La recente Proposta di Regolamento UE per la prevenzione e la lotta contro l’abuso sessuale sui minori (il c.d. chat control – la “Proposta”) potrebbe incidere in modo significativo sull’operatività dei fornitori di servizi digitali che offrono i loro servizi in Europa. L’obiettivo dichiarato è quello di rafforzare gli strumenti di contrasto agli abusi online, trasformando in obblighi giuridici stringenti attività che oggi dipendono in larga parte dalla discrezionalità dei provider. Ma cosa prevede in concreto la Proposta? La Proposta introduce obblighi di valutazione e mitigazione dei rischi per hosting provider e servizi di comunicazione interpersonale. In presenza di un rischio significativo, un’autorità potrà emettere detection orders mirati che impongono l’uso di tecnologie di rilevazione (anche per servizi cifrati), con limiti temporali e garanzie di proporzionalità. In caso di ordini o quando emergano evidenze, i provider saranno tenuti a segnalare al nuovo EU Centre[1]; potranno inoltre essere disposte rimozioni o blocchi secondo le procedure previste. I provider dovranno svolgere una valutazione del rischio di uso improprio dei loro servizi, nonché prevedere misure adeguate e proporzionate per attenuare i rischi individuati. Sono inoltre previsti specifici obblighi e responsabilità per gli app store, chiamati a valutare il rischio che un’app sia usata per il grooming e, ove il rischio sia significativo, ad adottare misure ragionevoli – inclusa l’identificazione affidabile degli utenti minori – per impedirne l’accesso. Questa tipologia di attività comporta chiaramente il trattamento di dati personali. La Proposta, infatti, si basa sul GDPR ed esplicita la base giuridica su cui fondare tali trattamenti: l’art. 6, par. 1, lett. c), GDPR (obbligo di legge) per i trattamenti necessari all’esecuzione degli ordini e degli obblighi previsti dal Regolamento, con esclusione del consenso come presupposto, e il rinvio all’art. 15, par. 1, della Direttiva ePrivacy[2]. La Proposta si coordina inoltre con il Digital Services Act, richiamandone strumenti e concetti (es. approccio risk-based, trusted flaggers) ma introducendo un regime settoriale specifico dedicato alla prevenzione e al contrasto dell’abuso sessuale online[3]. Conseguenze per le imprese coinvolte Sono interessati in particolare: hosting provider, servizi di comunicazione interpersonale, app store e, per alcuni profili, i fornitori di accesso a Internet. Tali fornitori – ove la normativa verrà adottata – saranno chiamati a integrare algoritmi di analisi semantica e sistemi di hashing per immagini e video, aggiornare o implementare processi di risk assessment e di rendicontazione verso le Autorità nazionali che verranno designate. Occorrerà, inoltre, aggiornare anche tutta la necessaria documentazione privacy, indicando come base giuridica l’obbligo di legge. Gli Stati membri dell’UE saranno chiamati a esprimere una posizione su questa Proposta il prossimo 14 ottobre (salvo modifiche di calendario). Nel frattempo, vista anche la sensibilità del tema, sarebbe opportuno per i provider iniziare a mappare i propri servizi, identificando le aree più soggette a rischi di abuso (messaggistica, storage di file multimediali, interazioni dirette tra utenti), al fine di valutare l’adeguatezza tecnica di eventuali misure già adottate e preparare un piano per garantire la compliance normativa. Conseguenze per gli utenti: i rischi da considerare La Proposta prevede che il rilevamento dovrebbe avere ad oggetto i contenuti pedopornografici già noti, i contenuti nuovi e i tentativi di adescamento nei confronti dei minori[4]. Il rilevamento, specie con riguardo ai contenuti nuovi, potrà avvenire tramite modelli di machine learning basati sull’intelligenza artificiale, ma dovrà avvenire con tecnologie affidabili e con il minor impatto possibile, secondo il principio di minimizzazione. Qui emergono due criticità. La prima è tecnica: ogni sistema di rilevazione automatica comporta margini di errore. I falsi positivi potrebbero portare alla segnalazione di contenuti del tutto leciti, con conseguenze dirette sulla libertà di comunicazione degli utenti. I falsi negativi, al contrario, rischiano di lasciare inosservati contenuti realmente pericolosi, finendo così per ridurre l’efficacia stessa della misura e incidere negativamente sulla tutela dei minori. La seconda criticità riguarda, invece, la protezione dei dati personali. L’uso estensivo di strumenti di IA applicati alle comunicazioni private comporta trattamenti particolarmente invasivi e delicati. Occorrerà, dunque, valutare se svolgere una DPIA (Data Protection Impact Assessment), così da garantire un equilibrio tra esigenze di sicurezza e rispetto dei diritti fondamentali degli utenti. Sebbene il c.d. chat control persegua l’obiettivo di garantire un ambiente online sicuro, prevedibile e affidabile, il legislatore europeo dovrà trovare un equilibrio delicato: proteggere i minori senza sacrificare i diritti fondamentali degli utenti ed evitare che la soluzione stessa diventi fonte di nuovi rischi e vulnerabilità. [1] La Proposta prevede che, al fine di agevolare e sostenere l’attuazione dell’emanando regolamento, verrà istituito un Centro dell’UE di prevenzione e lotto contro l’abuso sessuale sui minori. [2] L’art. 15, par.1, prevede espressamente che gli Stati membri possano adottare disposizioni legislative volte a limitare i diritti e gli obblighi di cui all’art. 5, qualora tale restrizione costituisca una misura necessaria, opportuna e proporzionata: (i) per la salvaguardia della sicurezza dello Stato, della difesa, della sicurezza pubblica; (ii) per la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica. [3] In particolare, il DSA consente di svolgere indagini volontarie di propria iniziativa al fine di rilevare contenuti illegali (art. 7) e prevede che i prestatori di servizi di memorizzazione di informazioni, incluse le piattaforme online debbano istituire meccanismi per consentire a qualsiasi persona o ente di notificare la presenza nella piattaforma di eventuali contenuti illegali (c.d. principio notice and take down – art. 16). [4] Tra i suoi compiti, il Centro dell’UE dovrà creare e gestire, per ciascuno dei tre tipi di abuso sessuale, dei database di indicatori di abuso sessuale su minori online, che i provider dovranno applicare per ottemperare agli obblighi di rilevazione.
