// Il Voto di Luglio
Sezione 00. Chat Control, la cronacaIl 26 marzo 2026 il Parlamento europeo aveva detto no. Con 307 voti contro 306, un voto di scarto, aveva rifiutato di prorogare la deroga che permette alle piattaforme di scansionare i messaggi privati a caccia di materiale pedopornografico. La deroga e' poi scaduta il 3 aprile. Sembrava chiuso.
Non era chiuso. Il 30 giugno il quinto e presunto ultimo negoziato tra Parlamento, Consiglio e Commissione sul regolamento permanente, il cosiddetto Chat Control 2.0, si e' concluso senza accordo. Il Parlamento ha tenuto la sua linea rossa: no alla scansione obbligatoria e indiscriminata di tutte le comunicazioni, comprese quelle cifrate di WhatsApp, Signal, Telegram. Il Consiglio voleva rendere permanente la scansione. Stallo.
A quel punto il Consiglio ha scelto un'altra strada. Ha riscritto il testo come se fosse una legge nuova e identica, e lo ha spinto sul tavolo del Parlamento con richiesta di procedura d'urgenza, l'ultima settimana utile prima della pausa estiva. Il 7 luglio il Parlamento ha approvato l'accelerazione. Lo stesso Parlamento che a marzo aveva bocciato la misura per un voto ha rimesso in corsa la deroga, con il voto finale nel merito previsto in plenaria a ridosso della pausa.
Il metodo, in un caso solo. Una misura contestata viene respinta di misura. Non muore: viene riscritta, ripresentata come nuova, accelerata in urgenza mentre l'attenzione cala. Non serve uno strappo. Basta la persistenza e il calendario giusto.
Chat Control e' l'esempio piu' visibile perche' e' la vicenda piu' recente. Preso da solo, pero', racconta poco: non conta la singola proposta, conta la direzione in cui spinge. Qui sotto ho messo in fila quello che l'UE ha costruito negli ultimi anni, con le date, per guardare l'insieme.
// Non Serve Uno Strappo
Sezione 01. La tesiNessuna delle misure di cui parliamo, presa isolata, e' la sorveglianza di massa da romanzo distopico. Ciascuna ha un obiettivo che si difende bene in pubblico: proteggere i minori, fermare i terroristi, semplificare la burocrazia, combattere il riciclaggio, arginare la disinformazione. Argomenti ragionevoli, e chi prova a contestarli si ritrova a difendere l'indifendibile.
E la sorveglianza non arriva mai col suo nome. Si presenta come sicurezza, o come efficienza, o come tutela, e arriva a pezzi, ciascuno votato in un momento diverso, da maggioranze diverse, con motivazioni diverse. Nessuno, a un certo punto, si alza e propone di sorvegliare tutti. Si chiede di verificare l'identita' online per proteggere i bambini, di conservare i tabulati per prendere i criminali, di introdurre il portafoglio digitale per evitare le file, di mettere un tetto al contante per stanare i riciclatori.
Presi uno per uno, sono frammenti. Quasi nessuno si ferma a chiedersi cosa compongano una volta accostati, e quasi nessuno nota che questi frammenti, una volta posati, non si tolgono piu'. Una legge di sicurezza che passa tende a restare, e col tempo a espandersi. Il temporaneo diventa permanente, la deroga scade e viene riproposta, la banca dati nata per un reato grave finisce aperta ad altri reati.
La logica del cricchetto. Un cricchetto gira in un senso solo. Gli strumenti di controllo si aggiungono, quasi mai si smontano, e il potere nuovo parte dalla base lasciata dal precedente. Non si torna al punto di partenza: si riparte sempre da un gradino piu' su.
// Le Comunicazioni
Sezione 02. Messaggi, tabulati, cifraturaChat Control, nella sua versione piu' dura, prevedeva ordini di individuazione che avrebbero imposto alle piattaforme di scansionare i contenuti sul dispositivo dell'utente prima che venissero cifrati. Si chiama client-side scanning, e viene venduto come compromesso: la cifratura resta intatta, il controllo avviene prima. Tecnicamente e' un inganno. Se il messaggio viene letto prima di essere cifrato, la cifratura non protegge piu' niente. Hai costruito una porta di servizio e l'hai messa dentro casa.
Non lo dice un gruppo di attivisti. Lo hanno scritto oltre 500 scienziati con competenze in crittografia e sicurezza, in una lettera aperta: la misura e' tecnicamente inattuabile senza minare la sicurezza e la privacy di tutti i cittadini europei. Una porta di servizio non distingue tra un investigatore e un criminale. E' aperta per entrambi.
Chat Control e' solo il fronte piu' rumoroso. Dietro ce ne sono altri due, meno pubblicizzati e piu' strutturali.
Il primo e' la conservazione dei dati di traffico, la data retention. La direttiva europea del 2006 obbligava gli operatori a conservare i tabulati di chi chiama chi, quando, da dove. Nel 2014 la Corte di Giustizia dell'UE l'ha annullata: sorveglianza generalizzata e indiscriminata, incompatibile con i diritti fondamentali. Sentenza netta. Undici anni dopo, nel 2025, la Commissione ha annunciato una valutazione d'impatto per aggiornare le regole sulla conservazione dei dati. Detto altrimenti: riproporre, in forma aggiornata, quello che la Corte aveva bocciato.
Il secondo e' ProtectEU, la strategia di sicurezza interna presentata il 1 aprile 2025. Il 24 giugno 2025 la Commissione ha pubblicato una tabella di marcia per l'accesso "lecito ed efficace" ai dati da parte delle forze dell'ordine. Sei aree: conservazione dei dati, intercettazione, forense digitale, decrittazione, standardizzazione, IA. Dentro c'e' una Technology Roadmap on encryption, prevista per il 2026, che deve individuare soluzioni tecniche per accedere ai dati cifrati. E c'e' l'obiettivo di dare a Europol capacita' di decrittazione "di nuova generazione" dal 2030.
Da una parte l'UE tutela, giustamente, la cifratura come infrastruttura critica. Dall'altra finanzia, per legge e con soldi pubblici, gli strumenti per aggirarla quando le serve. Le due cose stanno nello stesso pacchetto, e dove finisca l'una e cominci l'altra lo decidono le scelte politiche del momento.
// L'Identita'
Sezione 03. eIDAS 2.0, il portafoglio digitaleNel 2024 l'UE ha adottato eIDAS 2.0, il regolamento che introduce il Portafoglio Europeo di Identita' Digitale. Un'app, sul telefono, che raccoglie documenti e credenziali: carta d'identita', patente, titoli di studio, tessera sanitaria, credenziali di accesso ai servizi. Entro il 2026 tutti gli Stati membri devono offrirlo ai cittadini.
Sulla carta e' comodo. Un solo strumento per identificarti ovunque, meno file, meno fotocopie, meno password. I sostenitori parlano di semplificazione e di controllo dell'utente sui propri dati. E in parte e' vero: il modello prevede che sia l'utente a decidere quali attributi mostrare.
Il rischio non sta nel singolo uso, ma nella centralizzazione. Quando la stessa identita' verificata diventa la chiave per la sanita', la banca, i social, i servizi pubblici, l'acquisto online, finisce per essere anche il punto in cui tutto converge. La stessa cosa che la rende comoda, un'unica credenziale che ti segue ovunque, la rende potente: tiene insieme attivita' che prima restavano separate. Chi controlla il registro, o chi puo' pretendere quella credenziale per un numero sempre maggiore di operazioni, ottiene una visione che nessun documento di carta ha mai dato.
// I Contenuti
Sezione 04. DSA e disinformazioneIl Digital Services Act e' pienamente in vigore dal 17 febbraio 2024. Impone alle piattaforme, in particolare a quelle molto grandi, obblighi sulla gestione dei contenuti illegali e sulla mitigazione dei "rischi sistemici". A questo si aggiunge il Code of Practice on Disinformation, il codice di condotta contro la disinformazione, integrato nel quadro del DSA.
Qui la lettura e' genuinamente a due facce, e vale la pena tenerle entrambe. Da un lato il DSA da' agli utenti strumenti reali: trasparenza sugli algoritmi, diritto di contestare le rimozioni, obblighi per le piattaforme che prima rispondevano solo a se stesse. E' anche l'arma con cui l'Europa prova a mettere un limite allo strapotere delle Big Tech.
Dall'altro, la nozione di "rischio sistemico" e di "contenuto dannoso ma legale" e' elastica. Chi decide cosa e' disinformazione? Con quali criteri, e con quali margini di errore? Un quadro nato per proteggere il dibattito pubblico puo' diventare, in mani diverse o in un clima diverso, una leva di pressione sulla parola. Non serve la censura esplicita: basta che la piattaforma, per non rischiare sanzioni, rimuova in eccesso. Il DSA non e' censura. Costruisce pero' un canale formale tra il potere pubblico e cio' che puoi dire online, e quel canale resta al suo posto anche quando cambia chi lo usa.
// Il Volto
Sezione 05. AI Act e biometriaL'AI Act e' entrato in vigore nell'agosto 2024. Dal 2 febbraio 2025 si applicano i divieti sulle pratiche a rischio inaccettabile, tra cui l'identificazione biometrica remota in tempo reale negli spazi pubblici. Sulla carta, un divieto. Un buon divieto.
Il divieto pero' ha le sue eccezioni, ed e' nelle eccezioni che vive la sostanza. L'identificazione biometrica in tempo reale resta consentita alle forze dell'ordine in "un numero limitato di casi gravi": ricerca di persone scomparse, prevenzione di attacchi terroristici, ricerca di autori di reati gravi. L'uso richiede una valutazione d'impatto sui diritti fondamentali e la registrazione in una banca dati europea. Ma in casi di urgenza si puo' partire prima della registrazione, salvo completarla dopo.
C'e' poi l'identificazione biometrica a posteriori, la post-RBI: riconoscere un volto non in diretta ma analizzando immagini gia' registrate. Consentita per reati gravi, con autorizzazione. Significa che una telecamera che ti riprende adesso puo' diventare, in seguito, il punto di partenza di un'identificazione, quando le immagini vengono riesaminate.
"Vietato, salvo per terrorismo, reati gravi, persone scomparse, urgenza." Ogni eccezione, presa da sola, sembra ragionevole. Sommate cambiano completamente il risultato: dentro quel perimetro la sorveglianza biometrica non e' solo possibile, e' legale.
// Le Frontiere
Sezione 06. EES ed ETIASIl 12 ottobre 2025 e' partito l'Entry/Exit System (EES), operativo a pieno regime dal 10 aprile 2026. Sostituisce il timbro sul passaporto con un registro biometrico: nome, dati del documento, impronte digitali e immagine del volto, data e luogo di ogni ingresso e uscita dallo spazio Schengen. Da quel momento, attraversare la frontiera esterna significa lasciare un record biometrico in una banca dati centrale.
A ruota arriva ETIAS, l'autorizzazione elettronica di viaggio prevista verso la fine del 2026. Un'autorizzazione preventiva per i cittadini di Paesi terzi esentati dal visto: prima di partire, chiedi il permesso, paghi, e un sistema decide se puoi entrare. Non e' un visto, ma la logica e' quella dello screening a monte.
Sono strumenti pensati per la frontiera esterna e per chi non e' cittadino UE. Normalizzano pero' un principio: attraversare un confine e', per impostazione predefinita, un atto biometrico e registrato. E una volta costruita, l'infrastruttura resta. Cosa collegarci e chi potra' consultarla si stabilisce dopo, in sede politica.
// Il Denaro
Sezione 07. Antiriciclaggio, contante, euro digitaleIl regolamento antiriciclaggio dell'UE (2024/1624) introduce dal 10 luglio 2027 un tetto ai pagamenti in contanti di 10.000 euro in ambito commerciale, valido in tutta l'Unione, con la possibilita' per i singoli Stati di fissare soglie piu' basse. Nasce l'AMLA, l'autorita' europea antiriciclaggio con sede a Francoforte, operativa dal 2028. Per le criptovalute: due diligence completa sopra i 1.000 euro, divieto di conti anonimi e di custodial wallet anonimi, stop alle privacy coin sulle piattaforme regolate.
Sul lato pubblico, la Banca Centrale Europea prepara l'euro digitale, con un pilota atteso nella seconda meta' del 2027. Sarebbe una passivita' diretta della BCE, con la garanzia sovrana di una banconota ma la tracciabilita' di un bonifico. La BCE dice che tutelera' la privacy per i pagamenti quotidiani. I critici osservano che un contante programmabile e tracciabile per costruzione e', in prospettiva, lo strumento di visibilita' finanziaria piu' potente mai esistito.
Anche qui, la lettura onesta e' doppia. Il riciclaggio esiste, l'anonimato assoluto del denaro serve anche alla criminalita', un tetto al contante non e' di per se' tirannia. Ma la direzione e' sempre quella: riforma dopo riforma, lo spazio dei pagamenti non tracciabili si restringe e quello dei pagamenti registrati si allarga. Il contante e' l'ultimo che non lascia una riga in un database, e lo si sta comprimendo, un tetto e una soglia per volta.
// Il Calendario
Sezione 08. Vent'anni in filaPrese nel loro anno, erano notizie di settore. Messe in ordine, sono una traiettoria.
// Il Mosaico
Sezione 09. Cosa formano insiemeGuarda le misure non per la ragione con cui sono state vendute, ma per quello che aggiungono. Ciascuna rende visibile un pezzo di vita che prima non lo era: da sola e' un frammento, e il quadro si vede solo mettendole tutte insieme.
9 tessere gia' posate. E il mosaico non e' finito.
| Misura | Giustificazione pubblica | Cosa rende visibile |
|---|---|---|
| Chat Control | Proteggere i minori | Il contenuto dei messaggi privati, prima della cifratura |
| Data retention | Prendere i criminali | Chi comunica con chi, quando, da dove |
| Roadmap decrittazione | Accesso lecito ai dati | Lo sviluppo di strumenti per ottenere accesso ai dati cifrati |
| eIDAS wallet | Semplificare la burocrazia | Una sola identita' verificata per accedere a tutto |
| DSA | Tutelare gli utenti | Un canale formale tra Stato e cio' che si dice online |
| AI Act biometria | Terrorismo, persone scomparse | Il volto come chiave di identificazione, in diretta e a posteriori |
| EES / ETIAS | Sicurezza delle frontiere | Ingresso e uscita registrati come record biometrico |
| Antiriciclaggio / euro digitale | Fermare il riciclaggio | Le transazioni, con lo spazio del contante che si stringe |
Leggile in colonna, sull'ultima voce: disegnano una persona interamente leggibile. Identita' verificata, messaggi leggibili, volto identificabile, spostamenti registrati, pagamenti tracciati, parola incanalata. Nessuna singola legge dice questo. L'insieme lo permette.
Conta soprattutto una cosa, al di la' delle intenzioni di chi governa adesso. Un'infrastruttura di controllo non ha colore politico: sono banche dati, poteri di accesso, obblighi di identificazione. Chi la mette in piedi di solito e' convinto di usarla bene, e a volte lo fa davvero, ma la lascia in eredita' a chi verra' dopo. Le banche dati non si cancellano al cambio di governo, i poteri di accesso non scadono con la maggioranza che li ha votati. Non devi chiederti se ti fidi delle istituzioni europee di oggi, ma se ti fidi di tutte quelle che erediteranno questa infrastruttura, nei ventisette Paesi, per i prossimi trent'anni.
Non chiederti se chi governa oggi vorra' abusarne. Chiediti cosa consentirebbe questo strumento a chiunque, un domani, decidesse di farlo. Le persone cambiano a ogni elezione; l'architettura che si lasciano dietro no, ed e' quella con cui avrai a che fare.
// Le Emergenze Cambiano, L'Infrastruttura Resta
Sezione 10. Il pretesto e cio' che lasciaC'e' un motivo se questi provvedimenti arrivano quasi sempre in scia a un'emergenza. L'emergenza e' il grimaldello: serve a scavalcare l'obiezione naturale, che il potere richiesto e' troppo grande, sostituendola con una piu' pressante, che senza quel potere la gente muore, i bambini vengono abusati, i terroristi vincono. Davanti a un'emergenza, chiedere garanzie sembra un lusso da tempi di pace.
Ma le emergenze passano. Quello che non passa e' cio' che si sono lasciate dietro.
| Emergenza | Strumento nato per rispondere | Cosa e' rimasto |
|---|---|---|
| Terrorismo | Data retention, PNR | Conservazione dei tabulati e dei dati di viaggio. Bocciata, riproposta. |
| Pedopornografia | Chat Control | Il principio della scansione dei messaggi privati, tornato in agenda a luglio 2026. |
| Riciclaggio | Limiti al contante, AMLA | Tetto ai pagamenti anonimi e autorita' permanente a Francoforte. |
| Disinformazione | DSA, codice sulla disinformazione | Un canale formale tra potere pubblico e cio' che si pubblica online. |
| Sicurezza delle frontiere | EES, biometria | Impronte e volto in banca dati a ogni attraversamento. |
| Pandemia | Certificati digitali | Un sistema di identita' sanitaria digitale globale. |
L'ultima riga e' la piu' istruttiva, perche' l'emergenza e' finita davvero e possiamo vedere cosa e' successo dopo. Il Certificato COVID Digitale dell'UE, il green pass, era lo strumento temporaneo per definizione: nato per la pandemia, scaduto con la pandemia. La sua base giuridica e' cessata. La sua infrastruttura no. Il 1 luglio 2023 l'Organizzazione Mondiale della Sanita' ha adottato il sistema europeo come primo mattone della propria rete globale di certificazione sanitaria digitale, la GDHCN, disegnata esplicitamente per essere riusata per altri scopi: digitalizzazione dei certificati vaccinali internazionali, verifica delle prescrizioni transfrontaliere, cartelle cliniche. L'emergenza e' finita. L'infrastruttura non solo e' sopravvissuta: e' stata globalizzata e riconvertita.
Il pattern. Le motivazioni cambiano di continuo, terrorismo, abusi, riciclaggio, disinformazione, frontiere, pandemia, pretesti diversi per la stessa spinta. A non cambiare mai e' il residuo: a emergenza finita l'infrastruttura resta al suo posto, e quasi nessuna viene mai smontata.
// Aggirabile, Ma Non Da Tutti
Sezione 11. L'asimmetriaResta la parte piu' amara di tutte. Sul piano tecnico, queste misure sono aggirabili. La cifratura vera continua a esistere, fuori dalle app di massa. Un indirizzo si sposta con un click, una giurisdizione si cambia, un pagamento lo si spezza in tanti piccoli, un'identita' la si tiene lontana dai servizi che la pretendono. Non sono muri, sono filtri.
Solo che aggirarli non e' alla portata di tutti. Serve competenza, tempo, mezzi, e un motivo abbastanza forte per procurarseli. E chi ha davvero tutto questo, competenza, tempo, mezzi e motivo, e' esattamente chi ha qualcosa di grosso da nascondere.
| Chi la misura dovrebbe prendere | Perche' non lo prende | Chi resta scoperto |
|---|---|---|
| La rete di abuso organizzata | Opera gia' su canali chiusi, non sulle app che verrebbero scansionate | La coppia che si manda le foto dei figli su WhatsApp |
| La cellula terroristica | Usa strumenti propri e giurisdizioni fuori portata | Il cittadino che usa la messaggistica di default |
| Il grande evasore | Muove capitali con strutture estere e schemi dedicati | Chi preleva contante e paga con la carta tracciata |
| Il riciclatore professionale | Ha reti e consulenti per restare sotto le soglie | Il piccolo commerciante sopra il tetto dei 10.000 euro |
Il risultato e' rovesciato rispetto alle promesse. La sorveglianza si costruisce nel nome dei pochi che dovrebbe fermare, e sono proprio loro ad avere i mezzi per sfilarsene, spostandosi su quello che non e' coperto, o raggiunto, o scansionato. La rete si chiude su chi non aveva niente da nascondere, e nessuna ragione per imparare ad aggirarla.
L'asimmetria. Rinunci alla privacy dei molti per prendere i pochi, e i pochi sono proprio quelli che scappano. Terroristi, reti di abuso, evasori e riciclatori continueranno in larga parte indisturbati. A pagare il conto, come sempre, saranno i soliti: chi la tecnologia la usa cosi' come gliela danno.
// La Difesa Diventa il Bersaglio
Sezione 12. Le VPNC'e' uno strumento che avvicina un minimo di autodifesa anche a chi non e' un esperto: la VPN. Sposta il tuo indirizzo, incapsula il traffico in un tunnel cifrato, ti fa sembrare altrove. Non e' anonimato assoluto, ma e' la cosa piu' vicina a uno scudo che una persona normale possa installare in due minuti. Decine di milioni la usano.
Ed e' esattamente per questo che e' finita nel mirino. Non con un divieto, va detto con precisione: le notizie su un "bando delle VPN" travisano un documento di ricerca del Parlamento, non una legge. Ma su due fronti distinti la pressione e' reale e documentata.
Il primo fronte sono le indagini. Il rapporto dell'High-Level Group che alimenta la strategia ProtectEU elenca, per la prima volta, le VPN tra le "key challenges" per le forze dell'ordine, accanto ai dispositivi e alle app cifrate. E l'espansione della conservazione dei dati prevista dalla roadmap del giugno 2025 mette i provider VPN tra i soggetti potenzialmente obbligati a registrare e conservare.
Il secondo fronte e' la verifica dell'eta'. Ad aprile 2025 la Commissione ha annunciato un'app europea per verificare l'eta' online entro fine 2026, basata su documenti d'identita' e legata all'identita' digitale. In conferenza stampa la vicepresidente esecutiva Henna Virkkunen ha detto che "la VPN non deve permettere di aggirare il sistema", e che impedirlo potrebbe far parte dei "prossimi passi". Una proposta legislativa e' attesa intorno alla meta' del 2026. Sul tavolo non ci sono sanzioni penali per chi usa una VPN, ma obblighi sui provider: registrazione, log dei metadati di connessione, blocchi IP su ordine, misure tecniche contro l'aggiramento.
Il cerchio si chiude. Guarda il cortocircuito: la stessa verifica dell'eta' che pretende la tua identita' verificata, la tessera 01, e' la ragione per cui la VPN va chiusa. Quando le persone comuni provano a difendersi, la risposta non e' fermarsi, e' mettere sotto regola anche la difesa. Il controllo arriva perfino allo strumento che useresti per sottrartici.
Nessuno ha votato la sorveglianza.
La stanno costruendo una legge alla volta.
Il pericolo non e' il singolo tassello. E' il mosaico.
Guarda l'insieme. E' l'unico modo per vederlo.
// Fonti
Documenti e coperture verificate
Commissione europea, Roadmap for lawful and effective access to data for law enforcement (24 giu 2025): home-affairs.ec.europa.eu
Commissione europea, pagina su cifratura e accesso lecito: home-affairs.ec.europa.eu/encryption
Parlamento europeo, Legislative Train, strategia di sicurezza interna: europarl.europa.eu
Parlamento europeo, Legislative Train, data retention: europarl.europa.eu
EDRi, critica a ProtectEU: edri.org
EFF, contro il rilancio della data retention: eff.org
AI Act, testo dell'Articolo 5 (pratiche vietate): artificialintelligenceact.eu
Commissione europea, Entry/Exit System (EES): home-affairs.ec.europa.eu/ees
OMS, Commissione UE e OMS lanciano l'iniziativa di sanita' digitale, l'UE cede il sistema del certificato COVID (5 giu 2023): who.int
OMS, Global Digital Health Certification Network (GDHCN): who.int/gdhcn
Euronews, fact check: l'UE sta per limitare le VPN? (15 mag 2026): euronews.com
TechRadar, l'UE prepara il terreno a una data retention piu' ampia, e i provider VPN sono tra i target: techradar.com
Euronews, proroga del regime di scansione dei messaggi (7 lug 2026): euronews.com
ANSA, tensione sul voto d'urgenza al PE (6 lug 2026): ansa.it
Guerre di Rete, L'eterno ritorno di Chat Control: guerredirete.it
Agenda Digitale, Chat Control 2.0: agendadigitale.eu