Campo Chat Control 1.0 Chat Control 2.0 (CSAR)
Testo di riferimento Regolamento (UE) 2021/1232 Proposta COM/2022/209 (CSAR)
Natura della scansione Volontaria — le piattaforme POSSONO scansionare Obbligatoria tramite ordini di rilevazione
Chi è coinvolto Principalmente servizi USA non E2EE: Gmail, Messenger, Instagram, Skype, Snapchat, iCloud Mail, Xbox TUTTE le piattaforme, inclusi messaggeri E2EE (Signal, WhatsApp, Threema…)
Tecnica principale Scansione server-side (hash matching su server) Client-side scanning + server-side + ordini di mitigazione del rischio
Base giuridica Deroga temporanea all'ePrivacy Nuovo regolamento permanente con autorità di coordinamento UE
Scadenza Scaduto 3 apr 2026; in discussione proroga al 3 apr 2028 Permanente, nessuna clausola di sunset
Stato luglio 2026 PE ha votato il 9 lug 2026: carve-out E2EE adottato, testo al Consiglio Bloccato in trilogo dal 2022; torna in negoziato settembre 2026
Chi spinge Consiglio UE, Francia, Big Tech (appello 19 mar 2026) Commissione (Johansson), alcuni Stati (Ungheria), industria scanning
Chi resiste PE (maggioranza contro proroga mar 2026), Germania, Paesi Bassi, Austria Stesso blocco + critici tecnici, Signal, 450+ scienziati ("Bugs in Our Pockets")
Rischio false positive Alto ma limitato a servizi non E2EE Altissimo — miliardi di messaggi e foto scansionati su tutti i dispositivi

Chat Control 1.0 — La deroga "temporanea"

Il regolamento (UE) 2021/1232 è una deroga all'ePrivacy che consente ai provider di scansionare volontariamente le comunicazioni per CSAM. Nato come misura d'emergenza "temporanea", si è trasformato in un regime che si rinnova.

  • Volontario — nessun obbligo, ma le Big Tech lo fanno comunque
  • Non E2EE — Gmail, Messenger, Snapchat, iCloud Mail
  • Scaduto — 3 aprile 2026, ma il Consiglio lo resuscita
  • Carve-out — emendamento PE del 9 lug 2026 esclude E2EE

Meta, Google e altri hanno firmato l'appello del 19 marzo 2026 per mantenere la scansione e hanno annunciato di continuare anche senza base giuridica.

Chat Control 2.0 (CSAR) — L'obbligatorietà

La proposta COM/2022/209 della commissaria Ylva Johansson introduce un regolamento permanente con ordini di rilevazione obbligatori su tutte le piattaforme, inclusi i messaggeri con cifratura end-to-end.

  • Obbligatorio — ordini di rilevazione vincolanti
  • Tutti — Signal, WhatsApp, Threema, tutto
  • Client-side scanning — software sul dispositivo, prima della cifratura
  • Bloccato — in trilogo dal 2022, torna a settembre 2026

450+ scienziati hanno firmato "Bugs in Our Pockets" (2021) spiegando perché la scansione client-side è incompatibile con la privacy e viene inevitabilmente riutilizzata.

Infografica: chi è nel perimetro?

CC 1.0 — Servizi coinvolti

GmailMessengerInstagram SkypeSnapchatiCloud Mail XboxTelegram*

*Telegram chat normali (non E2EE). Con carve-out lug 2026: WhatsApp e Signal esclusi.

CC 2.0 — Servizi coinvolti

TUTTOSignalWhatsApp ThreemaMatrixEmail CloudQualsiasi piattaforma

Nessuna esclusione. Ordini di rilevazione obbligatori.

Simula l'impatto sui tuoi servizi →