L’Inganno del “Volontario” e la Privatizzazione della Sorveglianza di Massa

Il Paradosso Europeo

L’Europa che ha regalato al mondo il GDPR — il regolamento che ha costretto Google e Meta a ripensare il capitalismo della sorveglianza — sta costruendo la più grande infrastruttura di sorveglianza di massa mai concepita in una democrazia. Non con l’esercito. Non con decreti emergenziali. Ma con un regolamento chiamato “Child Sexual Abuse Regulation” che nessuno osa criticare apertamente, perché chi si oppone rischia di essere accusato di voler proteggere i pedofili.

Una email trapelata, ottobre 2022. Ylva Johansson, Commissaria europea agli Affari Interni, scrive ad Ashton Kutcher, attore hollywoodiano e fondatore di Thorn, un’organizzazione che vende software di content moderation: “The regulation I propose is a strong European response.” Non un ringraziamento formale. Una partnership dichiarata tra regolatore e industria che beneficia della regolazione.

Questa è la storia di come un obiettivo universalmente condiviso — proteggere i bambini — sia diventato il veicolo per normalizzare ciò che fino a ieri era impensabile: la scansione permanente, algoritmica, generalizzata di ogni comunicazione privata europea. Non perché funzioni. Non perché sia legale. Ma perché, una volta accettato il principio, il resto è solo un aggiornamento software.

Chat Control: Il Documento Che Non Doveva Filtrare

Il Parere Che Nessuno Voleva Sentire

Marzo 2023, Consiglio dell’Unione Europea. Un documento classificato come “LIMITE” sfugge alle maglie della confidenzialità e arriva nelle mani di Netzpolitik, testata tedesca di investigative journalism. Il Servizio Giuridico del Consiglio — l’equivalente della Corte Suprema interna — ha emesso un parere devastante sulla proposta CSAR: “viola l’essenza stessa del diritto alla vita privata (Art. 7 Carta UE).”

“Essenza” in legalese europeo non è retorica. Significa il nucleo non negoziabile di un diritto fondamentale. La giurisprudenza della Corte di Giustizia europea è chiara: puoi limitare la privacy per sicurezza nazionale, ordine pubblico, emergenze dimostrate. Ma non puoi annientare il concetto stesso di comunicazione privata. Se ogni messaggio viene scansionato prima di essere cifrato, “comunicazione privata” cessa di essere una categoria giuridica. Diventa “comunicazione vigilata”.

Il Servizio Giuridico del Consiglio — non attivisti, non hacker, ma i giuristi più conservatori dell’Unione — dice che questo non è compatibile con i diritti fondamentali europei. Il parere viene ignorato dalla Commissione.

La Rete dei 24 Milioni

L’investigazione congiunta di media europei pubblicata nel 2023 ricostruisce il network. Oak Foundation, organizzazione benefica con sede in Svizzera, investe 24 milioni di dollari dal 2019 per fare lobbying sulla regolamentazione CSAM. Beneficiari: ECPAT International, WeProtect Global Alliance, Brave Movement, Thorn. Quest’ultima, fondata da Ashton Kutcher e Demi Moore, sviluppa PhotoDNA e altri strumenti di scanning che verrebbero resi obbligatori — o fortemente incentivati — dalla legislazione europea.

È un perfetto circolo: lobby per una legge, vendi la tecnologia che la legge rende necessaria. Quando l’industria della sicurezza scrive le regole di sicurezza, il prodotto finale non è protezione. È profitto mascherato da policy.

Ma lo scandalo più grave emerge a settembre 2023. L’ufficio di Johansson lancia campagne pubblicitarie su Twitter/X targettizzate in Germania, Paesi Bassi, Polonia — esattamente i paesi che si oppongono alla proposta in Consiglio. Le pubblicità usano micro-targeting: profilano gli utenti per opinioni politiche, affiliazione religiosa, sensibilità su temi di privacy. È una violazione palese del GDPR, il regolamento che la Commissione europea stessa dovrebbe far rispettare.

Quando Patrick Breyer, ex-eurodeputato del Partito Pirata tedesco e il più tenace oppositore della proposta, porta il caso in Parlamento, Johansson viene convocata per un’audizione. La sua risposta alle domande su Thorn, sul micro-targeting, sui conflitti d’interesse? “Think of the children.”

È diventato il suo mantra. Ogni critica tecnica, ogni obiezione legale, ogni dato empirico che dimostra l’inefficacia della scansione automatica: “Think of the children.” Come se invocare la protezione dei minori rendesse immune da scrutinio qualsiasi proposta, indipendentemente dalla sua efficacia, legalità, o conseguenze.

I Numeri Che Nessuno Vuole Vedere

Germania, 2024. Le autorità ricevono 99.375 segnalazioni automatiche di presunto materiale pedopornografico da piattaforme che già scansionano volontariamente. Risultato delle investigazioni: circa il 50% del contenuto segnalato è perfettamente legale. Foto di genitori che mandano immagini dei figli al pediatra. Adolescenti in sexting consensuale. Vittime di abusi che confidano la loro storia a un amico o a un terapeuta online.

Irlanda, 2022. La polizia riceve 4.192 segnalazioni automatiche. Materiale illegale reale: 852, pari al 20,3%. Falsi positivi espliciti: 471, l’11,2%. Il resto è contenuto che l’algoritmo classifica come “ambiguo” — legale per gli investigatori umani, sospetto per una macchina che non ha contesto, che non capisce il sarcasmo, che non distingue documentazione medica da pornografia, che non sa se due adolescenti stanno flirtando o se un adulto sta adescando un minore.

Ogni falso positivo è un’indagine che sottrae risorse a casi reali. È una famiglia sottoposta a perquisizione, telefoni sequestrati, interrogatori. È un innocente inserito nel database della polizia, con tutte le conseguenze che questo comporta per occupazione, viaggi, reputazione. Ma nessuno è responsabile: l’algoritmo “ha segnalato,” la piattaforma “ha obbedito,” lo Stato “ha investigato.” La catena di responsabilità è dissolta in codice opaco che nessuno può controllare, nessuno può interrogare, nessuno può citare in giudizio.

Gli scienziati lo chiamano “black box problem.” Gli avvocati lo chiamano “accountability gap.” Il risultato pratico è che hai più probabilità di essere investigato per aver mandato una foto innocente al medico che un vero predatore ha di essere catturato usando tecniche di cifratura che gli algoritmi non possono penetrare.

Chat Control: L’Accordo Che Non È Un Accordo

26 Novembre: Cosa È Successo Davvero

26 novembre 2025. Il Consiglio europeo — l’organo che rappresenta i governi dei 27 Stati membri — annuncia di aver raggiunto un “compromesso storico” sulla proposta CSAR dopo tre anni di stallo. I titoli dei media mainstream: “UE fa marcia indietro su Chat Control.” “Bruxelles rinuncia alla sorveglianza di massa.” “Vittoria della privacy digitale.”

Patrick Breyer pubblica un thread su X che ha il tono dell’allarme, non della celebrazione: “The headlines are misleading. Chat Control is not dead, it is just being privatized.” Privatizzata, non fermata. È una distinzione che i 450 milioni di cittadini europei farebbero bene a comprendere.

Il testo dell’accordo rimuove gli “ordini di rilevamento” obbligatori — detection orders — che avrebbero costretto piattaforme come WhatsApp, Signal, Telegram a scansionare tutte le comunicazioni. Sulla carta, la scansione diventa “volontaria.” Le piattaforme possono implementare sistemi di rilevamento automatico, ma non sono obbligate.

Sembra una vittoria. È un inganno semantico.

Articolo 4: La Backdoor Nel Testo

Articolo 4, nuovo testo del compromesso danese: le piattaforme classificate come “alto rischio” devono implementare “all appropriate risk mitigation measures” — tutte le misure appropriate di mitigazione del rischio. Sembra linguaggio tecnico ragionevole. È una porta spalancata.

Tre domande senza risposta nel testo:

Chi classifica una piattaforma come “alto rischio”?
Il testo non specifica. Autorità nazionale? Commissione europea? Un nuovo organismo EU da creare? E quali sono i criteri? Numero di utenti? Tipo di contenuti condivisi? Presenza di crittografia end-to-end? Quest’ultimo punto è cruciale: secondo leak di documenti del Consiglio, servizi con E2EE, comunicazioni anonime, o messaggistica real-time sono considerati “alto rischio” per definizione. Se usi crittografia per proteggere le tue comunicazioni, sei automaticamente sospetto.

Cosa sono “appropriate measures”?
Il testo non definisce, non delimita, non esclude. Può includere scansione automatica? Niente lo vieta. Può includere accesso a metadati? Niente lo impedisce. Può includere backdoor nella crittografia? Il linguaggio è abbastanza vago da permetterlo. È un assegno in bianco firmato dal legislatore e consegnato alle autorità di enforcement.

Chi controlla i controllori?
Meccanismo di oversight assente. Nessuna corte preventiva, nessun supervisore indipendente, nessun obbligo di trasparenza su come le “risk mitigation measures” vengono applicate.

Confronta questo con il GDPR. Anche il GDPR usa linguaggio simile — “appropriate technical and organizational measures” — ma accompagna quella frase con 30 pagine di considerando che LIMITANO l’interpretazione, con articoli specifici sui diritti dei soggetti interessati, con obblighi di data protection impact assessment, con un sistema di supervisori indipendenti (i Garanti Privacy nazionali e il Garante europeo). Il GDPR è un labirinto burocratico, ma quella burocrazia è protezione. Chat Control è un corridoio vuoto senza porte.

Il Precedente: Quando “Volontario” Significa Obbligatorio

L’Unione Europea ha già usato questo trick. Non è la prima volta.

AI Act, 2024. Il regolamento introduce “Voluntary Codes of Practice” per sistemi AI ad alto rischio. Volontari, appunto. Ma nella pratica? Se non aderisci ai Codes, subisci scrutinio regolamentare più severo, audit più frequenti, ostilità politica da parte della Commissione. Risultato: i Codes diventano de facto obbligatori. Nessuno li ha imposti per legge. Ma nessuno può permettersi di ignorarli.

Digital Services Act, 2022. Il DSA introduce il sistema dei “Trusted Flaggers” — organizzazioni certificate che possono segnalare contenuti illegali e le piattaforme devono dare priorità alle loro segnalazioni. È volontario per le piattaforme aderire al sistema. Ma chi non aderisce? Viene escluso dai tavoli di policy, marginalizzato nel dialogo con le istituzioni, trattato come non-cooperativo. Volontario diventa inevitabile.

Disinformation Code, 2022. Code of Practice on Disinformation che le piattaforme possono firmare volontariamente per combattere fake news. Facebook, Google, Twitter firmano. Non perché costretti, ma perché il costo politico di NON firmare — essere accusati di facilitare disinformazione — è insostenibile.

Il pattern è identico: non obbligare direttamente, ma rendere l’alternativa troppo costosa. Non il potere che proibisce, ma il potere che rende razionale una sola scelta. Non minacciare sanzioni, ma creare un campo di possibilità dove solo un’opzione è percorribile.

Breyer la chiama “coercizione per omissione.” Io la chiamo governo neoliberale della condotta: non ti dico cosa fare, ma strutturo l’ambiente in cui operi in modo che tu scelga “liberamente” ciò che io voglio tu faccia.

C’è un dettaglio nel testo dell’accordo che nessuno menziona nelle conferenze stampa, nei comunicati ufficiali, nelle celebrazioni del “compromesso raggiunto”.

Articolo X (la numerazione esatta è in fase di finalizzazione): le comunicazioni militari e governative sono ESENTI dalla scansione. Motivazione ufficiale: “proteggere informazioni classificate e garantire sicurezza delle operazioni di difesa nazionale.”

Fermiamoci un attimo. I governanti europei sanno perfettamente che la scansione client-side compromette la sicurezza delle comunicazioni. Lo sanno così bene che si esentano dalla propria legge. Se la scansione fosse davvero sicura, se davvero non creasse vulnerabilità sfruttabili da attori malintenzionati, perché i militari non dovrebbero usarla? Se davvero è possibile “scansionare senza rompere la crittografia” — come sostiene Johansson — perché le forze armate hanno bisogno di un’esenzione?

La risposta è ovvia: perché la scansione client-side crea una backdoor. E le backdoor possono essere sfruttate da chiunque le scopra: hacker, spie straniere, criminali organizzati. Il client-side scanning trasforma ogni smartphone europeo in un potenziale dispositivo di sorveglianza — non solo per le autorità europee, ma per chiunque riesca a compromettere il sistema.

I governanti lo sanno. E si proteggono. La sorveglianza è per i cittadini, non per chi comanda. Il panopticon ha una direzione: dall’alto verso il basso, mai viceversa.

Germania: 42 Giorni di Pressioni Invisibili

7 ottobre 2025. La Germania annuncia che voterà contro la proposta Chat Control. È un momento cruciale: la Germania, con il 18% della popolazione EU, può creare una “minoranza di blocco” — il meccanismo che impedisce al Consiglio di approvare una legge anche se ha una maggioranza semplice. Stefanie Hubig, Ministro della Giustizia tedesco, dichiara: “Unwarranted chat monitoring must be taboo in a constitutional state.”

14 ottobre. Il voto previsto in Consiglio viene cancellato. Non c’è la maggioranza qualificata necessaria.

31 ottobre. La Danimarca, che detiene la presidenza rotante del Consiglio, presenta un nuovo testo “compromise”. Rimuove la parola “obbligatorio” dal testo. Lascia tutto il resto: l’Articolo 4, l’age verification, le categorie di rischio, il linguaggio vago.

13 novembre. La Germania vota SÌ.

Cosa è successo in quei 42 giorni? Non lo sappiamo. I negoziati tra governi in Consiglio sono confidenziali. Nessun verbale pubblico, nessuna trascrizione, nessuna registrazione. Sappiamo solo che qualcosa è cambiato. Pressioni bilaterali da altri Stati membri? Trade-offs su dossier non correlati (energia, migrazioni, fondi strutturali)? Minacce di isolamento diplomatico?

Il FDP — il partito liberale al governo tedesco, storicamente i più fermi difensori della privacy digitale, quelli che avevano bloccato la Data Retention Directive nel 2015, quelli che avevano promesso “mai sorveglianza di massa in Germania” — rimane misteriosamente silenzioso. Nessuna dichiarazione pubblica, nessuna spiegazione del voltafaccia.

Lezione: se la Germania, con la sua Corte Costituzionale tra le più forti d’Europa, con la sua sensibilità post-Stasi verso la sorveglianza di massa, con il suo peso economico e politico — se la Germania cede, quale altro paese può resistere?

Il Futuro Che Sta Arrivando

Chat Control e Age Verification: L’ID Per Chattare

Articolo 6 dell’accordo finale: minori di 16 anni non possono usare servizi di messaggistica istantanea senza verificare la propria identità. La lista include WhatsApp, Telegram, Instagram Direct, Snapchat, Discord, qualsiasi piattaforma che permetta comunicazione diretta tra utenti.

Il metodo di verifica? Il testo propone due opzioni: upload di documento d’identità governativo (passaporto, carta d’identità) oppure scansione biometrica facciale tramite AI.

Scenario concreto. Sei un adolescente italiano di 15 anni. Vuoi mandare un messaggio a un amico su WhatsApp. Prima di poterlo fare, devi fornire la tua carta d’identità a Meta. Oppure devi inquadrare il tuo viso in una telecamera che lo confronta con database governativi per verificare che tu abbia l’età dichiarata. Vuoi unirti a un gruppo su Telegram per organizzare uno sciopero studentesco? Devi prima identificarti. Vuoi confidarti con qualcuno online su un problema personale? Devi dichiarare chi sei allo Stato — o a una corporation che gestisce il sistema di age verification per conto dello Stato — prima di poterlo fare.

Non è il carcere. Non sei rinchiuso. Sei libero di comunicare — ma ogni comunicazione richiede identificazione preventiva. Non disciplina (controllo in spazi chiusi come la prigione o la fabbrica), ma controllo continuo in spazi aperti. Non proibizione, ma accesso modulato. È il passaggio dalla società che ti dice “non puoi” alla società che ti dice “puoi, ma solo se ci dici chi sei.”

Il Regno Unito ha già implementato qualcosa di simile nell’Online Safety Act. Risultato documentato dopo un anno: gli adolescenti usano VPN, registrano account con identità false, prendono in prestito i device dei genitori. I predatori fanno lo stesso. Le vittime reali perdono l’unico spazio dove potevano chiedere aiuto anonimamente.

Il Primo Ministro ceco Petr Fiala lo ha definito “pedagogical nonsense” — un nonsenso pedagogico che finge di proteggere i minori escludendoli digitalmente, mentre chi vuole davvero fare loro del male trova modi per aggirare il sistema in cinque minuti.

Ma forse il target reale non sono i minori. Forse sono tutti gli altri. Perché una volta che l’infrastruttura di age verification esiste — database biometrici, sistemi di matching facciale, procedure di identificazione obbligatoria — estenderla dai 16enni ai 18enni, ai 21enni, a tutti è un semplice aggiornamento di policy. Non serve ricostruire nulla. Serve solo cambiare un numero in una riga di codice.

E improvvisamente nessuno può più comunicare anonimamente in Europa.

ProtectEU 2030: Chat Control È Solo La prima Tessera

Chat Control non è un regolamento isolato. È la prima tessera di una strategia più ampia chiamata ProtectEU, pubblicata dalla Commissione europea nel 2023 e largamente ignorata dai media. Obiettivo dichiarato: dare alle law enforcement europee capacità di “lawful access to encrypted data” — accesso legale a dati cifrati — entro il 2030.

La roadmap prevede step intermedi:

• 2027: Implementazione universale client-side scanning su tutti i device connessi
• 2028: “Lawful access backdoors” in protocolli di crittografia end-to-end
• 2030: “Biometric identity layer” per accesso a servizi internet

Non è teoria del complotto. È policy ufficiale, documentata, pubblicamente accessibile. Solo che nessuno la legge perché è sepolta in 200 pagine di tecnicismi e presentata come “strategia di sicurezza interna post-COVID.”

Una volta che l’infrastruttura di scansione esiste, modificarla per cercare contenuti diversi è tecnicamente banale:

OGGI: Child sexual abuse material
DOMANI: Contenuti terroristici (chi definisce “terrorismo”?)
DOPODOMANI: Hate speech (chi definisce “odio”?)
2028: Violazioni copyright (LaLiga, la lega calcio spagnola, ha già provato a usare GPS e microfoni degli smartphone per rilevare streaming illegali)
2030: “Misinformation” (chi definisce “informazione falsa”?)

Non serve ricostruire l’infrastruttura. Serve solo aggiornare la lista di cosa cercare. È governo algoritmico: non più norme generali applicate a casi specifici, ma profili predittivi applicati a popolazioni. Non più “hai commesso reato X, sei punito,” ma “il tuo comportamento statistico assomiglia a quello di chi commette reato X, sei monitorato.”

Abbiamo già visto questo film. 2006: l’Unione Europea approva la Data Retention Directive per “combattere il terrorismo.” Obbligo per telco e ISP di conservare metadati di TUTTE le comunicazioni per 6-24 mesi. Chi ha telefonato chi, quando, per quanto tempo, da dove. Non il contenuto, solo i metadati. “Non è sorveglianza,” dicevano, “sono solo dati tecnici.”

2014: la Corte di Giustizia dell’Unione Europea dichiara la Direttiva illegale. Violazione massiccia dei diritti fondamentali. Ma nel frattempo? Otto anni di conservazione generalizzata. Otto anni in cui polizie e servizi segreti europei hanno avuto accesso a un database delle relazioni sociali di 500 milioni di persone.

Chat Control ha la stessa traiettoria: anni di scansione prima che una corte la fermi, ammesso che la fermi. E nel frattempo, l’infrastruttura viene costruita, normalizzata, resa indispensabile. E quando la corte dice “fermatevi,” la risposta è: “ma adesso dipendono da questo sistema. Non possiamo più smantellarlo. Facciamo piccole modifiche per renderlo legale.”

È la tecnica della normalizzazione incrementale. Non chiedi tutto subito. Chiedi un pezzetto, lo normalizzi, chiedi il pezzetto successivo. In dieci anni hai costruito un panopticon, un pezzo alla volta, e a ogni passaggio hai detto “è solo un piccolo compromesso, è ragionevole, è per la sicurezza.”

Le Voci Che Non Senti Mai

ECLAG — European Child Sexual Abuse Legislation Advocacy Group — rappresenta oltre 50 organizzazioni per i diritti dei minori. Sostiene la proposta CSAR. Argomento: senza scansione automatica, i predatori operano impunemente su piattaforme cifrate.

Ma esistono organizzazioni di protezione dell’infanzia contrarie alla proposta. Volt Europa, partito politico paneuropeo, documenta: “The Commission’s plans have faced opposition from child protection organisations and abuse survivors.” EDRi (European Digital Rights) raccoglie “69 opposing voices” che includono “child protection experts” oltre a tecnologi, giuristi, accademici.

Perché non ne senti mai parlare? Perché il frame mediatico è binario: o sei per Chat Control (quindi per i bambini), o sei contro (quindi pro-pedofili). Non c’è spazio per posizioni intermedie, per critiche metodologiche, per alternative.

Le organizzazioni contrarie argomentano:

• La scansione automatica intasa le investigazioni. Con tassi di falso positivo del 50-80%, le forze di polizia annegano in segnalazioni inutili. Ogni ora spesa a verificare che la foto di un bambino in vasca da bagno non sia pornografia è un’ora sottratta a investigazioni mirate su network di abusatori reali.
• Gli algoritmi criminalizzano le vittime. Adolescenti che condividono proprie foto in contesti consensuali vengono segnalati. Vittime di abusi che documentano quanto subito per condividerlo con terapeuti o autorità vengono segnalate. Il sistema non distingue perpetratori da vittime.
• Alternative esistono e sono ignorate. Rimozione immediata di CSAM pubblicamente accessibile. Potenziamento risorse investigative per operazioni mirate. Obbligo di “safety by design” per piattaforme — progettare sistemi che rendono difficile l’abuso senza sorvegliare tutti. Investimento massiccio in victim support — le vittime di abusi hanno bisogno di psicologi, assistenti sociali, strutture protette, non di algoritmi.

Patrick Breyer collabora con una survivor di abusi sessuali infantili in una causa legale contro Chat Control 1.0 (il regolamento temporaneo che permette scansione volontaria). La sua testimonianza: la scansione generalizzata NON l’avrebbe protetta. Il suo abusatore non usava piattaforme pubbliche. Usava device offline, scambi fisici, coercizione psicologica. L’algoritmo è inutile contro questo.

Ciò che l’avrebbe aiutata: un sistema scolastico attento, assistenti sociali formati, possibilità di confidarsi senza paura. Il trauma viene aggravato dalla consapevolezza che ora ogni sua comunicazione privata potrebbe essere scansionata, analizzata, segnalata.

Ma questa narrazione non serve la retorica di Johansson. Quindi non la senti mai.

3 Aprile 2026: La Deadline per Chat Control

Il regolamento temporaneo — quello che permette alle piattaforme di scansionare volontariamente, nato come misura di emergenza nel 2021 — scade il 3 aprile 2026. O viene sostituito da un regolamento permanente (CSAR), o viene ulteriormente esteso, o decade completamente.

Il Consiglio ha la sua posizione: quella del 26 novembre, con scansione “volontaria” permanente, age verification, articolo 4 vago, esenzione per militari.

Il Parlamento europeo ha la sua posizione, votata nel novembre 2023: NO alla scansione indiscriminata, SÌ solo a sorveglianza mirata di soggetti specifici con mandato giudiziario individualizzato, protezione assoluta della crittografia end-to-end, NO a age verification generalizzata.

Sono posizioni inconciliabili. Il trilogo — le negoziazioni a porte chiuse tra Consiglio, Parlamento e Commissione — deve produrre un testo di compromesso che entrambe le istituzioni possano approvare. La Polonia assume la presidenza rotante del Consiglio il 1° gennaio 2026. La Polonia si è sempre opposta a Chat Control. Ma una presidenza non rappresenta solo sé stessa — rappresenta il Consiglio intero. Quale testo spingerà Varsavia?

Signal, Proton, Threema — servizi di messaggistica cifrata — hanno dichiarato pubblicamente: se viene approvata scansione obbligatoria o de facto obbligatoria, lasceranno il mercato europeo. Non è un bluff. È impossibile per un servizio end-to-end encrypted implementare client-side scanning e rimanere end-to-end encrypted. È una contraddizione logica. Puoi avere sorveglianza o puoi avere privacy. Non entrambe.

Risultato possibile: gli europei perdono accesso a comunicazioni sicure proprio mentre viene costruita un’infrastruttura di sorveglianza che rende quelle comunicazioni più necessarie che mai.

Il Prezzo Dell’Accettazione

Il vero problema non è Chat Control. È che Chat Control non è più uno scandalo.

Quindici anni fa, le rivelazioni di Edward Snowden su PRISM, XKeyscore, la sorveglianza di massa della NSA hanno scosso l’Europa. Milioni di persone in piazza. Il Parlamento europeo in rivolta. La sorveglianza generalizzata dei cittadini veniva considerata incompatibile con i valori democratici, con lo stato di diritto, con la Carta dei diritti fondamentali.

Oggi, l’Europa sta costruendo la sua versione di PRISM — più sofisticata, più legale, più onnicomprensiva — e la chiama “protezione dei minori.” E la maggior parte delle persone non si indigna. Non scende in piazza. Non chiama i propri parlamentari. Perché chi può opporsi alla protezione dei bambini?

Nessuno difende i pedofili. Questo va detto chiaramente: l’abuso sessuale sui minori è uno dei crimini più gravi, più devastanti, più intollerabili che una società può conoscere. Ogni risorsa ragionevole dovrebbe essere investita per prevenirlo, investigarlo, punire i colpevoli, supportare le vittime.

Ma difendere l’idea che esistano spazi di comunicazione non mediati dallo Stato, non scansionati da algoritmi, non identificati da database biometrici — questo, improvvisamente, sembra un lusso che non possiamo permetterci. È diventato radicale sostenere che la privacy non è un privilegio da guadagnare dimostrando la propria innocenza, ma un diritto da proteggere per tutti, specialmente per chi non ha nulla da nascondere.

Il filosofo Michel Foucault descriveva il panopticon — la prigione ideale dove i detenuti non sanno se sono osservati in un dato momento, ma sanno di poter essere osservati in qualsiasi momento. Il risultato: interiorizzano il controllo. Si comportano come se fossero sempre osservati, anche quando non lo sono. Il potere più efficace non è quello che ti proibisce esplicitamente di fare qualcosa, ma quello che ti fa autocensurare perché sai che qualcuno potrebbe guardare.

Chat Control è questo. Non una legge che ti vieta di comunicare, ma un sistema che rende impossibile comunicare senza la consapevolezza che ogni parola, ogni immagine, ogni pensiero condiviso può essere scansionato, analizzato, archiviato, usato contro di te. La differenza tra “non puoi parlare” e “puoi parlare ma saremo in ascolto” è sottile. Le conseguenze sono totali.

Un giornalista non riceve più leak da whistleblower perché il whistleblower sa che il messaggio potrebbe essere scansionato e segnalato prima ancora di arrivare. Una vittima di violenza domestica non cerca aiuto online perché teme che il partner abusivo, se ha accesso al device, possa vedere che ha cercato di confidarsi. Un adolescente queer non esplora la propria identità in chat con coetanei perché sa che i genitori potrebbero essere notificati. Un attivista non organizza una protesta su Telegram perché sa che deve identificarsi per farlo.

Non servono arresti. Non servono censure. Serve solo la consapevolezza della possibilità di essere monitorati. Il panopticon funziona anche quando le celle sono vuote.

La domanda non è se fermeremo Chat Control. La proposta è stata fermata sette volte dal 2022, e ogni volta è tornata con un nome diverso, un packaging diverso, un compromesso leggermente modificato. Tornerà ancora. Il lobbying continua, i 24 milioni di dollari non sono stati spesi invano, l’industria della sicurezza ha investito troppo per arrendersi.

La domanda è: quando smetteremo di chiamare “protezione” la sorveglianza? Quando riconosceremo che “volontario sotto minaccia” non è consenso, ma coercizione? Quando accetteremo che un’Europa che scannerizza tutte le comunicazioni private per cercare criminali ha smesso di essere la società aperta che pretende di difendere?

Il 3 aprile 2026 è la deadline legislativa. Ma la vera deadline è culturale, è epistemologica, è politica. È il momento in cui accettiamo — o rifiutiamo — l’idea che la sicurezza richieda la fine della privacy. Che proteggere alcuni richieda sorvegliare tutti. Che l’innocenza debba essere provata continuamente, algoritmicamente, in tempo reale.

La deadline non ha data. È adesso.

Quella deadline non ha data. È adesso. È ogni volta che accettiamo un “piccolo compromesso ragionevole” che un anno dopo diventa il nuovo baseline da cui partire per chiedere il compromesso successivo.

Breyer aveva ragione. Chat Control non è morta. È stata privatizzata, normalizzata, resa inevitabile. La domanda non è se verrà implementata. È se, quando lo sarà, ci ricorderemo ancora di aver avuto una scelta.