Immagine in evidenza da stopchatcontrol.fr

Si torna a parlare di lotta agli abusi sui minori, privacy e crittografia end-to-end, dopo che, il 26 novembre, il Consiglio UE ha votato a favore dell’approvazione del nuovo testo del Child Sexual Abuse Regulation (CSAR), più comunemente conosciuto come Chat Control. La proposta di legge, di cui si discute ormai da più di tre anni, è volta a limitare la diffusione di materiale pedopornografico online attraverso nuove disposizioni per le piattaforme e i fornitori di servizi digitali, inclusa la possibilità di effettuare una scansione preventiva e costante dei contenuti che gli utenti si scambiano, per esempio, su WhatsApp, Telegram o Gmail, al fine di rilevare attività di adescamento di minori o movimento di materiale pedopornografico.

La proposta, che da tempo cerca un equilibrio tra la necessità di proteggere i minori da abusi sessuali e quella di tutelare i diritti fondamentali dei cittadini europei (a partire dalla privacy), ha sollevato non poche critiche da parte dei funzionari di governo, degli esperti di sicurezza, delle società di servizi coinvolte e, non da ultimi, degli utenti stessi. E ora, dopo il voto favorevole ottenuto dopo numerosi rinvii, il senso di preoccupazione sta rapidamente crescendo. Proprio per questo, è importante fare chiarezza sul cosiddetto Chat Control: cos’è, quali regolamentazioni prevede, quali sono i reali rischi per la privacy, e come potrebbe cambiare la nostra vita.

Chat Control: cos’è e cosa prevede

Era l’11 maggio 2022 quando, per la prima volta, la Commissione Europea presentava una nuova proposta legislativa “per prevenire e combattere gli abusi sessuali sui minori in rete”. Una manovra presentata come necessaria a causa della crescente diffusione di materiale pedopornografico in rete rilevata a partire dal 2021 – anno in cui, stando ai dati riportati dalla Commissione, sono stati segnalati “85 milioni di immagini e video che ritraggono abusi sessuali su minori” – e l’incapacità del sistema attualmente in vigore – il cosiddetto Chat Control 1.0, che prevede la segnalazione di abusi tramite monitoraggio volontario dei fornitori di servizi digitali – di proteggere adeguatamente i minori.

Per contenere quanto più possibile la situazione, in quell’occasione la Commissione ha proposto “una legislazione per affrontare efficacemente l’abuso sessuale su minori online, anche richiedendo ai prestatori di

rilevare materiale pedopornografico noto e […] la creazione di un Centro dell’UE di prevenzione e lotta contro l’abuso sessuale su minori”.

Una serie di norme, in sostanza, che consentirebbero a un’ampia gamma di fornitori di servizi Internet, compresi i servizi di hosting e di messaggistica, di accedere e scansionare le conversazioni private degli utenti al fine di “individuare, segnalare e rimuovere il materiale pedopornografico dai loro servizi”, o rilevare episodi di “adescamento di minori” (grooming). Un’operazione che le compagnie dovrebbero attuare attraverso “tecnologie che siano il meno invasive possibile per la privacy, in linea con lo stato dell’arte del settore, e che limitino il più possibile il tasso di errore dei falsi positivi”.

Allo stato attuale, il cosiddetto Chat Control richiede ai “prestatori di servizi di hosting e prestatori di servizi di comunicazione interpersonale” di individuare, esaminare e valutare “per ciascun servizio che offrono, il rischio di un suo uso a fini di abuso sessuale su minori online”. E poi di prendere “misure di attenuazione ragionevoli e adeguate al rischio individuato […] per ridurlo al minimo”.

Tra queste misure, come anticipato, rientra anche la scansione delle conversazioni private degli utenti: uno strumento che le piattaforme e i fornitori di servizi possono utilizzare ai fini della valutazione del rischio e della sua attenuazione. Tuttavia, la proposta prevede che, se dopo la valutazione e le misure adottate dal fornitore sussiste ancora un rischio significativo che il servizio possa essere utilizzato per abusi sui minori, le autorità nazionali designate possano avvalersi di questo strumento per indagare sulla diffusione di materiale pedopornografico. In questo caso, possono chiedere all’autorità giudiziaria o amministrativa di “emettere un ordine di rilevazione che impone a un prestatore di servizi di hosting o a un prestatore di servizi di comunicazione interpersonale rientrante nella giurisdizione dello Stato membro in questione di prendere le misure […] per rilevare casi di abuso sessuale su minori online in un servizio specifico”.

Anche in questo caso, però, la proposta della Commissione Europea specifica che le autorità devono avvalersi di tecnologie che non siano invasive nei confronti degli utenti coinvolti, ma che siano anzi “efficaci nel rilevare la diffusione di materiale pedopornografico noto o nuovo o l’adescamento di minori, a seconda dei casi” e “non in grado di estrarre dalle comunicazioni in questione informazioni diverse da quelle strettamente necessarie per rilevare […] pattern rivelatori di diffusione di materiale pedopornografico noto o nuovo o di adescamento di minori”.

Data la delicatezza della scansione, soprattutto nelle comunicazioni private e crittografate, il regolamento prevede una serie di garanzie, quali la limitazione della durata degli ordini, il controllo umano delle tecnologie di rilevamento, la riduzione al minimo dei dati trattati e l’accesso a meccanismi di ricorso per gli utenti e i fornitori. Pertanto, per garantire che il regolamento venga rispettato, la proposta introduce anche il Centro dell’UE per la prevenzione e la lotta contro gli abusi sessuali sui minori, che svolgerà un ruolo di supporto alle autorità e alle piattaforme fornendo banche dati di indicatori affidabili e tecnologie di rilevamento adeguate, contribuendo a ridurre i falsi positivi e gli impatti invasivi.

Le origini e le evoluzioni della proposta di legge

La proposta avanzata dalla Commissione Europea nel 2022 non dichiarava apertamente che i telefoni dei cittadini europei sarebbero stati scansionati alla ricerca di materiale pedopornografico, ma introduceva il concetto di “obblighi di rilevamento” che i fornitori di servizi dovevano rispettare, anche nel caso in cui questi proteggessero la privacy degli utenti con la crittografia end-to-end.

Questo significava, quindi, che le autorità coinvolte nella rilevazione potessero ricorrere alla scansione lato client, ossia all’analisi di contenuti digitali presenti sui dispositivi degli utenti prima ancora che venissero crittografati e inviati o ricevuti.

Com’è noto, la proposta ha sin da subito scatenato le critiche di governi ed esperti di sicurezza e privacy, tanto che nel 2023 il Parlamento Europeo ha escluso sia la crittografia end-to-end sia i messaggi di testo dall’ambito di applicazione degli obblighi, limitando questi ultimi ai casi di ragionevole sospetto e impedendo di fatto la scansione indiscriminata. Pertanto, solo se i fornitori non rispettano le norme per la sicurezza dei minori, le autorità competenti possono emettere un ordine di scansione e rilevamento di materiale pedopornografico dai dispositivi degli utenti.

Nel corso degli anni, però, la proposta ha subìto decine di modifiche e aggiornamenti. L’1 luglio 2025, il Consiglio dell’Unione Europea ha presentato una proposta in cui si afferma chiaramente che, per i servizi dotati di crittografia end-to-end (che impedisce a chiunque di leggere i messaggi, esclusi soltanto mittente e destinatario) come WhatsApp, Signal e Telegram, il rilevamento avviene “prima della trasmissione dei contenuti” – ossia prima che questi vengano crittografati – installando un software preposto alla scansione, ma con una clausola di “consenso dell’utente”.

Allo stato attuale, Chat Control rimane soltanto una proposta. Per far sì che diventi una legge a tutti gli effetti è necessario l’avvio di triloghi – “un negoziato interistituzionale informale che riunisce rappresentanti del Parlamento europeo, del Consiglio dell’Unione europea e della Commissione europea” – che mettano d’accordo le parti. Se la linea attuale del Consiglio dovesse essere approvata, questo comporterebbe l’installazione di un software che controlli i contenuti prima della crittografia per i servizi end-to-end; al contrario, se prevalesse la linea del Parlamento, non verrebbe effettuata alcuna scansione preventiva dei contenuti.

Proprio per questo, lo scorso 14 ottobre era stato fissato come data per il voto del Consiglio UE sul Child Sexual Abuse Regulation (Csar): un giorno in cui i ministri dei diversi paesi membri avrebbero espresso il proprio parere sulla proposta. A una settimana dalla data, dopo aver subito forti pressioni da parte dell’opinione pubblica, la Germania si era dichiarata contraria al disegno di legge, costringendo l’intero Consiglio a rimandare il voto finale sull’approvazione.

“Il monitoraggio ingiustificato delle chat deve essere un tabù in uno Stato di diritto. La comunicazione privata non deve mai essere soggetta a sospetti generalizzati. Né lo Stato deve obbligare a scansionare in massa i messaggi alla ricerca di contenuti sospetti prima di inviarli. La Germania non accetterà tali proposte a livello UE (…). Nemmeno i crimini peggiori giustificano la rinuncia ai diritti civili fondamentali”, ha dichiarato Stefanie Hubig, ministra federale della Giustizia e della Tutela dei consumatori, commentando la scelta della Germania, che ha stravolto l’agenda legislativa della Commissione Europea.

La svolta danese

Dopo tante controversie, lo scorso novembre la presidenza danese del Consiglio dell’Unione europea ha introdotto un’importante revisione alla proposta del Child Sexual Abuse Regulation (CSAR), in cui le “disposizioni relative agli obblighi di rilevamento (articoli da 7 a 11) sarebbero eliminate dal testo”.

In questo modo, il regolamento mantiene il monitoraggio delle chat private degli utenti, senza renderlo obbligatorio, ma trasformandolo in uno strumento che le aziende tecnologiche possono utilizzare a propria discrezione. Anche se, come si legge nella proposta della presidenza danese, “i fornitori di servizi ad alto rischio, in cooperazione con il Centro dell’UE, potrebbero comunque essere tenuti ad adottare misure per sfruttare le tecnologie adeguate per mitigare il rischio di abusi sessuali sui minori individuati sui loro servizi”.

La modifica della Danimarca ha segnato un momento importante nell’evoluzione di Chat Control, che lo scorso 26 novembre ha ottenuto l’approvazione dei rappresentanti dei 27 paesi membri dell’Unione Europea, dando così inizio all’ultima fase che precede l’approvazione del regolamento: la discussione tra Parlamento Europeo, Consiglio dell’Unione Europea e Commissione Europea.

“Ogni anno vengono condivisi milioni di file che ritraggono visivamente abusi sessuali su minori. Dietro ogni singolo video e immagine c’è un minore che ha subito gli abusi più orribili e tremendi. Ciò è del tutto inaccettabile”, ha commentato Peter Hummelgaard, ministro danese della Giustizia, dopo la votazione svoltasi a Bruxelles. “Sono pertanto lieto che gli Stati membri abbiano finalmente concordato una via da seguire che prevede una serie di obblighi per i prestatori di servizi di comunicazione al fine di combattere la diffusione di materiale di abuso sessuale su minori”. 

Allo stato attuale, secondo quanto approvato dai paesi membri dell’UE, “i fornitori di servizi online saranno tenuti a valutare il rischio che le loro piattaforme possano essere utilizzate impropriamente per diffondere materiale di abuso sessuale su minori o per adescare minori. Sulla base di tale valutazione, dovranno attuare misure di attenuazione per contrastare tale rischio. Tali misure potrebbero includere la messa a disposizione di strumenti che consentano agli utenti di segnalare casi di abuso sessuale su minori online, di controllare quali contenuti che li riguardano sono condivisi con altri e di predisporre impostazioni predefinite a tutela della vita privata dei minori”.

L’interesse del Consiglio è quello di arrivare ai triloghi il prima possibile, considerando che ad aprile 2026 scadrà la legislazione temporanea che consente alle app di eseguire la scansione alla ricerca di materiale pedopornografico. “Il Consiglio ha finalmente adottato la sua posizione sul regolamento CSA”, ha commentato in un post pubblicato su X il deputato spagnolo Javier Zarzalejos, leader delle negoziazioni in Parlamento. “Abbiamo bisogno di un quadro legislativo obbligatorio e a lungo termine con solide garanzie. Il tempo sta per scadere e ogni minuto che perdiamo senza una legislazione efficace significa più bambini danneggiati”.

La nuova proposta non sembra però incontrare né il sostegno delle forze dell’ordine, preoccupate che i contenuti illegali rimarranno nascosti nelle applicazioni con crittografia end-to-end, né gli attivisti a difesa della privacy, preoccupati che il rilevamento – seppur volontario – possa trasformarsi in uno strumento di sorveglianza di massa.

I rischi di Chat Control

E qui arriviamo a un altro dei punti deboli della proposta della Commissione ampiamente criticato dagli attivisti, l’alto tasso di falsi positivi. I sistemi di scansione automatica, infatti, spesso segnalano come illegali contenuti che non lo sono affatto, come le foto di bambini sulla spiaggia scattate durante le vacanze familiari. Secondo la polizia federale della Svizzera, per esempio, l’80% di tutte le segnalazioni elaborate da programmi informatici si rivelano infondate. E stando ai dati raccolti in Irlanda, invece, solo il 20% delle segnalazioni ricevute dal National Center for Missing and Exploited Children (NCMEC) nel 2020 sono state confermate come effettivo “materiale pedopornografico”. Il rischio, quindi, è che i cittadini vengano coinvolti in indagini sull’abuso di minori senza aver mai commesso alcun reato e, per di più, vedendo compromessa la propria privacy.

E non è tutto. Molti critici, infatti, temono anche il cosiddetto “function creep”: una volta che esisterà un sistema per la scansione di tutti i messaggi degli utenti, i futuri governi potrebbero essere tentati di estenderne l’applicazione ad altri settori, come il terrorismo o, nel peggiore dei casi, censurando il dissenso politico. “Una volta che viene implementato una tecnologia di questo genere, significa che avremo un sistema che controlla tutte le nostre comunicazioni e decide se sono legali o no”, ha commentato Udbhav Tiwari, VP strategy and global affairs di Signal, nel corso del webinar Stop Chat Control tenutosi lo scorso 30 settembre. “Il suo funzionamento dipende esclusivamente da come e con quali dati viene addestrato”.

Un’opinione condivisa dai governi di Repubblica Ceca, Paesi Bassi e Olanda, che hanno espresso un voto contrario lo scorso 26 novembre. E così pure – o quasi – dall’Italia, che ha deciso di astenersi dalla votazione, sottolineando la preoccupazione che una forma di sorveglianza delle comunicazioni potrebbe ledere i diritti costituzionali della persona.

“I titoli dei giornali sono fuorvianti: Chat Control non è morto, è solo stato privatizzato”, ha commentato Patrick Breyer, ex eurodeputato oggi alla guida del movimento Fight Chat Control. “Quello che il Consiglio ha approvato oggi è un cavallo di Troia. Consolidando la scansione di massa ‘volontaria’, stanno legittimando la sorveglianza di massa senza mandato e soggetta a errori di milioni di europei da parte delle aziende statunitensi”.

Il termine “volontario” per definire il rilevamento proposto dalla presidenza danese, secondo Breyer, sarebbe ingannevole: “Il testo mira a rendere permanente la normativa temporanea ‘Chat Control 1.0’”, che consente a fornitori come Meta o Google di scansionare le chat private degli utenti, indiscriminatamente e senza un mandato del tribunale. Nulla di troppo diverso, quindi, rispetto alla proposta originaria. Chat Control, secondo gli attivisti, è e continua a essere uno strumento pericoloso per la sicurezza e la privacy dei cittadini.

Nel corso dell’ultimo decennio Internet, i social media e – non da ultima – l’intelligenza artificiale hanno profondamente cambiato il nostro rapporto con la morte. Il sogno dell’immortalità, che ha ossessionato per secoli studiosi di ogni genere, oggi sembra essere in qualche modo diventato realtà. Senza che ce ne accorgessimo, la tecnologia ha creato per ognuno di noi una “vita dopo la morte”: una dimensione digitale in cui i nostri account social e di posta elettronica, blog, dati personali e beni digitali continuano a esistere anche dopo la nostra dipartita, rendendo di fatto la nostra identità eterna.

Questo, da un lato, ha aumentato la possibilità per le persone che subiscono un lutto di sentirsi nuovamente vicine al defunto, tuffandosi negli album digitali delle sue foto, rileggendo quello che ha scritto sulla sua bacheca di Facebook e ascoltando le sue playlist preferite su Spotify. 

“Può consentire anche di mantenere un dialogo con l’alter ego digitale della persona cara defunta, che, attraverso algoritmi di deep fake, può arrivare a simulare una videochiamata, mimando la voce e le sembianze del defunto; a inviare messaggi e email, utilizzando come dati di addestramento le comunicazioni scambiate durante la vita analogica”, osserva Stefania Stefanelli, professoressa ordinaria di Diritto privato all’Università degli studi di Perugia. 

Dall’altro, rende però i dati personali delle persone scomparse un tesoretto alla mercé dei criminali informatici, che possono violarne facilmente gli account, utilizzarne le immagini in modo illecito e usarne le informazioni per creare cloni digitali o deepfake, mettendo a rischio la sicurezza loro e dei loro cari. Un pericolo da non sottovalutare, come anche l’eventualità che la persona non gradisca che gli sopravviva un alter ego virtuale, alimentato coi propri dati personali. Ma come fare, allora, per proteggere la propria eredità digitale? A chi affidarla? E come?

Eredità digitale: cos’è e a chi spetta di diritto

Oggi più che mai ci troviamo a esistere allo stesso tempo in due dimensioni parallele, una fisica e una digitale. Questo, come riferisce il Consiglio Nazionale del Notariato (CNN), ha portato a un ampliamento dei “confini di ciò che possiamo definire eredità”, che sono arrivati a “comprendere altro in aggiunta ai più canonici immobili, conti bancari, manoscritti o ai beni preziosi contenuti nelle cassette di sicurezza”. 

Si parla, allora, di eredità digitale, definita dal CNN come un insieme di risorse offline e online. Della prima categoria fanno parte i file, i software e i documenti informatici creati e/o acquistati dalla persona defunta, i domini associati ai siti web e i blog, a prescindere dal supporto fisico (per esempio, gli hard disk) o virtuale (come può essere il cloud di Google Drive) di memorizzazione. La seconda categoria, invece, include le criptovalute e “tutte quelle risorse che si vengono a creare attraverso i vari tipi di account, siano essi di posta elettronica, di social network, account di natura finanziaria, di e-commerce o di pagamento elettronico”. Rimangono esclusi i beni digitali piratati, alcuni contenuti concessi in licenza personale e non trasferibile, gli account di firma elettronica, gli account di identità digitale e le password.

Chiarito in cosa consiste l’eredità digitale, a questo punto viene da chiedersi: a chi saranno affidati tutti questi beni quando la persona a cui si riferiscono non ci sarà più? Rispondere a questa domanda è più difficile di quanto si possa immaginare. Allo stato attuale non esiste infatti in Italia una legge organica, il che crea negli utenti – siano essi le persone a cui i dati si riferiscono o i parenti di un defunto che si ritrovano a gestire la sua identità in rete – un’enorme confusione sulla gestione dei dati. 

Nonostante si tratti di un tema particolarmente urgente, finora è stato trattato soltanto dal Codice della Privacy, che prevede “che i diritti […] relativi ai dati di persone decedute possano essere esercitati da chi abbia un interesse proprio o agisca a tutela dell’interessato (su suo mandato) o per ragioni familiari meritevoli di protezione”. Un diritto che non risulta esercitabile soltanto nel caso in cui “l’interessato, quando era in vita, lo abbia espressamente vietato”.

Di recente, poi, il Consiglio Nazionale del Notariato è tornato sul tema, sottolineando l’importanza di “pianificare il passaggio dell’eredità digitale”, considerando che “molto spesso le società che danno accesso a servizi, spazi e piattaforme sulla rete internet hanno la propria sede al di fuori del territorio dello Stato e dell’Europa”: in assenza di disposizioni specifiche sull’eredità dei beni digitali, infatti, chiunque cerchi di accedere ai dati di una persona defunta rischia di “incorrere in costose e imprevedibili controversie internazionali”.

Per evitare che questo accada, è possibile investire una persona di fiducia di un mandato post mortem, “ammesso dal nostro diritto per dati e risorse digitali con valore affettivo, familiare e morale”. In termini legali, si tratta di un contratto attraverso cui un soggetto (mandante) incarica un altro soggetto (mandatario) di eseguire compiti specifici dopo la sua morte, come l’organizzazione del funerale, la consegna di un oggetto e, nel caso delle questioni digitali, la disattivazione di profili social o la cancellazione di un account. In alternativa, “si può disporre dei propri diritti e interessi digitali tramite testamento”, al pari di quanto già accade per i beni immobili, i conti bancari e tutto il resto. 

In questo modo, in attesa di una legislazione vera e propria sul tema, sarà possibile lasciare ai posteri un elenco dettagliato dei propri beni e account digitali, password incluse, oltre alle volontà circa la loro archiviazione o cancellazione. “Ai sensi di questa disposizione, si può anche trasmettere a chi gestisce i propri dati una  dichiarazione, nella quale si comunica la propria intenzione circa il destino, dopo la propria morte, di tali dati: la cancellazione totale o parziale, la comunicazione, in tutto o in parte, a soggetti determinati, l’anonimizzazione ecc. Si parla in questi termini di testamento digitale, anche se in senso ‘atecnico’, in quanto la dichiarazione non riveste le forme del testamento, sebbene sia anch’essa revocabile fino all’ultimo istante di vita, e non contiene disposizioni patrimoniali in senso stretto”, prosegue la professoressa Stefanelli.

Eredità e piattaforme digitali: cosa succede agli account delle persone defunte?

Come anticipato, allo stato attuale non esiste una legge che regolamenta l’eredità digitale, né in Italia né in Europa. Pertanto, nel corso degli ultimi anni le piattaforme di social media e i grandi fornitori di servizi digitali si sono organizzati per garantire una corretta gestione degli account di persone scomparse, così da evitare di trasformarsi in veri e propri cimiteri digitali. 

Già da qualche anno, per esempio, Facebook consente agli utenti di nominare un contatto erede, ossia un soggetto che avrà il potere di scegliere se eliminare definitivamente l’account della persona scomparsa o trasformarlo in un profilo commemorativo, dove rimarranno visibili i contenuti che ha condiviso sulla piattaforma nel corso della sua vita. 

Al pari di Facebook, anche Instagram consente ai parenti di un defunto di richiedere la rimozione del suo account o di trasformarlo in un account commemorativo. In entrambi i casi, però, sarà necessario presentare un certificato che attesti la veridicità del decesso della persona in questione o un documento legale che dimostri che la richiesta arriva da un esecutore delle sue volontà. 

TikTok, invece, è rimasto per molto tempo lontano dalla questione dell’eredità digitale. Soltanto lo scorso anno la piattaforma ha introdotto la possibilità di trasformare l’account di una persona defunta in un profilo commemorativo, previa la presentazione di documenti che attestino il suo decesso e un legame di parentela con l’utente che sta avanzando la richiesta. In alternativa, al pari di quanto accade per Facebook e Instagram, è possibile richiedere l’eliminazione definitiva dell’account del defunto. 

Ma non sono solo le piattaforme social a pensare al futuro dei propri utenti. Dal 2021, Apple consente agli utenti di aggiungere un contatto erede, così da permettere a una persona di fiducia di accedere ai dati archiviati nell’Apple Account, o “di eliminare l’Apple Account e i dati con esso archiviati”. Google, invece, offre agli utenti uno strumento avanzato per la gestione dei dati di una persona scomparsa. La “gestione account inattivo” consente infatti di “designare una terza parte, ad esempio un parente stretto, affinché riceva determinati dati dell’account in caso di morte o inattività dell’utente”. 

Più nel dettaglio, la piattaforma permette di “selezionare fino a 10 persone che riceveranno questi dati e scegliere di condividere tutti i tipi di dati o solo alcuni tipi specifici”, oltre alla possibilità di indicare il periodo di tempo dopo il quale un account può davvero essere considerato inattivo. Nel caso in cui un utente non configuri “Gestione account inattivo”, Google si riserva il diritto di eliminare l’account nel caso in cui rimanga inattivo per più di due anni.

Eredità digitale e deadbot: un rischio per la sicurezza?

Anche l’avvento dei sistemi di intelligenza artificiale generativa ha contribuito a cambiare il nostro rapporto con la morte. E le aziende che li sviluppano si sono spinte fino a cercare una soluzione pratica al dolore causato dalla scomparsa di una persona cara. Basti pensare alla rapida diffusione dei deadbot, ovvero dei chatbot che permettono ad amici e familiari di conversare con una persona defunta, simulandone la personalità. Uno strumento che, da un lato, può rivelarsi utile ai fini dell’elaborazione del lutto, ma dall’altro rappresenta un rischio notevole per la privacy e la sicurezza degli individui. 

Per permettere all’AI di interagire con un utente come farebbe una persona scomparsa, questa ha bisogno di attingere a una quantità notevole di informazioni legate alla sua identità digitale: account social, playlist preferite, registro degli acquisti da un e-commerce, messaggi privati, app di terze parti e molto altro ancora. Un uso smodato di dati sensibili che, allo stato attuale, non è regolamentato in alcun modo. 

E questo, al pari di quanto accade con l’eredità digitale, rappresenta un problema non indifferente per la sicurezza: come riferisce uno studio condotto dai ricercatori dell’Università di Torino, quando i dati del defunto non sono “sufficienti o adeguati per sviluppare un indice di personalità, vengono spesso integrati con dati raccolti tramite crowdsourcing per colmare eventuali lacune”. Così facendo, “il sistema può dedurre da questo dataset eterogeneo aspetti della personalità che non corrispondono o non rispondono pienamente agli attributi comportamentali della persona”. In questo caso, i deadbot “finiscono per dire cose che una persona non avrebbe mai detto e forniscono agli utenti conversazioni strane, che possono causare uno stress emotivo paragonabile a quello di rivivere la perdita”. Non sarebbe, quindi, solo la privacy dei defunti a essere in pericolo, ma anche la sicurezza dei loro cari ancora in vita. 

Pur non esistendo una legislazione specifica sul tema, l’AI Act dell’Unione Europea – una delle normative più avanzate sul tema – fornisce alcune disposizioni utili sulla questione, vietando “l’immissione sul mercato, la messa in servizio o l’uso di un sistema di IA che utilizza tecniche subliminali che agiscono senza che una persona ne sia consapevole” e anche “l’immissione sul mercato, la messa in servizio o l’uso di un sistema di IA che sfrutta le vulnerabilità di una persona fisica o di uno specifico gruppo di persone (…), con l’obiettivo o l’effetto di distorcere materialmente il comportamento di tale persona”. 

Due indicazioni che, di fatto, dovrebbero proibire l’immissione dei deadbot nel mercato europeo, ma che non forniscono alcuna soluzione utile alla questione della protezione dei dati personali di una persona defunta, che rimane ancora irrisolta. Nel sistema giuridico europeo la legislazione sulla protezione dei dati non affronta esplicitamente né il diritto alla privacy né le questioni relative alla protezione dei dati delle persone decedute. 

Il Regolamento Generale sulla Protezione dei Dati (GDPR), infatti, “non si applica ai dati personali delle persone decedute”, anche se “gli Stati membri possono prevedere norme riguardanti il trattamento dei dati personali delle persone decedute”. Una scelta considerata “coerente con il principio tradizionale secondo cui le decisioni di politica legislativa che incidono sul diritto di famiglia e successorio, in quanto settori caratterizzati da valori nazionali strettamente correlati alle tradizioni e alla cultura della comunità statale di riferimento, esulano dalla competenza normativa dell’Unione europea”. 

Non esistendo una legislazione valida a livello europeo, i governi nazionali hanno adottato approcci diversi alla questione. La maggior parte delle leggi europee sulla privacy, però, sostiene un approccio basato sulla “libertà dei dati”: paesi come Belgio, Austria, Finlandia, Francia, Svezia, Irlanda, Cipro, Paesi Bassi e Regno Unito, quindi, escludono che le persone decedute possano avere diritto alla privacy dei dati, sostenendo che i diritti relativi alla protezione dell’identità e della dignità degli individui si estinguono con la loro morte. 

Secondo questa interpretazione, le aziende tech potrebbero usare liberamente i dati delle persone decedute per addestrare un chatbot. Fortunatamente non è proprio così, considerando che in questi paesi entrano in gioco il reato di diffamazione, il diritto al proprio nome e alla propria immagine, o il diritto alla riservatezza della corrispondenza. Al contrario, invece, paesi come l’Estonia e la Danimarca prevedono che il GDPR si applichi anche alle persone decedute, a cui garantiscono una protezione giuridica per un limite preciso di tempo (10 anni dopo la morte in Danimarca, e 30 in Estonia). E così anche Italia e Spagna, che garantiscono una protezione dei dati dei defunti per un tempo illimitato. 

Pur mancando una legislazione europea uniforme, il GDPR lascia agli Stati membri la facoltà di regolare il trattamento dei dati personali delle persone defunte, e questo comporta differenze, anche sostanziali, delle legislazioni nazionali. Con l’avvento dell’AI e gli sviluppi rapidi che questa comporta, però, diventa sempre più necessario stilare una normativa chiara, precisa e uniforme sulla questione. Così da rispettare non solo la privacy dei nostri cari, ma anche il dolore per la loro perdita.