Compliance · 8 min di lettura · 12 Lug 2026

Chat Control: la crittografia è salva. La tua posta aziendale no.

Il 9 luglio il Parlamento europeo ha prorogato fino ad aprile 2028 il regime che autorizza i grandi provider a scansionare mail e chat non cifrate. WhatsApp e Signal sono formalmente fuori. Gmail, Outlook e le webmail — dove vive la corrispondenza di quasi ogni azienda italiana — no. Cosa è successo davvero, e cosa conviene fare.

Due telecamere dome in controluce su una parete in penombra: la scansione dei contenuti resta autorizzata su mail e chat non cifrate.
In sintesi. Il 9 luglio 2026 il Parlamento UE ha prorogato fino al 3 aprile 2028 il regime volontario "Chat Control 1.0": i provider sono autorizzati (non obbligati) a scansionare mail, chat e allegati alla ricerca di materiale pedopornografico. Un emendamento esclude le comunicazioni cifrate end-to-end: WhatsApp e Signal sono fuori. Restano dentro webmail, posta aziendale su Gmail/Outlook, chat non cifrate e allegati processati sui server. E i grandi provider quella scansione la fanno già. Il regolamento permanente (CSAR, "Chat Control 2.0") è ancora in negoziazione: riprende a settembre.

La notizia è passata sui giornali con titoli opposti — "la crittografia è salva" da una parte, "l'UE autorizza la lettura delle mail" dall'altra. Hanno ragione entrambi, perché i binari sono due. E per un'azienda italiana il binario che conta è quello di cui si parla meno.

1. Cosa è successo il 9 luglio

Il meccanismo del voto merita trenta secondi, perché è la parte più surreale. Il Consiglio aveva adottato il 2 luglio la sua posizione: proroga senza modifiche del regime temporaneo (la deroga ePrivacy del regolamento 2021/1232, detta "Chat Control 1.0") fino al 3 aprile 2028. In seconda lettura, per respingere la posizione del Consiglio, il Parlamento non ha bisogno di una maggioranza semplice ma di una maggioranza assoluta: 361 voti.

La mozione di rigetto ha ottenuto 314 voti a favore e 276 contrari. La maggioranza dei votanti era contraria alla proroga — ma 314 è meno di 361. Risultato: la proroga è passata per difetto di quorum, contro la maggioranza espressa dell'aula. Fino ad aprile 2028, i provider di posta e messaggistica restano autorizzati a scansionare i contenuti degli utenti alla ricerca di materiale pedopornografico (CSAM).

Lo stesso giorno, però, il Parlamento ha ottenuto un emendamento sostanziale: le comunicazioni protette da crittografia end-to-end sono escluse dal perimetro della scansione volontaria. WhatsApp e Signal, formalmente, sono fuori.

2. Cosa resta scansionabile (spoiler: la tua posta)

L'esclusione copre la crittografia end-to-end. Tutto il resto resta nel perimetro:

  • la posta elettronica ordinaria — Gmail, Outlook.com e ogni webmail: la mail non è mai cifrata end-to-end, il provider vede i contenuti;
  • le chat e i messaggi diretti senza E2EE (molte piattaforme social, i canali e i gruppi non cifrati);
  • foto, video e allegati processati sui server della piattaforma;
  • i contenuti segnalati dagli utenti.

E qui il punto che i titoli non dicono: "volontario" non significa "teorico". Google, Microsoft e Meta la scansione dei contenuti la fanno già oggi, con sistemi di hash-matching come PhotoDNA e classificatori proprietari. La deroga serve esattamente a rendere legale questa pratica in Europa. La proroga significa che la corrispondenza che transita su quei server — contratti, offerte, dati dei clienti, referti, atti — continuerà a passare per due anni sotto sistemi automatici di analisi dei contenuti gestiti dal provider, secondo regole del provider.

Il precedente che dovrebbe far riflettere. Nel 2022 fece notizia il caso di un padre americano che fotografò un'infezione del figlio su richiesta del pediatra: il classificatore di Google segnalò l'immagine, l'account fu chiuso e la polizia allertata. Era un falso positivo — ma l'account, con anni di posta e documenti, non fu mai riattivato. Ora immagina che quell'account sia il dominio aziendale.

3. Il binario due: Chat Control 2.0

Quella prorogata è la parte "volontaria". Il regolamento permanente — il CSAR, detto "Chat Control 2.0" — è ancora in trilogo tra Parlamento, Consiglio e Commissione, ed è lì che si gioca la partita grossa: gli obblighi di rilevamento, potenzialmente anche per i servizi cifrati tramite scansione sul dispositivo (client-side scanning).

Il quinto round negoziale è fallito il 29 giugno proprio sulla scansione indiscriminata; si riparte a settembre. Il testo di compromesso attuale limita gli ordini di rilevamento all'hash-matching di materiale già noto — un perimetro molto più stretto della classificazione AI di contenuti nuovi delle bozze 2022-23. Ma l'esclusione E2EE ottenuta il 9 luglio vale solo per il regime volontario: sul CSAR crea pressione politica, non un vincolo giuridico. Tradotto: la questione non è chiusa, è rimandata.

4. Perché riguarda la tua azienda (anche se non hai "niente da nascondere")

L'obiezione classica — "scansionano per cercare contenuti criminali, a noi che importa" — per un'azienda non regge, per tre ragioni concrete:

  • Riservatezza professionale. Studi legali, commercialisti, medici, HR: chi ha un obbligo di segreto professionale sta facendo transitare corrispondenza protetta attraverso sistemi di analisi automatica di un fornitore terzo, extra-UE. Non è un dettaglio da nota a piè di pagina nell'informativa.
  • GDPR e catena di responsabilità. Sei titolare del trattamento dei dati dei tuoi clienti; il provider di posta è un responsabile che analizza i contenuti per finalità proprie, autorizzate da un regime emergenziale prorogato di biennio in biennio. Come abbiamo scritto per i dati che finiscono in pasto all'AI fuori dalla UE, la geografia e la giurisdizione del fornitore non sono neutre.
  • Falsi positivi con conseguenze operative. Un flag automatico su un account aziendale può significare sospensione del dominio di posta. Per molte PMI la posta è il sistema informativo: preventivi, ordini, fatture. Quanti giorni di blocco regge il tuo ciclo attivo?

5. Cosa fare, in pratica

Niente allarmismo: è un tema di postura, non di emergenza. Tre mosse ragionevoli:

  • Mappa dove vive la posta. Chi è il provider, dove sono i server, cosa prevede il contratto sull'analisi dei contenuti. Se la risposta è "non lo so", il problema è già emerso.
  • Distingui i flussi. Non tutta la posta è uguale: la newsletter può stare ovunque, la corrispondenza coperta da segreto professionale o con dati sanitari no. Per i flussi critici valuta canali cifrati end-to-end o posta su infrastruttura che controlli — direttamente o tramite un fornitore europeo che non applica la scansione volontaria (perché per un provider, va ricordato, scansionare è una scelta).
  • Segna settembre sul calendario. Il trilogo CSAR riprende: se passassero obblighi di rilevamento estesi, il perimetro cambierebbe di nuovo. Ne scriveremo.

Il nostro taglio: la posta è infrastruttura, trattala come tale

Da anni diciamo la stessa cosa su AI e dati: la sovranità non è ideologia, è giurisdizione e controllo. La posta elettronica è il caso più trascurato di tutti: è il sistema dove passa tutto — contratti, credenziali, dati dei clienti — ed è quello che le aziende delegano con meno domande. Chat Control non cambia le regole del gioco: le rende solo visibili. Il contenuto della tua posta, su un grande provider, è leggibile, analizzato e soggetto a decisioni automatiche di qualcun altro. Per legge, almeno fino al 2028.

L'alternativa esiste ed è la stessa che raccontiamo per i dati che alimentano l'AI: infrastruttura on-premise o cloud sovrano europeo, dove il fornitore risponde a te e al diritto europeo — e dove la scansione dei contenuti non è nel contratto. Se vuoi capire cosa comporterebbe per la tua posta aziendale, parliamone: è una migrazione più ordinaria di quanto sembri.