I ricercatori di Koi Security hanno descritto un’operazione in più fasi chiamata ShadyPanda. Nell’arco di sette anni, gli aggressori hanno pubblicato estensioni apparentemente utili in Chrome ed Edge, si sono creati un pubblico con commenti positivi e recensioni. Successivamente hanno rilasciato un aggiornamento contenente codice dannoso. I ricercatori stimano che il numero totale di installazioni abbia raggiunto l cifra considerevole di 4,3 milioni di download.

Lo schema è semplice e spiacevole: le estensioni “legittime” accumulano valutazioni, recensioni e badge di fiducia per anni, per poi ricevere un aggiornamento che contiene malware, estrae JavaScript arbitrario e lo esegue con accesso completo al browser.

Il codice è offuscato e diventa silenzioso all’apertura degli strumenti per gli sviluppatori. La telemetria viene inviata ai domini controllati dagli aggressori, tra cui api.cleanmasters[.]store.

Koi distingue due linee attive di attacco: Una backdoor per 300.000 computer. Cinque estensioni (tra cui Clean Master) hanno ricevuto un “aggiornamento inverso” a metà del 2024.

L’arsenale degli aggressori include la sostituzione del contenuto della pagina (incluso HTTPS), il dirottamento di sessione e una telemetria completa delle attività.

Tre di esse esistevano da anni come innocue ed erano addirittura in evidenza/verificate: ecco perché i loro aggiornamenti sono stati distribuiti immediatamente. Queste cinque sono già state rimosse dagli store, ma l’infrastruttura sui browser infetti è ancora presente. Un kit spyware per oltre 4 milioni di installazioni di Edge. L’editore Starlab Technology ha rilasciato altri cinque componenti aggiuntivi nel 2023.

Due di questi sono veri e propri spyware. Il fiore all’occhiello è WeTab, con circa 3 milioni di installazioni: raccoglie tutti gli URL visitati, le query di ricerca, i clic, le impronte digitali del browser e il comportamento di navigazione e li invia in tempo reale a 17 domini (otto sono Baidu in Cina, sette sono WeTab e Google Analytics).

Al momento della pubblicazione, Koi sottolinea che WeTab è ancora disponibile nel catalogo Edge.

Questo offre agli aggressori una leva finanziaria: possono raggiungere la stessa backdoor RCE in qualsiasi momento. Koi ha anche collegato ShadyPanda a ondate precedenti: nel 2023, “wallpapers and productivity” (145 estensioni in due store), dove il traffico veniva monetizzato tramite lo spoofing dei tag di affiliazione e la raccolta di query di ricerca; in seguito, l’intercettazione delle ricerche tramite trovi[.]com e l’esfiltrazione dei cookie. In tutti i casi, la scommessa era la stessa: dopo la moderazione iniziale, i marketplace raramente monitorano il comportamento delle estensioni, che è esattamente ciò a cui mirava l’intera strategia degli “aggiornamenti silenziosi”.

Cinque estensioni con una backdoor RCE sono già state rimosse dal Chrome Web Store; WeTab, tuttavia, rimane nello store dei componenti aggiuntivi di Edge. Google generalmente sottolinea che gli aggiornamenti vengono sottoposti a un processo di revisione, come riportato nella sua documentazione, ma il caso ShadyPanda dimostra che una moderazione mirata fin dall’inizio non è sufficiente.

L'articolo ShadyPanda: 4,3 milioni di estensioni positive e silenti per 7 anni… e poi compare il malware proviene da Red Hot Cyber.

Although it might seem like there was a sudden step change from analog to digital sometime in the late 1900s, it was actually a slow, gradual change from things like record players to iPods or from magnetic tape to hard disk drives. Some of these changes happened slowly within the same piece of hardware, too. Take the Sony DXC-3000A, a broadcast camera from the 1980s. Although it outputs an analog signal, this actually has a discrete pixel CCD sensor capturing video. [Colby] decided to finish the digitization of this camera and converted it to output HDMI instead of the analog signal it was built for.

The analog signals it outputs are those that many of us are familiar with, though: composite video. This was an analog standard that only recently vanished from consumer electronics, and has a bit of a bad reputation that [Colby] thinks is mostly undeserved. But since so many semi-modern things had analog video outputs like these, inspiration was taken from a Wii mod chip that converts these consoles to HDMI. Unfortunately his first trials with one of these had confused colors, but it led him to a related chip which more easily outputted the correct colors. With a new PCB in hand with this chip, a Feather RP2040, and an HDMI port the camera is readily outputting digital video that any modern hardware can receive.

Besides being an interesting build, the project highlights a few other things. First of all, this Sony camera has a complete set of schematics, a manual meant for the end user, and almost complete user serviceability built in by design. In our modern world of planned obsolescence, religious devotion to proprietary software and hardware, and general user-unfriendliness this 1980s design is a breath of fresh air, and perhaps one of the reasons that so many people are converting old analog cameras to digital instead of buying modern equipment.

hackaday.com/2025/12/01/conver…

Il DPO, ma anche il consulente privacy, interagisce in modo significativo con il mondo dell’IT. Purtroppo non sempre lo fa in modo corretto, soprattutto perché alcuni falsi miti provocano quel rumore di fondo che è causa di una pessima comunicazione. Molto spesso per una combinazione fra un’incerta definizione di ruoli e responsabilità e la carenza di risorse. Che non sono limitate alla moneta sonante, ma contemplano anche una certa dose d’attenzione e forza d’azione.

L’incertezza del perimetro d’azione di una funzione di protezione dei dati personali come quella del DPO talvolta è alimentata da parte dello stesso professionista che, più per malafede e convenienza che per ignoranza, preferisce non chiarire mai ciò che deve fare. Altrimenti correrebbe il rischio di vedersi impegnato a lavorare e non ad accumulare incarichi, e nel tempo ci sarebbe una terribile conseguenza come bandi di gara deserti nella Pubblica Amministrazione e la richiesta che la funzione nel privato sia utile e non meramente cosmetico.

Chiariamo innanzitutto che il DPO non dev’essere un esperto cyber. Se lo è, ben venga, ma non è certamente un must have e quindi non costituisce un prerequisito per esercitare la funzione. Certo, avere cognizione dei fondamenti di sicurezza informatica giova non poco. Anche perché consente di comprendere se e quando fare ricorso alla consulenza di professionisti ed esperti, tanto all’interno quanto all’esterno dell’organizzazione.

Ovviamente, salvo disponibilità di budget. E la volontà di svolgere bene il proprio lavoro senza limitarsi a fare presenza.

Coinvolgere è bene, farsi coinvolgere è meglio.

Nel momento in cui i ruoli sono chiari innanzitutto al DPO, il coinvolgimento della funzione all’interno delle questioni che riguardano i dati personali comprende anche gli aspetti di sicurezza non è solamente un obbligo in capo all’organizzazione previsto dall’art. 38 par. 1 GDPR ma un obiettivo che il professionista deve essere capace di perseguire. Dosando competenza tecnica con ulteriori abilità trasversali per instaurare un dialogo e farsi così coinvolgere, in modo tale da sedere nei tavoli di lavoro e fornire così un apporto positivo al miglioramento della data maturity dell’organizzazione. Questo significa dunque apprendere quanto meno il linguaggio dell’IT altrimenti la comunicazione, eufemisticamente parlando, potrebbe dirsi difficoltosa.

Ovviamente, bisogna avere cura di non invadere campi non di propria spettanza (ad es. le prerogative del CISO), non solo per ragioni di buon vicinato ma anche per evitare una posizione di conflitto di interesse. Nell’ambito della sicurezza questo avviene nel momento in cui il DPO, svolgendo ulteriori compiti e funzioni che esulano da quelli propri della funzione, va a decidere sulla determinazione dei mezzi del trattamento, ovverosia le modalità e gli strumenti impiegati.

Per quanto il parere del DPO abbia un peso nella formazione di una decisione in ordine al ricorrere ad un responsabile del trattamento, ad esempio, o all’adozione di determinate misure di sicurezza, questa è comunque esercitata da parte del titolare. Soprattutto, il DPO non può essere il titolare della funzione IT.

Il limite del conflitto di interessi.

L’autonomia e l’indipendenza del DPO non sono criteri formali ma devono essere valutati nel caso concreto, ma è indubitabile che è escluso in alcun modo che possa concorrere alle decisioni sui trattamenti o altrimenti essere assoggettato al potere di istruzione del titolare svolgendo operazioni sui dati sotto l’autorità di questi o per suo conto. Motivo per cui il semplice svolgere una funzione in ambito IT, quale ad esempio quella di operatore o amministratore di sistema, attrae una naturale incompatibilità con l’assunzione del ruolo del DPO, interno o esterno che sia.

E non c’è clausola che salvi a riguardo, dal momento che ciò che rileva è nella sostanza.

Insomma: coinvolgente, ma non troppo. Senza invasioni di campo.

L'articolo La verità scomoda sul DPO: il problema non è l’IT… è proprio lui! proviene da Red Hot Cyber.

Il post 462 del canale ufficiale di Durov ha attivato subito la “modalità urlo”: “Fine dell’internet libero. L’internet libero sta diventando uno strumento di controllo”.

Niente auguri per il suo compleanno. Durov spiega di non avere voglia di festeggiare perché, a suo dire, la sua generazione «sta esaurendo il tempo a disposizione per salvare l’Internet libero costruito per noi dai nostri padri».

Quella che fino a poco tempo fa sembrava la promessa di un web aperto e libero, un luogo di condivisione, scambio, informazione, si starebbe trasformando nel “più potente strumento di controllo mai creato”.

Durov non va piano: nomina governi e stati occidentali che, secondo lui, stanno imboccando una strada pericolosa. Identità digitali, scansioni di massa dei messaggi, controlli online preventivi, restrizioni alla libertà d’espressione. Germania, Regno Unito, Unione Europea, Francia: tutti destinatari di accuse pesanti.

Il tono è inequivocabile: secondo lui, stiamo rischiando di portarci dietro il fallimento morale, intellettuale ed esistenziale di una generazione che ha creduto nella promessa della rete.

Dentro l’allarme: cosa c’è di vero, e cosa è retorica

Durov cavalca una percezione, non necessariamente errata, di crescente compressione delle libertà digitali. E molti degli elementi che cita meritano seria attenzione: identità digitale, controllo dell’età, moderazione (o censura) dei contenuti, interferenze normative.

Da quando l’attenzione su privacy, dati, contenuti illegali e sicurezza si è intensificata, l’idea di “internet come spazio incontrollato e libero” è stata messa sotto pressione da regolamentazioni, tecniche di sorveglianza, strumenti di filtraggio, policy anti-terrorismo, e così via. In un contesto del genere, il monito di Durov, anche se estremo, risuona come un campanello d’allarme che molti esperti da tempo suonano.

Eppure, è giusto prenderlo con cautela. Perché la visione di Durov rischia di essere troppo polarizzata: presenta un mondo dipinto in nero o bianco, ignorando le sfumature. Controllo ≠ necessariamente autoritarismo, regolamentazione ≠ sempre censura, moderazione ≠ sempre repressione.

In molti casi le misure che lui critica, regolamenti sull’identità digitale, filtri per la protezione dei minorenni, meccanismi di moderazione, nascono in reazione a rischi reali: criminalità organizzata, abuso di minori, disinformazione, odio online. Insomma: c’è un bisogno concreto di equilibrio tra libertà e sicurezza.

Ipocrisia o coerenza? Il profilo di Durov pesa.

Non si può ignorare che lo stesso Durov, e la sua creatura Telegram, sono da tempo sotto accusa per la scarsa moderazione dei contenuti. Dal caso del suo arresto in Francia (agosto 2024), con accuse pesanti legate al traffico di materiale illecito sulla piattaforma, la questione della responsabilità di un social-messenger è sul tavolo.

Chi oggi invoca “libertà assoluta” nel nome della privacy e della libera circolazione dell’informazione dovrebbe fare i conti con le zone grigie dell’uso (e abuso) reale che Telegram permette.

Cioè: va bene difendere la libertà digitale, ma senza trasformare la rete in un far west dove tutto è permesso.

Qual è davvero il problema e cosa rischia l’Italia

Se accettiamo come data di fatto che via via governi, legislatori, istituzioni — e persino aziende private — spingono per maggiore controllo delle identità, dei dati, dei contenuti, siamo davanti a una sfida culturale: quanta libertà siamo disposti a sacrificare in nome di sicurezza, ordine e “controllo”?

Per l’Italia, con debolezze storiche su privacy, trasparenza, burocrazia, dipendenza normativa da UE, l’allarme di Durov è un utile promemoria: la resilienza digitale va costruita anche sul piano politico e giuridico, non solo tecnico.

In un contesto globale sempre più teso, la tentazione di misure rapide, identità digitale, profilazione, monitoraggio, rischia di erodere quel poco che resta di uno spazio libero e de-centralizzato.

Il mio verdetto: un grido che va ascoltato, ma bilanciato

Il post 462 di Durov, cupo, provocatorio, apocalittico, ha una funzione utile: scuote le acque, spinge a riflettere. Ma come spesso accade con queste “chiamate alle armi digitali”, il rischio è pensare che tutto ciò che non è libertà totale sia un nemico.

Se abbiamo imparato qualcosa anche nel campo della sicurezza informatica — che mi riguarda personalmente — è che non esistono soluzioni binarie. Privacy e moderazione, sicurezza e libertà, trasparenza e anonimato: sono tensioni da gestire con equilibrio, non guerre da vincere a ogni costo.

In questo senso, l’allarme di Durov va preso sul serio, ma come spinta a costruire un dibattito consapevole, non come manifesto ideologico assoluto.

E in Italia, dove spesso si rincorrono slogan sulla “libertà in rete” senza tradurli in diritti concreti, protezione dati, controlli democratici, trasparenza, questo dibattito serve eccome.

L'articolo Durov avverte: “È finita! Addio Internet libero” — L’urlo che sta facendo tremare l’Europa proviene da Red Hot Cyber.

Anche quest’anno, i criminali informatici stanno approfittando dei periodi di shopping stagionale per diffondere siti web di phishing e promozioni fraudolente, con l’obiettivo di rubare informazioni personali e dettagli di pagamento. Le piattaforme di gioco rimangono un obiettivo primario durante tutto l’anno.

In Spagna, questa tendenza si riflette anche nell’ultimo Rapporto sulla Sicurezza Informatica 2024 pubblicato dall’Istituto Nazionale per la Sicurezza Informatica (INCIBE).

Aumento delle frodi negli ultimi 2 anni

Secondo questo rapporto, sono stati gestiti 2.122 casi relativi a negozi online fraudolenti , in cui gli utenti sono stati reindirizzati a siti web che imitavano aziende legittime per rubare informazioni personali o bancarie. Inoltre, la linea di assistenza per la sicurezza informatica 017 ha ricevuto 98.546 richieste , il 21,8% in più rispetto all’anno precedente; di queste, il 33% era correlato a tentativi di phishing e quasi l’8% a truffe relative agli acquisti online.

Questi dati riflettono una crescente preoccupazione tra i consumatori spagnoli, nonché una maggiore consapevolezza: più della metà delle richieste erano preventive, effettuate prima che si verificasse un incidente.

Secondo i dati di Kaspersky Security Network (KSN), tra gennaio e ottobre 2025 l’azienda ha bloccato 6.394.854 tentativi di phishing che impersonavano negozi online, banche e sistemi di pagamento, di cui il 48,2% mirava direttamente agli acquirenti online.

Nello stesso periodo, Kaspersky ha identificato oltre 20 milioni di tentativi di attacco informatico contro piattaforme di gioco, di cui 18,56 milioni che hanno abusato di Discord.

La regola d’oro: stare sempre attenti

Le campagne fraudolente legate al Black Friday continuano a rappresentare un problema significativo. Nelle prime due settimane di novembre, Kaspersky ha rilevato 146.535 email di spam che menzionavano offerte stagionali. Molte campagne riutilizzavano modelli già visti negli anni precedenti, impersonando importanti rivenditori come Amazon, Walmart e Alibaba e offrendo presunti sconti di accesso anticipato che indirizzavano le vittime verso siti web fraudolenti.

È stata inoltre osservata un’intensa attività di phishing rivolta alle piattaforme di intrattenimento: nel 2025, sono stati registrati 801.148 tentativi relativi a Netflix e 576.873 a Spotify.

L’attività si è estesa oltre l’e-commerce. Nel 2025, Kaspersky ha rilevato 2.054.336 tentativi di phishing che impersonavano piattaforme di gioco come Steam, PlayStation e Xbox. Anche i malware mascherati da software di gioco hanno registrato un aumento significativo: sono stati registrati 20.188.897 tentativi di infezione , di cui 18.556.566 rilevati su Discord , ovvero oltre quattordici volte i dati del 2024.

“I dati di quest’anno mostrano che i criminali informatici operano sempre più in tutto l’ecosistema digitale. Tracciano le attività degli utenti attraverso piattaforme di shopping, servizi di gaming, app di streaming e strumenti di comunicazione. Adattano i loro metodi per integrarsi in ambienti familiari. Per i consumatori, questo rende essenziali una vigilanza costante e linee guida di sicurezza di base, soprattutto durante i periodi di intensa attività online ” , ha affermato Olga Altukhova, Senior Web Content Analyst di Kaspersky.

Approfitta del Black Friday ma in sicurezza

È consigliabile seguire alcuni consigli:

• Non fidarti dei link o degli allegati ricevuti via e-mail; controlla sempre il mittente prima di aprire qualsiasi cosa.
• Controlla attentamente i negozi online prima di inserire qualsiasi dato: l’URL è corretto? Ci sono errori di ortografia o difetti di progettazione?
• Se intendi acquistare da un’azienda sconosciuta, controlla le recensioni prima di prendere una decisione.
• Anche prendendo tutte le precauzioni, potresti non accorgerti di una frode finché non controlli i tuoi estratti conto bancari. Se ricevi ancora estratti conto cartacei, non aspettare: accedi al tuo online banking e controlla gli addebiti. Se qualcosa sembra anomalo, contatta immediatamente la tua banca o l’emittente della carta.

Per approfittare delle migliori offerte, è essenziale proteggersi affinché i propri acquisti portino soddisfazione e vantaggi, non perdite finanziarie o violazioni dei dati.

Quindi rimane sempre una cosa da fare: aumenta la tua consapevolezza a rischio!

L'articolo Black Friday, i consigli per lo shopping online in sicurezza proviene da Red Hot Cyber.

Nel 2024 in Italia sono state registrate 2.379 nuove diagnosi di HIV e 450 nuovi casi di AIDS. Numeri che si accompagnano ad un fenomeno che continua a preoccuparci: molte di queste diagnosi arrivano tardi. Non per mancanza di attenzione da parte delle persone, ma perché il nostro Paese non garantisce ancora un’informazione chiara, capillare e accessibile sulla salute sessuale, né condizioni che rendano semplice e naturale il ricorso ai test o ai percorsi di prevenzione.

La realtà è che, mentre si parla costantemente di “emergenza educativa”, la politica continua a ignorare ciò che davvero serve a creare consapevolezza: percorsi seri e laici di educazione alle differenze, all’affettività e alla sessualità in tutte le scuole. Le nuove generazioni crescono senza strumenti, senza linguaggi adeguati, senza una cultura che normalizzi la salute sessuale come parte integrante del benessere di tutt*. E così l’HIV resta un fenomeno reale ma poco discusso, confinato ai margini di un dibattito pubblico che spesso preferisce evitarlo. In altre parole, resta tabù, e le persone sierocoinvolte continuano a pagare il prezzo dello stigma.

Nel frattempo, sono le associazioni nei territori a portare avanti il lavoro più importante: costruire informazione, offrire supporto, organizzare test, orientare le persone ai servizi, creare luoghi dove parlare di salute sessuale sia possibile e non eccezionale. La loro presenza sopperisce a un vuoto politico che non dovrebbe esistere.

Come Possibile e Possibile LGBTI+ continuiamo a chiedere che la salute sessuale debba tornare al centro delle politiche pubbliche. Significa introdurre percorsi formativi strutturati nelle scuole e diffondere la cultura della prevenzione come parte della vita quotidiana, non come un gesto coraggioso. Significa garantire l’accesso gratuito ai contraccettivi e ai preservativi per le persone under 30, e rendere davvero accessibile la PrEP, che in molti Paesi europei ha già dimostrato di ridurre drasticamente le nuove diagnosi. E significa investire in campagne di informazione continuative, non iniziative sporadiche legate a una data sul calendario.

Non abbiamo bisogno di retorica né di moralismi. Abbiamo bisogno di una politica che riconosca che la salute è libertà e dignità, che la prevenzione è un diritto e che l’accesso agli strumenti per esercitarlo deve essere semplice e garantito. Il 1° dicembre non è una parentesi: è il promemoria annuale di ciò che dovremmo fare tutto l’anno e che, invece, ancora non facciamo.

Parlare di HIV significa parlare di conoscenza, autodeterminazione, dignità. E soprattutto significa ribadire che nessuna persona deve sentirsi sola o abbandonata.

Gianmarco Capogna

L'articolo Giornata mondiale contro l’AIDS, un invito ad assumerci una responsabilità collettiva proviene da Possibile.

The US Patent Office has put forth regulations to end the our ability to challenge improperly granted patents in the Patent Office. These new rules will be a gift to patent trolls by keeping bad patents alive to stifle innovation. As the EFF notes: People targeted with troll lawsuits will be left with almost no realistic or affordable way to defend themselves.

We have until the end of Tuesday, December 2nd to file comments opposing these rules. The Biden administration tried to get these rules passed in 2023, but thousands of people stopped them. We need to stop the Trump administration from getting these rules passed!

The Inter partes review (IPR) process what voted on by Congress in 2013. Congress defined how it should work and who it applies to. The Patent Office must not add additional regulations that limit our access to it. The EFF points out why these rule changes are harmful:

Inter partes review, (IPR), isn’t perfect. It hasn’t eliminated patent trolling, and it’s not available in every case. But it is one of the few practical ways for ordinary developers, small companies, nonprofits, and creators to challenge a bad patent without spending millions of dollars in federal court. That’s why patent trolls hate it—and why the USPTO’s new rules are so dangerous.

IPR isn’t easy or cheap, but compared to years of litigation, it’s a lifeline. When the system works, it removes bogus patents from the table for everyone, not just the target of a single lawsuit.

IPR petitions are decided by the Patent Trial and Appeal Board (PTAB), a panel of specialized administrative judges inside the USPTO. Congress designed IPR to provide a fresh, expert look at whether a patent should have been granted in the first place—especially when strong prior art surfaces. Unlike full federal trials, PTAB review is faster, more technical, and actually accessible to small companies, developers, and public-interest groups.

As an example why we need the IPR process: Personal Audio tried to squeeze royalties from podcasters. Without IPR, EFF would not have been able to challenge their patent and Personal Audio would have continued to shake down podcasters.

Please take a couple of minutes to submit your comments about why we cannot let bad patents slip through unchallenged. You can write your own or use the following draft comment we borrowed from the EFF and modified:

I oppose the USPTO’s proposed rule changes for inter partes review (IPR), Docket No. PTO-P-2025-0025. The IPR process must remain open and fair. The Patent Office does not have the ability to legislate and must not limit who can take advantage of the IPR process beyond what Congress has authorized. Patent challenges should be decided on their merits, not shut out because of legal activity elsewhere. These rules would make it nearly impossible for the public to challenge bad patents, and that will harm innovation and everyday technology users.

or you can use their comment as they wrote it:

I oppose the USPTO’s proposed rule changes for inter partes review (IPR), Docket No. PTO-P-2025-0025. The IPR process must remain open and fair. Patent challenges should be decided on their merits, not shut out because of legal activity elsewhere. These rules would make it nearly impossible for the public to challenge bad patents, and that will harm innovation and everyday technology users.

masspirates.org/blog/2025/12/0…

The 2026 Pirate National Conference has been subject to an elimination style bracket tournament to determine where we will host what will mark the 20th birthday of the United States Pirate Party.

As of today, we are down to four potential cities:

• Boston, Massachusetts
• Chicago, Illinois
• Seattle, Washington
• Vicksburg, Mississippi

Results from Round 2 are posted on our Discord server.

Eight other cities were previously in consideration and will no longer be considered for the 2026 conference. The eight eliminated cities, as well as the three cities that shall be eliminated by the conclusion of this tournament, shall be in permanent consideration for future Pirate National Conference locations until they have hosted. Albuquerque, Las Vegas, Louisville, Mobile, New Orleans, Plattsburgh, Portland (OR) and Providence shall all be in consideration in 2027 and beyond.

We now find ourselves in the Final Four, with two matchups this week that our members and supporters can vote on. Boston (1) will take on Seattle (9) while Vicksburg (4) takes on Chicago (6).
The Final Four
The tournament shall conclude on December 15th.

This tournament ending up in four totally different regions of the country is emblematic of the growth of this party. We might have states with a stronger presence of their Pirate Party, but our growth is nationwide and undeniable. After 20 years, the second oldest Pirate Party in the world will celebrate our conference on a boat and prepare for the next 20 years. We are looking forward to June 6th and hope you all are too.

Regardless of location, the conference will be A.) held on a boat and B.) hybrid, meaning those unable to attend in-person may still attend online.

Those who wish to vote can join our Discord server to find a link to the tournament. The Final Four closes out next week and the championship vote will begin from there.

uspirates.org/2026-pirate-nati…

Across Europe, a new concept known as chat scanning has entered the public debate. Supporters claim it will protect children from online harm. Chat control is formally part of the Child Sexual Abuse Regulation (CSAR), aimed at combating CSAM (child sexual abuse material). However, many experts, privacy groups, and digital rights advocates warn that it poses a greater risk for everyone who uses a phone, especially young people who message daily.

What is chat scanning?

In simple terms, it is a system that checks your private messages before or as soon as you send them. The app you use would need to scan your texts, photos, or videos and determine whether they seem suspicious. If the scanner thinks something is “unsafe,” it can report the sender, even if the message was completely innocent.

This means the scanning occurs within your phone, not on a server elsewhere. Every typed or uploaded message is checked before it reaches a friend or family member. It is like having a digital security guard watching over your shoulder every time you write something personal.

For digital rights advocates, including the Pirate Party, this raises a serious concern: privacy is not something that can be switched on and off. Once a system is built to monitor everyone’s conversations, it becomes a permanent gateway to surveillance. It does not take much for such tools to be expanded, misused, or accessed by actors who do not have the public’s interest at heart.

Why Chat Control Is a Real Threat

Chat control systems are not theoretical risks. Automated scanners genuinely make mistakes. They often cannot understand teenage slang, humour, or personal images. A tool meant to protect vulnerable users can easily turn into one that falsely accuses innocent people. Meanwhile, determined bad actors can simply switch to apps that do not follow these rules, while ordinary citizens remain under constant monitoring.

This approach also weakens secure communication. End-to-end encryption is designed to protect everyone from hackers, identity theft, and even misuse of state power. Scanning messages before they are encrypted breaks that protection. Instead of keeping society safe, it exposes activists, families, journalists, and children to new dangers.

The Ripple Effect on Democracy

If chat controls become law with a full majority, the long-term consequences could spread slowly but deeply. The ripple effect would impact multiple pillars of democracy.

Privacy Erosion

What begins as limited scanning to target harmful content can gradually expand to include most users. When every message is subject to scrutiny, personal privacy is the first casualty.

Overwhelmed Law Enforcement

A flood of false positives would strain police resources. German experts who reviewed the proposal warned that law enforcement would be unable to handle the volume of inaccurate reports. This waste of time and energy increases the risk of people being wrongly investigated or prosecuted, ultimately making the public less safe.

Chilling of Free Expression

Journalists, activists, and vulnerable groups may start to self-censor because they no longer trust their communication channels. When private conversations feel monitored, open dialogue becomes rare.

Decline in Civic Participation

As trust in institutions weakens, people may disengage from democratic processes. Press freedom declines, and political debate becomes less open.

Shift in Social Norms

Over time, society may begin to accept the idea that monitoring private digital spaces is normal. Such a shift can alter the social contract itself, making surveillance an everyday expectation rather than an exception.

This is how a policy introduced in the name of protection can gradually erode the foundations of democracy.

Are there safer alternatives?

There are better ways to keep communities safe. Targeted investigations, stronger reporting channels, improved child protection services, and investment in digital literacy can genuinely support vulnerable groups without breaking the fundamental right to private communication.

Europe should not accept a future where every phone becomes a checkpoint. Safety should be built on rights, not surveillance. Protecting children and protecting privacy are not opposing goals. With smart policy and responsible technology, the EU can and must do both.

europeanpirates.eu/why-chat-sc…