Con una drammatica inversione di tendenza, il Nepal ha revocato il blackout nazionale sui social media imposto la scorsa settimana dopo che aveva scatenato massicce proteste giovanili e causato almeno 19 morti, secondo i media locali.

La decisione è stata annunciata l’8 settembre dal Ministro delle Comunicazioni e dell’Informazione Prithvi Subba Gurung, che ha affermato che il governo stava rispondendo all’indignazione pubblica e alla tensione nelle strade. Il governo ha inoltre promesso di pagare le cure delle vittime e ha istituito un comitato per indagare sulle cause della tragedia e presentare proposte entro due settimane.

Il blocco ha interessato 26 piattaforme, tra cui Facebook, Instagram, YouTube e X. Le restrizioni erano una diretta prosecuzione della direttiva del 25 agosto: alle piattaforme straniere era stato ordinato di registrare le proprie attività in Nepal e di nominare un rappresentante locale entro sette giorni.

Poiché la maggior parte delle aziende ha ignorato la scadenza, l’accesso ai servizi è stato disattivato la scorsa settimana. Alcune piattaforme non sono state bloccate: TikTok e Viber hanno rispettato i requisiti prima della scadenza e sono state aggiunte al registro.

La cancellazione ha coinciso con il giorno più intenso delle proteste. L’8 settembre, migliaia di persone, molte delle quali adolescenti in uniforme scolastica, hanno riempito le strade delle città di tutto il paese, chiedendo l’accesso ai social media. Le proteste sono degenerate in scontri con le forze di sicurezza; almeno 19 persone sono state uccise e oltre un centinaio sono rimaste ferite, secondo i media nepalesi.

Con l’intensificarsi dei disordini, il Primo Ministro KP Sharma Oli ha affermato che i disordini erano alimentati da “persone esterne”, ma ha sottolineato che il governo non ha respinto le richieste della nuova generazione ed è pronto al dialogo.

Mentre le forze di sicurezza radunavano rinforzi, incendi e manifestazioni violente si sono verificati in città nei pressi di edifici governativi e residenze di politici di alto rango. Secondo quanto riportato dai media locali, i manifestanti sono entrati nel territorio del complesso parlamentare e hanno distrutto edifici lungo la linea di scontro con i partiti al potere.

Anche i feed delle pubblicazioni indiane e nepalesi hanno registrato episodi operativi, dall’evacuazione di funzionari da parte di elicotteri dell’esercito al coordinamento di colonne di manifestanti su piattaforme di messaggistica e chat di gioco. In particolare, alcuni degli inviti all’azione sono stati diffusi tramite Discord e, in serata, un esercito era al lavoro nei pressi del quartiere ministeriale.

L’impatto politico è stato immediato. Prima si è dimesso il Ministro degli Interni Ramesh Lekhak, poi il Primo Ministro KP Sharma Oli, sotto pressione sia dalla piazza che dai suoi alleati della coalizione. Nel mezzo dei disordini, l’amministrazione di Kathmandu ha chiuso l’aeroporto internazionale di Tribhuvan e cancellato tutti i voli, citando rischi per la sicurezza senza precedenti.

La decisione del governo è stata criticata dalle organizzazioni internazionali. L’Alto Commissariato delle Nazioni Unite per i Diritti Umani ha ricordato alle autorità nepalesi la necessità di garantire la libertà di riunione pacifica e di espressione. Amnesty International e altre organizzazioni per i diritti umani avevano avvertito, ancor prima della chiusura dei social, che i filtri di massa e le risposte violente alle proteste compromettono le libertà civili fondamentali.

Nonostante lo sblocco dei social network e il cambio di primo ministro, la fase di tensione non è ancora finita. A Kathmandu, le restrizioni alla circolazione permangono, la polizia e l’esercito presidiano gli snodi chiave e gli attivisti stanno preparando eventi di lutto e chiedendo risposte alle domande sulle morti e sul futuro della regolamentazione delle piattaforme online.

La vicenda del blocco si inserisce nel più ampio tentativo di Kathmandu di inasprire le regole per le piattaforme digitali. In primavera, il governo ha presentato un disegno di legge sui social media, ancora in attesa di approvazione.

Il documento prevede multe e pene detentive per le pubblicazioni che le autorità ritengono “contrarie alla sovranità o agli interessi nazionali”. La Federazione Internazionale dei Giornalisti ha descritto l’iniziativa come una minaccia alla libertà di stampa e all’espressione digitale.

Il pensiero di Red Hot Cyber va alle 19 vittime e ai loro cari.

L'articolo In Nepal si muore per i Social Network! In 19 hanno perso la vita per riavere Facebook proviene da il blog della sicurezza informatica.

Microsoft Corporation, secondo Datacenter Dynamics, ha aderito alla World Nuclear Association (WNA), un’organizzazione internazionale no-profit con sede a Londra che promuove l’energia nucleare.

La World Nuclear Association è stata fondata nel 2001. Le sue attività principali sono il supporto alle tecnologie nucleari avanzate, come i piccoli reattori modulari, la semplificazione delle procedure di autorizzazione e il rafforzamento delle catene di approvvigionamento globali nel campo dell’energia nucleare.

Il sito web della WNA afferma che oggi l’associazione comprende aziende e organizzazioni con sede in 44 paesi in tutto il mondo. Tra queste, in particolare, grandi aziende nei settori dell’ingegneria nucleare, dell’edilizia e della gestione dei rifiuti, nonché istituti di ricerca e sviluppo. Tra i membri della WNA figurano Accenture, CEZ, Constellation Energy, EDF, GE Vernova, Iberdrola, Oklo, PG&E e molti altri.

“L’adesione di Microsoft all’associazione rappresenta una svolta per il settore. La sua partecipazione accelererà l’impiego dell’energia nucleare su scala necessaria sia per raggiungere gli obiettivi climatici sia per soddisfare la crescente domanda di energia dei data center “, ha affermato il Dott. Sama Bilbao y León, CEO di WNA.

Secondo quanto riferito, la divisione Energy Technology di Microsoft collaborerà direttamente con i gruppi di lavoro tecnici della WNA per accelerare l’adozione del nucleare, semplificare i processi normativi e sviluppare nuovi modelli commerciali. L’obiettivo finale è quello di scalare l’energia nucleare per soddisfare le crescenti esigenze dell’economia digitale, anche nel segmento dei data center.

Microsoft sta sviluppando diversi progetti nel campo dell’energia nucleare. In precedenza, è stato riferito che la società di Redmond sta formando un team per lavorare su piccoli reattori nucleari per alimentare i data center.

Inoltre, Microsoft ha firmato un contratto ventennale con il più grande gestore di centrali nucleari degli Stati Uniti, Constellation Energy, per la fornitura di elettricità che sarà prodotta nel sito di Three Mile Island in Pennsylvania. Allo stesso tempo, Microsoft spera che l’intelligenza artificiale acceleri lo sviluppo di reattori a fusione commerciali a basso costo in grado di fornire energia a grandi data center.

L'articolo Microsoft entra nella World Nuclear Association per sostenere l’energia nucleare proviene da il blog della sicurezza informatica.

Un ricercatore indipendente di nome Alexander Popov ha presentato una nuova tecnica per sfruttare una vulnerabilità critica nel kernel Linux, a cui è stato assegnato l’identificatore CVE-2024-50264. Questo errore di tipo “use-after-free” nel sottosistema AF_VSOCK è presente dalla versione 4.8 del kernel e consente a un utente locale senza privilegi di avviare uno errore quando si lavora con un oggetto virtio_vsock_sock durante la creazione della connessione.

La complessità e l’entità delle conseguenze hanno fatto sì che il bug si aggiudicasse i Pwnie Awards 2025 nella categoria “Best Privilege Escalation”.

In precedenza, si riteneva che lo sfruttamento del problema fosse estremamente difficile a causa dei meccanismi di difesa del kernel, come la distribuzione casuale delle cache e le peculiarità dei bucket SLAB, che interferiscono con metodi semplici come l’heap spraying.

Tuttavia, Popov è riuscito a sviluppare una serie di tecniche che eliminano queste restrizioni. Il lavoro è stato svolto nell’ambito della piattaforma aperta kernel-hack-drill, progettata per testare gli exploit del kernel.

Il passaggio chiave è stato l’utilizzo di un tipo speciale di segnale POSIX che non termina il processo. Interrompe la chiamata di sistema connect(), consentendo una riproduzione affidabile delle race condition e di non perdere il controllo sull’attacco.

Successivamente, il ricercatore ha imparato a controllare il comportamento delle cache di memoria sostituendo le proprie strutture al posto degli oggetti rilasciati. La messa a punto delle temporizzazioni consente di far scivolare i dati preparati in precedenza esattamente dove si trovava in precedenza l’elemento vulnerabile.

youtube.com/embed/qC95zkYnwb0?…

L'articolo Race condition letale per Linux: il trucco che trasforma un segnale POSIX in un’arma proviene da il blog della sicurezza informatica.

Benvenuti al nostro secondo appuntamento! La scorsa settimana, abbiamo esplorato il campo di battaglia della mente umana, comprendendo come la coevoluzione tra hacker e difensori sia una partita a scacchi psicologica, e come i nostri bias cognitivi e schemi mentali siano i veri punti di accesso per chi vuole attaccarci.

Oggi, è il momento di passare all’azione!

Non ci concentreremo sulle vulnerabilità, ma su come trasformarle in punti di forza.

L’obiettivo? Costruire la nostra resilienza digitale.

La resilienza, nella sua accezione più ampia, è la capacità di un sistema di adattarsi e riprendersi dopo un evento traumatico. Nel nostro contesto, non si tratta solo di resistere a un attacco, ma di uscirne più forti e consapevoli.

Come un muscolo che si irrobustisce dopo ogni sforzo, la nostra mente può diventare più agile e preparata a riconoscere e contrastare le minacce digitali.

Il coaching, in questo processo, agisce come un personal trainer per il nostro cervello. Aiuta a identificare i nostri schemi di pensiero, a sfidare le credenze limitanti e a costruire nuove abitudini mentali che favoriscono la vigilanza e la reazione consapevole.

La filosofia stoica: il firewall mentale

Per comprendere a fondo questo concetto, possiamo guardare a una scuola di pensiero millenaria: lo Stoicismo. Filosofi come Seneca e Marco Aurelio ci hanno lasciato un’eredità preziosa su come affrontare l’incertezza e la paura.

Ci insegnano a distinguere ciò che possiamo controllare da ciò che non possiamo.

Possiamo controllare le nostre azioni, le nostre scelte, la nostra attenzione, ma non possiamo controllare l’esistenza degli hacker o la natura di un attacco.

Dobbiamo quindi concentrarci sull’unica cosa che possiamo realmente fortificare: noi stessi.

Premeditatio Malorum: preparare la mente

La premeditatio malorum è una pratica stoica che consiste nel visualizzare in anticipo gli scenari peggiori per preparare la mente a una potenziale avversità. Non si tratta di essere pessimisti, ma di prepararsi a gestire gli imprevisti in modo lucido e calmo, riducendo l’impatto emotivo quando si verificano.

Nel contesto della cybersecurity, questa pratica è il cuore di un approccio proattivo. Invece di attendere l’attacco, occorre mettersi in condizione di affrontarlo prima che accada e il coaching eleva proprio questa pratica, trasformandola da un semplice esercizio mentale in un vero e proprio piano di risposta e di azione.

Come un coach può aiutarci a usare la premeditatio malorum:

• Dalla paura all’azione lucida: un attacco informatico può scatenare ansia e panico. Un coach ci aiuta a riconoscere e gestire queste emozioni, trasformando la paura in una reazione lucida e razionale. L’obiettivo non è eliminare la paura, ma impedire che ci paralizzi, facendoci reagire in modo strategico.
• Dalla visualizzazione alla pianificazione concreta: la premeditatio malorum non si ferma all’immaginazione. Un coach ci spinge a tradurre la visualizzazione in un piano d’azione pratico. Questo esercizio trasforma la preparazione mentale in un protocollo di emergenza personale e professionale.

Il mindset del difensore: crescere dagli errori

Un coach ci spinge a sfidare le nostre convinzioni e a vedere gli errori come occasioni di crescita.

• Identificare e superare le convinzioni limitanti: molte persone pensano di essere “non capaci” o “troppo anziane” Un coach può sfidare queste credenze, aiutando a costruire la fiducia necessaria.
• Trasformare l’errore in apprendimento: quando si cade in una trappola, che sia un’email di phishing o un errore di configurazione, la prima reazione spesso è un mix di vergogna e frustrazione. Il coaching aiuta a superare questa mentalità. Invece di vedere l’errore come un fallimento, si impara a considerarlo un’occasione preziosa per la crescita. Proprio come un muscolo che diventa più forte dopo uno sforzo intenso, ogni errore ci offre la possibilità di apprendere e di rafforzare le nostre difese, rendendoci più resilienti di fronte alle minacce future.

Rafforza la tua mente digitale: 3 esercizi per sviluppare la resilienza

Nel mondo digitale, la nostra prima linea di difesa non sono solo gli antivirus o i firewall, ma la nostra stessa mente.

La resilienza digitale è la capacità di resistere e recuperare dagli attacchi cibernetici, e si basa in gran parte sulle nostre decisioni e sul nostro comportamento.

Gli attacchi più subdoli non puntano a forzare un sistema, ma a ingannare la persona che lo usa.

Proprio per questo, allenare la nostra mente a riconoscere le minacce e a reagire in modo consapevole è fondamentale.

Qui di seguito, ho aggiunto alcuni esempi di semplici esercizi pratici che si possono applicare subito nella nostra quotidianità per costruire un atteggiamento proattivo e difensivo.

1. Il riconoscimento del “cavallo di Troia”

Obiettivo: riconoscere e disinnescare la manipolazione psicologica prima di agire. Questo esercizio ci aiuta a superare le trappole cognitive basate sull’urgenza o l’emotività, tipiche del social engineering.

Esercizio: la prossima volta che riceviamo una comunicazione che ci spinge ad agire in fretta – che si tratti di un’email di phishing che simula un’emergenza aziendale o un messaggio che richiede un’azione immediata – fermiamoci.

Non rispondiamo subito. Facciamo una pausa e applichiamo la “regola dei 3 S”:

• Scansiona: controlliamo l’intestazione, il mittente e il tono del messaggio.
• Sospetta: chiediamoci perché il messaggio è così urgente e chi ha da guadagnarci.
• Smentisci: se il minimo dubbio persiste, verifichiamo la richiesta tramite un canale separato (per esempio, chiamiamo il collega che ha inviato il messaggio invece di rispondere all’email).

2. La pratica del “pensare lento”

Obiettivo: trasformare l’impulso in un’azione consapevole, riducendo i rischi legati ai clic automatici e alla fretta.

Questo esercizio si basa sul principio di thinking slow per prevenire errori che possono compromettere la sicurezza.

Esercizio: per una settimana, introduciamo una pausa di 15 secondi ogni volta che dobbiamo cliccare su un link, scaricare un allegato o eseguire un comando. In quei 15 secondi, non pensiamo a nient’altro se non a una domanda chiave: “Ho verificato la fonte?”

Questo piccolo rituale ci aiuterà a creare una barriera mentale contro le minacce e a trasformare una reazione istintiva in una decisione analitica e consapevole.

3. Il “threat modeling personale”

Obiettivo: applicare le metodologie di analisi del rischio al nostro profilo personale e professionale. Dobbiamo sviluppare una mentalità proattiva e difensiva, identificando le nostre vulnerabilità prima che possano essere sfruttate.

Esercizio: dedichiamo 10 minuti a un threat modeling del nostro profilo personale. Poniamoci queste domande:

• Chi siamo e cosa facciamo? Quali sono le informazioni su di noi che un attaccante potrebbe trovare (es. su LinkedIn, social media)?
• Quali sono le nostre vulnerabilità umane? Siamo particolarmente fiduciosi o inclini ad aiutare? Cediamo facilmente alla pressione sociale? Cosa desideriamo?
• Quali sono i nostri asset personali? Quali dati, accessi o dispositivi possiedono un valore per un malintenzionato? Identifichiamo i nostri punti deboli e creiamo una strategia di difesa, un piano di azione.

Riflessione finale

In questo viaggio, abbiamo compreso che la vera sicurezza non risiede solo in software all’avanguardia o protocolli rigidi, ma nella fortezza interiore che costruiamo.

Abbiamo smesso di essere semplici bersagli passivi per trasformarci in difensori consapevoli, capaci di anticipare e disinnescare la minaccia prima che ci colpisca.

Il Coaching, unito alla saggezza millenaria dello Stoicismo e alla potente pratica della Premeditatio Malorum, ci ha fornito una mappa per navigare nel campo minato del mondo digitale.

Non si tratta di eliminare il rischio, ma di imparare a danzare con l’incertezza, a trasformare la paura in azione lucida e ogni errore in un trampolino di lancio verso una maggiore resilienza.

Come un muscolo che si irrobustisce dopo ogni sforzo, la nostra mente può diventare più agile e preparata a riconoscere e contrastare le minacce.

La nostra resilienza non è una dote innata, ma un’abilità che si costruisce, passo dopo passo, un pensiero consapevole dopo l’altro.

La sicurezza non è una destinazione, ma un percorso di crescita continua!

La prossima settimana, spingeremo la nostra esplorazione ancora oltre, scavando nel ruolo profondo e spesso sottovalutato delle discipline umanistiche e della filosofia nella cybersecurity.

Siete pronti a fare un ulteriore salto di consapevolezza? Vi aspetto.

L'articolo Non è il tuo PC l’anello debole, ma la tua mente: gli esercizi per difenderti dagli hacker proviene da il blog della sicurezza informatica.

Google intende semplificare l’accesso degli utenti alla modalità AI consentendo loro di impostarla come ricerca predefinita (al posto dei link tradizionali). La modalità AI è una versione della ricerca Google che utilizza modelli linguistici di grandi dimensioni per riassumere le informazioni dal web, in modo che gli utenti possano trascorrere più tempo su Google, anziché cliccare sui link dei siti web.

La nuova modalità AI nella ricerca di Google

La modalità AI può rispondere a domande complesse, elaborare immagini, riassumere informazioni, creare tabelle, grafici e persino fornire supporto con il codice. Come sottolinea Bleeping Computer , la modalità AI è attualmente facoltativa e si trova a sinistra della scheda “Tutti”. È disponibile in inglese in 180 paesi e territori in tutto il mondo.

Tuttavia, verso la fine della scorsa settimana, Logan Kilpatrick, responsabile del prodotto Google AI Studio, ha annunciato sul social media X che la modalità AI sarebbe presto diventata la modalità predefinita in Google. Successivamente, Robby Stein, vicepresidente del prodotto per la Ricerca Google, ha chiarito che l’azienda intende solo rendere la modalità AI più facilmente accessibile per le persone che desiderano utilizzarla.

L’azienda afferma che al momento non ci sono piani per rendere la modalità AI predefinita per tutti, ma se un utente preferisce utilizzarla sempre, presto sarà disponibile un interruttore o un pulsante a tale scopo.

In questo caso, i link tradizionali non verranno visualizzati per impostazione predefinita, ma è possibile passare alla vecchia visualizzazione dei risultati di ricerca trovando la scheda “Web”, che si trova proprio alla fine del pannello. La pubblicazione sottolinea che nel prossimo futuro la modalità AI potrebbe diventare la pagina di ricerca predefinita per tutti. Tuttavia, gli ingegneri di Google stanno attualmente cercando di determinare come questo passaggio influenzerà il settore pubblicitario.

Se l’AI fa il sunto, gli editori che fine fanno?

Google sta già testando annunci e recensioni basati sull’intelligenza artificiale e sta offrendo tali annunci ai partner. Tuttavia, il settore del marketing digitale non ha ancora capito come funzionerà il tutto se i link classici saranno completamente sostituiti dalla modalità AI.

I piani di Google per monetizzare la ricerca basata sull’intelligenza artificiale

Google detiene ancora circa il 90% del mercato della ricerca e continua a generare miliardi di clic per gli editori di tutto il mondo. Tuttavia, Google non paga editori e blog indipendenti per utilizzare l’intelligenza artificiale per riassumere i contenuti. Al contrario , l’azienda sostiene che i riepiloghi basati sull’intelligenza artificiale inviino più clic “di qualità” agli editori, sebbene non vi siano dati ufficiali a supporto di questa affermazione.

Una alleanza contro Google

Allo stesso tempo, ricerche indipendenti dimostrano che le persone sono meno propense a cliccare sui risultati di ricerca se il motore di ricerca fornisce loro un riepilogo basato sull’intelligenza artificiale.

Secondo quanto riportato dai media, alcuni editori indipendenti stanno già discutendo la creazione di un’alleanza tra media e notizie per combattere la crisi esistenziale che l’introduzione dell’intelligenza artificiale nei motori di ricerca comporta.

L'articolo Google spinge l’AI come ricerca predefinita: rischio blackout per editori e blog indipendenti proviene da il blog della sicurezza informatica.

L’Aeronautica Militare statunitense sta cercando un modo per gestire sciami di piccoli droni in aree in cui la navigazione satellitare viene disturbata o manomessa. In una nuova richiesta di informazioni (RFI), l’Air Force Laboratory (AFRL) ha annunciato l’intenzione di creare un sistema avanzato di posizionamento, navigazione e sincronizzazione (PNT) che consentirebbe ai droni di operare insieme senza dover fare affidamento sul GPS, una risorsa sempre più vulnerabile alla guerra elettronica.

Al centro dell’iniziativa c’è il banco di prova Joint Multi-INT Precision Reference (JMPR). Integrerà l’orologio atomico di nuova generazione (NGAC) con una stabilità dichiarata al picosecondo e una precisione migliore del nanosecondo. Questa sincronicità è necessaria affinché lo sciame possa muoversi in sincronia e scambiare dati senza timestamp satellitari.

L’AFRL sottolinea che “un’estrema coerenza temporale tra i droni in uno sciame è fondamentale” per coordinare le manovre, mantenere le comunicazioni e collaborare in ambienti “contesi”.

Le esperienze maturate nei conflitti degli ultimi anni, tra cui l’uso diffuso di tecniche di jamming e spoofing GPS, nonché lo sviluppo di capacità simili da parte della Cina, hanno costretto il Pentagono a cercare urgentemente alternative al riferimento satellitare.

L’architettura proposta è decentralizzata e “aperta”: ogni drone costruisce un sistema di riferimento locale basato sui propri sensori e sul posizionamento relativo dei suoi vicini. JMPR dovrebbe fornire il cosiddetto “PNT a freddo, progressivamente migliorato”, ovvero quando i dispositivi si avviano senza alcun supporto esterno e la precisione aumenta gradualmente man mano che nuove piattaforme vengono connesse e i dati vengono scambiati all’interno della rete.

Gli orologi atomici di bordo ad alta precisione svolgono un ruolo chiave in questo ambito: limitano la deriva temporale, aiutano a mantenere la formazione, gestiscono le letture dei sensori e svolgono missioni coordinate. Questo approccio, secondo i calcoli dell’AFRL, sarà anche direttamente utile nella lotta contro i sistemi a sciame nemici, dove contano i miliardesimi di secondo: più è preciso il tempo, più lo sciame si comporta come un “singolo organismo” piuttosto che come un insieme di dispositivi individuali.

Gli obiettivi tecnici includono una precisione temporale inferiore al nanosecondo, resistenza alle interferenze elettroniche, rigidi vincoli di dimensioni, peso e consumo energetico per l’installazione su piccoli droni e scalabilità da pochi a centinaia di droni, mantenendo la coerenza. Si prevede inoltre che il sistema sia flessibile nelle sue applicazioni, dal targeting distribuito e dalla fusione dei dati a comunicazioni robuste e condivisione di informazioni.

L’AFRL chiede all’industria di fornire modelli prestazionali, risultati di test e valutazioni dei colli di bottiglia tecnologici delle apparecchiature radio commerciali esistenti quando integrate in soluzioni PNT decentralizzate. La scadenza per le risposte è il 19 settembre 2025.

L’attenzione rivolta agli orologi atomici è un segnale dell’intenzione di ridurre la dipendenza dal GPS, su cui l’esercito statunitense fa affidamento da decenni per la navigazione e la sincronizzazione. Se il progetto avrà successo, i droni statunitensi saranno in grado di operare in modo fluido e rapido anche dove i satelliti sono silenziosi, e quindi operare in modo più efficace in spazi aerei difficili e pericolosi.

L'articolo Guerra Elettronica: L’Aeronautica Militare USA cerca un sistema alternativo al GPS per i droni proviene da il blog della sicurezza informatica.

Over 500 of the world’s leading cryptographers, security researchers, and scientists from 34 countries have today delivered a devastating verdict on the EU’s proposed “Chat Control” regulation. An open letter published this morning declares the plan to mass-scan private messages is “technically infeasible,” a “danger to democracy,” and will “completely undermine” the security and privacy of all European citizens.

The scientific consensus comes just days before a crucial meeting of EU national experts on September 12 and weeks before a final vote planned for October 14. The letter massively increases pressure on a handful of undecided governments—notably Germany—whose votes will decide whether to form a blocking minority to stop the law.What is ‘Chat Control’?

The proposed EU regulation would legally require providers of services like WhatsApp, Signal, Instagram, E-Mail and others to scan all users’ private digital communications and chats—including text messages, photos, and videos. This automated, suspicionless scanning would apply even to end-to-end encrypted chats, forcing companies to bypass or break their own security protections. Any content flagged by the algorithms as potential child sexual abuse material (CSAM) would be automatically reported to authorities, effectively creating a system of constant mass surveillance for hundreds of millions of Europeans.

What the researchers highlight (key points)

The open letter from the scientific community systematically dismantles the core arguments for Chat Control, warning that the technology simply does not work and would create a surveillance infrastructure ripe for abuse:

• A Recipe for Error and False Accusations: The scientists state it is “simply not feasible” to scan hundreds of millions of users’ private photos and messages with “an acceptable level of accuracy.” This would trigger a tsunami of false reports, placing innocent citizens—families sharing holiday photos, teenagers in consensual relationships, even doctors exchanging medical images—under automatic suspicion.
• The End of Secure Encryption: The letter confirms that any form of scanning “inherently undermines the protections that end-to-end encryption is designed to guarantee.” It creates a backdoor on every phone and computer, a single point of failure that the scientists warn will become a “high-value target for threat actors.”
• A Gift to Criminals, a Threat to the Innocent: Researchers confirm that detection algorithms are “easy to evade” by perpetrators with trivial technical modifications. The surveillance system would therefore fail to catch criminals while subjecting the entire population to invasive, error-prone scanning.
• A Blueprint for Authoritarianism: The letter issues a stark warning that the proposal will create “unprecedented capabilities for surveillance, control, and censorship” with an inherent risk of “function creep and abuse by less democratic regimes.”

The Political Battlefield: Undecided Nations Hold the Key

The future of digital privacy in Europe hangs in the balance, with EU member states deeply divided. A blocking minority requires rejection or abstention by at least four Member States representing more than 35% of the EU population. Based on current stances, the population threshold would be reached if Germany joined the “not in favour” group alongside the seven governments already not in favour.

• Pro-Surveillance Bloc (14): A coalition led by Denmark, Ireland, Spain, and Italy is pushing hard for the law. They are joined by Bulgaria, Croatia, Cyprus, France, Hungary, Latvia, Lithuania, Malta, Portugal, and Slovakia.
• The Resistance (7): A firm group of critics includes Austria, Belgium, the Czech Republic, Finland, Luxembourg, the Netherlands, and Poland.
• The Kingmakers (7): The deciding votes lie with Estonia, Germany, Greece, Romania, Slovenia, and Sweden. Germany’s position is pivotal. A ‘No’ vote or an abstention from Berlin would kill the bill.

Patrick Breyer, a digital rights advocate and former Member of the European Parliament for the Pirate Party, urges the undecided governments to heed the scientific evidence:

“This letter is a final, unambiguous warning from the people who build and secure our digital world. They are screaming that this law is a technical and ethical disaster. Any minister who votes for this is willfully ignoring the unanimous advice of experts. The excuse that this can be done without breaking encryption is a lie, and the myth that exempting encrypted services would solve all problems has now been proven wrong.

I am calling on the government of Germany, in particular, to show political courage, but also on France to reconsider its stance. Do not sacrifice the fundamental rights of 500 million citizens for a security fantasy that will not protect a single child. The choice is simple: stand with the experts and defend a free and secure internet for all – including children, or stand with the surveillance hardliners and deploy authoritarian China-style methods. Europe is at a crossroads, and your vote will define its digital future.”

The Pirate Party and the scientific community advocate for investing in proven child protection measures, such as strengthening law enforcement’s targeted investigation capabilities, designing communications apps more securely, funding victim support and prevention programs, and promoting digital literacy, rather than pursuing dangerous mass surveillance technologies.

Suggested questions for competent national ministries:

• Encryption and national security: How will E2EE used by citizens, public authorities, businesses and critical services remain uncompromised under any detection mandates?
• Accuracy and efficacy: What evidence shows image/URL scanning can achieve low false‑positive/negative rates at EU scale and resist trivial evasion? The German Federal Crime agency has reported an error rate of 48% in 2024 (page 18).
• Scope and function creep: How does the government intend to ensure detection cannot be expanded or repurposed to broader surveillance/censorship in future (e.g., text/audio, political content)?
• Child protection outcomes: Which evidence‑based measures (education, digital literacy, trauma‑informed victim support, faster handling of voluntary reports, targeted investigations) will be prioritised?

Key quotes from the open letter:

• “On‑device detection, regardless of its technical implementation, inherently undermines the protections that end‑to‑end encryption is designed to guarantee.”
• “Existing research confirms that state‑of‑the‑art detectors would yield unacceptably high false positive and false negative rates, making them unsuitable for large‑scale detection campaigns at the scale of hundreds of millions of users.”
• “There is no machine‑learning algorithm that can [detect unknown CSAM] without committing a large number of errors … and all known algorithms are fundamentally susceptible to evasion.”

Further Information:

• Open Letter from 500+ Scientists (9 Sept 2025): csa-scientist-open-letter.org/…
• Map of National Positions and background information: www.chatcontrol.eu

Upcoming Dates:

• 12 September 2025: Council working party meeting on the proposal.
• 14 October 2025: Planned final vote by EU home affairs ministers.

patrick-breyer.de/en/danger-to…