L'Unione Europea sta preparando una legislazione che costringerebbe le aziende tecnologiche a inserire porte sul retro (backdoor) nelle app di messaggistica con crittografia end-to-end e ad estendere i requisiti obbligatori di conservazione dei dati ai servizi orientati alla privacy in tutti i 27 stati membri. L'iniziativa, denominata ProtectEU, è stata descritta dagli esperti di diritti digitali come "Chat Control 2.0" e potrebbe rendere i servizi senza registrazione (no-log) di fatto illegali in Europa già nel 2026.
Cos'è ProtectEU?
ProtectEU è la nuova Strategia di Sicurezza Interna dell'UE, adottata formalmente dalla Commissione Europea il 1 aprile 2025 (COM(2025) 148 final). In superficie, si presenta come una risposta alle crescenti minacce terroristiche, alla criminalità organizzata e alla guerra ibrida. Sotto la superficie, tuttavia, si cela un piano che, secondo i difensori della privacy, mina strutturalmente l'architettura di sicurezza che protegge centinaia di milioni di europei online.
La strategia incarica la Commissione di sviluppare una Tabella di marcia tecnologica sulla crittografia, un piano tecnico per garantire alle forze dell'ordine l'accesso alle comunicazioni cifrate senza richiedere ai fornitori di servizi la consegna del testo in chiaro. La tabella di marcia è attesa entro la fine del 2025, mentre la proposta di legge è prevista per giugno 2026.
Il piano viene sviluppato in stretta collaborazione con il Gruppo di alto livello (HLG) sull'accesso ai dati per l'efficace applicazione della legge, un organismo intergovernativo che sostiene da tempo il concetto di "accesso legale fin dalla progettazione". Ciò significa integrare i meccanismi di accesso direttamente nell'architettura delle piattaforme, piuttosto che aggiungerli a posteriori. I critici sottolineano che questo approccio è funzionalmente identico a una backdoor, a prescindere dalla terminologia utilizzata.
La rete European Digital Rights (EDRi) ha definito il progetto "un ulteriore passo verso un futuro digitale distopico", avvertendo che qualsiasi vulnerabilità tecnica creata per la polizia sarà inevitabilmente sfruttata da criminali informatici e servizi segreti ostili. L'ENISA, l'agenzia per la cybersicurezza dell'UE, ha più volte ribadito che indebolire la crittografia aumenta i rischi anziché ridurli.
Conservazione obbligatoria dei dati: la minaccia silenziosa
Insieme alla tabella di marcia sulla crittografia, ProtectEU propone di estendere il quadro europeo di conservazione dei dati per includere esplicitamente i fornitori di servizi di comunicazione crittografati, compresi quelli che attualmente operano su base rigorosamente no-log. Secondo le attuali proposte, i servizi attivi in Europa potrebbero essere obbligati a registrare i metadati di connessione: timestamp, connessioni ai server e potenzialmente l'identità degli abbonati, conservando tali informazioni per l'accesso su richiesta delle forze dell'ordine.
Per gli utenti europei che si affidano a strumenti privati proprio perché non raccolgono alcuna informazione, ciò rappresenterebbe una sfida di conformità impossibile. O i fornitori inizieranno a registrare i dati, distruggendo la loro promessa fondamentale di riservatezza, o dovranno abbandonare del tutto il mercato UE. Diversi grandi operatori hanno già segnalato che sceglierebbero il ritiro piuttosto che la conformità se tali requisiti diventassero legge.
Perché gli esperti lo chiamano "Chat Control 2.0"
Il soprannome si riferisce al precedente tentativo dell'UE di imporre la scansione lato client dei messaggi crittografati, il cosiddetto regolamento Chat Control, rifiutato dagli stati membri nel 2024 dopo un'ondata di proteste da parte di organizzazioni per i diritti civili, ricercatori di sicurezza e aziende tecnologiche. I critici sostengono che ProtectEU sia semplicemente lo stesso Chat Control riconfezionato con un linguaggio più morbido e una tempistica ritardata.
Il problema crittografico fondamentale rimane lo stesso: non esiste un modo per creare una backdoor utilizzabile solo dai buoni. Una falla matematica introdotta per l'accesso della polizia è ugualmente accessibile all'intelligence russa, agli hacker di stato cinesi e alle bande di ransomware. Non si tratta di una preoccupazione teorica. La violazione di Salt Typhoon ai danni dell'infrastruttura di intercettazione legale delle telecomunicazioni statunitensi nel 2024 ha dimostrato esattamente come i meccanismi di accesso diventino la porta d'ingresso per attori statali ostili.
Il panorama legislativo globale
ProtectEU non nasce nel vuoto. Oltreoceano, i legislatori statunitensi stanno discutendo misure simili di espansione della sorveglianza legate al rinnovo della Sezione 702 del FISA. Nel Regno Unito, l'Investigatory Powers Act è già stato utilizzato per fare pressione su Apple affinché indebolisse la crittografia di iCloud per gli utenti britannici. I governi democratici sembrano coordinare uno sforzo globale per ridimensionare le tutele della privacy conquistate nell'ultimo decennio.
La convergenza di queste iniziative indica che l'attuale generazione di tecnologie per la tutela della riservatezza (crittografia forte di default nelle app di messaggistica, browser e servizi senza registrazione) affronta la più grave minaccia normativa dal momento della sua adozione di massa, avvenuta dieci anni fa.
Cronologia e prossimi passi
- Aprile 2025: Adozione della strategia ProtectEU (COM(2025) 148 final)
- Fine 2025: Presentazione della Tabella di marcia sulla crittografia da parte della Commissione
- Giugno 2026: Progetto di legge atteso su accesso alla crittografia e conservazione dei dati
- 2027+: Potenziale recepimento nelle leggi nazionali degli stati membri dell'UE
Le organizzazioni per i diritti digitali, tra cui EDRi, Access Now e Privacy International, stanno coordinando l'opposizione in vista della proposta legislativa di giugno 2026. Una coalizione di aziende tecnologiche dovrebbe presentare commenti formali durante il periodo di consultazione della Commissione, iniziato a maggio 2026.
Cosa significa questo per la privacy in Europa
Per i cittadini europei la posta in gioco è altissima. La crittografia end-to-end in app come Signal e WhatsApp garantisce attualmente che nemmeno le società che gestiscono i servizi possano leggere i messaggi degli utenti. Le backdoor cambierebbero questo scenario: l'accesso non sarebbe limitato alle forze dell'ordine, ma esteso a chiunque scopra o sfrutti il meccanismo d'ingresso. La stessa logica si applica agli strumenti di navigazione privata e ai servizi no-log, che sarebbero obbligati a conservare i record di connessione che oggi non creano affatto.
I requisiti di registrazione obbligatoria eliminerebbero uno degli ultimi strumenti rimasti per l'uso anonimo di internet all'interno dell'UE, una risorsa utilizzata non solo da consumatori attenti alla privacy, ma anche da giornalisti che proteggono le fonti, attivisti in contesti repressivi e whistleblowing che segnalano illeciti aziendali o statali.
Per gli utenti che considerano la sicurezza una priorità, è giunto il momento di assicurarsi che gli strumenti utilizzati siano basati in giurisdizioni al di fuori della portata normativa dell'UE. Una VPN no-log che operi secondo una rigida politica orientata alla riservatezza e con sede al di fuori dell'UE offre la protezione più solida contro la conservazione obbligatoria dei dati prevista da ProtectEU.
