Il 9 luglio, a Bruxelles, è successa una cosa strana. La maggioranza del Parlamento europeo ha votato contro la scansione dei messaggi privati dei cittadini. E la misura è passata lo stesso.
Questo paradosso è la storia, ed è la battaglia sulla privacy più confusa e più importante che l'Europa stia combattendo. Riguarda i tuoi messaggi, ma anche, come vedremo, le fondamenta stesse della sicurezza crypto.
Cosa è successo il 9 luglio
I numeri sono spiazzanti. 314 eurodeputati hanno votato per respingere il regime di scansione, 276 per mantenerlo, con 17 astenuti. Ma per bocciare la posizione del Consiglio in seconda lettura serviva una maggioranza assoluta di 361 voti, e i contrari ne hanno mancati 47. Risultato: il regime temporaneo di scansione volontaria, ribattezzato dai critici "Chat Control 1.0", è stato ripristinato fino al 2028. Più deputati hanno detto no che sì, eppure è passato, per una soglia.
La maggioranza ha detto no. È passato lo stesso
Voto del Parlamento UE del 9 luglio 2026. Servivano 361 voti per bocciare la misura. Fonte: Parlamento UE
Due leggi diverse, da non confondere
Per capire davvero la posta in gioco bisogna separare due cose che i titoli mescolano di continuo. La Chat Control 1.0 è il regime temporaneo che permette alle piattaforme di scansionare volontariamente i messaggi non cifrati, come quelli su Gmail, Messenger o Skype, in cerca di materiale pedopornografico. È quella ripristinata il 9 luglio, e non ha mai toccato i servizi cifrati.
La Chat Control 2.0, il vero regolamento permanente noto come CSAR, è un'altra storia, ancora in negoziazione. Nella sua versione più contestata obbligherebbe a scansionare anche i servizi con crittografia end-to-end. Il voto del 9 luglio riguardava la sorella minore. La battaglia vera riprende a settembre.
Il nodo tecnico: la scansione lato client
Come si può scansionare un messaggio cifrato, che per definizione nessuno può leggere in transito? La risposta è la scansione lato client, e va spiegata con onestà: non rompe la crittografia, le gira intorno. Ispeziona il messaggio sul tuo stesso dispositivo, nell'istante prima che il lucchetto si chiuda. È per questo che "usa Signal" è un consiglio necessario ma non sufficiente. Signal, dal canto suo, ha già dichiarato che lascerebbe il mercato europeo piuttosto che adeguarsi.
E c'è un dato che pesa, dalla stessa Commissione: il rilevamento automatico di materiale sconosciuto ha mostrato un tasso di falsi positivi fino al 20%, cioè una conversazione segnalata su cinque non era affatto illecita.

Le due ragioni, entrambe serie
Sarebbe disonesto ridurre questo scontro a buoni contro cattivi, perché entrambe le parti hanno argomenti reali. Chi sostiene la norma parla di tutela dei minori: i report di abusi sono in aumento, e si teme un vuoto di protezione se la scansione si ferma. Dopo la scadenza di aprile, l'ente statunitense NCMEC ha segnalato un calo misurabile delle segnalazioni europee.
Chi si oppone parla di sorveglianza di massa e stato di diritto: il Garante europeo della protezione dei dati ha bocciato il regolamento più volte, il servizio giuridico dello stesso Consiglio ne ha segnalato l'attrito con l'articolo 7 della Carta dei diritti, e oltre l'80% dei cittadini consultati era contrario a scansionare i messaggi cifrati. Una sfumatura dice tutto: un sopravvissuto agli abusi ha testimoniato che la sua stessa denuncia, che portò a delle condanne, fu possibile solo grazie a una comunicazione cifrata e riservata. La crittografia protegge anche le vittime. È un dilemma autentico, non una caricatura.
Perché riguarda le crypto
Ed ecco perché questa è anche una battaglia nostra. La crittografia end-to-end non serve solo a chattare: è la fondazione dell'intero mondo crypto. Le tue chiavi private, la sicurezza del wallet, l'autocustodia, le transazioni riservate poggiano tutte sullo stesso principio crittografico.
Un precedente legale che normalizzi la scansione lato client, l'idea che si possa aggirare la cifratura direttamente sul dispositivo, è un precedente che arriva alle radici stesse della sovranità digitale. È la stessa guerra tra sorveglianza e privacy che abbiamo seguito con la DAC8 e con le regole sulle stablecoin, combattuta stavolta sul fronte delle comunicazioni, dentro un'architettura europea più ampia che comprende anche il portafoglio digitale eIDAS e la travel rule della MiCA. Per chi crede nell'autocustodia, la cifratura che protegge le tue monete è esattamente ciò che è sul tavolo.
Cosa succede ora
Il Consiglio ha circa tre mesi, fino a inizio ottobre, per accettare o respingere l'emendamento con cui il Parlamento ha escluso i servizi cifrati dal regime temporaneo. Se lo respinge, si apre un comitato di conciliazione. E soprattutto, il negoziato sul regolamento permanente riprende a settembre, con l'ultimo trimestre del 2026 come vera finestra decisionale.
La variabile che deciderà tutto è una sola: se la Germania terrà la linea. Bastano quattro Stati che rappresentino oltre il 35% della popolazione per bloccare il testo, e Berlino da sola ne vale il 19%. L'Europa sta provando a fare due cose insieme, proteggere i minori e preservare la crittografia, e molti tecnici insistono che non si possa avere pienamente entrambe. I prossimi mesi diranno quale delle due si piega. È il test più chiaro, in una grande democrazia, sulla sopravvivenza della crittografia end-to-end come realtà legale. I riferimenti restano verificabili sui portali del Parlamento europeo e del Garante europeo della protezione dei dati.

