Introduzione
La proposta di regolamento 2022/0155/COD (Child Sexual Abuse Regulation – CSAR), nota al pubblico come Chat Control, mira a introdurre un quadro normativo armonizzato nell’UE per la prevenzione e il contrasto dell’abuso sessuale online su minori. Il testo impone ai fornitori di servizi digitali obblighi specifici di rilevazione, segnalazione e rimozione di contenuti pedopornografici, sia noti che nuovi, e di casi di grooming. Obiettivo del regolamento è rafforzare la cooperazione tra Stati membri e garantire una tutela uniforme dei minori nello spazio digitale europeo.

Il Centro dell’UE per la lotta all’abuso sessuale su minori
La CSAR prevede l’istituzione di un Centro dell’Unione europea con funzioni operative e di supporto alle autorità di contrasto. Questo organismo gestirà la banca dati degli indicatori di materiale pedopornografico — noto e nuovo — e dei casi potenziali di adescamento, costituendo il fulcro delle attività di coordinamento previste dalla regolazione Chat Control.

Obblighi dei fornitori di servizi digitali
La CSAR impone ai prestatori di hosting e ai servizi di comunicazione interpersonale tre obblighi principali: rilevazione, segnalazione e rimozione dei contenuti illeciti.
La rilevazione è consentita solo su ordine dell’autorità competente, che valuta necessità e proporzionalità. I fornitori devono applicare tecnologie idonee a individuare materiale pedopornografico noto, materiale pedopornografico nuovo e grooming, utilizzando gli indicatori forniti dal Centro UE.
I contenuti rilevati dovranno essere segnalati tempestivamente al Centro, che li verifica prima dell’eventuale trasmissione alle autorità di contrasto.

Il parere congiunto EDPB–EDPS e l’affidabilità dei sistemi di rilevazione
Il parere congiunto EDPB–EDPS n. 4/2022 analizza l’affidabilità delle tecnologie previste dalla CSAR.
Per il materiale pedopornografico noto, vengono utilizzati sistemi di hashing estremamente affidabili, con un tasso di falsi positivi pari a 1 su 50 miliardi (0,000000002%).
Per il materiale nuovo, la rilevazione avviene tramite algoritmi e sistemi di intelligenza artificiale, che presentano margini di errore molto più elevati: anche con una precisione del 99,9% resta un tasso di falsi positivi dello 0,1%, e solo l’80% del materiale illecito viene individuato.
Criticità emergono anche nel rilevamento del grooming nei messaggi di testo, dove l’accuratezza media è dell’88%, con un 12% di conversazioni segnalate come illecite che potrebbero essere infondate.
Il parere segnala inoltre che la proposta si estende alle comunicazioni audio, ma non esiste ad oggi un metodo tecnicamente validato per rilevare il grooming in questo contesto.

Protezione dei dati personali e tecnologie di client-side scanning
Le attività di rilevazione e segnalazione comportano un trattamento di dati personali, che trova base giuridica nell’art. 6(1)(c) GDPR come adempimento di un obbligo legale.
La CSAR prevede inoltre l’uso di tecnologie di client-side scanning, che analizzano i contenuti direttamente sul dispositivo dell’utente prima della cifratura end-to-end. Tali tecnologie sollevano criticità rilevanti in termini di riservatezza, sicurezza, sorveglianza generalizzata e possibile indebolimento della cifratura, rischiando di confliggere con gli articoli 7 e 8 della Carta dei diritti fondamentali dell’UE.
Il dibattito attuale riguarda quindi il bilanciamento tra tutela dei minori online e protezione dei diritti fondamentali, con l’obiettivo di evitare un’erosione delle libertà digitali degli utenti europei.