La notizia è passata sui giornali con titoli opposti — "la crittografia è salva" da una parte, "l'UE autorizza la lettura delle mail" dall'altra. Hanno ragione entrambi, perché i binari sono due. E per un'azienda italiana il binario che conta è quello di cui si parla meno.
1. Cosa è successo il 9 luglio
Il meccanismo del voto merita trenta secondi, perché è la parte più surreale. Il Consiglio aveva adottato il 2 luglio la sua posizione: proroga senza modifiche del regime temporaneo (la deroga ePrivacy del regolamento 2021/1232, detta "Chat Control 1.0") fino al 3 aprile 2028. In seconda lettura, per respingere la posizione del Consiglio, il Parlamento non ha bisogno di una maggioranza semplice ma di una maggioranza assoluta: 361 voti.
La mozione di rigetto ha ottenuto 314 voti a favore e 276 contrari. La maggioranza dei votanti era contraria alla proroga — ma 314 è meno di 361. Risultato: la proroga è passata per difetto di quorum, contro la maggioranza espressa dell'aula. Fino ad aprile 2028, i provider di posta e messaggistica restano autorizzati a scansionare i contenuti degli utenti alla ricerca di materiale pedopornografico (CSAM).
Lo stesso giorno, però, il Parlamento ha ottenuto un emendamento sostanziale: le comunicazioni protette da crittografia end-to-end sono escluse dal perimetro della scansione volontaria. WhatsApp e Signal, formalmente, sono fuori.
2. Cosa resta scansionabile (spoiler: la tua posta)
L'esclusione copre la crittografia end-to-end. Tutto il resto resta nel perimetro:
- la posta elettronica ordinaria — Gmail, Outlook.com e ogni webmail: la mail non è mai cifrata end-to-end, il provider vede i contenuti;
- le chat e i messaggi diretti senza E2EE (molte piattaforme social, i canali e i gruppi non cifrati);
- foto, video e allegati processati sui server della piattaforma;
- i contenuti segnalati dagli utenti.
E qui il punto che i titoli non dicono: "volontario" non significa "teorico". Google, Microsoft e Meta la scansione dei contenuti la fanno già oggi, con sistemi di hash-matching come PhotoDNA e classificatori proprietari. La deroga serve esattamente a rendere legale questa pratica in Europa. La proroga significa che la corrispondenza che transita su quei server — contratti, offerte, dati dei clienti, referti, atti — continuerà a passare per due anni sotto sistemi automatici di analisi dei contenuti gestiti dal provider, secondo regole del provider.
3. Il binario due: Chat Control 2.0
Quella prorogata è la parte "volontaria". Il regolamento permanente — il CSAR, detto "Chat Control 2.0" — è ancora in trilogo tra Parlamento, Consiglio e Commissione, ed è lì che si gioca la partita grossa: gli obblighi di rilevamento, potenzialmente anche per i servizi cifrati tramite scansione sul dispositivo (client-side scanning).
Il quinto round negoziale è fallito il 29 giugno proprio sulla scansione indiscriminata; si riparte a settembre. Il testo di compromesso attuale limita gli ordini di rilevamento all'hash-matching di materiale già noto — un perimetro molto più stretto della classificazione AI di contenuti nuovi delle bozze 2022-23. Ma l'esclusione E2EE ottenuta il 9 luglio vale solo per il regime volontario: sul CSAR crea pressione politica, non un vincolo giuridico. Tradotto: la questione non è chiusa, è rimandata.
4. Perché riguarda la tua azienda (anche se non hai "niente da nascondere")
L'obiezione classica — "scansionano per cercare contenuti criminali, a noi che importa" — per un'azienda non regge, per tre ragioni concrete:
- Riservatezza professionale. Studi legali, commercialisti, medici, HR: chi ha un obbligo di segreto professionale sta facendo transitare corrispondenza protetta attraverso sistemi di analisi automatica di un fornitore terzo, extra-UE. Non è un dettaglio da nota a piè di pagina nell'informativa.
- GDPR e catena di responsabilità. Sei titolare del trattamento dei dati dei tuoi clienti; il provider di posta è un responsabile che analizza i contenuti per finalità proprie, autorizzate da un regime emergenziale prorogato di biennio in biennio. Come abbiamo scritto per i dati che finiscono in pasto all'AI fuori dalla UE, la geografia e la giurisdizione del fornitore non sono neutre.
- Falsi positivi con conseguenze operative. Un flag automatico su un account aziendale può significare sospensione del dominio di posta. Per molte PMI la posta è il sistema informativo: preventivi, ordini, fatture. Quanti giorni di blocco regge il tuo ciclo attivo?
5. Cosa fare, in pratica
Niente allarmismo: è un tema di postura, non di emergenza. Tre mosse ragionevoli:
- Mappa dove vive la posta. Chi è il provider, dove sono i server, cosa prevede il contratto sull'analisi dei contenuti. Se la risposta è "non lo so", il problema è già emerso.
- Distingui i flussi. Non tutta la posta è uguale: la newsletter può stare ovunque, la corrispondenza coperta da segreto professionale o con dati sanitari no. Per i flussi critici valuta canali cifrati end-to-end o posta su infrastruttura che controlli — direttamente o tramite un fornitore europeo che non applica la scansione volontaria (perché per un provider, va ricordato, scansionare è una scelta).
- Segna settembre sul calendario. Il trilogo CSAR riprende: se passassero obblighi di rilevamento estesi, il perimetro cambierebbe di nuovo. Ne scriveremo.
Il nostro taglio: la posta è infrastruttura, trattala come tale
Da anni diciamo la stessa cosa su AI e dati: la sovranità non è ideologia, è giurisdizione e controllo. La posta elettronica è il caso più trascurato di tutti: è il sistema dove passa tutto — contratti, credenziali, dati dei clienti — ed è quello che le aziende delegano con meno domande. Chat Control non cambia le regole del gioco: le rende solo visibili. Il contenuto della tua posta, su un grande provider, è leggibile, analizzato e soggetto a decisioni automatiche di qualcun altro. Per legge, almeno fino al 2028.
L'alternativa esiste ed è la stessa che raccontiamo per i dati che alimentano l'AI: infrastruttura on-premise o cloud sovrano europeo, dove il fornitore risponde a te e al diritto europeo — e dove la scansione dei contenuti non è nel contratto. Se vuoi capire cosa comporterebbe per la tua posta aziendale, parliamone: è una migrazione più ordinaria di quanto sembri.


