ABSTRACT: Il testo descrive la proposta di Regolamento della Commissione Europea ‘’Child sexual abuse’’ (COM (2022) 209) (nota anche come ‘’Chat control’’). Detta proposta mira ad introdurre strumenti volti a individuare e segnalare materiale pedopornografico e a prevenire l’adescamento di minori online (grooming), permettendo ai provider di individuare e segnalare automaticamente i contenuti trasmessi sulle loro piattaforme. La proposta, ancora in fase di negoziazione, genera tensioni sia dal punto di vista della tutela della privacy, che dal punto di vista del principio di proporzionalità e di presunzione di innocenza, oltre a comportare una ridefinizione della responsabilità dei providers.
SOMMARIO: 1. INTRODUZIONE: ORIGINI E FINALITÀ DELLA PROPOSTA CSAR – 2. LA RESPONSABILITÀ DELL’INTERNET SERVICE PROVIDER: NUOVE TENSIONI – 3. PROFILI PROBLEMATICI: TUTELA DELLA PRIVACY E… – 4. …TENSIONI CON IL PRINCIPIO DI PROPORZIONALITÀ IN CAMPO PROCESSUALE – 5. CONCLUSIONE
1. INTRODUZIONE: ORIGINI E FINALITÀ DELLA PROPOSTA CSAR
La tutela dei minori, sancita dalla Convenzione delle Nazioni Unite sui diritti del fanciullo e dall’articolo 24, paragrafo 2, della Carta dei diritti fondamentali dell’Unione europea, costituisce uno dei diritti fondamentali dell’ordinamento europeo. La progressiva digitalizzazione della vita quotidiana ha esposto i minori a nuove forme di vulnerabilità, amplificando fenomeni di abuso e sfruttamento sessuale online.
Infatti, in tale contesto è nata la proposta di Regolamento ‘’Child sexual abuse’’ (COM (2022) 209) (nota anche come ‘’Chat control’’) per prevenire e combattere l’abuso sessuale su minori e che mira a uniformare le regole europee in materia di rilevazione, segnalazione e rimozione dei contenuti pedopornografici online. Essa interviene a fronte dell’insufficienza delle iniziative volontarie dei prestatori di servizi digitali e della crescente frammentazione normativa tra gli Stati membri, tentando – in maniera ancora insufficiente – di bilanciare l’esigenza di tutela dei minori con quella della salvaguardia della privacy, della protezione dei dati e della libertà di comunicazione.
Si tratta di un atto normativo di portata generale, tuttora in fase di negoziazione, che mira a introdurre nell’ordinamento europeo un sistema di prevenzione tecnologica degli abusi sessuali online, attraverso obblighi diretti ai fornitori di servizi digitali che consentono comunicazioni tra utenti maggiormente esposte a simile rischio, come le piattaforme social, i servizi di messaggistica privata e i servizi cloud. La Commissione ha, infatti, previsto un insieme articolato di obblighi a carico dei providers, come la valutazione preventiva dei rischi di utilizzo improprio dei propri servizi e, nei casi considerati più gravi, l’obbligo di scansionare i contenuti delle comunicazioni private al fine di individuare detto materiale illecito, oltre alla possibilità per le autorità nazionali di emanare ordini di rilevazione. La scansione delle comunicazioni private avverrebbe attraverso il ‘’client-side scannig’’, ossia un algoritmo capace di analizzare in automatico dette informazioni.
La proposta di Regolamento desta, tuttavia, preoccupazioni su più fronti, sia dal punto di vista di tutela della privacy degli utenti, che da quello della ridefinizione della responsabilità dei soggetti coinvolti.
2.LA RESPONSABILITÀ DELL’INTERNET SERVICE PROVIDER: NUOVE TENSIONI
Tradizionalmente, il dibattito sulla responsabilità penale dei provider è sorto in riferimento ai reati contro l’onore, con particolare riguardo alla diffamazione a mezzo internet. In questo ambito, la giurisprudenza italiana ha interpretato l’art. 57 c.p. — che prevede la responsabilità del direttore o dell’editore della stampa periodica per omesso controllo —, adattandolo a contesti comunicativi diversi dalla stampa tradizionale e adeguando un dato normativo divenuto ormai anacronistico alle nuove forme di informazione digitale, come le testate giornalistiche online.
Per quanto concerne gli Internet Service Providers, si è esclusa l’applicabilità diretta dell’art. 57 c.p., ritenendo più opportuno, con riguardo alla loro responsabilità, il riferimento all’art. 40, comma 2, c.p., che sancisce la responsabilità per omissione in presenza di un obbligo giuridico di impedire l’evento. Tuttavia, l’individuazione di un simile obbligo in capo ai provider appare allo stato problematica. Infatti, l’ordinamento non sembra attribuirgli un dovere giuridico di controllo o di prevenzione di reati commessi dagli utenti; in particolare, l’art. 17 del D.Lgs. n. 70/2003 (che recepisce la Direttiva e-commerce 2000/31/CE) stabilisce che i fornitori di servizi Internet non hanno un obbligo generale di sorveglianza (o di monitoraggio attivo) sulle informazioni che trasmettono o memorizzano.
La questione si ripropone, con particolare intensità, in relazione ai reati di pedopornografia online, che presentano caratteristiche peculiari rispetto ai reati di diffamazione. Sotto il profilo di politica criminale, la proposta di Regolamento mira a trasformare il provider da mero intermediario tecnico in un soggetto attivo della prevenzione del reato, investito di funzioni di vigilanza e segnalazione, in quanto soggetto con l’obbligo di dotarsi di strumenti per rilevare, segnalare e rimuovere materiali di abusi sessuali su minori o di grooming. Allo stato, le piattaforme online, ai sensi del Digital service act (Regolamento UE 2022/2065) hanno solo l’obbligo di rimuovere contenuti di questo tipo, pur non essendo responsabili del loro rilevamento. Dunque, nonostante l’obbligo di cooperazione imposto agli Internet Service Providers dal diritto europeo consista in un dovere tecnico-amministrativo finalizzato a supportare le autorità, senza obbligare il provider a impedire direttamente i reati, detta proposta normativa estende gli obblighi di sorveglianza e segnalazione, avvicinando la cooperazione a una possibile forma di obbligo di garanzia, creando un nuovo terreno di analisi sulla responsabilità penale dei provider.
Invero, in dottrina si era già avanzata sul punto una proposta che ritiene più opportuno introdurre una specifica fattispecie di omesso controllo colposo, modellata sull’art. 57 c.p., di modo che si possano tenere in considerazione le peculiarità delle attività svolte dall’Internet Service Provider, in luogo dell’affidamento al generale schema di cui all’art. 40 comma 2.
3. PROFILI PROBLEMATICI: TUTELA DELLA PRIVACY E…
I reati che mira a prevenire il Regolamento CSA sono considerati particolarmente gravi, per cui un’azione efficace per il loro contrasto costituisce un obiettivo di interesse generale riconosciuto dall’Unione. Tuttavia, le modalità di detta azione sono state fortemente sottoposte a vaglio critico, sotto alcuni punti di vista.
Dal punto di vista dei diritti fondamentali, il Comitato europeo per la protezione dei dati (EDPB) e il Garante europeo della protezione dei dati (GEPD) hanno evidenziato come la proposta di Regolamento sollevi forti dubbi sulla proporzionalità dell’interferenza delle misure previste dalle disposizioni della proposta di Regolamento con riguardo alla tutela la privacy e alla protezione dei dati personali.
Le autorità europee hanno, infatti, osservato che le garanzie procedurali previste dalla proposta di Regolamento non possono sostituire le garanzie di natura sostanziale, nel senso che la previsione di un meccanismo di “escalation’’ – che prevede la valutazione del rischio da parte del fornitore del servizio di comunicazione, la predisposizione di misure di mitigazione e, infine, l’ordine di rilevamento – non sono sufficienti a garantire la tutela effettiva dei diritti fondamentali; questo in quanto non sono stati precisamente definiti gli obblighi sostanziali gravanti sui provider e i limiti entro cui tali obblighi possono essere esercitati.
La proposta risulta, poi, poco chiara su concetti fondamentali, come quello di “rischio significativo”, che spetta individuare alle autorità nazionali riguardo alla correttezza della valutazione operata dal fornitore di servizi di comunicazione, in presenza del quale si autorizza il client side scanning. Detta imprecisione attualmente, dunque, lascerebbe ampi margini di discrezionalità agli operatori privati e alle autorità.
Con riguardo alla crittografia, EDPB e GEPD rilevano che la proposta, così formulata, può compromettere la riservatezza delle comunicazioni, la libertà di espressione e la sicurezza digitale, imponendo ai provider obblighi di rilevamento che potrebbero richiedere la decrittazione delle comunicazioni. Si è sottolineata, infatti, la necessità di un equilibrio tra protezione dei minori e salvaguardia di canali sicuri e privati, chiarendo che il Regolamento non dovrebbe compromettere il sistema di crittografia attualmente in uso.
4. …TENSIONI CON IL PRINCIPIO DI PROPORZIONALITÀ IN CAMPO PROCESSUALE
Tutto quanto detto fa emergere come viene messo in tensione il principio di proporzionalità in campo processuale, il quale rappresenta il parametro imprescindibile di legittimità delle ingerenze statali nella sfera privata degli individui.
Sebbene l’obiettivo di tutela dei minori costituisca un diritto fondamentale riconosciuto dagli artt. 24 della Carta dei diritti fondamentali dell’Unione europea e dalla Convenzione ONU sui diritti del fanciullo, le modalità previste per conseguirlo hanno rilevanti dubbi di compatibilità con gli artt. 7, 8 e 11 della Carta, che tutelano rispettivamente il diritto alla vita privata, alla protezione dei dati personali e alla libertà di comunicazione. Tanto la Convenzione di Budapest quanto la CEDU e la giurisprudenza della Corte di giustizia dell’Unione europea impongono che ogni misura limitativa dei diritti fondamentali sia conforme al criterio di stretta necessità e proporzionalità, dovendo essere mirata, temporanea e soggetta a controllo giurisdizionale. Al contrario, il Regolamento CSA introdurrebbe un monitoraggio generalizzato e automatizzato delle comunicazioni private, senza la previa autorizzazione dell’autorità giurisdizionale.
Ciò comporta il rischio di riproporre le medesime criticità che condussero all’invalidità della direttiva 2006/24/CE cd.’’Frattini’’ sulla conservazione dei dati (CGUE, Grande Sezione, 8 aprile 2014, cause C-293/12 e C-594/12), a causa della sproporzione tra la finalità perseguita e la gravità dell’ingerenza nella sfera privata dei cittadini.
Altro profilo problematico è rappresentato dai risultati delle scansioni, in quanto le tecnologie di rilevamento algoritmiche producono esiti probabilistici soggetti a un margine di errore, generando possibili falsi positivi, ossia segnalazioni di contenuti che, in realtà, non presentano carattere illecito. Ciò incide direttamente sul principio di presunzione di innocenza, poiché un algoritmo non è del tutto in grado di distinguere con certezza i comportamenti leciti e quelli illeciti, finendo per comportare, a carico del soggetto, misure investigative invasive in assenza di un adeguato fondamento probatorio.
5. CONCLUSIONE
Dal lato degli Stati membri, diversi Paesi hanno manifestato un’opposizione esplicita o la richiesta di modifiche sostanziali della proposta.
La Germania ha dichiarato di ritenere improbabile che un monitoraggio generale delle singole comunicazioni resista al vaglio dei diritti fondamentali europei.
Austria, Belgio, Paesi Bassi, Polonia e altri hanno segnalato che l’obbligo generalizzato di scansione delle comunicazioni private costituisce un rischio per la privacy e la libertà di espressione, chiedendo che la normativa venga ridefinita o esclusa nella sua versione attuale.
Nel 2023 il Parlamento europeo, pur riconoscendo la necessità di contrastare gli abusi online sui minori, ha stabilito che ogni forma di controllo dei contenuti delle comunicazioni possa avvenire solo su disposizione dell’autorità giudiziaria e che non sia in alcun modo compromessa la crittografia end-to-end.
La votazione, prevista per lo scorso 14 ottobre, è stata rimandata a dicembre a causa delle forti criticità ancora presenti nella formulazione. In ogni caso per l’approvazione del testo sarà necessario il voto della maggioranza qualificata.
BIBLIOGRAFIA ESSENZIALE
- Commissione europea, Proposta di regolamento del Parlamento europeo e del Consiglio che stabilisce norme per prevenire e combattere l’abuso sessuale sui minori, COM(2022) 209 final, Bruxelles, 11 maggio 2022, disponibile al link EUR-Lex: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:52022PC0209;
- EDPB-EDPS, Joint Opinion 04/2022 on the Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse;
Parlamento europeo, Regulation laying down rules to prevent and combat child sexual abuse” (COM (2022) 0209 – A9-0364/2023), disponibile al link, https://www.europarl.europa.eu/doceo/document/A-9-2023-0364_EN.html; - “Il chatbot ci può denunciare alle autorità: perché è gravissimo”, 29 settembre 2025, disponibile al link https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10171128;
- A. MASSARO, G. BAFFA, Online child pornography: prevention and law enforcement tools, disponibile al link https://caterinachinnici.it/wp-content/uploads/2021/07/LAVOROpedopornografia_ricerca_EN_corretto.pdf;
- F. NICOLICCHIA, Il principio di proporzionalità nell’era del controllo tecnologico e le sue implicazioni processuali rispetto ai nuovi mezzi di ricerca della prova, in Diritto Penale Contemporaneo, 2018.
