In un duplice e significativo impulso alla regolamentazione della sicurezza online, mercoledì le istituzioni dell’Unione Europea hanno avanzato due importanti quadri normativi: un accordo del Consiglio sul regolamento sul materiale pedopornografico (CSAM) che preserva la crittografia end-to-end, e un voto del Parlamento che chiede un’età del consenso digitale armonizzata di 16 anni.
Rompendo uno stallo durato anni, gli Stati membri hanno adottato una posizione sul”controllo della chat”che rimuove i controversi ordini di rilevamento obbligatorio per i servizi crittografati.
Raggiunto dal Consiglio dell’UE, questo compromesso rappresenta un cambiamento rispetto alla proposta originale della Commissione, affrontando le preoccupazioni sulla privacy eliminando gli obblighi di decrittografia dei dati mantenendo meccanismi di scansione volontari.
Contemporaneamente, il Parlamento europeo ha segnalato un più ampio giro di vite contro accesso degli adolescenti alle piattaforme. I legislatori hanno votato a stragrande maggioranza a favore di un rapporto che richiede un’età minima di 16 anni per l’uso dei social media senza il consenso dei genitori, insieme al divieto di”design che creano dipendenza”, come lo scorrimento infinito.
Il voto della Germania si è rivelato decisivo per sbloccare l’accordo del Consiglio sui materiali pedopornografici. Berlino, che in precedenza deteneva una minoranza di blocco a causa delle preoccupazioni sulla privacy e sulla crittografia, ha deciso di sostenere la proposta dopo che il testo è stato modificato per proteggere esplicitamente le tecnologie di comunicazione sicure.
Secondo i risultati della votazione, il compromesso ha ottenuto un sostegno sufficiente nonostante l’opposizione di Paesi Bassi, Polonia, Repubblica Ceca e Slovacchia.
Garanzie specifiche per la sicurezza informatica
Le garanzie specifiche per le misure di sicurezza informatica sono incluso nel testo concordato. Secondo la nuova posizione, il regolamento è strutturato in modo da evitare l’indebolimento dei protocolli di crittografia.
Il documento di orientamento generale del Consiglio afferma:
“Il presente regolamento non vieta, rende impossibile, indebolisce, elude o indebolisce in altro modo le misure di sicurezza informatica, in particolare la crittografia, compresa la crittografia end-to-end, attuate dai pertinenti servizi della società dell’informazione o dagli utenti.”
“Il presente regolamento non crea alcun obbligo che imponga a un fornitore di servizi di hosting o a un fornitore di servizi di comunicazione interpersonale di decrittografare dati o creare accesso a dati crittografati end-to-end, o che impedirebbe ai fornitori di offrire servizi crittografati end-to-end.”
Escludendo esplicitamente i mandati di decrittazione, la disposizione mira a rassicurare i critici che temevano che la”scansione lato client”o i mandati backdoor avrebbero effettivamente violato la crittografia end-to-end. Eliminando gli obblighi di decrittografia dei dati, il Consiglio tenta di bilanciare le esigenze delle forze dell’ordine con i diritti fondamentali alla privacy.
Nonostante la rimozione degli ordini di rilevamento obbligatori per i servizi crittografati, il compromesso estende indefinitamente un meccanismo controverso. L’accordo rende permanente l’esenzione temporanea ai sensi del regolamento 2021/1232, che attualmente consente alle piattaforme di eseguire volontariamente la scansione di materiale pedopornografico senza violare le norme sulla e-privacy. In precedenza, questa esenzione sarebbe dovuta scadere il 3 aprile 2026.
Secondo il testo di compromesso della presidenza:
“La deroga a determinate disposizioni della direttiva 2002/58/CE allo scopo di combattere l’abuso sessuale sui minori è resa permanente attraverso una modifica del regolamento (UE) 2021/1232.”
“Le attività di volontariato dei fornitori che si avvalgono della deroga ai sensi del regolamento (UE) 2021/1232 sono incluse come possibile misura di mitigazione, senza imporre alcun obbligo di rilevamento ai fornitori.”
Peter Hummelgaard, ministro della Giustizia danese, ha giustificato l’urgenza delle misure sottolineando la portata del problema.
Ha osservato che”Ogni anno vengono condivisi milioni di file che descrivono abusi sessuali su bambini e dietro ogni singola immagine e video c’è un bambino che è stato sottoposto agli abusi più orribili e terribili del tutto inaccettabile.”
Questo sentimento riflette la pressione sugli Stati membri affinché agiscano contro la proliferazione di materiale illegale mentre si muovono nelle complessità tecniche dei moderni servizi digitali.
Secondo il testo concordato, verrà introdotta una nuova categorizzazione di”Alto rischio”per le piattaforme basata su criteri oggettivi. I servizi classificati come ad alto rischio potrebbero subire pressioni per adottare queste misure”volontarie”per mitigare la loro responsabilità o il loro stato di rischio.
I sostenitori della privacy, incluso il Partito Pirata, sostengono che questa struttura crea un obbligo”de facto”di scansione, aggirando di fatto le protezioni di crittografia sulla carta.
Per sostenere questi sforzi, il regolamento istituisce una nuova UE Centro sugli abusi sessuali sui minori. Questa agenzia gestirà il database degli indicatori utilizzati per il rilevamento e supporterà le autorità nazionali nell’applicazione delle norme. L’ubicazione del Centro rimane indecisa e sarà determinata in futuri negoziati.
Pubblica del Parlamento: limite di età 16+ e design avvincente
Separatamente, il Parlamento europeo ha adottato un relazione non legislativa con un decisivo 483 voti a favore contro 92 contrari. Sostituendo l’attuale flessibilità prevista dal GDPR, il rapporto chiede un’età minima digitale armonizzata a 16 anni per l’accesso ai social media a livello europeo.
A differenza della repressione australiana sugli account degli adolescenti che propone un divieto totale per i minori di 16 anni, il rapporto adottato delinea un modello in cui l’accesso ai ragazzi di età compresa tra 13 e 16 anni è consentito a condizione che vi sia il consenso dei genitori. Mirato a bilanciare la protezione con i diritti digitali, questo approccio evita una completa esclusione dagli spazi online.
Christel Schaldemose, il relatore principale del Parlamento, ha sottolineato il cambiamento nel tono normativo, affermando:”Stiamo finalmente tracciando una linea. Stiamo dicendo chiaramente alle piattaforme: i vostri servizi non sono progettati per i bambini. E l’esperimento finisce qui.”
I suoi commenti riflettono un crescente consenso tra i legislatori sul fatto che le misure volontarie del settore non sono riuscite a proteggere adeguatamente i bambini.
Oltre i limiti di età, il rapporto chiede il divieto di”design che creano dipendenza”per i minori. Nello specifico, il Parlamento prende di mira funzionalità come lo scorrimento infinito e la riproduzione automatica, che sono viste come uno sfruttamento delle vulnerabilità dei giovani utenti per massimizzare il coinvolgimento.
I legislatori sostengono che queste scelte progettuali contribuiscono a problemi di salute mentale e dovrebbero essere vietate per impostazione predefinita per gli account minori.
Per far rispettare questi divieti, i legislatori chiedono che siano codificati nel Digital Fairness Act. Si prevede che questa prossima proposta legislativa affronterà questioni più ampie di protezione dei consumatori nella sfera digitale, fornendo un veicolo legale per queste specifiche misure di sicurezza dei bambini.
Nella proposta sono incluse misure per contrastare il”kidfluencing”, con l’obiettivo di proteggere i minori dallo sfruttamento commerciale sulle piattaforme. Il rapporto suggerisce che i genitori dovrebbero avere un maggiore controllo sull’impronta digitale dei propri figli e che le piattaforme non dovrebbero monetizzare i contenuti generati dai bambini piccoli senza rigide garanzie.
Il campo di battaglia del trilogo e il contesto globale
Con la posizione del Consiglio ora concordata, le due istituzioni devono avviare negoziati di”trilogo”per riconciliare i loro testi. Il Parlamento aveva precedentemente votato per rimuovere completamente la scansione E2EE nel novembre 2023, creando un potenziale scontro sul mantenimento da parte del Consiglio dei meccanismi di scansione volontaria.
Un punto di conflitto chiave sarà il meccanismo di scansione”volontaria”. Il Parlamento la considera una scappatoia che potrebbe portare alla sorveglianza di massa, mentre il Consiglio la considera uno strumento necessario per l’applicazione della legge. Il regolamento finale dovrà superare queste opinioni contrastanti su come gestire le comunicazioni crittografate.
A livello globale, l’approccio dell’UE contrasta con gli sviluppi altrove. In Australia, il governo sta perseguendo un severo divieto di accesso ai social media da parte dei minori di 16 anni, una mossa che è attualmente di fronte alla sfida dell’Alta Corte. Mentre l’Australia si concentra su un limite di età rigido, l’approccio dell’UE si basa fortemente sulla”sicurezza fin dalla progettazione”e sugli obblighi di mitigazione del rischio per i fornitori.
Esistono paralleli con il contesto statunitense, dove i quadri di sicurezza e le proposte legislative riguardano anche la progettazione della piattaforma. Tuttavia, la duplice attenzione dell’UE alla privacy della crittografia e alla sicurezza dei minori crea una tensione legislativa unica, non presente allo stesso modo in altre giurisdizioni.
I giganti della tecnologia si trovano ad affrontare un panorama di conformità frammentato. Con diverse regioni che adottano standard diversi per la verifica dell’età, la scansione dei contenuti e le funzionalità di progettazione, le aziende potrebbero essere costrette a sviluppare diverse versioni di piattaforme come Instagram e TikTok. Questa frammentazione è causata da approcci nazionali divergenti e da contenziosi a livello statale insieme a divieti federali.
