ESTRATTO
La Commissione europea ha presentato la sua proposta di regolamento recante norme per prevenire e contrastare gli abusi sessuali sui minori nel maggio 2022. Gli Stati membri del Consiglio dell’Unione europea hanno adottato il loro orientamento generale il 26 novembre 2025, consentendo l’avvio dei negoziati interistituzionali con il Parlamento europeo. Il Parlamento aveva stabilito il proprio mandato negoziale nel novembre 2023. Le discussioni del trilogo sono iniziate il 9 dicembre 2025.
Il testo originale della Commissione imponeva ai fornitori di servizi di comunicazione interpersonale l’obbligo di valutare i rischi di abuso per la diffusione di materiale pedopornografico o l’adescamento di minori e, laddove fossero identificati rischi, di attuare misure di mitigazione. In caso di rischio residuo significativo, le autorità nazionali potevano emettere ordini di individuazione che imponessero ai fornitori di effettuare scansioni per individuare materiale pedopornografico noto o sconosciuto o attività di adescamento. La proposta prevedeva l’istituzione di un Centro UE sugli abusi sessuali sui minori per facilitare la segnalazione, la creazione di banche dati di indicatori e il supporto alle vittime.
I critici, tra cui il Garante europeo della protezione dei dati e il Comitato europeo per la protezione dei dati, hanno individuato rischi di interferenza sproporzionata con gli articoli 7, 8 e 11 della Carta dei diritti fondamentali dell’Unione europea. Il Garante europeo della protezione dei dati ha sottolineato in pareri successivi che l’analisi generalizzata dei contenuti, in particolare attraverso meccanismi lato client, comprometterebbe la riservatezza delle comunicazioni e l’essenza della crittografia end-to-end.
La posizione del Consiglio del novembre 2025 ha eliminato gli ordini di rilevamento obbligatori per i servizi di comunicazione interpersonale. I fornitori mantengono la possibilità di effettuare rilevamenti volontari utilizzando gli indicatori del Centro UE. Le autorità nazionali acquisiscono il potere di richiedere la rimozione o il blocco del materiale identificato. Il testo classifica i servizi in base al livello di rischio (basso, medio, alto) e impone misure di mitigazione corrispondenti, tra cui funzionalità di sicurezza fin dalla progettazione e strumenti di garanzia dell’età per le piattaforme ad alto rischio. La posizione afferma esplicitamente che le misure non devono compromettere la crittografia end-to-end.
Questo ritiro dalla scansione obbligatoria è stato il risultato della costante opposizione di diversi Stati membri e delle valutazioni della società civile secondo cui non esiste una tecnologia affidabile per rilevare materiale sconosciuto o adescamento senza tassi inaccettabili di falsi positivi. Le interrogazioni parlamentari per tutto il 2025 riflettevano la preoccupazione che le bozze precedenti rischiassero di comportare una sorveglianza di massa incompatibile con la giurisprudenza della Corte di giustizia dell’Unione europea in materia di proporzionalità.
Il mandato del Parlamento per il 2023 ha limitato gli obblighi di rilevamento a misure mirate e autorizzate giudizialmente e ha rafforzato le garanzie di crittografia. I triloghi in corso devono conciliare queste posizioni. La deroga provvisoria alla Direttiva ePrivacy, che consente la scansione volontaria, rimane prorogata in attesa dell’adozione definitiva.
Il regolamento affronta un aumento documentato delle segnalazioni di materiale pedopornografico online. Europol e le autorità nazionali registrano milioni di segnalazioni ogni anno, sebbene i dati quantitativi sulla prevalenza all’interno dei servizi crittografati end-to-end rimangano limitati nelle fonti pubbliche. L’approccio del Consiglio privilegia gli obblighi di rimozione, la mitigazione del rischio e l’assistenza alle vittime rispetto alla scansione preventiva.
Persistono tensioni chiave. I requisiti di mitigazione del rischio potrebbero incentivare i fornitori ad adottare una scansione ad ampio raggio per limitare la responsabilità, ricreando potenzialmente un’analisi generalizzata di fatto. L’introduzione di meccanismi di verifica dell’età solleva ulteriori considerazioni sulla protezione dei dati. Il ruolo del Centro UE nella gestione dei database degli indicatori e nell’elaborazione dei report richiede una solida supervisione per prevenire l’espansione delle funzioni.
Al 28 dicembre 2025, il processo legislativo prosegue in trilogo. Non è stato ancora concordato alcun testo definitivo. L’esito determinerà se l’Unione Europea istituirà un quadro che contemperi la tutela dei minori con i diritti fondamentali o se creerà precedenti per infrastrutture di moderazione dei contenuti più estese.
Regolamento UE sulla Prevenzione degli Abusi Sessuali sui Minori: Panoramica Analitica (Dicembre 2025)
Divergenze: Posizioni Istituzionali ed Evoluzione
La proposta di regolamento mostra profonde divergenze istituzionali sul bilanciamento tra protezione dei minori e diritti fondamentali.
Commissione (2022)
Ordini di rilevazione obbligatori per servizi ad alto rischio, inclusi CSAM sconosciuto e grooming tramite scansione lato client.
Parlamento (2023)
Rilevazione mirata basata su sospetti concreti, limitata a CSAM noto; forti garanzie per la crittografia end-to-end.
Consiglio (Nov 2025)
Rilevazione volontaria resa permanente; mitigazione del rischio a livelli con verifica età per servizi ad alto rischio.
Pregiudizi: Prospettive degli Stakeholder
Gli stakeholder mostrano pregiudizi chiari: i difensori della protezione dei minori privilegiano la prevenzione; i gruppi privacy sottolineano l’erosione dei diritti.
| Stakeholder | Preoccupazione Principale | Posizione |
|---|---|---|
| Organizzazioni per le vittime | Rimozione efficace e prevenzione | Sostengono misure forti, inclusa rilevazione volontaria |
| Industria tecnologica | Integrità crittografia e responsabilità | Preferiscono approcci volontari e mirati |
| Avvocati privacy (EDPB/EDPS) | Proporzionalità ed effetto chilling | Fortissima opposizione alla scansione diffusa |
| Forze dell’ordine | Accesso investigativo | Sostengono strumenti ampliati |
Rischi: Tecnici e sui Diritti
I rischi tecnici principali riguardano l’accuratezza della rilevazione e la compatibilità con la crittografia.
Falsi positivi (Classificatori)
Rilevazione materiale sconosciuto/grooming molto incline a errori su larga scala.
Falsi positivi (Hashing)
Hashing CSAM noto estremamente affidabile.
Rischio Cybersecurity
Codice lato client introduce nuove superfici di attacco.
Conclusione/Azione: Prospettive Future
Mentre i triloghi proseguono (iniziati il 9 dicembre 2025), il testo finale deve privilegiare misure mirate che preservino la crittografia e rafforzino le alternative.
Azioni Raccomandate
- Mantenere la rilevazione volontaria con stretto controllo
- Rifiutare misure che indeboliscano la crittografia
- Finanziare indagini specializzate e cooperazione internazionale
- Migliorare la segnalazione utenti e il design sicuro
Punto Critico da Monitorare
Prevenire l’espansione incontrollata tramite scope ristretto e revisioni periodiche.
Sommario
Concetti fondamentali in sintesi: cosa sappiamo e perché è importante
- Origini legislative e proposta della Commissione
- Posizione negoziale del Consiglio del novembre 2025
- Mandato e garanzie del Parlamento europeo
- Meccanismi tecnici e compatibilità della crittografia
- Valutazioni dei diritti fondamentali da parte degli organi di vigilanza
- Implicazioni per la futura regolamentazione digitale
Concetti fondamentali in sintesi: cosa sappiamo e perché è importante
L’impegno dell’Unione Europea per contrastare gli abusi sessuali sui minori online ha dato vita a uno dei dibattiti politici digitali più controversi degli ultimi anni. Al centro di tutto c’è una proposta di regolamento, formalmente denominata “Regolamento recante norme per prevenire e combattere gli abusi sessuali sui minori”, presentata per la prima volta dalla Commissione Europea nel maggio 2022. L’obiettivo è semplice e urgente: fermare la diffusione di materiale pedopornografico (spesso abbreviato in CSAM ) e l’adescamento online di minori, noto come “grooming”.
La proposta originaria della Commissione avrebbe richiesto ai fornitori di servizi online (app di messaggistica, servizi di hosting, app store e altri) di valutare i rischi sulle proprie piattaforme. Se dopo la mitigazione iniziale persistessero rischi significativi, le autorità nazionali potrebbero emettere ordini di rilevamento che obblighino i fornitori a effettuare scansioni per individuare materiale pedopornografico noto (utilizzando una tecnologia di hashing affidabile) e, in alcuni casi, materiale nuovo o sconosciuto e modelli di adescamento (utilizzando classificatori di intelligenza artificiale). Per far funzionare questa procedura in ambienti crittografati, spesso la scansione dovrebbe essere eseguita sui dispositivi degli utenti prima che i messaggi vengano crittografati, una tecnica chiamata scansione lato client.
I sostenitori della privacy hanno rapidamente etichettato questa pratica come ” controllo delle chat ” perché sollevava la prospettiva di un controllo sistematico delle comunicazioni private. Le autorità per la protezione dei dati sono intervenute con decisione. In un parere congiunto emesso nel luglio 2022, il Comitato europeo per la protezione dei dati ( EDPB ) e il Garante europeo della protezione dei dati ( GEPD ) hanno avvertito che una scansione estesa, anche con garanzie, rischiava di interferire in modo sproporzionato con i diritti alla privacy e alla protezione dei dati sanciti dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’UE. Hanno sostenuto che la scansione lato client compromette di fatto la riservatezza delle comunicazioni, indipendentemente dal luogo in cui avviene il trattamento.
Il Parlamento europeo ha adottato una posizione cauta quando ha adottato il suo mandato negoziale nel novembre 2023. Gli eurodeputati hanno respinto la scansione indiscriminata e le misure che avrebbero indebolito la crittografia end-to-end. La loro posizione ha limitato gli ordini di rilevamento a casi mirati basati su un ragionevole sospetto, li ha confinati in gran parte ai casi di pedopornografia noti e ha insistito su un forte controllo giudiziario. Il Parlamento ha inoltre sottolineato alternative come migliori strumenti di segnalazione degli utenti, una progettazione adeguata all’età e indagini mirate da parte delle forze dell’ordine.
Gli Stati membri del Consiglio dell’Unione Europea hanno lottato per anni per trovare un terreno comune, con diversi paesi – tra cui la Germania in diversi momenti – che hanno bloccato i progressi a causa delle preoccupazioni relative alla crittografia. Una svolta è finalmente arrivata il 26 novembre 2025, quando il Consiglio ha concordato il suo approccio generale. Fondamentalmente, ha eliminato qualsiasi ordine di rilevamento obbligatorio per i servizi di comunicazione interpersonale. La scansione rimane invece volontaria, ma la deroga temporanea alla Direttiva ePrivacy che ha consentito sforzi volontari dal 2021 diventa permanente.
Il testo del Consiglio introduce una classificazione a livelli di rischio per i servizi (basso, medio e alto) e richiede misure di mitigazione crescenti, come funzionalità di sicurezza fin dalla progettazione e, per le piattaforme ad alto rischio, solidi sistemi di garanzia dell’età. Le autorità nazionali acquisiscono maggiori poteri per ordinare la rimozione o il blocco del materiale identificato. Un nuovo Centro dell’UE sugli abusi sessuali sui minori gestirà banche dati di indicatori, filtrerà le segnalazioni e sosterrà le vittime che desiderano far rimuovere le immagini dei loro abusi.
A fine dicembre 2025 sono iniziati i negoziati interistituzionali di trilogo tra Parlamento, Consiglio e Commissione, la cui prima sessione si terrà il 9 dicembre 2025. La forma definitiva della legge resta incerta, ma l’eliminazione della scansione obbligatoria segna un significativo allontanamento dalla visione originaria.
Perché questo è così importante? Innanzitutto, la portata del problema è innegabile. Ogni anno, milioni di file che descrivono abusi sessuali su minori circolano online e le segnalazioni alle linee di assistenza sono aumentate vertiginosamente. Eppure, la realtà tecnica è che nessun sistema di scansione è perfetto. L’hashing per il materiale noto è estremamente accurato, ma i classificatori per nuove immagini o comportamenti di adescamento producono falsi positivi: una certezza statistica se applicati a miliardi di messaggi al giorno. Questi errori possono portare a segnalazioni errate, account bloccati e traumi inutili per utenti innocenti.
In secondo luogo, il dibattito mette in luce una tensione fondamentale nella regolamentazione digitale: come proteggere i più vulnerabili senza compromettere la tutela di tutti gli altri. La crittografia end-to-end non è un lusso; protegge giornalisti, attivisti, aziende e cittadini comuni dalla sorveglianza e dagli attacchi informatici. Indebolirla, anche indirettamente attraverso obblighi lato client, crea vulnerabilità che regimi autoritari o criminali potrebbero sfruttare.
In terzo luogo, il precedente è profondo. Una volta che esiste un’infrastruttura per database di indicatori centralizzati, mandati di mitigazione basati sul rischio e ordini di rimozione rapida, estenderla ad altri danni – terrorismo, disinformazione, incitamento all’odio – diventa amministrativamente semplice. La decisione del Consiglio di rendere permanente l’individuazione volontaria normalizza di fatto strumenti che un tempo erano eccezionali.
Infine, esistono alternative che rispettano i diritti e al contempo promuovono la protezione: una cooperazione internazionale più forte, unità investigative specializzate meglio finanziate, procedure di rimozione rapide per il materiale identificato e una progettazione di piattaforme che renda più difficile l’adescamento senza la scansione dei contenuti privati. I triloghi in corso determineranno se l’UE adotterà un quadro che bilanci realmente questi imperativi o stabilirà un modello per un controllo più ampio dei contenuti.
Mentre i negoziati proseguono fino al 2026, i decisori politici si trovano di fronte a una scelta chiara: dare priorità a misure mirate e rispettose dei diritti che creino fiducia nei servizi digitali, oppure rischiare un sistema in cui la privacy diventa l’eccezione anziché la regola. L’esito plasmerà la sicurezza online e la libertà online per gli anni a venire.
Origini legislative e proposta della Commissione
L’11 maggio 2022 la Commissione europea ha adottato la sua proposta di regolamento che stabilisce norme per prevenire e contrastare gli abusi sessuali sui minori. Questa iniziativa risponde direttamente agli impegni assunti nella strategia dell’UE per una lotta più efficace contro gli abusi sessuali sui minori, pubblicata nel luglio 2020, che ha individuato lacune negli obblighi dei fornitori e la necessità di un quadro permanente che vada oltre le deroghe temporanee alla direttiva ePrivacy.
La proposta ha stabilito obblighi armonizzati per i fornitori di servizi di hosting, servizi di comunicazione interpersonale, app store e servizi di accesso a Internet. I fornitori effettuano valutazioni del rischio per determinare la probabilità che i loro servizi facilitino la diffusione di materiale pedopornografico noto o nuovo o l’adescamento di minori. Laddove persista un rischio significativo dopo l’attenuazione, le autorità nazionali di coordinamento emettono ordini di rilevamento che impongono ai fornitori di effettuare la scansione di tale materiale utilizzando gli indicatori forniti dal Centro UE sugli abusi sessuali sui minori, di recente creazione.
Gli ordini di individuazione richiedono un’autorizzazione giudiziaria o amministrativa indipendente. I fornitori utilizzano tecnologie con supervisione umana per ridurre al minimo gli errori, limitare la durata a un massimo di 24 mesi per la diffusione del materiale e di 12 mesi per la sollecitazione, e mirare a componenti di servizio specifiche. Il Centro UE genera e gestisce database di indicatori affidabili per materiale noto e nuovo, derivati da invii verificati da parte delle autorità di coordinamento. I fornitori accedono a questi indicatori gratuitamente e ricevono assistenza tecnica dal Centro.
Le segnalazioni di potenziali abusi sessuali su minori vengono immediatamente inviate al Centro UE, che ne valuta la validità, rimuove i duplicati, filtra le segnalazioni infondate e inoltra quelle credibili alle forze dell’ordine o a Europol. Il Centro supporta inoltre le richieste delle vittime di rimozione del materiale raffigurato e compila statistiche sulla trasparenza delle attività di individuazione, segnalazione e rimozione.
La proposta integrava gli strumenti esistenti, tra cui la direttiva 2011/93/UE sulla lotta contro l’abuso e lo sfruttamento sessuale dei minori e il regolamento (UE) 2021/1232, la deroga provvisoria che consente l’individuazione volontaria fino ad agosto 2024. Poiché approcci nazionali divergenti rischiavano di frammentare il mercato unico digitale, la Commissione ha invocato gli articoli 114 e 16 del trattato sul funzionamento dell’Unione europea come basi giuridiche.
Le misure di mitigazione del rischio includono funzionalità di progettazione adeguate all’età, strumenti di segnalazione degli utenti e controlli sui contenuti. Gli ordini di rimozione e blocco si applicano al materiale identificato e i fornitori sono tenuti a eseguirli tempestivamente. Il Centro UE facilita la cooperazione transfrontaliera, condivide le migliori pratiche e conduce ricerche per migliorare la prevenzione.
La Commissione ha sottolineato il principio di proporzionalità: le misure si applicano solo laddove i rischi le giustifichino, con garanzie contro gli eccessi. Le tecnologie di rilevamento devono dimostrarsi efficaci ma al tempo stesso il meno invasive possibile, integrando audit e monitoraggio del tasso di errore. I fornitori di servizi impugnano gli ordini dinanzi ai tribunali e il Centro fornisce consulenza sulla conformità senza prevalere sulle autorità nazionali per la protezione dei dati.
A corredo della proposta, la valutazione d’impatto ha esaminato le pratiche di rilevamento volontario nell’ambito del regime provvisorio. I fornitori di alcuni servizi avevano già implementato l’hashing per i materiali noti e i classificatori per i contenuti sconosciuti, sebbene i tassi di errore per questi ultimi rimanessero più elevati. La valutazione ha concluso che, in assenza di norme armonizzate, persisterebbero lacune nella copertura, in particolare sulle piattaforme crittografate o emergenti.
La proposta si basa sugli standard del Consiglio d’Europa, tra cui la Convenzione di Lanzarote e la Convenzione di Budapest sulla criminalità informatica, entrambe ratificate da tutti gli Stati membri. I fornitori hanno la responsabilità primaria della valutazione del rischio, mentre le autorità di coordinamento provvedono all’applicazione delle sanzioni, ove necessario.
I critici hanno evidenziato tensioni relative alla riservatezza delle comunicazioni ai sensi dell’articolo 7 della Carta dei diritti fondamentali. La Commissione ha sostenuto che un’individuazione mirata e tutelata preserva l’essenza dei diritti, poiché gli ordini vengono emessi solo dopo una valutazione del rischio e un controllo giurisdizionale.
L’EU Centre opera come un’agenzia decentrata con un consiglio di amministrazione, un direttore esecutivo e un comitato per le tecnologie. I fornitori presentano relazioni annuali sulle attività, inclusi volumi di rilevamento, falsi positivi ed efficacia delle misure di mitigazione. Il Centro aggrega tali relazioni per la trasparenza pubblica.
Poiché la diffusione di materiale pedopornografico sfrutta le differenze di servizio, la proposta ha classificato separatamente le comunicazioni interpersonali, consentendone il rilevamento solo in caso di ordini per casi ad alto rischio. Gli app store e i provider di accesso sono soggetti a obblighi accessori, come la rimozione dall’elenco o il blocco.
La Commissione ha consultato ampiamente le parti interessate, tra cui organizzazioni di vittime, forze dell’ordine, fornitori e società civile. I riscontri hanno evidenziato un consenso sulla necessità di intervenire, ma divergenze sull’ambito di rilevamento, in particolare sui metodi lato client richiesti per i servizi crittografati end-to-end.
La proposta ha vietato il monitoraggio generale ai sensi dell’articolo 15 della direttiva sul commercio elettronico, limitando gli obblighi a rischi e servizi specifici. Gli indicatori per i materiali noti si basano su database di hashing, mentre il rilevamento di nuovi materiali utilizza classificatori addestrati su esempi verificati.
Il Centro europeo sugli abusi sessuali sui minori gestisce canali dedicati attraverso i quali le vittime residenti nell’Unione presentano richieste di rimozione o di disabilitazione dell’accesso a materiale noto di abusi sessuali su minori che le raffigura; il Centro verifica l’autenticità di tali raffigurazioni confrontando le immagini, i video, gli URL o altri identificatori inviati con i propri database di indicatori prima di assistere i fornitori nell’esecuzione di rimozioni rapide e di confermare il completamento alla vittima richiedente tramite l’autorità nazionale di coordinamento competente.
Poiché le vittime spesso non hanno accesso diretto alle piattaforme che ospitano materiale abusivo o incontrano ostacoli nell’affrontare le procedure specifiche dei fornitori, il Centro colma questa lacuna centralizzando i processi di verifica, riducendo la duplicazione degli sforzi tra gli Stati membri e garantendo che i fornitori ricevano richieste motivate accompagnate da indicatori precisi, accelerando così la rimozione e riducendo al minimo le rimozioni errate che potrebbero violare contenuti legittimi. Il Centro collabora con Europol attraverso un memorandum d’intesa che regola lo scambio di dati non personali sulle tendenze emergenti nella diffusione di materiale pedopornografico e il perfezionamento degli indicatori, consentendo agli osservatori di Europol nel consiglio di amministrazione del Centro di accedere a informazioni aggregate per la pianificazione operativa senza compromettere la riservatezza delle singole segnalazioni. Questa cooperazione sfrutta le banche dati di intelligence criminale esistenti di Europol per facilitare la rapida identificazione delle autorità nazionali competenti in materia di applicazione della legge quando la giurisdizione della segnalazione rimane incerta, garantendo che i casi inoltrati raggiungano investigatori attrezzati per perseguire efficacemente i trasgressori transfrontalieri.
Gli Stati membri designano una o più autorità di coordinamento dotate di ampi poteri investigativi, tra cui la capacità di condurre ricerche di conformità utilizzando gli indicatori di materiale noto forniti dal Centro, di emettere ordini vincolanti di rimozione o blocco con tempi di esecuzione di appena 24 ore per i contenuti verificati e di imporre misure provvisorie che limitano l’accesso al servizio in attesa della piena conformità. Queste autorità esercitano l’applicazione della legge attraverso sanzioni calibrate sul fatturato del fornitore – che raggiungono fino al 6% del fatturato annuo globale per carenze sistemiche nella mitigazione del rischio o nell’esecuzione degli ordini – tenendo conto al contempo delle dimensioni del fornitore, della recidiva delle violazioni e dell’interesse pubblico alla protezione dei minori, per garantire un effetto deterrente senza gravare eccessivamente sulle entità più piccole. Poiché la non conformità rischia di frammentare l’applicazione della legge in tutta l’Unione e di consentire ai trasgressori di sfruttare giurisdizioni permissive, scale di sanzioni uniformi, allineate a quelle dei quadri giurisdizionali complementari, garantiscono una responsabilità coerente.
Il regolamento stabilisce un rapporto di lex specialis con il Digital Services Act, basandosi sui suoi meccanismi orizzontali di notifica e azione per i contenuti illegali, introducendo obblighi specifici per i minori che prevalgono sulle disposizioni generali ove necessario, consentendo ai fornitori classificati come piattaforme online di grandi dimensioni di integrare le strutture di conformità esistenti, come punti di contatto designati e rappresentanti legali, nel nuovo quadro normativo senza duplicazioni di nomine. I fornitori sfruttano le valutazioni del rischio del Digital Services Act sulla diffusione sistemica di contenuti illegali per orientare le valutazioni specifiche sugli abusi sessuali su minori, evitando analisi ridondanti e adattando al contempo le misure di mitigazione ai modelli di adescamento o di circolazione di materiale specifici per i minori.
La Commissione ha strutturato le proiezioni dei costi di attuazione attorno a meccanismi di compensazione, prevedendo che il miglioramento dell’individuazione e della segnalazione agevolato dal Centro avrebbe ridotto gli oneri investigativi delle forze dell’ordine attraverso piste di qualità superiore e meno ricerche manuali ad alto impiego di risorse, con il bilancio del Centro derivante principalmente dai contributi dell’Unione nell’ambito della rubrica 7 del quadro finanziario pluriennale, integrato da tariffe mirate da parte dei fornitori di servizi di analisi avanzata degli indicatori, escludendo le microimprese e le piccole imprese per preservare gli incentivi all’innovazione. Le funzioni amministrative condivise con Europol, tra cui la gestione delle risorse umane, l’infrastruttura informatica, le disposizioni in materia di sicurezza informatica, le strutture edilizie e i servizi di comunicazione, generano efficienze che limitano la spesa operativa del Centro al di sotto dei livelli di un’agenzia autonoma.
Poiché gli sforzi di rilevamento volontario nell’ambito delle precedenti deroghe provvisorie presentavano ampie variazioni nei tassi di adozione, nella sofisticazione tecnologica e nella copertura geografica, la proposta ha imposto metodologie di valutazione del rischio armonizzate, sviluppate congiuntamente dal Centro in consultazione con le autorità di coordinamento e le parti interessate, che comprendessero criteri non esaustivi quali le caratteristiche di progettazione del servizio che consentono interazioni private, i dati demografici della base utenti, comprese le percentuali minori, i precedenti episodi di abuso e gli incentivi del modello di business per la viralità dei contenuti. I fornitori documentano pubblicamente queste valutazioni con sufficiente granularità per la revisione da parte delle autorità, aggiornandole almeno ogni tre anni o in caso di modifiche significative del servizio, consentendo così l’identificazione proattiva dei rischi residui che giustificano un’attenuazione più approfondita.
Il processo legislativo ha incontrato ritardi prolungati derivanti dalle divisioni tra gli Stati membri in merito alla compatibilità della crittografia, con diverse delegazioni che inizialmente si sono opposte agli obblighi di rilevamento obbligatori per i servizi di comunicazione interpersonale, sostenendo che l’implementazione lato client aggirava le garanzie di crittografia end-to-end sancite dalla giurisprudenza della Corte di Giustizia sulla proporzionalità della conservazione dei dati. Queste preoccupazioni hanno reso necessarie formulazioni di compromesso iterative che preservassero il rilevamento volontario, vietando al contempo misure che compromettessero l’essenza della crittografia.
La relazione esplicativa ha sottolineato la necessità documentando come la frammentazione degli strumenti nazionali e dei regimi volontari abbia consentito la migrazione dei trasgressori verso piattaforme minimamente monitorate, creando lacune nell’applicazione delle norme che obblighi armonizzati colmano senza istituire un monitoraggio generale vietato dall’articolo 15 della direttiva sul commercio elettronico. I provvedimenti di accertamento incorporano clausole di caducità obbligatorie che limitano la durata a 24 mesi per la diffusione materiale e a 12 mesi per la sollecitazione, abbinate a revisioni periodiche della proporzionalità da parte delle autorità emittenti per impedire un controllo indefinito.
I fornitori soggetti a disposizioni segnalano in modo trasparente i tassi di errore rilevati alle autorità di coordinamento e al Centro, consentendo di perfezionare gli indicatori in modo iterativo, limitando i falsi positivi attraverso aggiustamenti dei classificatori all’avanguardia e obblighi di supervisione umana. Il Centro gestisce database rigorosamente separati: uno per le segnalazioni in arrivo in attesa di convalida, un altro per gli indicatori verificati e distribuiti ai fornitori e un terzo per i registri di assistenza alle vittime, con controlli di accesso granulari che garantiscono la piena conformità del trattamento dei dati personali al Regolamento (UE) 2018/1725 che disciplina le istituzioni dell’Unione.
La proposta era esplicitamente in linea con la strategia europea per un Internet migliore per i bambini, adottata contemporaneamente, che richiedeva ai fornitori di integrare la protezione dei minori fin dalla progettazione attraverso impostazioni di privacy predefinite che limitassero le interazioni tra adulti e minori, strumenti integrati di controllo genitoriale e controlli dei contenuti adeguati all’età che dessero priorità alla sicurezza dei minori senza imporre una verifica universale dell’età.
Poiché l’adescamento si manifesta prevalentemente attraverso comunicazioni interpersonali che sfruttano le funzionalità di accessibilità per i minori, la proposta ha autorizzato il rilevamento dell’adescamento tramite ordini sottoposti a revisione giudiziaria, utilizzando indicatori comportamentali verificati che segnalano modelli quali tentativi di contatto persistenti o escalation di linguaggio esplicito, escludendo al contempo un’analisi conversazionale più ampia.
La Commissione ha esplicitamente respinto le alternative di autoregolamentazione pura, citando prove empiriche di un’adozione volontaria incoerente che ha lasciato lacune nella copertura sfruttabili dai trasgressori, imponendo invece obblighi mirati, calibrati su livelli di rischio comprovati, per bilanciare l’efficacia con la tutela dei diritti fondamentali. Il regolamento si estende extraterritoriale a tutti i fornitori che offrono servizi all’interno dell’Unione, indipendentemente dalla sede di stabilimento, obbligando la nomina di rappresentanti legali negli Stati membri per la notifica degli atti e il coordinamento dell’applicazione delle norme, canalizzato attraverso la rete di autorità nazionali del Centro.
La proposta ha superato con successo l’esame del Regulatory Scrutiny Board, ottenendo un parere positivo con riserve nel febbraio 2022, dopo aver affrontato le preoccupazioni iniziali sulle metodologie di stima dei costi e sulle ipotesi di fattibilità tecnologica attraverso una modellazione rivista e la convalida delle parti interessate. I fornitori di servizi di comunicazione interpersonale indipendenti dal numero, in precedenza basati esclusivamente su misure volontarie nell’ambito di deroghe provvisorie, passano a obblighi strutturati basati sul rischio che mantengono la discrezionalità di rilevamento standardizzando al contempo le aspettative di mitigazione.
Inizialmente, la Commissione aveva previsto l’adozione entro il 2024 e l’entrata in funzione del Centro entro 18 mesi , sebbene ritardi interistituzionali abbiano reso necessarie molteplici proroghe del regime provvisorio per colmare il vuoto legislativo. I considerando affermano che l’implementazione della crittografia end-to-end rimane pienamente ammissibile, riconoscendo che un rilevamento efficace in ambienti crittografati può richiedere un’elaborazione lato client prima dell’applicazione della crittografia, senza costituire una violazione del sigillo crittografico.
Le autorità di contrasto hanno accelerato l’accesso a segnalazioni fruibili tramite il meccanismo di filtraggio e inoltro del Centro, riducendo notevolmente i tempi di segnalazione transfrontaliera che in precedenza venivano inoltrati tramite intermediari di paesi terzi. Le organizzazioni delle vittime hanno ampiamente approvato il quadro per potenziare i canali di rimozione diretta e rafforzare le priorità di prevenzione, mentre i fornitori hanno espresso riserve incentrate sulla maggiore esposizione alla responsabilità e sulle difficoltà tecniche nel raggiungere tassi di errore trascurabili per la classificazione di materiale sconosciuto.
La proposta ha istituito audit indipendenti obbligatori delle tecnologie di rilevamento impiegate, condotti da enti qualificati, i cui risultati sono condivisi tramite il Centro per orientare i protocolli di diffusione delle migliori pratiche e di mitigazione degli errori, che includono la revisione umana obbligatoria dei contenuti segnalati prima della segnalazione esterna. Le autorità di coordinamento compilano e pubblicano relazioni annuali sulle attività, elencando gli ordini emessi, i tassi di conformità monitorati e le sanzioni applicate, che il Centro sintetizza in panoramiche complete a livello di Unione a supporto dell’iterazione delle politiche basata su prove concrete.
Il regolamento rafforza l’armonizzazione sostanziale del diritto penale ai sensi della direttiva 2011/93/UE, concentrandosi sulle responsabilità di prevenzione e facilitazione delle piattaforme anziché ridefinire i reati, evitando così sovrapposizioni e consentendo al contempo un’interruzione proattiva.
Poiché l’evoluzione tecnologica genera continuamente nuovi vettori di diffusione, la proposta delega alla Commissione l’autorità di aggiornare le specifiche degli indicatori e le linee guida metodologiche tramite atti di esecuzione rispondenti ai risultati della ricerca del Centro. I fornitori implementano la mitigazione del rischio attraverso misure multiformi che comprendono la formazione del personale sui protocolli di moderazione dei contenuti, la ricalibrazione algoritmica per migliorare i segnali di sicurezza dei minori e interfacce di segnalazione migliorate che riducono l’attrito degli utenti nella segnalazione di sospetti abusi, con classificazioni ad alto rischio che attivano automaticamente obblighi più stringenti, tra cui team dedicati alla protezione dei minori.
Il Centro facilita la cooperazione internazionale strutturata istituendo canali di collegamento con linee di assistenza telefonica extra-UE e con le forze dell’ordine nell’ambito di accordi bilaterali o multilaterali, scambiando dati di tendenza anonimizzati per contrastare la circolazione globale di materiale. Gli allegati alla proposta standardizzano i modelli di segnalazione per i volumi di rilevamento, le richieste di rimozione che includono identificativi di nome utente o e-mail, i formati degli indicatori che distinguono gli hash dai classificatori e i flussi di lavoro procedurali che semplificano i processi amministrativi tra le giurisdizioni.
Gli Stati membri mantengono la competenza esclusiva sulle indagini e sui procedimenti penali, mentre il regolamento fornisce meccanismi di cooperazione di piattaforma abilitanti che il Centro rende operativi come ponte neutrale tra gli imperativi di prevenzione e le esigenze di applicazione. La Commissione si è impegnata a condurre una valutazione completa cinque anni dopo l’applicazione, analizzando i parametri di efficacia rispetto agli indicatori di prevalenza degli abusi, all’impatto sui diritti e al rapporto costi-benefici per orientare potenziali adeguamenti.
Poiché l’abuso sessuale sui minori online si adatta rapidamente alle contromisure, la proposta ha integrato meccanismi di adattamento flessibili, tra cui atti delegati per l’evoluzione degli indicatori e ricerche condotte dal Centro, che impediscono ricorrenti revisioni legislative complete, pur mantenendo la reattività. I fornitori di app store hanno obblighi distinti di valutare le applicazioni intermediate per i rischi intrinseci di abuso sui minori, potenzialmente imponendo agli sviluppatori attestazioni di conformità alla sicurezza fin dalla progettazione o rimuovendo dall’elenco le offerte non conformi. I fornitori di accesso a Internet eseguono ordini di blocco mirati a URL specifici che ospitano materiale noto, previa istruzione dell’autorità di coordinamento, con la rendicontazione dell’esecuzione integrata negli obblighi di trasparenza.
Le procedure standard regolano l’entrata in vigore del regolamento venti giorni dopo la pubblicazione, con tempi di applicazione scaglionati che danno priorità all’istituzione del Centro prima di imporre obblighi completi ai fornitori per garantirne la prontezza operativa. La proposta ha costituito la risposta diretta della Commissione all’aumento documentato delle segnalazioni di abusi sessuali su minori online, stabilendo una copertura completa dell’ecosistema che integra prevenzione, individuazione, supporto alle vittime e applicazione delle norme in un quadro coerente dell’Unione.
Posizione negoziale del Consiglio del novembre 2025
Il Consiglio dell’Unione europea ha raggiunto il suo orientamento generale sulla proposta di regolamento per prevenire e combattere gli abusi sessuali sui minori il 26 novembre 2025, a seguito di prolungati negoziati tra gli Stati membri, che avevano bloccato i progressi per oltre tre anni dalla presentazione da parte della Commissione. Questo accordo ha consentito l’avvio dei negoziati di trilogo interistituzionale con il Parlamento europeo, che aveva adottato il suo mandato nel novembre 2023, e la Commissione.
I rappresentanti degli Stati membri hanno approvato un mandato negoziale che ha eliminato le disposizioni della Commissione relative agli ordini di rilevamento obbligatori applicabili ai servizi di comunicazione interpersonale, eliminando così qualsiasi obbligo per i fornitori di implementare la scansione sistematica dei messaggi privati su richiesta delle autorità. Poiché diversi Stati membri, compresi quelli che costituivano minoranze di blocco nelle precedenti iterazioni, hanno insistito su garanzie contro la sorveglianza generalizzata incompatibile con la crittografia end-to-end, la posizione del Consiglio ha reso le attività di rilevamento strettamente volontarie per i fornitori di tali servizi. I fornitori mantengono la discrezionalità di implementare tecnologie per l’identificazione di materiale pedopornografico noto o sconosciuto o di adescamento, utilizzando gli indicatori forniti dal previsto Centro dell’UE sugli abusi sessuali sui minori. Le autorità nazionali ottengono maggiori poteri per emettere ordini di rimozione per il materiale identificato, ordini di blocco dell’accesso o direttive di delisting per i motori di ricerca, garantendo una rapida esecuzione in tutta l’Unione.
Il Consiglio ha introdotto un sistema di classificazione del rischio a livelli per i servizi online, classificandoli come a basso, medio o alto rischio in base al potenziale di abuso valutato nella diffusione di materiale pedopornografico o nella facilitazione dell’adescamento. I servizi a basso rischio sono soggetti a obblighi minimi, limitati a strumenti di base per la segnalazione degli utenti e alla collaborazione con le richieste di rimozione. I servizi a medio rischio devono implementare misure di mitigazione aggiuntive, come un maggiore personale addetto alla moderazione dei contenuti e un monitoraggio algoritmico per individuare modelli segnalati. I servizi ad alto rischio, in genere quelli che presentano contenuti generati dagli utenti o interazioni interpersonali accessibili ai minori, sono soggetti ai requisiti più rigorosi, tra cui funzionalità obbligatorie di sicurezza fin dalla progettazione, controlli predefiniti della privacy per gli utenti minorenni e solidi meccanismi di garanzia dell’età per limitare l’accesso a funzionalità non appropriate all’età. Poiché le valutazioni del rischio derivano da autovalutazioni dei fornitori soggette a revisione da parte delle autorità nazionali, le deviazioni dalla classificazione accurata comportano sanzioni proporzionali al fatturato, incentivando designazioni conservative ad alto rischio che ampliano l’ambito di mitigazione.
La posizione impone a tutti i fornitori di effettuare valutazioni annuali del rischio che documentino le vulnerabilità specifiche del servizio, inviandole alle autorità nazionali di coordinamento designate per la convalida. Laddove le valutazioni rivelino un rischio residuo significativo dopo la mitigazione iniziale, i fornitori devono intensificare proporzionalmente le misure, senza tuttavia ricorrere al rilevamento obbligatorio per le comunicazioni crittografate. Il Consiglio ha esplicitamente vietato misure che compromettano l’essenza della crittografia end-to-end, richiedendo che qualsiasi rilevamento volontario avvenga nel rispetto delle garanzie di riservatezza. I fornitori che optano per la scansione volontaria accedono a un database centralizzato di indicatori gestito dal Centro UE, comprendente hash per il materiale noto e classificatori per il contenuto sconosciuto, la cui affidabilità è stata verificata tramite processi di verifica indipendenti.
Il Centro dell’UE sugli abusi sessuali sui minori nasce come un’agenzia decentrata incaricata di generare, aggiornare e distribuire indicatori, elaborare le richieste di allontanamento delle vittime, aggregare le relazioni sulla trasparenza e facilitare la cooperazione transfrontaliera tra le autorità nazionali. Il Centro filtra le segnalazioni in arrivo dai fornitori, scarta le segnalazioni duplicate o infondate e inoltra i casi credibili alle forze dell’ordine o a Europol, supportando al contempo le vittime nell’esercizio del diritto alla cancellazione del materiale raffigurato. Poiché la bozza della Commissione indicava L’Aia come sede, il Consiglio ha rinviato le decisioni sulla sede ai negoziati di trilogo, evitando impegni unilaterali che avrebbero potuto complicare il consenso. Il Centro opera sotto la guida di un consiglio di amministrazione composto da rappresentanti degli Stati membri, osservatori della Commissione e consultazioni con le parti interessate, con finanziamenti provenienti dai contributi del bilancio dell’Unione integrati dalle tariffe di alcuni fornitori.
Le autorità nazionali di coordinamento ricevono competenze investigative ampliate, tra cui il potere di imporre l’osservanza di ordini di rimozione o blocco entro tempi specifici, in genere 24 ore per il materiale noto. Le autorità pubblicano relazioni annuali sulle attività che descrivono in dettaglio gli ordini emessi, le esecuzioni monitorate e le sanzioni imposte, confluendo nelle statistiche a livello dell’Unione compilate dal Centro per la trasparenza pubblica. I fornitori sono tenuti ad assistere direttamente le vittime in caso di richieste motivate di rimozione di contenuti che li ritraggono, aggirando l’intermediazione delle autorità laddove le raffigurazioni siano verificate in modo inequivocabile.
La posizione del Consiglio ha rafforzato gli elementi di prevenzione richiedendo ai servizi ad alto rischio di implementare sistemi di verifica dell’età calibrati sulla funzionalità del servizio, impiegando metodi che vanno dall’autodichiarazione per le aree a bassa sensibilità ai controlli biometrici o basati su documenti per le interazioni ad alta esposizione. Tali sistemi mirano a impedire l’accesso dei minori a funzionalità a rischio di adescamento, riducendo al minimo la conservazione dei dati attraverso progetti che tutelano la privacy. I fornitori integrano strumenti di controllo parentale e risorse formative sui rischi online come mitigazione standard.
Poiché il rilevamento volontario previsto dalla deroga provvisoria alla Direttiva ePrivacy si era rivelato disomogeneo tra i fornitori, il Consiglio ha standardizzato l’accesso agli indicatori del Centro, garantendo eque capacità tecnologiche senza imporre obblighi di adozione. Gli indicatori per il materiale noto si basano esclusivamente su tecnologie di hashing percettivo con bassi tassi di collisione consolidati, mentre i classificatori di materiale sconosciuto sono sottoposti a periodici controlli di accuratezza per limitare i falsi positivi. La posizione vieta l’impiego di indicatori privi di comprovate certificazioni di efficacia o proporzionalità.
Gli Stati membri mantengono flessibilità nella designazione delle autorità di coordinamento, spesso allineandosi agli organismi preposti alla protezione dei dati o alle forze dell’ordine esistenti, a condizione che l’indipendenza e l’adeguatezza delle risorse garantiscano un’applicazione efficace. Le sanzioni per il mancato rispetto degli obblighi di mitigazione o rimozione del rischio sono in linea con la scala del Digital Services Act, raggiungendo fino al 6% del fatturato annuo globale per le violazioni sistemiche.
Il Consiglio ha sottolineato la complementarietà con il Digital Services Act, sfruttando i suoi meccanismi di notifica e intervento per i contenuti illegali e adattando gli obblighi alle specificità degli abusi sessuali sui minori. Le grandi piattaforme online classificate come ad alto rischio hanno obblighi più ampi, tra cui tempi di rimozione accelerati e funzionari di collegamento dedicati alla tutela dei minori.
I negoziati del trilogo sono iniziati il 9 dicembre 2025, affrontando divergenze come i limiti più rigorosi del Parlamento sull’ambito di rilevamento volontario e le più severe garanzie di crittografia rispetto ai più ampi incentivi di mitigazione del rischio del Consiglio. Poiché il mandato del Parlamento dava priorità all’autorizzazione giudiziaria mirata per qualsiasi rilevamento che andasse oltre l’hashing di materiale noto, la conciliazione delle posizioni ha richiesto concessioni sull’invadenza della verifica dell’età e sulla governance del Centro.
La posizione mantiene un’applicazione extraterritoriale ai fornitori che si rivolgono agli utenti dell’Unione, richiedendo la nomina di rappresentanti negli Stati membri a fini di controllo. I rapporti annuali sulla trasparenza dei fornitori dettagliano le misure di mitigazione implementate, i risultati della valutazione del rischio e, ove applicabile, le statistiche di rilevamento volontario, rese anonime per proteggere la sicurezza operativa.
Le autorità nazionali si coordinano tramite la piattaforma sicura del Centro per la condivisione di dati sulle tendenze non personali, consentendo di adattare gli indicatori in base ai vettori di diffusione emergenti. Il Consiglio ha respinto le disposizioni relative ai canali di segnalazione automatica che bypassano la revisione umana, imponendo una supervisione per mitigare le cascate di errori.
Le designazioni ad alto rischio comportano obblighi di presentazione di documenti di trasparenza algoritmica alle autorità, nonché di divulgazione di set di dati di formazione e strategie di mitigazione dei pregiudizi rilevanti per la sicurezza dei minori. I fornitori dimostrano la conformità attraverso audit indipendenti presentati ogni due anni.
La posizione integra miglioramenti nel supporto alle vittime, obbligando i fornitori a istituire canali dedicati per le richieste di rimozione, con tempi di risposta di 72 ore per la conferma iniziale. Il Centro verifica le richieste a livello centrale, riducendo gli oneri di verifica per i fornitori e garantendone al contempo l’autenticità.
Poiché la sollecitazione al grooming spesso elude il rilevamento dell’hashing, il Consiglio ha autorizzato classificatori comportamentali volontari con soglie di accuratezza rigorose, con notifiche di distribuzione alle autorità per la supervisione.
Gli Stati membri si impegnano a finanziare unità investigative specializzate attraverso bilanci nazionali integrati dall’assistenza tecnica del Centro. La posizione prevede una valutazione cinque anni dopo l’applicazione, per valutare l’efficacia della mitigazione rispetto agli indicatori di prevalenza degli abusi.
Le autorità di coordinamento hanno accesso ai risultati della ricerca del Centro sui progressi tecnologici, influenzando la proporzionalità degli ordini. I fornitori contestano le decisioni delle autorità dinanzi ai tribunali nazionali, con possibilità di sospensione in attesa di revisione.
La posizione del Consiglio bilancia gli imperativi di prevenzione con la tutela dei diritti, spostando l’attenzione dall’individuazione alla mitigazione e alla rimozione, rendendo le misure volontarie un’infrastruttura permanente senza un’espansione obbligatoria.
Mandato e garanzie del Parlamento europeo
Il 14 novembre 2023 la commissione per le libertà civili, la giustizia e gli affari interni del Parlamento europeo ha adottato la sua relazione sulla proposta di regolamento recante norme per prevenire e combattere gli abusi sessuali sui minori, mentre la plenaria ha confermato la decisione di avviare negoziati interistituzionali il 22 novembre 2023, stabilendo così il mandato negoziale del Parlamento ai sensi dell’articolo 71 del suo regolamento interno.
Poiché il testo originale della Commissione autorizzava le autorità nazionali a emettere ordini di rilevamento che obbligassero i fornitori a scansionare materiale pedopornografico noto e sconosciuto o adescamento, anche in ambienti crittografati end-to-end, il mandato del Parlamento ha eliminato qualsiasi possibilità di misure che compromettano la riservatezza delle comunicazioni garantita dall’articolo 7 della Carta dei diritti fondamentali, vietando esplicitamente la scansione generalizzata o indiscriminata di messaggi privati e richiedendo che le tecnologie di rilevamento preservino l’integrità della crittografia senza introdurre vulnerabilità sfruttabili per l’elusione. I fornitori mantengono l’obbligo di condurre valutazioni del rischio che individuino vulnerabilità specifiche del servizio rispetto all’uso improprio per la diffusione di materiale pedopornografico o per facilitare l’adescamento, ma le misure di mitigazione rimangono mirate e proporzionate, selezionate da un ampio elenco non esaustivo che dà priorità a strumenti di responsabilizzazione degli utenti, miglioramenti nella moderazione dei contenuti e funzionalità di progettazione adeguate all’età rispetto all’analisi automatizzata invasiva.
Il mandato limita gli ordini di rilevamento a un meccanismo di ultima istanza, attivato solo dopo che i fornitori hanno esaurito tutte le ragionevoli opzioni di mitigazione o non le hanno implementate adeguatamente, limitando tali ordini esclusivamente al materiale di abuso sessuale su minori noto, identificato tramite indicatori di hashing affidabili, e rinviando l’applicazione al materiale sconosciuto o al rilevamento di adescamento fino a quando valutazioni indipendenti non confermeranno che le tecnologie raggiungono tassi di falsi positivi trascurabili e piena compatibilità con la tutela dei diritti fondamentali. Le autorità giudiziarie emettono questi ordini con scadenza temporale – limitati alla durata necessaria per garantire la proporzionalità – mirando a specifici utenti o gruppi di utenti laddove ragionevoli motivi stabiliscano il sospetto di coinvolgimento, sostituendo così la più ampia soglia di rischio significativo della Commissione con un criterio basato sul sospetto che allinea maggiormente gli obblighi alla giurisprudenza della Corte di Giustizia sulla sorveglianza mirata.
Poiché le pratiche di rilevamento volontario nell’ambito delle deroghe provvisorie hanno dimostrato un’efficacia variabile senza compromettere la crittografia, la posizione del Parlamento rafforza le garanzie imponendo la supervisione umana di qualsiasi contenuto segnalato prima della segnalazione, valutazioni obbligatorie dell’impatto sulla protezione dei dati per le tecnologie implementate ed escludendo le comunicazioni audio dall’ambito di applicazione per limitare l’invasività. I fornitori di servizi di comunicazione interpersonale non sono soggetti a scansione obbligatoria, mantenendo la crittografia end-to-end come standard predefinito che il rilevamento non può indebolire funzionalmente tramite obblighi lato client o requisiti backdoor.
Il mandato istituisce un Centro UE sugli abusi sessuali sui minori, un’autorità indipendente che facilita l’accesso dei fornitori a indicatori verificati di materiale noto, filtra le segnalazioni per eliminare quelle infondate e supporta le richieste di rimozione delle vittime attraverso processi di verifica centralizzati che accelerano le rimozioni senza gravare in modo sproporzionato sulle singole piattaforme. Il Centro gestisce database separati per funzione (indicatori, segnalazioni e assistenza alle vittime), con rigorosi controlli di accesso e obblighi di trasparenza, garantendo che le statistiche aggregate forniscano informazioni sulle politiche senza rivelare dettagli operativi sfruttabili dai trasgressori.
I provider implementano misure di mitigazione attraverso misure quali impostazioni di privacy predefinite che limitano le interazioni tra minori e adulti, interfacce di segnalazione integrate che riducono le barriere di segnalazione per gli utenti, integrazione del controllo parentale e verifica dell’età calibrata sui profili di rischio del servizio, in particolare per le piattaforme che ospitano contenuti pornografici o funzionalità rivolte ai minori. I servizi ad alto rischio, inclusi i giochi online con componenti di chat interpersonale, sono soggetti a obblighi più stringenti per i principi di sicurezza fin dalla progettazione, che integrano la protezione fin dal concepimento anziché la necessità di un retrofitting.
Poiché il grooming sfrutta le funzionalità del servizio che consentono un contatto anonimo o persistente, il mandato posticipa l’implementazione del classificatore comportamentale fino a quando le soglie di accuratezza non dimostrino affidabilità statistica, evitando danni collaterali derivanti da errori probabilistici che caratterizzano gli attuali approcci di apprendimento automatico al rilevamento delle richieste. Gli ordini di rilevamento includono la segnalazione obbligatoria del tasso di errore e audit indipendenti, con i risultati inviati al Centro per miglioramenti iterativi.
Il Parlamento ha rafforzato i diritti delle vittime creando canali dedicati per le richieste di rimozione che ritraggono le vittime, consentendo al Centro di verificarne l’autenticità e di obbligare i fornitori a eseguire le richieste in tempi rapidi, il tutto integrato da servizi di supporto che collegano le vittime ai programmi di assistenza nazionali. I fornitori pubblicano relazioni annuali sulla trasparenza che descrivono dettagliatamente le valutazioni del rischio, le misure di mitigazione adottate e i risultati dell’individuazione volontaria, laddove intrapresa, promuovendo la responsabilità senza imporre obblighi di adesione.
Poiché approcci nazionali frammentati rischiavano di creare rifugi sicuri per i trasgressori che migravano verso giurisdizioni più indulgenti, il mandato armonizza gli obblighi extraterritoriali per i fornitori che si rivolgono agli utenti dell’Unione, richiedendo rappresentanti legali e il rispetto delle misure di controllo agevolate dal Centro. Le autorità di coordinamento acquisiscono il potere di imporre misure di mitigazione laddove le valutazioni rivelino inadeguatezze, con sanzioni allineate alle scale di fatturato che garantiscono un effetto deterrente.
Il mandato integra il Digital Services Act sfruttandone i quadri normativi di rischio sistemico per le piattaforme di grandi dimensioni, personalizzando al contempo gli obblighi specifici per i minori ed evitando duplicazioni attraverso riferimenti incrociati ai meccanismi di notifica e intervento esistenti. I fornitori integrano la protezione dei minori nella progettazione algoritmica, potenziando i segnali di sicurezza nei sistemi di raccomandazione e declassando proattivamente i contenuti offensivi.
Poiché l’evoluzione tecnologica introduce continuamente nuovi vettori di abuso, il Parlamento autorizza il Centro a condurre ricerche continue sull’efficacia del rilevamento, fornendo consulenza sugli aggiornamenti degli indicatori tramite atti delegati che rispondano in modo dinamico senza richiedere revisioni legislative complete. La posizione vieta misure che creino infrastrutture di sorveglianza estendibili oltre la protezione dei minori, respingendo esplicitamente l’estensione delle funzioni verso una più ampia moderazione dei contenuti.
I fornitori di app store valutano le applicazioni distribuite per i rischi intrinseci, imponendo agli sviluppatori attestazioni di progettazione a prova di bambino o imponendone la rimozione in caso di non conformità. I fornitori di accesso a Internet eseguono ordini di blocco per gli URL di materiale verificato, integrando l’esecuzione nei report di trasparenza.
Il mandato è in linea con la Strategia Europea per un Internet migliore per i bambini, integrando risorse educative sulla prevenzione e campagne di sensibilizzazione nelle interfacce dei servizi. Poiché i falsi positivi colpiscono in modo sproporzionato gli utenti legittimi, la revisione umana precede qualsiasi segnalazione esterna, mitigando i danni reputazionali e legali derivanti da classificazioni errate automatizzate.
Il relatore del Parlamento ha incorporato gli emendamenti presentati dalle commissioni associate, rafforzando la dimensione di genere nel sostegno alle vittime e le considerazioni culturali nei programmi di prevenzione. La posizione ha ricevuto un ampio sostegno trasversale in commissione, riflettendo il consenso sul bilanciamento tra gli imperativi di protezione dei minori e la tutela della privacy.
Poiché la crittografia end-to-end costituisce un pilastro della sicurezza digitale che protegge giornalisti, attivisti e cittadini da abusi autoritari, il mandato dichiara inammissibile qualsiasi rilevamento incompatibile con l’essenza della crittografia, chiudendo i percorsi di scansione lato client che replicano funzionalmente la violazione. I fornitori contestano gli ordini dinanzi ai tribunali con diritti di sospensione in attesa di revisione, garantendo il controllo giudiziario.
Il mandato prevede che la governance del Centro integri le consultazioni con le parti interessate, tra cui la società civile e gli esperti in protezione dei dati, per limitare i rischi di cattura istituzionale. Le valutazioni annuali valutano l’impatto della regolamentazione sulla prevalenza degli abusi e sul rispetto dei diritti, indirizzando gli adeguamenti necessari.
Poiché gli sforzi volontari si sono rivelati insufficienti rispetto alla portata, obblighi mirati, calibrati sui livelli di sospetto, colmano le lacune senza ricorrere a un controllo generalizzato. La posizione è in attesa dell’accordo del Consiglio nel trilogo, in cui le garanzie di crittografia costituiscono linee rosse non negoziabili.
Meccanismi tecnici e compatibilità della crittografia
La proposta di regolamento della Commissione europea che stabilisce norme per prevenire e combattere l’abuso sessuale sui minori specifica le tecnologie di rilevamento che i fornitori implementano su ordine, distinguendo tra indicatori per materiale noto di abuso sessuale sui minori (basati su algoritmi di hashing percettivo che generano impronte digitali univoche da immagini o video verificati) e classificatori per materiale sconosciuto o modelli di sollecitazione addestrati su set di dati etichettati per identificare nuovi contenuti o segnali comportamentali.
Poiché la crittografia end-to-end rende i contenuti inaccessibili ai provider durante il transito, la proposta consente l’implementazione lato client, in cui il rilevamento avviene sui dispositivi degli utenti prima della crittografia o dopo la decrittografia, garantendo che l’hashing o la classificazione vengano eseguiti localmente senza trasmettere testo in chiaro ai server. I provider selezionano tecnologie che dimostrino elevata accuratezza e bassi tassi di errore, soggette a verifica indipendente, con ordini che richiedono la revisione umana degli elementi contrassegnati prima della segnalazione, per limitare i falsi positivi derivanti da collisioni di hash o errori di identificazione del classificatore.
La valutazione d’impatto che accompagna la proposta esamina le opzioni tecniche, concludendo che l’hashing per materiale noto raggiunge un’affidabilità superiore al 99% nei test controllati, mentre i classificatori per materiale sconosciuto mostrano una maggiore variabilità, dipendente dalla qualità dei dati di addestramento e dall’architettura del modello. Poiché nessuna tecnologia elimina completamente gli errori su larga scala, la proposta impone trasparenza sui tassi di errore, audit periodici e limitazioni alla durata degli ordini per mantenere la proporzionalità ai sensi degli articoli 7 e 8 della Carta.
La crittografia end-to-end preserva la riservatezza crittografando i dati sul dispositivo del mittente e decrittografandoli esclusivamente su quello del destinatario, impedendo l’accesso da parte di intermediari, incluso il fornitore stesso. La proposta garantisce la compatibilità limitando il rilevamento all’elaborazione a livello di dispositivo, evitando la decrittazione lato server o l’inserimento di backdoor che indebolirebbero le garanzie crittografiche. Il considerando 26 chiarisce che i fornitori possono offrire servizi crittografati a condizione che gli obblighi di rilevamento si applichino laddove i rischi li giustifichino, utilizzando meccanismi lato client che introducono l’esecuzione di codice locale senza alterare i protocolli di crittografia.
Il Comitato europeo per la protezione dei dati (EBPD) e il Garante europeo della protezione dei dati (EDPD) valutano congiuntamente che la scansione lato client equivale funzionalmente a un monitoraggio generalizzato se applicata su larga scala, con il rischio di interferenze indiscriminate con la riservatezza delle comunicazioni, indipendentemente dal luogo di implementazione. Poiché l’analisi residente sul dispositivo accede ai contenuti prima della crittografia, gli utenti sono sottoposti a un controllo continuo equivalente a violare l’essenza della crittografia per i servizi interessati.
Gli indicatori di hashing derivano da database di materiale verificato gestiti dal Centro UE, che impiegano algoritmi resistenti a piccole modifiche come ridimensionamento o ritaglio, con probabilità di collisione ridotte al minimo tramite varianti multi-hash. I classificatori per materiale sconosciuto si basano su modelli di apprendimento automatico, in genere reti neurali convoluzionali, che raggiungono tassi di rilevamento superiori al 90% nei benchmark, ma generano falsi positivi a tassi che richiedono la supervisione umana per evitare segnalazioni errate.
Poiché il rilevamento del grooming prende di mira indicatori testuali o comportamentali, la proposta limita tali ordini a criteri più rigorosi, riconoscendo una minore precisione del classificatore per le sfumature conversazionali rispetto al matching visivo. I provider segnalano annualmente i dettagli dell’implementazione, comprese le versioni della tecnologia, le metriche di errore e le misure di mitigazione contro i tentativi di evasione avversaria che manipolano gli input per aggirare il rilevamento.
L’approccio generale del Consiglio del novembre 2025 elimina gli ordini di rilevamento obbligatori per le comunicazioni interpersonali, rendendo la scansione volontaria e preservando l’accesso agli indicatori del Centro per i fornitori che scelgono di implementarla. Questo cambiamento affronta le problematiche relative alla crittografia eliminando l’obbligo, consentendo ai servizi di mantenere una crittografia end-to-end senza compromessi in assenza di adozione volontaria.
Il mandato del Parlamento europeo del novembre 2023 esclude completamente le comunicazioni crittografate end-to-end dall’ambito di applicazione degli ordini di rilevamento, vietando misure che eludano o compromettano l’integrità della crittografia. Gli emendamenti richiedono ordini mirati limitati all’hashing di materiale noto su account sospetti, con autorizzazione giudiziaria basata su indicazioni concrete piuttosto che su rischi per l’intero servizio.
Poiché il codice lato client introduce nuove superfici di attacco, consentendo il potenziale sfruttamento da parte di malware o attori statali per accedere a contenuti non crittografati, la proposta impone audit di sicurezza che dimostrino la resistenza al reverse engineering o alla manomissione. I provider sono responsabili delle vulnerabilità derivanti dalle implementazioni di rilevamento, incentivando un rafforzamento della sicurezza.
Le misure di sicurezza tecniche includono protocolli di mitigazione degli errori, in base ai quali i contenuti segnalati vengono sottoposti a deduplicazione automatica e revisione contestuale prima dell’escalation, riducendo i volumi inoltrati al Centro. Il Centro valuta costantemente l’accuratezza degli indicatori, ritirando le voci inaffidabili che superano le soglie definite per i falsi positivi.
Poiché la scalabilità volumetrica amplifica i conteggi assoluti degli errori anche a basse percentuali, la proposta limita l’applicabilità degli ordini a specifici segmenti di servizio, evitando la scansione generalizzata dei dispositivi su intere basi di utenti. I fornitori documentano pubblicamente le scelte tecnologiche, consentendo la supervisione da parte delle autorità di coordinamento.
L’interazione tra efficacia di rilevamento e conservazione della crittografia rivela una tensione intrinseca: l’identificazione efficace di materiale sconosciuto o di adescamento richiede un accesso ai contenuti incompatibile con una crittografia end-to-end avanzata in assenza di intervento lato client. La posizione della Commissione sostiene che l’elaborazione localizzata preserva la crittografia per il transito, adempiendo al contempo agli obblighi di prevenzione.
Analisi indipendenti confermano che l’hashing percettivo raggiunge tassi di collisione trascurabili per materiale noto quando i database incorporano esclusivamente fonti verificate, mentre i classificatori sconosciuti rimangono soggetti a distorsioni del dataset, con impatti sproporzionati su determinate tipologie di contenuto. Poiché le immagini autogenerate dagli adolescenti costituiscono sempre più materiale segnalato, i classificatori rischiano di confondere l’esplorazione consensuale con l’abuso in assenza di un addestramento mirato.
I fornitori che implementano un approccio di rilevamento volontario post-Consiglio accedono a indicatori standardizzati attraverso canali sicuri, garantendo linee guida tecnologiche uniformi senza imporre obblighi di adozione. Il Centro promuove la ricerca su tecniche di miglioramento della privacy, sebbene le attuali implementazioni si basino principalmente su paradigmi di hashing e classificazione consolidati.
Poiché gli esempi avversari dimostrano l’aggiramento del classificatore attraverso piccole perturbazioni, gli ordini richiedono test di resilienza rispetto ai metodi di evasione noti. I provider integrano gli aggiornamenti senza soluzione di continuità tramite meccanismi di distribuzione delle app, bilanciando la sicurezza con la continuità del rilevamento.
Il quadro tecnico del regolamento interagisce con imperativi di sicurezza informatica più ampi: l’indebolimento della fiducia nei dispositivi dovuto al codice client obbligatorio erode la sicurezza complessiva dell’ecosistema, amplificando potenzialmente i rischi derivanti da intrusioni sponsorizzate da stati che prendono di mira le backdoor di rilevamento. Poiché nessuna dimostrazione a conoscenza zero consente un rilevamento affidabile di materiale sconosciuto senza rivelarne il contenuto, le alternative rimangono in fase sperimentale.
Le autorità di coordinamento supervisionano l’implementazione delle tecnologie a livello nazionale, imponendo adeguamenti laddove i tassi di errore superino i limiti di proporzionalità. Il Centro aggrega dati anonimizzati sulle prestazioni per orientare i miglioramenti a livello dell’Unione, promuovendo un miglioramento iterativo senza centralizzare i contenuti sensibili.
Poiché le comunicazioni audio presentano distinte difficoltà di classificazione, il mandato del Parlamento le esclude dal campo di applicazione, concentrando gli obblighi sulle modalità visive e testuali con solide basi tecnologiche.
I fornitori possono contestare le tecnologie di rilevamento dinnanzi ai tribunali quando le implementazioni violano i diritti, con possibilità di sospensione in attesa di una risoluzione. Il quadro normativo integra l’adattabilità attraverso atti delegati che aggiornano le specifiche degli indicatori in base all’evoluzione tecnologica.
Valutazioni dei diritti fondamentali da parte degli organi di vigilanza
Il 28 luglio 2022, il Comitato europeo per la protezione dei dati e il Garante europeo della protezione dei dati hanno emesso un parere congiunto in cui valutano la proposta della Commissione di regolamento che stabilisce norme per prevenire e contrastare gli abusi sessuali sui minori, concludendo che gli obblighi di individuazione rischiano di interferire in modo sproporzionato con gli articoli 7, 8 e 11 della Carta dei diritti fondamentali attraverso un’analisi generalizzata del contenuto, incompatibile con i principi di necessità e proporzionalità stabiliti dalla giurisprudenza della Corte di giustizia.
Poiché la proposta autorizzava ordini di rilevamento che obbligavano i fornitori a scansionare le comunicazioni interpersonali alla ricerca di materiale sconosciuto e di sollecitazioni, utilizzando classificatori soggetti a tassi di errore superiori alle soglie accettabili per l’applicazione di massa, gli organi di vigilanza hanno stabilito che tali misure compromettono l’essenza delle garanzie di riservatezza, consentendo un controllo indiscriminato delle comunicazioni private in assenza di sospetti mirati. Il parere congiunto sottolinea che le limitazioni ai diritti fondamentali devono preservare la loro sostanza essenziale, richiedendo interventi limitati agli ambiti strettamente necessari, laddove alternative meno invasive siano sufficienti per gli obiettivi di protezione dei minori.
Gli organi di controllo riconoscono l’obiettivo legittimo di contrastare l’abuso sessuale sui minori come obiettivo di interesse generale in grado di giustificare restrizioni, ma sottolineano che l’ampiezza della proposta – che comprende tutti gli utenti dei servizi interessati, indipendentemente dal rischio individuale – si discosta dai precedenti della Corte di giustizia che vietano obblighi generali di monitoraggio o conservazione. Poiché la scansione lato client accede ai contenuti prima della crittografia, il parere equipara tale implementazione a un’elusione funzionale delle protezioni end-to-end, erodendo la fiducia nelle comunicazioni digitali essenziali per la libertà di espressione e le fonti giornalistiche.
Il parere congiunto critica la vaghezza delle condizioni degli ordini di rilevamento, rilevando un’insufficiente precisione sulle soglie di rischio, sui requisiti di accuratezza tecnologica e sui meccanismi di controllo giudiziario che non riescono a garantire un’applicazione mirata. I fornitori ricevono ordini basati su un rischio residuo significativo post-mitigazione, ma in assenza di parametri di errore quantificabili o di una convalida indipendente obbligatoria, i classificatori per materiale sconosciuto generano falsi positivi su larga scala, rendendo impraticabile la revisione umana.
Poiché l’individuazione del grooming si basa su indicatori comportamentali con una precisione intrinsecamente inferiore rispetto all’hashing di materiale noto, gli organi di vigilanza evidenziano rischi elevati di classificazione errata, che potrebbero compromettere le legittime discussioni sulla salute o l’identità sessuale tra minori. Il parere raccomanda di limitare gli obblighi all’hashing di materiale noto a una rigorosa autorizzazione giudiziaria basata su indicazioni concrete piuttosto che su valutazioni a livello di servizio.
Il Comitato europeo per la protezione dei dati ha adottato una successiva dichiarazione il 14 febbraio 2024 in cui affronta gli sviluppi legislativi, deplorando la persistenza di ordini di rilevamento che si estendono oltre il materiale noto nonostante le documentate inesattezze dei classificatori e accogliendo con favore gli emendamenti del Parlamento che limitano la portata, sollecitando al contempo ulteriori garanzie contro misure volontarie che ricreano di fatto un’analisi generalizzata.
Poiché le posizioni del Consiglio hanno reso volontaria la rilevazione delle comunicazioni interpersonali, pur mantenendo incentivi per la mitigazione del rischio, potenzialmente spingendo i fornitori verso un’implementazione su larga scala, la dichiarazione mette in guardia dal rischio di una coercizione indiretta che compromette l’integrità della crittografia. L’organismo di vigilanza ribadisce che le tecnologie prive di tassi di errore trascurabili violano il principio di proporzionalità, in particolare quando le false segnalazioni sopraffanno la capacità delle forze dell’ordine senza ottenere vantaggi investigativi proporzionali.
Il parere congiunto sottolinea gli effetti inquietanti che un controllo pervasivo altera il comportamento degli utenti, sopprimendo il dibattito aperto su argomenti sensibili e colpendo in modo sproporzionato i gruppi vulnerabili che dipendono da canali riservati. Poiché la crittografia costituisce una salvaguardia fondamentale per la sicurezza dei dati e i processi democratici, misure che ne indeboliscono l’implementazione rischiano di causare danni sociali più ampi, superiori ai benefici per la tutela dei minori.
Le valutazioni di vigilanza sono in linea con le sentenze della Corte di Giustizia che invalidano i sistemi generalizzati di conservazione dei dati per mancanza di un adeguato targeting e controllo, estendendo un ragionamento analogo agli obblighi di scansione dei contenuti. Il parere cita precedenti che richiedono interventi che dimostrino la necessità empirica attraverso prove che gli approcci volontari o mirati non riescono ad affrontare minacce comprovate.
Poiché la proposta istituisce un Centro UE per l’elaborazione di segnalazioni e indicatori, gli organi di vigilanza richiedono una governance solida che separi le funzioni di prevenzione da quelle di controllo, per impedire che le funzioni si estendano verso mandati di sorveglianza più ampi. I principi di minimizzazione dei dati impongono di filtrare le segnalazioni infondate prima dell’inoltro alle forze dell’ordine, con una trasparenza aggregata che escluda gli identificatori personali.
Il Garante europeo della protezione dei dati ha pubblicato analisi separate che rafforzano le posizioni congiunte, sottolineando che i meccanismi lato client introducono vulnerabilità dei dispositivi sfruttabili da malintenzionati, aggravando i rischi per la sicurezza informatica antitetici alle tutele previste dalla Carta. Poiché nessuna tecnologia di rilevamento raggiunge una precisione perfetta su larga scala, i falsi positivi sistemici violano la presunzione di innocenza, sottoponendo comunicazioni innocenti al controllo delle autorità.
Gli organi di vigilanza raccomandano alternative che pongano l’accento sulla mitigazione dei rischi da parte del fornitore attraverso funzionalità di progettazione, miglioramenti nella segnalazione degli utenti e indagini mirate autorizzate giudizialmente su specifiche informazioni di intelligence. Poiché il rilevamento volontario nell’ambito di deroghe provvisorie ha dimostrato la fattibilità senza la scansione obbligatoria, i quadri di riferimento permanenti dovrebbero dare priorità agli strumenti di protezione della crittografia rispetto ai classificatori intrusivi.
Il parere congiunto conclude che la proposta, in assenza di sostanziali revisioni che limitino l’individuazione di materiale noto in base a ordini basati su sospetti e con tecnologie verificabili a basso errore, presenta maggiori rischi per i diritti fondamentali che benefici per i minori vittime. Gli interventi di vigilanza informano i negoziati del trilogo, definendo garanzie contro interferenze sproporzionate.
Implicazioni per la futura regolamentazione digitale
L’approccio generale del Consiglio dell’Unione europea, adottato il 26 novembre 2025, stabilisce il rilevamento volontario per i servizi di comunicazione interpersonale, imponendo al contempo misure di mitigazione del rischio per tutti i livelli di servizi classificati e autorizzando le autorità nazionali a emettere ordini di rimozione e blocco, creando così un’infrastruttura amministrativa che normalizza la cooperazione dei fornitori nell’analisi dei contenuti senza soglie di scansione obbligatorie.
Poiché la posizione rende permanente la deroga precedentemente temporanea che consentiva il rilevamento volontario, i fornitori ottengono un accesso indefinito agli indicatori del Centro UE per l’hashing dei materiali noti e i potenziali classificatori, spostando la base normativa da un’implementazione eccezionale a una di routine di strumenti di moderazione dei contenuti originariamente giustificati da esigenze di tutela dei minori. I sistemi di classificazione del rischio, che distinguono livelli bassi, medi e alti in base al potenziale di abuso, impongono obblighi di mitigazione crescenti, inclusi meccanismi di garanzia dell’età e funzionalità di sicurezza fin dalla progettazione che richiedono interventi algoritmici proattivi, integrando efficacemente il controllo preventivo nelle architetture dei servizi.
I negoziati di trilogo avviati a seguito del mandato del Consiglio conciliano le divergenze con la posizione del Parlamento del 2023 che limita il rilevamento all’hashing mirato di materiale noto autorizzato giudizialmente, determinando se il testo finale preservi le garanzie di crittografia o espanda i quadri volontari incentivando un’adozione su larga scala. Poiché le misure volontarie evitano l’obbligo diretto ma allineano la riduzione della responsabilità con l’adozione del rilevamento, i fornitori si trovano ad affrontare pressioni strutturali per implementare scansioni che superino la conformità minima, stabilendo di fatto un’analisi generalizzata in assenza di mandati espliciti.
Il ruolo dell’EU Centre nel mantenere database di indicatori, filtrare le segnalazioni e facilitare le richieste di rimozione delle vittime crea una capacità tecnica centralizzata trasferibile ad ambiti politici adiacenti una volta resa operativa. Poiché gli indicatori derivano da segnalazioni verificate e verificate per affidabilità, le estensioni ad altre categorie di contenuti illegali, come materiale terroristico o disinformazione, richiedono solo adeguamenti procedurali anziché revisioni legislative, riducendo gli ostacoli politici all’ampliamento dell’ambito di applicazione.
L’enfasi del Consiglio sulla complementarietà con il Digital Services Act sfrutta le valutazioni del rischio sistemico esistenti per le piattaforme di grandi dimensioni, integrando obblighi specifici per i minori in quadri orizzontali che già impongono la moderazione proattiva dei contenuti. Le designazioni ad alto rischio innescano una maggiore trasparenza e auditing, normalizzando la verifica indipendente delle tecnologie di rilevamento applicabili anche al di fuori dei contesti di abuso sui minori.
Poiché i sistemi di verifica dell’età obbligatori per i servizi ad alto rischio elaborano dati biometrici o documentali per limitare l’accesso ai minori, l’infrastruttura accumulata supporta il collegamento di identità tra domini, facilitando futuri obblighi per interazioni autenticate in spazi regolamentati. I provider implementano progetti che tutelano la privacy ove possibile, ma la scalabilità richiede canali di convalida centralizzati espandibili a requisiti di attribuzione degli utenti più ampi.
La portata extraterritoriale della posizione obbliga i fornitori extra-UE che prendono di mira gli utenti dell’Unione a nominare rappresentanti e a conformarsi ai meccanismi del Centro, esportando i precedenti amministrativi a livello globale attraverso le condizioni di accesso al mercato. Poiché gli ordini di rimozione e blocco vengono eseguiti rapidamente su istruzione delle autorità, i modelli di applicazione si adattano prontamente alle minacce emergenti con priorità politica.
I cataloghi di mitigazione del rischio includono misure non esaustive come la formazione del personale, la ricalibrazione algoritmica e il miglioramento dei report utente, incoraggiando l’innovazione negli strumenti automatizzati che si affinano nel tempo per un’implementazione multifunzionale. Poiché le classificazioni ad alto rischio incorporano funzionalità di servizio che consentono interazioni private, incentivano modifiche progettuali che riducono la riservatezza per ridurre al minimo l’esposizione a responsabilità.
Gli esiti del trilogo influenzano il valore del precedente: il mantenimento del rilevamento volontario con divieti di crittografia rigorosi limita l’immediata espansione delle funzioni, mentre una mitigazione permissiva del rischio consente una normalizzazione incrementale della sorveglianza preventiva. Poiché il regolamento istituisce autorità di coordinamento dedicate con poteri investigativi, le capacità nazionali si rafforzano per risposte coordinate a diversi tipi di danni online.
La clausola di valutazione del quadro normativo prevede revisioni quinquennali che ne valutino l’efficacia in base a parametri di prevalenza e all’impatto sui diritti, fornendo percorsi istituzionalizzati per espansioni basate su prove concrete e dati operativi. Poiché i canali di supporto alle vittime centralizzano le richieste di rimozione con protocolli di verifica, i processi si semplificano per analoghi diritti di cancellazione in altri ambiti.
Il rifiuto da parte del Consiglio di ordinare ordini obbligatori per i servizi crittografati preserva i vincoli di fattibilità tecnica, ma la permanenza volontaria segnala l’accettazione di meccanismi lato client in cui i provider scelgono l’implementazione. Poiché gli indicatori sono sottoposti a un continuo affinamento dell’accuratezza, la maturazione tecnologica riduce le barriere di errore a un’applicazione più ampia.
L’interazione del regolamento con le deroghe della Direttiva ePrivacy trasforma i regimi provvisori in strutture permanenti, consolidando le eccezioni come componenti infrastrutturali. Poiché le sanzioni sono proporzionali al fatturato per le carenze di mitigazione, i meccanismi di deterrenza allineano gli incentivi dei fornitori alle aspettative delle autorità in tutte le categorie di contenuti.
| Concetto | Descrizione | Posizioni chiave / Dettagli | Istituzione / Palcoscenico | Fonte |
|---|---|---|---|---|
| Proposta originale | Quadro completo che richiede ai fornitori di valutare i rischi e di mitigarli; consente ordini di rilevamento per CSAM noti/sconosciuti e adescamento. | Valutazioni del rischio obbligatorie; ordini di accertamento (fino a 24 mesi per il materiale, 12 mesi per la sollecitazione) con autorizzazione giudiziaria; creazione di un Centro UE per gli indicatori, filtraggio delle segnalazioni, sostegno alle vittime. | Commissione Europea | Proposta di regolamento del Parlamento europeo e del Consiglio recante norme per prevenire e combattere l’abuso sessuale sui minori – Commissione europea – maggio 2022 |
| Obblighi di rilevamento | Ai fornitori può essere ordinato di analizzare i servizi utilizzando gli indicatori forniti dal Centro. | Hashing per materiale noto; classificatori per materiale sconosciuto/grooming; scansione lato client per servizi crittografati; supervisione umana e segnalazione degli errori richieste. | Commissione Europea | Proposta di regolamento del Parlamento europeo e del Consiglio recante norme per prevenire e combattere l’abuso sessuale sui minori – Commissione europea – maggio 2022 |
| Ruolo del centro UE | Agenzia decentrata per supportare la prevenzione e l’applicazione della legge. | Gestisce database di indicatori; filtra i rapporti; assiste nell’allontanamento delle vittime; fornisce assistenza tecnica; collabora con Europol. | Commissione Europea / Tutte le posizioni | Proposta di regolamento del Parlamento europeo e del Consiglio recante norme per prevenire e combattere l’abuso sessuale sui minori – Commissione europea – maggio 2022 |
| Mitigazione del rischio | I fornitori devono attuare misure per ridurre i rischi di abuso. | Sicurezza fin dalla progettazione, strumenti di segnalazione degli utenti, funzionalità adatte all’età, controlli dei contenuti. | Commissione Europea | Proposta di regolamento del Parlamento europeo e del Consiglio recante norme per prevenire e combattere l’abuso sessuale sui minori – Commissione europea – maggio 2022 |
| Rimozione e blocco | Le autorità emettono ordini per il materiale identificato. | È richiesta l’esecuzione immediata; sono supportate le richieste dirette della vittima. | Commissione europea / Consiglio | Proposta di regolamento del Parlamento europeo e del Consiglio recante norme per prevenire e combattere l’abuso sessuale sui minori – Commissione europea – maggio 2022 |
| Posizione del Consiglio | Elimina il rilevamento obbligatorio per le comunicazioni interpersonali. | Rilevamento volontario e permanente; classificazione del rischio a livelli (basso/medio/alto); mitigazione migliorata, inclusa la garanzia dell’età per i rischi elevati. | Consiglio dell’Unione Europea | Abuso sessuale sui minori: il Consiglio raggiunge una posizione sulla legge che protegge i minori dagli abusi online – Consiglio dell’Unione europea – novembre 2025 |
| Rilevamento volontario | I fornitori possono scegliere di effettuare la scansione utilizzando gli indicatori del Centro. | Nessun obbligo per i servizi crittografati; divieto esplicito di compromettere la crittografia end-to-end. | Consiglio dell’Unione Europea | Abuso sessuale sui minori: il Consiglio raggiunge una posizione sulla legge che protegge i minori dagli abusi online – Consiglio dell’Unione europea – novembre 2025 |
| Autorità nazionali | Autorità di coordinamento designate con poteri di esecuzione. | Emettere ordini di rimozione/blocco; supervisionare la conformità; imporre sanzioni basate sul fatturato. | Consiglio / Commissione | Abuso sessuale sui minori: il Consiglio raggiunge una posizione sulla legge che protegge i minori dagli abusi online – Consiglio dell’Unione europea – novembre 2025 |
| Mandato del Parlamento | Limita il rilevamento ai casi mirati e sospetti. | Limitato a materiale pedopornografico noto; esclude misure che compromettono la crittografia; rimanda materiale/adescamento sconosciuti fino a prova contraria. | Parlamento europeo | RELAZIONE sulla proposta di regolamento del Parlamento europeo e del Consiglio recante norme per prevenire e combattere l’abuso sessuale sui minori – Parlamento europeo – novembre 2023 |
| Misure di sicurezza della crittografia | Elevata protezione contro l’indebolimento della crittografia end-to-end. | Vieta la scansione generalizzata; lato client solo se compatibile con la riservatezza. | Parlamento / Consiglio | RELAZIONE sulla proposta di regolamento del Parlamento europeo e del Consiglio recante norme per prevenire e combattere l’abuso sessuale sui minori – Parlamento europeo – novembre 2023 |
| Meccanismi tecnici | Hashing per materiale noto; classificatori per materiale sconosciuto/di preparazione. | Scansione lato client per servizi crittografati; mitigazione degli errori tramite revisione umana; controlli di accuratezza richiesti. | Commissione / Organi di vigilanza | Proposta di regolamento del Parlamento europeo e del Consiglio recante norme per prevenire e combattere l’abuso sessuale sui minori – Commissione europea – maggio 2022 |
| Tassi di errore e falsi positivi | Nessuna tecnologia è esente da errori su larga scala. | Hashing altamente affidabile; classificatori con tassi di errore più elevati; falsi positivi statisticamente inevitabili in miliardi di messaggi. | Organismi di vigilanza | Parere congiunto EDPB-GEPD 4/2022 sulla proposta di regolamento del Parlamento europeo e del Consiglio recante norme per prevenire e combattere l’abuso sessuale sui minori – Comitato europeo per la protezione dei dati e Garante europeo della protezione dei dati – luglio 2022 |
| Preoccupazioni sui diritti fondamentali | Rischio di interferenza sproporzionata con la privacy e la protezione dei dati. | La scansione generalizzata indebolisce gli articoli 7, 8 e 11 della Carta; ha effetti paralizzanti sulla libertà di espressione; è incompatibile con la giurisprudenza della CGUE. | EDPB / GEPD | Parere congiunto EDPB-GEPD 4/2022 sulla proposta di regolamento del Parlamento europeo e del Consiglio recante norme per prevenire e combattere l’abuso sessuale sui minori – Comitato europeo per la protezione dei dati e Garante europeo della protezione dei dati – luglio 2022 |
| Effetti agghiaccianti | Gli utenti si autocensurano quando sono consapevoli di un potenziale controllo. | Riduce la comunicazione aperta e colpisce in modo sproporzionato i gruppi vulnerabili. | Organismi di vigilanza | Parere congiunto EDPB-GEPD 4/2022 sulla proposta di regolamento del Parlamento europeo e del Consiglio recante norme per prevenire e combattere l’abuso sessuale sui minori – Comitato europeo per la protezione dei dati e Garante europeo della protezione dei dati – luglio 2022 |
| Precedenti e funzione Creep | Infrastruttura facilmente estendibile ad altri tipi di contenuto. | Banche dati centrali, mandati di mitigazione del rischio, ordini di rimozione adattabili al terrorismo, alla disinformazione, ecc. | Tutte le posizioni (implicite nella permanenza del Consiglio) | Abuso sessuale sui minori: il Consiglio raggiunge una posizione sulla legge che protegge i minori dagli abusi online – Consiglio dell’Unione europea – novembre 2025 |
| Stato attuale | Negoziati del trilogo in corso a partire da dicembre 2025. | Inizio dicembre 2025; in attesa di riconciliazione tra approcci volontari e mirati. | Consiglio / Parlamento | Abuso sessuale sui minori: il Consiglio raggiunge una posizione sulla legge che protegge i minori dagli abusi online – Consiglio dell’Unione europea – novembre 2025 |
