Come democrazie e Big Tech stanno trasformando la privacy da diritto fondamentale a lusso per pochi.
Negli ultimi anni sembra che le democrazie occidentali stiano convergendo verso un modello comune: introdurre sistemi di sorveglianza di massa e identificazione obbligatoria, giustificandosi con obiettivi apparentemente nobili: la protezione dei minori, la lotta al terrorismo, la sicurezza nazionale. Eppure, dietro queste motivazioni legittime, si nasconde una trasformazione del rapporto tra cittadino e Stato, dove la privacy sta diventando un privilegio del passato piuttosto che un diritto fondamentale.
Dai ripetuti tentativi di approvare il Chat Control europeo alle verifiche d’identità britanniche, dall’e-ID svizzera alle leggi australiane e canadesi, emerge un pattern inquietante: legislazioni controverse vengono approvate con margini risicati o imposte dall’alto, mentre i cittadini si trovano sempre più incapaci di navigare senza lasciare tracce della propria identità.
Chat Control
La proposta di regolamentazione europea nota come “Chat Control” rappresenta forse il tentativo più ambizioso di normalizzare la sorveglianza di massa nelle democrazie occidentali. Presentata ufficialmente come “Regulation to Prevent and Combat Child Sexual Abuse” nel maggio 2022, la legislazione mira a imporre la scansione obbligatoria delle comunicazioni private per individuare materiale pedopornografico.
Service provider come WhatsApp, Signal, Telegram e altri servizi di messaggistica dovrebbero implementare sistemi di scansione automatizzata dei contenuti, incluse le conversazioni protette da crittografia end-to-end. In pratica, ogni messaggio, file, foto o video inviato verrebbe analizzato da algoritmi prima di raggiungere il destinatario.
La proposta ha affrontato un percorso legislativo tortuoso. Dopo essere stata bloccata nel dicembre 2024 da una “minoranza di blocco” di governi europei, è tornata prepotentemente in agenda nel luglio 2025 sotto la presidenza danese del Consiglio UE.
Per permettere la scansione dei contenuti, la crittografia end-to-end dovrebbe essere compromessa attraverso quello che i tecnici chiamano “client-side scanning” – in sostanza, una backdoor installata direttamente sui device delle persone. Signal ha dichiarato che il sistema funzionerebbe come un “malware installato sui dispositivi degli utenti”. Come denunciato in diverse interrogazioni parlamentari, questo approccio minerebbe l’articolo 7 della Carta dei Diritti Fondamentali dell’UE, che garantisce il rispetto della vita privata e delle comunicazioni.
Organizzazioni per i diritti digitali, come l’Electronic Frontier Foundation (EFF) e il Chaos Computer Club (CCC), hanno espresso avvertimenti contro il client-side scanning, definendolo una tecnologia “invasiva” e intrinsecamente “suscettibile di errori”. Inoltre i sistemi automatici di rilevamento producono un alto tasso di falsi positivi, mettendo a rischio cittadini innocenti di false accuse.
L’aspetto più inquietante è rappresentato dalle esenzioni previste per i politici europei, che godrebbero di protezioni speciali sotto le regole del “segreto professionale”.
Telegram ha già minacciato di uscire dal mercato europeo piuttosto che compromettere la crittografia dei propri utenti. Signal ha dichiarato che semplicemente non può implementare backdoor mantenendo le proprie promesse di sicurezza.
Al momento, secondo il portale Fight Chat Control, 12 Stati membri appoggiano la proposta, 9 si dichiarano contrari e 6 non hanno ancora preso posizione. Il voto, inizialmente previsto per il 14 ottobre 2025, è stato rinviato dopo che i ventisette Stati non hanno trovato un accordo sulla proposta della presidenza danese. Il dossier torna ora ai tavoli tecnici e potrebbe essere ripresentato o riformulato.
Regno Unito: l’Online Safety Act e l’esplosione delle VPN
Il 25 luglio 2025 è entrato in vigore nel Regno Unito l’Online Safety Act, una legislazione che impone la verifica dell’età per accedere a contenuti per adulti e materiali potenzialmente dannosi, richiedendo l’upload di documenti d’identità, controlli bancari o scansioni facciali. Ufficialmente progettato per proteggere i minori da contenuti inappropriati, l’atto richiede che piattaforme e siti web verifichino che gli utenti abbiano almeno 18 anni attraverso metodi “robusti”.
Tuttavia, la definizione di contenuti soggetti a verifica si è rapidamente estesa oltre i siti per adulti inizialmente nel mirino della legge. Discord e Reddit hanno iniziato a richiedere scansioni facciali agli utenti britannici. Anche servizi apparentemente innocui sono stati coinvolti, creando una situazione dove navigare liberamente richiede di fornire dati identificativi personali a innumerevoli società private.
I metodi di verifica includono il caricamento di documenti d’identità con foto, scansioni biometriche facciali, o l’utilizzo di servizi di verifica dell’età di terze parti. In tutti i casi, viene creato un database che lega l’identità reale dell’individuo ai suoi comportamenti online.
La reazione dei cittadini britannici è stata immediata. Proton VPN ha registrato un aumento delle iscrizioni superiore al 1.400% nelle ore immediatamente successive all’entrata in vigore della legge. Le ricerche Google per “VPN” nel Regno Unito sono schizzate del 2.450%. Altri provider hanno riportato incrementi simili.
La risposta del governo è stata eloquente. Funzionari governativi hanno dichiarato che stanno “osservando molto attentamente” l’uso delle VPN. Sono emerse proposte per estendere i requisiti di verifica dell’età anche ai servizi VPN stessi.
Il precedente francese è emblematico. Nel giugno 2025, una legge simile (SREN – Sécurité et Régulation de l’Espace Numérique) è entrata in vigore in Francia, causando il blocco temporaneo dell’accesso a numerosi siti per adulti che hanno preferito ritirarsi dal mercato francese piuttosto che implementare sistemi di verifica invasivi; dopo una sospensione cautelare decisa a metà giugno da parte del Tribunale amministrativo di Parigi, il Consiglio di Stato l’ha annullata, confermando l’obbligo di verifica dell’età per i siti interessati.
Contemporaneamente, il governo britannico ha annunciato l’introduzione di un sistema di identità digitale obbligatorio entro la fine della legislatura. Il sistema, progettato inizialmente per combattere il lavoro illegale, richiede l’uso di smartphone e potrebbe estendersi gradualmente ad altri servizi pubblici.
Svizzera: in arrivo l’identità digitale
Il 28 settembre 2025, la Svizzera ha approvato la legge federale sull’identità elettronica (e-ID): 50,4% voti favorevoli contro 49,6% contrari, con un’affluenza del 49,55%. Il risultato segna un punto di svolta per un Paese tradizionalmente attento alla privacy e alle libertà individuali.
La legge crea un sistema di identificazione digitale opzionale gestito interamente dallo Stato, con cui i cittadini potranno autenticarsi verso autorità e aziende private. Applicazioni possibili includono la richiesta della patente di guida digitale, la verifica dell’età per acquisti soggetti a restrizioni, l’accesso a servizi pubblici online, e l’identificazione verso piattaforme private che scelgono di integrarsi con il sistema.
Nel 2021 i cittadini svizzeri avevano bocciato una proposta simile con oltre il 64% di voti contrari, principalmente per timori legati alla gestione dei dati da parte di aziende private. Il nuovo modello, completamente statale, è stato presentato come risposta a quelle preoccupazioni.
Gli oppositori hanno sollevato preoccupazioni che vanno oltre la protezione dei dati. Chi non possiede uno smartphone o non ha dimestichezza con la tecnologia digitale rischia di essere progressivamente escluso da servizi essenziali. Se l’identità elettronica diventa il metodo standard per accedere a servizi pubblici, chi rifiuta o non può adottarla diventa un cittadino di seconda classe.
Australia e Canada
L’Australia è diventato il primo Paese al mondo a vietare completamente l’accesso ai social media (compreso YouTube) per i minori di 16 anni. La legge, approvata nel novembre 2024 e in vigore dal dicembre 2025, obbligherà le piattaforme a implementare sistemi di verifica dell’età che potrebbero richiedere documenti d’identità o scansioni biometriche per tutti gli utenti. Il governo ha in programma di procedere con l’implementazione, estendendo i requisiti anche ai motori di ricerca.
Parallelamente, il governo canadese sta dibattendo una legislazione che conferirebbe ampi poteri alle forze dell’ordine, includendo l’accesso legale alle comunicazioni elettroniche. Bill C‑2, denominato Strong Borders Act, è un disegno di legge presentato a giugno 2025 che riforma in modo esteso sicurezza di frontiera, immigrazione, repressione del crimine organizzato e antiriciclaggio, introducendo anche nuovi poteri investigativi in ambito digitale. La proposta solleva gravi timori di privacy perché abbassa le soglie per ottenere informazioni da provider online, consentendo in vari casi richieste senza mandato giudiziario basate su semplice “ragionevole sospetto”. Di fronte alle critiche, il governo ha segnalato l’intenzione di ripresentare un testo rivisto che rimuova alcune clausole più controverse.
Google e la guerra agli app store alternativi
Mentre i governi attaccano la privacy attraverso legislazioni, giganti tecnologici come Google stanno conducendo una guerra parallela contro la libertà digitale degli utenti. Il 25 agosto Google ha annunciato che dal 2026 tutti gli sviluppatori Android dovranno registrarsi e farsi verificare dalla compagnia, anche per distribuire app al di fuori del Google Play Store.
A partire da settembre 2026, le nuove regole richiedono agli sviluppatori di fornire documenti d’identità governativi, pagare una tassa di registrazione e sottomettersi ai termini e condizioni di Google. Questo crea un collo di bottiglia controllato da Google per tutta la distribuzione software su Android, anche per app che non hanno mai utilizzato i servizi Google.
La giustificazione ufficiale è sempre la stessa: sicurezza. L’azienda di Mountain View giustifica tali misure citando statistiche secondo cui le app scaricate tramite metodi alternativi contengono oltre 50 volte più malware rispetto a quelle del Play Store. Tuttavia, il Play Store stesso non è immune da malware e app dannose, e sistemi come Play Protect hanno dimostrato efficacia limitata. In realtà, le nuove policy sembrano un tentativo di soffocare app store alternativi come F-Droid, che permettono agli utenti Android di installare software senza passare attraverso l’ecosistema controllato da Google.
F-Droid, il principale repository di applicazioni open source per Android, ha denunciato che queste nuove regole potrebbero segnare la fine del progetto. La piattaforma, attiva da 15 anni e che distribuisce oltre 3.000 applicazioni gratuite e prive di tracker, non può forzare i propri sviluppatori a registrarsi presso l’azienda di Mountain View.
La tempistica di queste modifiche è particolarmente sospetta, arrivando subito dopo la sentenza Epic Games vs Google che obbliga la società californiana a permettere app store alternativi all’interno di Android.
Il pattern comune
Esaminando queste iniziative apparentemente separate emerge un pattern inquietante. Che si tratti del Chat Control europeo, dell’Online Safety Act britannico, dell’e-ID svizzera, delle proposte australiane e canadesi, o delle restrizioni di Google, tutte convergono verso lo stesso obiettivo: rendere impossibile l’anonimato digitale.
Il metodo è sempre simile. Prima si identifica un problema sociale reale: protezione dei minori, lotta al terrorismo, prevenzione del crimine informatico, sicurezza nazionale. Poi si propone una soluzione tecnologica che richiede identificazione sistematica. Infine, si normalizza tale sorveglianza presentandola come l’unico metodo ragionevole di affrontare il problema originale.
In questo modo ogni interazione online diventa tracciabile e collegabile a un’identità reale. Minoranze perseguitate, whistleblower, giornalisti e attivisti politici non avranno più modo di esprimersi liberamente mantenendo al sicuro la propria identità.
Il costo della resistenza aumenta
Un aspetto spesso trascurato è come tali misure rendono progressivamente più costoso e difficile proteggere la propria privacy. In passato, mantenere un certo grado di anonimato online era lo status quo – non richiedeva sforzo attivo. Oggi, preservare la privacy richiede conoscenze tecniche, tempo, e spesso denaro.
Usare una VPN no-log ha un costo. Mantenere identità separate online richiede una gestione attenta. Installare app da F-Droid richiede conoscenza. Ogni nuova barriera alza il costo della resistenza.
Ciò crea una stratificazione sociale della privacy. Chi ha risorse – conoscenze tecniche, tempo, denaro – può ancora proteggere la propria vita digitale, almeno parzialmente. Ma il cittadino comune che non ha queste risorse viene progressivamente esposto. La privacy diventa così un privilegio, non un diritto.
