A luglio 2026 il Parlamento europeo ha rimesso in agenda la scansione dei messaggi privati che a marzo aveva bocciato per un solo voto. Non è un episodio isolato: negli ultimi anni l’Unione europea ha aggiunto un tassello alla volta, identità digitale, controllo dei contenuti, biometria alle frontiere, tetto al contante, euro digitale. Prese singolarmente hanno ciascuna una propria ragione, e nessuna, da sola, è sorveglianza di massa. A pesare è la somma. Il voto di marzo si è chiuso 307 a 306, la procedura d’urgenza è stata approvata il 7 luglio 2026, i tasselli del mosaico normativo sono 9, il percorso copre 20 anni dal 2006 a oggi, e l’orizzonte per la decrittazione Europol è il 2030.
Il voto di luglio
Il 26 marzo 2026 il Parlamento europeo aveva detto no. Con 307 voti contro 306, un solo voto di scarto, aveva rifiutato di prorogare la deroga che permette alle piattaforme di scansionare i messaggi privati a caccia di materiale pedopornografico. La deroga è poi scaduta il 3 aprile. Sembrava una partita chiusa.
Non lo era. Il 30 giugno il quinto negoziato tra Parlamento, Consiglio e Commissione sul regolamento permanente, il cosiddetto Chat Control 2.0, si è concluso senza accordo: il Parlamento ha tenuto la linea contro la scansione obbligatoria e indiscriminata delle comunicazioni, comprese quelle cifrate di WhatsApp, Signal e Telegram; il Consiglio voleva renderla permanente. A quel punto il Consiglio ha riscritto il testo come misura temporanea e lo ha rimesso sul tavolo del Parlamento chiedendo la procedura d’urgenza, nell’ultima settimana utile prima della pausa estiva. Il 7 luglio il Parlamento ha approvato l’accelerazione, come ricostruisce Euronews, mentre l’ANSA racconta le tensioni della vigilia. Il voto di merito arriva ora in plenaria, a ridosso della pausa. Sul percorso pluriennale della norma, la ricostruzione più completa resta quella di Guerre di Rete, mentre Agenda Digitale spiega cosa cambierebbe nella pratica per messaggistica e verifica dell’età.
Il metodo, condensato in un caso solo: una misura contestata viene respinta di misura, non muore, viene riscritta, ripresentata come nuova e accelerata in urgenza mentre l’attenzione cala. Non serve uno strappo. Basta la persistenza e il calendario giusto. Chat Control resta un tassello, per quanto il più rumoroso, di un disegno più ampio: quello che segue è l’elenco degli altri, con le date verificate.
I tasselli, una volta posati, non si tolgono più: si sommano, e la somma è sorveglianza.
Comunicazioni: messaggi, tabulati, cifratura
Nella versione più dura, Chat Control prevedeva ordini di individuazione che avrebbero imposto alle piattaforme di scansionare i contenuti sul dispositivo dell’utente prima della cifratura: il cosiddetto client-side scanning. Viene presentato come compromesso, cifratura intatta più controllo preventivo, ma tecnicamente è un’illusione: se il messaggio viene letto prima di essere cifrato, la cifratura non protegge più nulla. Oltre 500 scienziati con competenze in crittografia e sicurezza lo hanno scritto in una lettera aperta: la misura è tecnicamente inattuabile senza minare la sicurezza e la privacy di tutti i cittadini europei. Una porta di servizio non distingue tra un investigatore e un criminale.
Dietro il fronte più rumoroso ce ne sono altri due, meno pubblicizzati e più strutturali. Il primo è la conservazione dei dati di traffico, la data retention: la direttiva del 2006 obbligava gli operatori a conservare i tabulati di chi chiama chi, quando, da dove. Nel 2014 la Corte di Giustizia dell’UE l’ha annullata, definendola sorveglianza generalizzata e indiscriminata incompatibile con i diritti fondamentali. Undici anni dopo, nel 2025, la Commissione ha annunciato una valutazione d’impatto per aggiornare le regole, come documenta la scheda del Legislative Train del Parlamento europeo: di fatto, riproporre in forma aggiornata quello che la Corte aveva bocciato. La critica più netta arriva dall’Electronic Frontier Foundation, che chiede alla Commissione di non resuscitare un obbligo già dichiarato illegittimo.
Il secondo è ProtectEU, la strategia di sicurezza interna presentata il 1° aprile 2025. Il 24 giugno 2025 la Commissione ha pubblicato una roadmap per l’accesso “lecito ed efficace” ai dati da parte delle forze dell’ordine, articolata su sei aree: conservazione dei dati, intercettazione, forense digitale, decrittazione, standardizzazione, intelligenza artificiale. Dentro c’è una Technology Roadmap on encryption, attesa nel 2026, per individuare soluzioni tecniche di accesso ai dati cifrati, con l’obiettivo dichiarato di dotare Europol di capacità di decrittazione “di nuova generazione” dal 2030. La pagina ufficiale della Commissione su cifratura e accesso lecito mette nero su bianco l’ambivalenza: da un lato l’UE tutela la cifratura come infrastruttura critica, dall’altro finanzia per legge gli strumenti per aggirarla. Il think tank EDRi ha definito ProtectEU un passo verso una “distopia digitale”.
Identità: eIDAS 2.0, il portafoglio digitale
Nel 2024 l’UE ha adottato eIDAS 2.0, il regolamento che introduce il Portafoglio Europeo di Identità Digitale: un’app che raccoglie documenti e credenziali, carta d’identità, patente, titoli di studio, tessera sanitaria, accessi ai servizi. Entro il 2026 tutti gli Stati membri devono offrirlo ai cittadini. Sulla carta è comodo: un solo strumento per identificarsi ovunque, meno file, meno password, e il modello prevede che sia l’utente a decidere quali attributi mostrare.
Il rischio non sta nell’uso singolo, ma nella centralizzazione. Quando la stessa identità verificata diventa la chiave per sanità, banca, social, servizi pubblici, acquisti online, diventa anche il punto in cui tutto converge. La stessa caratteristica che la rende comoda, un’unica credenziale che segue ovunque, la rende potente: tiene insieme attività che prima restavano separate.
Contenuti: DSA e disinformazione
Il Digital Services Act è pienamente in vigore dal 17 febbraio 2024. Impone alle piattaforme, in particolare a quelle molto grandi, obblighi sulla gestione dei contenuti illegali e sulla mitigazione dei “rischi sistemici”, cui si aggiunge il Code of Practice on Disinformation integrato nel quadro del DSA. La lettura è genuinamente a due facce. Da un lato dà agli utenti strumenti reali: trasparenza sugli algoritmi, diritto di contestare le rimozioni, obblighi per piattaforme che prima rispondevano solo a se stesse. È anche l’arma con cui l’Europa prova a limitare lo strapotere delle Big Tech.
Dall’altro, la nozione di “rischio sistemico” e di “contenuto dannoso ma legale” resta elastica. Un quadro nato per proteggere il dibattito pubblico può diventare, in mani diverse o in un clima diverso, una leva di pressione sulla parola: non serve la censura esplicita, basta che la piattaforma, per non rischiare sanzioni, rimuova in eccesso.
Il volto: AI Act e biometria
L’AI Act è entrato in vigore nell’agosto 2024. Dal 2 febbraio 2025 si applicano i divieti sulle pratiche a rischio inaccettabile, tra cui l’identificazione biometrica remota in tempo reale negli spazi pubblici, come stabilisce l’Articolo 5 del regolamento. Il divieto ha però le sue eccezioni, ed è lì che vive la sostanza: resta consentito alle forze dell’ordine in “un numero limitato di casi gravi”, ricerca di persone scomparse, prevenzione di attacchi terroristici, ricerca di autori di reati gravi, con valutazione d’impatto e registrazione in una banca dati europea (in casi d’urgenza si può partire anche prima della registrazione). C’è poi l’identificazione biometrica a posteriori, la post-RBI, che analizza immagini già registrate: consentita per reati gravi, con autorizzazione. Una telecamera che riprende oggi può diventare, in seguito, il punto di partenza di un’identificazione.
Frontiere: EES ed ETIAS
Il 12 ottobre 2025 è partito l’Entry/Exit System, operativo a pieno regime dal 10 aprile 2026: sostituisce il timbro sul passaporto con un registro biometrico, nome, dati del documento, impronte digitali e immagine del volto, data e luogo di ogni ingresso e uscita dallo spazio Schengen. A ruota arriva ETIAS, l’autorizzazione elettronica di viaggio prevista per la fine del 2026: un’autorizzazione preventiva per i cittadini di Paesi terzi esentati dal visto, non un vero visto ma la stessa logica di screening a monte. Sono strumenti pensati per la frontiera esterna e per chi non è cittadino UE, ma normalizzano un principio: attraversare un confine è, per impostazione predefinita, un atto biometrico e registrato.
Denaro: antiriciclaggio, contante, euro digitale
Il regolamento antiriciclaggio dell’UE (2024/1624) introduce dal 10 luglio 2027 un tetto ai pagamenti in contanti di 10.000 euro in ambito commerciale, valido in tutta l’Unione, con la possibilità per i singoli Stati di fissare soglie più basse. Nasce l’AMLA, l’autorità europea antiriciclaggio con sede a Francoforte, operativa dal 2028; per le criptovalute arrivano due diligence sopra i 1.000 euro e divieto di conti e wallet anonimi. Sul lato pubblico, la Banca Centrale Europea prepara l’euro digitale, con un pilota atteso nella seconda metà del 2027: una passività diretta della BCE, con la garanzia di una banconota ma la tracciabilità di un bonifico. La lettura anche qui è doppia, il riciclaggio esiste davvero, ma la direzione è costante: riforma dopo riforma lo spazio dei pagamenti non tracciabili si restringe.
Il calendario: vent’anni in fila
Prese nel loro anno, erano notizie di settore. Messe in ordine, sono una traiettoria.
| Data | Evento |
|---|---|
| 2006 | Direttiva sulla data retention: obbligo di conservare i tabulati delle comunicazioni. |
| 2014 | La Corte di Giustizia UE annulla la direttiva: sorveglianza generalizzata, incompatibile con i diritti fondamentali. |
| 2016 | Direttiva PNR: i dati di prenotazione dei passeggeri aerei vengono raccolti e conservati per le indagini. |
| Mag 2022 | La Commissione propone il regolamento CSA, il futuro Chat Control: scansione dei messaggi contro la pedopornografia. |
| Feb 2024 | Il DSA è pienamente in vigore: obblighi sui contenuti e sui rischi sistemici per le piattaforme. |
| 2024 | eIDAS 2.0 e regolamento antiriciclaggio: portafoglio di identità digitale e nuove regole su contante e cripto. |
| Ago 2024 | L’AI Act entra in vigore: regole sull’IA, compresa la biometria. |
| 2 Feb 2025 | Scattano i divieti dell’AI Act sulla biometria remota in tempo reale, con le eccezioni per le forze dell’ordine. |
| 1 Apr 2025 | ProtectEU, la strategia di sicurezza interna: accesso “lecito” ai dati come obiettivo esplicito. |
| 24 Giu 2025 | Roadmap per l’accesso ai dati: data retention, intercettazione, decrittazione, Europol. |
| 12 Ott 2025 | Parte l’Entry/Exit System: impronte e volto a ogni attraversamento della frontiera esterna. |
| 26 Mar 2026 | Il Parlamento boccia Chat Control per un voto, 307 a 306. La deroga scade il 3 aprile. |
| 30 Giu 2026 | Negoziato senza accordo sul regolamento permanente: il Consiglio riscrive il testo. |
| 7 Lug 2026 | Il Parlamento approva la procedura d’urgenza: la scansione volontaria torna in agenda prima della pausa estiva. |
| Fine 2026 | ETIAS atteso; attesa anche la Technology Roadmap sulla decrittazione. |
| Luglio 2027 | Tetto al contante a 10.000 euro in tutta l’UE; pilota dell’euro digitale nella seconda metà dell’anno. |
| 2030 | Capacità di decrittazione “di nuova generazione” per Europol, obiettivo della roadmap. |
Il mosaico: cosa formano insieme
Guardate le misure non per la ragione con cui sono state presentate, ma per quello che aggiungono. Nove tessere già posate, e il mosaico non è finito.
| Misura | Giustificazione pubblica | Cosa rende visibile |
|---|---|---|
| Chat Control | Proteggere i minori | Il contenuto dei messaggi privati, prima della cifratura |
| Data retention | Prendere i criminali | Chi comunica con chi, quando, da dove |
| Roadmap decrittazione | Accesso lecito ai dati | Sviluppo di strumenti per accedere ai dati cifrati |
| eIDAS wallet | Semplificare la burocrazia | Un’unica identità verificata per accedere a tutto |
| DSA | Tutelare gli utenti | Un canale formale tra Stato e ciò che si dice online |
| AI Act biometria | Terrorismo, persone scomparse | Il volto come chiave di identificazione, in diretta e a posteriori |
| EES / ETIAS | Sicurezza delle frontiere | Ingresso e uscita registrati come record biometrico |
| Antiriciclaggio / euro digitale | Fermare il riciclaggio | Le transazioni, con lo spazio del contante che si restringe |
Lette in colonna sull’ultima voce, le misure disegnano una persona interamente leggibile: identità verificata, messaggi leggibili, volto identificabile, spostamenti registrati, pagamenti tracciati, parola incanalata. Nessuna singola legge dice questo. È l’insieme a permetterlo.
Un’infrastruttura di controllo non ha colore politico: sono banche dati, poteri di accesso, obblighi di identificazione. Chi la mette in piedi è spesso convinto di usarla bene, e a volte lo fa davvero, ma la lascia in eredità a chi verrà dopo. Le banche dati non si cancellano al cambio di governo, i poteri di accesso non scadono con la maggioranza che li ha votati. La domanda non è se ci si fida delle istituzioni europee di oggi, ma se ci si fida di tutte quelle che erediteranno questa infrastruttura, nei ventisette Paesi, per i prossimi trent’anni.
Le emergenze cambiano, l’infrastruttura resta
C’è un motivo se questi provvedimenti arrivano quasi sempre in scia a un’emergenza: l’emergenza è il grimaldello che scavalca l’obiezione naturale, il potere richiesto è troppo grande, sostituendola con una più pressante, senza quel potere la gente muore, i bambini vengono abusati, i terroristi vincono. Ma le emergenze passano. Quello che non passa è ciò che si sono lasciate dietro.
| Emergenza | Strumento nato per rispondere | Cosa è rimasto |
|---|---|---|
| Terrorismo | Data retention, PNR | Conservazione dei tabulati e dei dati di viaggio, bocciata e riproposta |
| Pedopornografia | Chat Control | Il principio della scansione dei messaggi privati, tornato in agenda a luglio 2026 |
| Riciclaggio | Limiti al contante, AMLA | Tetto ai pagamenti anonimi e autorità permanente a Francoforte |
| Disinformazione | DSA, codice sulla disinformazione | Un canale formale tra potere pubblico e ciò che si pubblica online |
| Sicurezza delle frontiere | EES, biometria | Impronte e volto in banca dati a ogni attraversamento |
| Pandemia | Certificati digitali | Un sistema di identità sanitaria digitale globale |
L’ultima riga è la più istruttiva, perché l’emergenza è finita davvero e si può vedere cosa è successo dopo. Il Certificato COVID Digitale dell’UE, il green pass, era lo strumento temporaneo per definizione, nato per la pandemia, scaduto con la pandemia. La sua base giuridica è cessata, la sua infrastruttura no: il 1° luglio 2023 l’Organizzazione Mondiale della Sanità ha adottato il sistema europeo come primo mattone della propria rete globale di certificazione sanitaria digitale, la Global Digital Health Certification Network, pensata esplicitamente per essere riusata per altri scopi: certificati vaccinali internazionali, prescrizioni transfrontaliere, cartelle cliniche. L’emergenza è finita, l’infrastruttura non solo è sopravvissuta, è stata globalizzata.
Aggirabile, ma non da tutti
Sul piano tecnico, queste misure sono aggirabili: la cifratura vera continua a esistere fuori dalle app di massa, un indirizzo si sposta con un click, una giurisdizione si cambia, un pagamento lo si spezza in tanti piccoli. Non sono muri, sono filtri. Solo che aggirarli non è alla portata di tutti: serve competenza, tempo, mezzi, e un motivo abbastanza forte per procurarseli. E chi ha davvero tutto questo è esattamente chi ha qualcosa di grosso da nascondere.
| Chi la misura dovrebbe prendere | Perché non lo prende | Chi resta scoperto |
|---|---|---|
| Rete di abuso organizzata | Opera già su canali chiusi, non sulle app scansionate | La coppia che manda foto dei figli su WhatsApp |
| Cellula terroristica | Usa strumenti propri e giurisdizioni fuori portata | Il cittadino che usa la messaggistica di default |
| Grande evasore | Muove capitali con strutture estere dedicate | Chi preleva contante e paga con carta tracciata |
| Riciclatore professionale | Ha reti e consulenti per restare sotto soglia | Il piccolo commerciante sopra il tetto dei 10.000 euro |
Il risultato è rovesciato rispetto alle promesse: si rinuncia alla privacy dei molti per prendere i pochi, e i pochi sono proprio quelli che scappano. Terroristi, reti di abuso, evasori e riciclatori continueranno in larga parte indisturbati. A pagare il conto sono i soliti, chi la tecnologia la usa così come gliela danno.
La difesa diventa il bersaglio: le VPN
C’è uno strumento che avvicina un minimo di autodifesa anche a chi non è un esperto: la VPN. Sposta l’indirizzo, incapsula il traffico in un tunnel cifrato, non è anonimato assoluto ma è la cosa più vicina a uno scudo che una persona normale possa installare in due minuti. Decine di milioni la usano, ed è per questo che è finita nel mirino. Non con un divieto vero e proprio: le notizie su un “bando delle VPN” travisano un documento di ricerca del Parlamento, non una legge, come chiarisce il fact check di Euronews. Ma su due fronti distinti la pressione è reale e documentata.
Il primo fronte sono le indagini: il rapporto dell’High-Level Group che alimenta ProtectEU elenca per la prima volta le VPN tra le “key challenges” per le forze dell’ordine, accanto a dispositivi e app cifrate, e l’espansione della data retention prevista dalla roadmap del giugno 2025 mette i provider VPN tra i soggetti potenzialmente obbligati a registrare e conservare dati, come ricostruisce TechRadar. Il secondo fronte è la verifica dell’età: ad aprile 2025 la Commissione ha annunciato un’app europea per verificare l’età online entro fine 2026, basata su documenti d’identità e legata all’identità digitale. In conferenza stampa la vicepresidente esecutiva Henna Virkkunen ha detto che “la VPN non deve permettere di aggirare il sistema”, e che impedirlo potrebbe far parte dei “prossimi passi”. Una proposta legislativa è attesa intorno alla metà del 2026: non sanzioni penali per chi usa una VPN, ma obblighi sui provider, registrazione, log dei metadati di connessione, blocchi IP su ordine.
Cosa questa analisi non fa, ad oggi: non afferma che una legge vieti l’uso delle VPN da parte dei cittadini — quanto circolato online è un fraintendimento di un documento di ricerca del Parlamento, non un atto legislativo; non tratta come definitiva la proposta sulla verifica dell’età, attesa a metà 2026 ma non ancora presentata in forma definitiva; non anticipa i dettagli tecnici della Technology Roadmap sulla decrittazione, prevista nel 2026 ma non ancora pubblica.
Il cortocircuito si chiude qui: la stessa verifica dell’età che pretende un’identità verificata è la ragione per cui la VPN finisce sotto esame. Quando le persone comuni provano a difendersi, la risposta non è fermarsi, è mettere sotto regola anche la difesa.
Nessuno ha votato la sorveglianza. La si sta costruendo una legge alla volta. Il pericolo non è il singolo tassello. È il mosaico. E si vede solo guardando l’insieme.
Fonti: Commissione europea (roadmap accesso ai dati), Commissione europea (cifratura), Parlamento europeo (Legislative Train, sicurezza interna), Parlamento europeo (Legislative Train, data retention), EDRi, EFF, AI Act, Art. 5, Commissione europea (EES), OMS, OMS (GDHCN), Euronews (fact check VPN), TechRadar, Euronews (proroga scansione), ANSA, Guerre di Rete, Agenda Digitale.
Andrea Amani — Security Engineer · Signal Pirate
Security engineer. Sul suo laboratorio Signal Pirate smonta algoritmi, protocolli e sistemi e ne pubblica l’analisi tecnica con dati reali e codice riproducibile. Studia come funzionano le cose, dalla sicurezza offensiva agli agenti AI, e scrive quello che trova.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Andrea Amani
Source link





