Prima di addentrarci nell’analisi, è bene precisare che questo contributo è la prima parte di una ricerca più estesa.

Nel prossimo articolo esploreremo il conflitto tra algoritmi di rilevazione automatica e crittografia end-to-end (E2EE), analizzando come i diritti fondamentali e la giurisprudenza della Corte EDU resistano all’introduzione di “backdoor” o sistemi di scansione lato client.

La metamorfosi del Diritto penale dell’informatica

L’evoluzione del cyberspazio sta trasformando radicalmente il Diritto penale dell’informatica. Dopo trent’anni di osservazione dei reati digitali, appare chiaro che non siamo di fronte a piccoli aggiustamenti normativi, ma a un vero cambio di impostazione nella responsabilità degli intermediari(ISP, social, app di messaggistica).

Se un tempo la polizia giudiziaria interveniva “post-factum” con la digital forensics per identificare i nodi di scambio di materiale pedopornografico, oggi la proposta di Regolamento COM/2022/209 (Child Sexual Abuse Regulation) sposta il baricentro a monte. Si punta a istituzionalizzare un monitoraggio preventivo che, fino a ieri, era considerato tecnicamente invasivo e giuridicamente inaccettabile.

Dal punto di vista della gerarchia delle fonti, la proposta CSAR ( Child Sexual Abuse Regulation) si pone come una lex specialis rispetto al Digital Services Act (DSA). Se il DSA è la “cornice” generale che regola i servizi digitali in Europa, la nuova normativa CSAR vuole introdurre obblighi verticali molto più specifici e preventivi. La Commissione Europea giustifica questa mossa con l’esigenza di armonizzare il mercato unico (Art. 114 TFUE), ma per chi vive quotidianamente le aule di giustizia è evidente che l’obiettivo non è economico, ma di pubblica sicurezza. Questo solleva un attrito tra le competenze dell’Unione e la sovranità dei singoli Stati in materia penale.

Siamo al tramonto dell’era dell’autoregolamentazione. Il sistema proposto supera la semplice collaborazione volontaria dei provider e introduce i cosiddetti detection orders (ordini di rilevazione). Non si tratta più di segnalare spontaneamente un abuso, ma di un obbligo di legge che impone ai fornitori di implementare tecnologie di scansione. In questo modo, il provider cambia natura. Da ospite passivo di dati diventa un agente di controllo attivo che opera per conto dell’autorità pubblica. È il passaggio definitivo dall’obbligo di “rimozione su segnalazione” a un sistema di sorveglianza strutturale integrato direttamente nei processi aziendali e nel codice dei software.

Il regime interinale di deroga alla Direttiva ePrivacy

Il cuore dello scontro politico riguarda la deroga alla Direttiva ePrivacy. Attualmente, grazie al Regolamento 2021/1232, i provider possono scansionare volontariamente metadati e contenuti per scovare materiale pedopornografico. Tuttavia, questa è una misura temporanea (prorogata fino al 2026) nata in un clima di emergenza. Il rischio, tipico di molte norme emergenziali, è che questa eccezione diventi la regola, cristallizzando un assetto di sorveglianza permanente che erode progressivamente lo spazio della riservatezza nelle comunicazioni digitali.

La proposta prevede la creazione dell’EU Centre, un nuovo organismo centrale con poteri che vanno ben oltre il supporto tecnico. Questa agenzia gestirà i database degli hash (le “impronte digitali” dei file illeciti già noti) e dovrà validare gli algoritmi di Intelligenza Artificiale usati per identificare nuovi contenuti o comportamenti sospetti (grooming). Affidare a un ente tecnico la gestione di processi che impattano sulle libertà di milioni di utenti è una sfida enorme per il diritto amministrativo europeo. Si crea un filtro sovranazionale che opera prima ancora della polizia o della magistratura, sfuggendo ai canoni tradizionali del controllo giudiziario nazionale.

La lotta al Child Sexual Abuse Material (CSAM) è, per definizione, transfrontaliera: i dati saltano da un server all’altro in pochi millisecondi tra giurisdizioni diverse. È chiaro che uno Stato da solo non può farcela. Tuttavia, l’efficienza investigativa non può essere l’unico metro di giudizio in uno Stato di diritto. Il dibattito sulla sussidiarietà ci impone di chiederci se l’Unione Europea possa spingersi fino a violare l’inviolabilità della corrispondenza e la riservatezza delle comunicazioni private, diritti che richiedono garanzie costituzionali che nessuna “esigenza tecnica” dovrebbe poter scavalcare.

Le prospettive future tra il compromesso della presidenza danese e il Parlamento

Il percorso verso il 2026 è ancora accidentato. I negoziati tra Commissione, Consiglio e Parlamento mostrano il tentativo di trovare un compromesso tra “sicurezza totale” e “diritti civili digitali“. Il timore è che la “volontarietà assistita” dei provider diventi una coercizione indiretta.

Se non implementi i sistemi di scansione, rischi sanzioni amministrative o responsabilità civili pesantissime. Per un giurista, questa è una forma di pressione che spinge i privati a trasformarsi in controllori della rete per puro calcolo di gestione del rischio economico.

La proposta CSAR è il banco di prova finale per la democrazia digitale europea. Dobbiamo capire se siamo capaci di combattere reati odiosi senza cadere nella tentazione della sorveglianza di massa. La maturità dell’Unione si misurerà sulla capacità di non sacrificare le garanzie individuali sull’altare della tecnologia.

Nel prossimo articolo analizzeremo proprio la compatibilità di questi sistemi di scansione con l’articolo 15 della nostra Costituzione e con la giurisprudenza della Corte EDU, che ha recentemente ribadito come la crittografia sia un baluardo invalicabile di libertà.

L'articolo Il Chat Control e l’impatto della proposta CSAR nel sistema del DSA proviene da Red Hot Cyber.