Il 4 dicembre Ofcom ha calato per la prima volta il suo martello da 1 milione di sterline su un sito pornografico, punendolo per non aver verificato l’età degli utenti, e i titoli sono esplosi. Finalmente, hanno pensato in molti, l’Online Safety Act (Legge sulla sicurezza online) del Regno Unito sta facendo qualcosa di concreto. Un sito pericoloso è stato punito! Bambini protetti! Vittoria morale proclamata!
Beh… non proprio.
In realtà, la legge ha appena vinto la battaglia facile: il frutto più accessibile e pubblico rappresentato dai siti per adulti. Nel frattempo, la vera guerra — quella che coinvolge bambini, predatori, crittografia e i limiti della legge — infuria dietro porte digitali chiuse.
Benvenuti nella parte dell’Online Safety Act su cui il governo preferirebbe che non rifletteste troppo.
Che cos’è: L’Online Safety Act 2023 è una normativa completa del Regno Unito che regola le piattaforme online, in particolare i social media e i motori di ricerca, per proteggere bambini e adulti da contenuti dannosi.
Cronologia:
- 26 ottobre 2023 – Ha ricevuto il Royal Assent, diventando legge.
- Luglio 2024 – Gli obblighi di verifica dell’età per i siti pornografici sono entrati in vigore.
- 17 marzo 2025 – Gli obblighi relativi ai contenuti illegali diventano applicabili (in attesa dell’approvazione parlamentare).
- 25 luglio 2025 – Gli obblighi di protezione dei minori sono entrati in vigore.
- 2026 – Prevista piena attuazione.
La scappatoia della messaggistica crittografata che nessuno vuole gestire
Recenti reportage hanno mostrato che le associazioni britanniche per la protezione dei minori sono in panico per quella che definiscono un’enorme scappatoia nell’Online Safety Act.
In breve:
I servizi di messaggistica crittografata possono sostenere di non poter rimuovere contenuti dannosi perché… letteralmente non possono vederli.
Non si tratta di un errore: è proprio questo lo scopo della crittografia end-to-end (E2EE). Solo mittente e destinatario possono vedere i messaggi. Non la piattaforma. Non il governo. Nemmeno Ofcom con il più grande piede di porco legale disponibile.
È fantastico per la privacy. È catastrofico per la protezione dei minori.
In base alla legge, le piattaforme devono rimuovere i contenuti illegali quando ciò è “tecnicamente possibile.” E se l’intero modello di business si basa sul “non possiamo tecnicamente leggere nulla di ciò che inviate”, beh, congratulazioni. Avete appena trovato il punto debole della legge.
In una lettera indirizzata alla Ministra dell’Interno Yvette Cooper e al Ministro della Tecnologia Peter Kyle, associazioni come NSPCC e Barnardo’s avvertono che questo crea un porto sicuro digitale per gli abusatori, soprattutto per quelli che adescano minori o condividono materiale illegale tramite chat private, gruppi chiusi o canali effimeri.
In altre parole:
Le app di messaggistica crittografata potrebbero non dover mai rimuovere contenuti di abuso su minori perché la legge permette loro di sostenere di non potere farlo.
Perché questo non è un problema tecnico; è una bomba a orologeria normativa
Il governo voleva due cose:
- Privacy inviolabile (così le persone si sentono sicure nell’uso delle app di messaggistica).
- Protezione dei minori inviolabile (così genitori e associazioni smettono di protestare).
Il problema? Potete sceglierne una. Non potete sceglierle entrambe. Non senza inventare la magia.
I Codici di condotta di Ofcom sui contenuti illegali, pubblicati il 16 dicembre 2024, hanno cercato di trovare un equilibrio consentendo obblighi “ove possibile”, ma questo rimette semplicemente il problema nelle mani delle piattaforme.
Le piattaforme crittografate dicono: “Non possiamo analizzare i messaggi — ciò comprometterebbe la crittografia.”
Le associazioni dicono: “Allora i predatori si nasconderanno lì.”
Il governo dice: “…Avete provato a spegnerlo e riaccenderlo?”
Nel frattempo, la multa di Ofcom al sito pornografico viene esibita come prova che l’Online Safety Act sia un miracolo moderno, nonostante il fatto che i siti pubblici per adulti non siano mai stati la parte più difficile di questa legge.
La parte difficile è questa: come si fermano i criminali negli spazi crittografati senza monitorare tutti, sempre?
E nessuno ha dato una risposta soddisfacente.
Perché la crittografia è un incubo per i regolatori?
-
La crittografia end-to-end è progettata per tenere tutti fuori
Le piattaforme non hanno accesso al contenuto dei messaggi. Questa è una caratteristica, non un difetto.
-
Analizzare i messaggi crittografati = rompere la crittografia
Qualsiasi sistema di “rilevamento dei contenuti” richiede:
- la rottura della crittografia,
- l’analisi sul dispositivo prima della crittografia (scansione lato client), oppure
- l’inserimento di backdoor approvate dal governo.
Tutte e tre le opzioni terrorizzano gli esperti di privacy, e a ragione.
-
I predatori sfruttano il punto cieco
I gruppi privati e i messaggi diretti crittografati sono canali privilegiati per adescamento, estorsione, condivisione di CSAM (materiale di abuso sessuale su minori) e reti di traffico.
Le associazioni di beneficenza avvertono che l’ambiguità della legge permette alle piattaforme di eludere le responsabilità proprio dove il rischio è più alto. La Internet Watch Foundation ha definito l’attuale formulazione una “palese clausola di esonero” che potrebbe consentire alle piattaforme di aggirare il rispetto delle leggi sulla sicurezza online.
-
La legge finge di aver risolto il problema (ma non è così)
I politici parlano di essere “duri con le aziende tecnologiche”, ma il vero conflitto — privacy contro protezione — rimane irrisolto ed è probabilmente tecnicamente impossibile da risolvere senza danni collaterali.
La portata del problema
Le statistiche delineano un quadro inquietante:
La Internet Watch Foundation riferisce che solo nel 2024 è intervenuta per rimuovere immagini o video di bambini vittime di abusi sessuali presenti su 291.270 pagine web — il numero più alto nei 29 anni di storia dell’organizzazione. Ciò rappresenta un aumento dell’830% da quando, nel 2014, ha iniziato a cercare in modo proattivo immagini di abuso sessuale su minori.
La National Crime Agency stima che nel Regno Unito ci siano tra 680.000 e 830.000 autori di reati adulti che rappresentano diversi livelli di rischio per i minori — l’equivalente dall’1,3% all’1,6% della popolazione adulta del Regno Unito.
Nel frattempo, la NSPCC riferisce che Snapchat è la piattaforma che compare più spesso nei casi di adescamento.
Le domande che restano senza risposta
Non lasciatevi distrarre dai titoli sul milione di sterline. La stretta sui siti pornografici è la superficie luccicante. La scappatoia sulla messaggistica crittografata è la voragine sotto di essa.
Se il Regno Unito vuole applicare una protezione dei minori davvero efficace, deve rispondere a domande che i legislatori evitano da anni:
- La crittografia dovrebbe essere indebolita in nome della sicurezza?
- Alle aziende dovrebbe essere imposto di analizzare i messaggi sui dispositivi?
- Dovremmo accettare che alcuni spazi online saranno sempre opachi?
- Oppure il governo dovrebbe ammettere che l’Online Safety Act non può mantenere ciò che promette?
Finché a queste domande non verrà data risposta, resteremo con un paradosso: gli spazi digitali più sicuri per gli adulti possono essere i più pericolosi per i bambini, e la legge, così com’è scritta, non può risolvere questa contraddizione.
Un problema globale, non solo del Regno Unito
Non si tratta di un problema solo britannico. Il paradosso della crittografia si sta manifestando contemporaneamente in più continenti e la posta in gioco è globale.
Nell’Unione europea, la controversa proposta “Chat Control” è oggetto di dibattito da anni. Dopo una forte opposizione, gli Stati membri dell’UE hanno raggiunto un compromesso politico nel novembre 2025 che ha eliminato l’obbligo di analizzare le comunicazioni crittografate, ma i critici avvertono che l’approccio “volontario” potrebbe comunque creare pressioni indirette sulle piattaforme. La presidente di Signal, Meredith Whittaker, ha avvertito che l’azienda lascerebbe il mercato dell’UE piuttosto che compromettere la crittografia.
Negli Stati Uniti, diversi disegni di legge minacciano la crittografia in nome della protezione dei minori. L’ EARN IT Act (Eliminating Abusive and Rampant Neglect of Interactive Technologies Act) è stato presentato tre volte dal 2020, incontrando ogni volta una forte opposizione da parte dei difensori della privacy, che sostengono che costringerebbe le piattaforme ad abbandonare la crittografia end-to-end per evitare responsabilità legali.
Il STOP CSAM Act (S. 1829), presentato nel 2023 e ripresentato nel maggio 2025, introduce una responsabilità civile per le piattaforme che “promuovono o facilitano” lo sfruttamento dei minori — una formulazione che, secondo i critici, potrebbe punire i servizi crittografati per il semplice fatto di esistere. Il senatore Ron Wyden si è opposto più volte a questi disegni di legge, avvertendo che obbligherebbero le aziende a indebolire la crittografia.
Lo schema è inequivocabile: le democrazie di tutto il mondo stanno lottando con la stessa equazione impossibile. Proteggere i bambini o proteggere la privacy. Scegliere la sicurezza dei minori o la sicurezza dei dati. Rompere la crittografia o accettare zone d’ombra.
E ovunque la risposta è la stessa: non esiste una buona risposta.
Quando il Regno Unito discute di questo tema, il resto del mondo osserva. Quando l’UE raggiunge un compromesso, stabilisce dei precedenti. Quando gli Stati Uniti approvano una legge, le aziende tecnologiche che operano a livello globale devono adattarsi. La scappatoia dell’Online Safety Act in materia di crittografia non è solo un fallimento delle politiche britanniche — è l’anticipazione di una crisi che nessun governo democratico ha ancora capito come risolvere.
La domanda non è se altri Paesi si troveranno ad affrontare questo dilemma. Lo stanno già facendo. La domanda è se qualcuno di essi riuscirà a trovare una soluzione che non sacrifichi né la sicurezza dei bambini né la sicurezza di tutti.
Finora, la risposta sembra essere no.
Lunedì-domenica: 5:00 - 20:00
Lascia un commento