazione. Elencate ogni strumento che i team usano davvero per il livello sensibile e segnalate quali rientrano nella superficie attuale della 1.0, come Gmail, posta iCloud, Instagram e Discord, o in quella plausibile della 2.0.
- Spostate il livello sensibile su terreno controllato. Portate le conversazioni che devono restare riservate su cifratura end-to-end reale, su infrastruttura che ospitate o controllate, con una residenza dei dati che potete nominare. Il controllo dell’endpoint è la parte che la legislazione raggiunge: possedetelo, e smettete di trattare le caselle consumer come private per default.
- Mettete la policy per iscritto e fissate una revisione a settembre. Una policy dei dati di una pagina che il personale può seguire batte una corsa affannosa quando la 2.0 si muove. Segnate in agenda la ripartenza dei triloghi e rivedete il piano rispetto a ciò che il Consiglio concorderà davvero.
Niente di tutto questo richiede che il regolamento passi. È igiene di base che paga in ogni caso, e trasforma un titolo di Bruxelles in una decisione che è vostra.
Se una misura può ricevere più voti contrari che favorevoli e diventare comunque legge, quanta della vostra comunicazione riservata siete disposti a lasciare su un’infrastruttura che non controllate?
Domande frequenti
Chat Control è legge adesso?
Sì, ma solo la versione 1.0. Il 9 luglio 2026 l’UE ha reintrodotto la deroga di scansione volontaria del materiale pedopornografico, prorogata al 3 aprile 2028, anche se 314 eurodeputati hanno votato contro e 276 a favore: per bloccarla serviva la maggioranza assoluta di 361 voti e l’opposizione si è fermata a 47 dal traguardo. Chat Control 2.0, il regolamento permanente, non è legge: i negoziati si sono arenati il 29 giugno e riprendono a settembre 2026.
Chat Control vieta o rompe la cifratura?
Nessuna versione oggi in vigore rompe la cifratura. Chat Control 1.0 esclude esplicitamente le chat cifrate end-to-end come WhatsApp, Signal e Telegram, e copre solo la scansione volontaria dei servizi non cifrati. La minaccia alla cifratura vive nella proposta Chat Control 2.0, che potrebbe imporre la scansione lato client, ma la 2.0 non è stata concordata e resta in negoziato.
Che cos’è la scansione lato client?
La scansione lato client ispeziona un messaggio sul vostro stesso dispositivo, prima che venga cifrato e inviato. È il meccanismo che Chat Control 2.0 potrebbe imporre per controllare i messaggi anche sulle app cifrate end-to-end. Non fa parte di nessuna legge oggi in vigore: è solo una possibilità nei colloqui sulla 2.0 che riprendono a settembre 2026.
Chat Control si applica in Svizzera?
Non direttamente: la Svizzera non è nell’UE e non ha un obbligo di scansione equivalente; è in vigore invece la nLPD revisionata. Ma le aziende svizzere che usano piattaforme come Gmail o Instagram per raggiungere partner UE rientrano nella superficie scansionata, e qualsiasi futura scansione lato client viaggerebbe nel software dell’app stessa, a prescindere dalla giurisdizione.
Cosa dovrebbero fare le aziende prima dei colloqui di settembre?
Classificare quali comunicazioni devono restare riservate, mappare quali strumenti le espongono alla scansione, spostare il livello sensibile su infrastruttura cifrata end-to-end e controllata con residenza dei dati nota, e scrivere una policy dei dati da rivedere alla ripresa dei triloghi. Nessuna di queste mosse dipende dall’approvazione del regolamento: conviene comunque.
Recent Posts
- Chat Control: più eurodeputati hanno votato no che sì, ed è passato lo stesso
- Il time-to-exploit è diventato negativo: perché nel 2026 la patch non basta più
- EU AI Act: dal 2 agosto 2026 i contenuti generati dall’AI vanno dichiarati — cosa deve fare la tua azienda
- Sovranità digitale in Svizzera: perché il 2026 riscrive le regole del cloud per la PA e le imprese
- Rischi di Sicurezza IoT: Come i Dispositivi Connessi Stanno Espandendo la Superficie di Attacco
Category
NUOVI ARTICOLI
All Tag
2025 Accademia di CyberSecurity AI Automazione Business CISO Compliance Consapevolezza CyberCriminali Cybersecurity Awareness CyberSecurityRating EU AI Act Futuro GDPR Malware Minacce nFADP NIS2 nLPD Phishing Privacy Protezione dei dati Ramsonware Ransomware Supply Chain Threat Intelligence Valutazione della vulnerabilità Vulnerability Management Zero-Day Zeroedge Academy
