Questo articolo aggiorna e completa quanto pubblicato nel febbraio 2022:
→ La proposta di regolamento su ’ePrivacy’: lo stato attuale tra cronologia degli eventi e alcune considerazioni
Dove eravamo rimasti (febbraio 2022)
Nel febbraio 2022 avevamo ripercorso l’intero iter della proposta di Regolamento ePrivacy — COM(2017) 10 final — dalla sua presentazione da parte della Commissione europea il 10 gennaio 2017 fino alle bozze del trilogo del novembre 2021. Il quadro era quello di negoziati formalmente avviati il 20 maggio 2021, con posizioni distanti tra Consiglio e Parlamento su punti cruciali come il trattamento dei metadati, la data retention, i cookie e il ruolo delle autorità di controllo. Avevamo concluso, con ragionevole ottimismo, ipotizzando una versione finale entro il 2023.
Quella previsione non si è avverata. Quello che è accaduto nei quattro anni successivi va ben oltre un semplice ritardo: tre sviluppi di rilievo sistemico che meritano di essere esaminati separatamente.
1. La proposta di Regolamento ePrivacy è stata ritirata
Il blocco nei negoziati (2022–2024)
Dopo la ripresa formale del trilogo nel maggio 2021, i negoziati hanno continuato a segnare il passo. La Presidenza francese del Consiglio (primo semestre 2022) ha pubblicato il 28 marzo 2022 l’ultimo four column table in preparazione dei triloghi, registrando progressi tecnici limitati. Le successive presidenze — ceca (luglio–dicembre 2022) e svedese (gennaio–giugno 2023) — non hanno prodotto alcun avanzamento sostanziale. Il dossier era formalmente bloccato.
Il ritiro (febbraio–ottobre 2025)
L'11 febbraio 2025, la Commissione europea ha pubblicato il Programma di lavoro 2025 (COM(2025) Work Programme), che includeva in allegato — tra i fascicoli da ritirare entro sei mesi — la proposta di Regolamento ePrivacy. La motivazione indicata dalla Commissione è stata la seguente:
“No foreseeable agreement — no agreement is expected from the co-legislators. Furthermore, the proposal is outdated in view of some recent legislation in both the technological and the legislative landscape.”
Il ritiro è stato approvato formalmente dalla Commissione nel corso della sua 2533a riunione del 16 luglio 2025 e comunicato ufficialmente nella Gazzetta Ufficiale dell’Unione europea il 6 ottobre 2025 (C/2025/5423).
Il procedimento legislativo avviato nel 2017 con la procedura 2017/0003(COD) è definitivamente chiuso.
Fonte istituzionale: Legislative Train Schedule — ePrivacy Reform (aggiornato al 22 gennaio 2026)
Cosa rimane in vigore
Il ritiro della proposta di Regolamento ha una conseguenza diretta e immediata: la Direttiva 2002/58/CE (Direttiva ePrivacy), nella sua versione vigente — modificata da ultimo dalla Direttiva 2009/136/CE — continua ad applicarsi e non sarà abrogata nel breve periodo. Le trasposizioni nazionali nei singoli Stati membri restano quindi il riferimento normativo per la riservatezza delle comunicazioni elettroniche, i cookie, il marketing diretto e la conservazione dei dati di traffico.
2. La deroga temporanea alla Direttiva ePrivacy (Chat Control 1.0): storia e voto dell'11 marzo 2026
Parallelamente all’iter del Regolamento ePrivacy, si è sviluppata una vicenda normativa distinta ma strettamente connessa, che ha occupato il centro del dibattito europeo sulla privacy digitale negli ultimi anni.
Le origini: il Regolamento (UE) 2021/1232
Il 14 luglio 2021 è stato adottato il Regolamento (UE) 2021/1232, entrato in vigore il 2 agosto 2021 con validità fino al 3 agosto 2024. Esso ha introdotto una deroga temporanea all’articolo 5, paragrafo 1, e all’articolo 6 della Direttiva ePrivacy, consentendo ai fornitori di servizi di comunicazione interpersonale indipendenti dal numero — webmail, messaggistica, VoIP — di continuare volontariamente a rilevare, segnalare e rimuovere materiale di abuso sessuale su minori (CSAM, Child Sexual Abuse Material) online, in attesa dell’adozione di un quadro normativo permanente.
Questa deroga è stata ribattezzata dai critici “Chat Control 1.0”, perché apre la porta alla scansione del contenuto delle comunicazioni private, in deroga alle norme sulla riservatezza.
La prima proroga: Regolamento (UE) 2024/1307
Il 15 febbraio 2024, Parlamento europeo e Consiglio hanno raggiunto un accordo provvisorio per prorogare la deroga fino al 3 aprile 2026. Il Parlamento ha approvato l’accordo il 10 aprile 2024 e il Consiglio il 29 aprile 2024 (Regolamento (UE) 2024/1307).
La proposta di seconda proroga (dicembre 2025)
Il 19 dicembre 2025, la Commissione europea ha proposto una nuova proroga della deroga — in scadenza il 3 aprile 2026 — fino al 3 agosto 2028, per consentire la conclusione dei negoziati sul quadro permanente. Il 28 gennaio 2026, il COREPER ha approvato il mandato negoziale con il Parlamento accettando la proposta della Commissione.
Il percorso parlamentare: febbraio–marzo 2026
23 febbraio 2026 — La relatrice Birgit Sippel (S&D, Germania) ha presentato la bozza di relazione al comitato LIBE, includendo emendamenti sostanziali che limitavano in modo significativo l’ambito della proroga rispetto alla proposta della Commissione.
2 marzo 2026 — Il comitato LIBE ha votato contro la bozza di posizione favorevole alla proroga (38 voti contrari, 28 favorevoli). Il risultato ha colto di sorpresa l’aula. Ai sensi del Regolamento del Parlamento Europeo, la mancanza di maggioranza in commissione ha comportato il deferimento automatico in plenaria di una proposta di rigetto del dossier, con possibilità per i gruppi politici di presentare emendamenti.
11 marzo 2026 — La plenaria ha ribaltato l’esito del comitato: con 458 voti a favore, 103 contrari e 63 astensioni, il Parlamento Europeo ha approvato la proroga della deroga — ma con condizioni notevolmente più restrittive rispetto alla proposta originaria della Commissione.
Fonte istituzionale: Comunicato stampa del Parlamento Europeo, 11 marzo 2026
Le condizioni della proroga approvata
Il testo approvato dal Parlamento prevede che le misure volontarie di rilevamento:
- restino proporzionate e mirate e non si applichino alle comunicazioni crittografate end-to-end;
- non consentano la scansione dei dati di traffico unitamente ai dati di contenuto;
- si applichino tecnologicamente solo a materiale già identificato come CSAM o segnalato da un utente, da un trusted flagger o da un’organizzazione;
- siano mirate a utenti o gruppi di utenti che un’autorità giudiziaria abbia ragionevolmente sospettato di essere collegati a CSAM.
La dichiarazione della relatrice
La relatrice Birgit Sippel ha dichiarato dopo il voto:
“Abbiamo la responsabilità di affrontare l’orrendo crimine dell’abuso sessuale sui minori salvaguardando al contempo i diritti fondamentali di tutti. Questa deroga è uno strumento temporaneo e rigorosamente limitato che consente ai fornitori di continuare le loro misure volontarie di rilevamento a determinate condizioni. La proroga deve anche tutelare la crittografia end-to-end. Limitare l’ambito della proroga al materiale di abuso sessuale sui minori già identificato o segnalato è necessario e giustificato per un quadro proporzionato che possa resistere al controllo giudiziario e garantire una protezione sostenibile dei minori.”
3. Il quadro normativo permanente: il CSAR e i triloghi in corso
Parallelamente alla vicenda della deroga, procede — su un binario separato — l’iter del Regolamento per prevenire e combattere gli abusi sessuali sui minori online (CSAR), proposto dalla Commissione il 11 maggio 2022 (COM(2022) 209).
Questo è il testo che dovrebbe sostituire in modo permanente la deroga temporanea e, per la parte dedicata alla lotta al CSAM, incidere sul regime della riservatezza delle comunicazioni previsto dalla Direttiva ePrivacy, introducendo obblighi settoriali specifici di rilevamento e segnalazione.
Lo stato attuale dei negoziati, su base istituzionale:
- Novembre 2023 — Il Parlamento Europeo ha adottato la propria posizione negoziale (comunicato PE, novembre 2023), che esclude la scansione delle comunicazioni crittografate end-to-end e subordina qualsiasi misura al ragionevole sospetto.
- 26 novembre 2025 — Il Consiglio dell’UE ha adottato la propria posizione negoziale (comunicato del Consiglio, 26 novembre 2025). La posizione del Consiglio elimina gli ordini di rilevamento obbligatori ma prevede la permanenza del regime di rilevamento volontario e l’introduzione di misure di mitigazione del rischio.
- 9 dicembre 2025 — Primo trilogo politico tra le tre istituzioni.
- Gennaio 2026 — Riunioni tecniche preparatorie; secondo trilogo atteso per il 26 febbraio 2026.
- Triloghi successivi — in corso; il calendario degli incontri e la data di adozione formale non risultano ancora confermati da fonti istituzionali pubblicate.
Fonte istituzionale: Legislative Train Schedule — Combating child sexual abuse online
Quadro sinottico: cosa è cambiato dal 2022 al 2026
| Elemento | Stato nel febbraio 2022 | Stato oggi (marzo 2026) |
|---|---|---|
| Proposta Regolamento ePrivacy (COM/2017/10) | Trilogo avviato, negoziati in corso | Ritirata — GU 6 ottobre 2025 |
| Direttiva 2002/58/CE | In vigore, destinata all’abrogazione | In vigore, non sarà abrogata nel breve periodo |
| Deroga temporanea CSAM (Reg. 2021/1232) | In vigore fino ad agosto 2024 | Proroga approvata dal Parlamento europeo (11/03/2026) — iter in corso |
| CSAR (quadro permanente) | Proposta CE presentata (maggio 2022) | Triloghi in corso — accordo non ancora confermato |
Timeline normativa ePrivacy / CSAM (2017–2026)
| Anno / Data | Evento | Fonte istituzionale |
|---|---|---|
| 10 gennaio 2017 | La Commissione europea presenta la proposta di Regolamento ePrivacy | COM(2017) 10 final |
| 20 maggio 2021 | Avvio formale dei triloghi sul Regolamento ePrivacy | PE — Legislative Train |
| 14 luglio 2021 | Adozione del Reg. (UE) 2021/1232 — deroga temporanea ePrivacy per il rilevamento del CSAM | GUUE — Reg. 2021/1232 |
| 11 maggio 2022 | La Commissione presenta la proposta di Regolamento CSAR | COM(2022) 209 |
| 10 aprile 2024 | Il Parlamento europeo approva la prima proroga della deroga | Reg. (UE) 2024/1307 |
| 11 febbraio 2025 | La Commissione annuncia il ritiro della proposta di Regolamento ePrivacy | Work Programme 2025 |
| 6 ottobre 2025 | Pubblicazione del ritiro nella Gazzetta Ufficiale dell’UE | C/2025/5423 |
| 9 dicembre 2025 | Primo trilogo politico sul CSAR | PE — Legislative Train |
| 11 marzo 2026 | Il Parlamento europeo approva la seconda proroga della deroga CSAM (iter legislativo in corso) | Comunicato PE, 11/03/2026 |
Osservazioni
Quattro anni dopo l’articolo del 2022, il panorama normativo europeo in materia di riservatezza delle comunicazioni elettroniche si è trasformato in misura profonda e per certi versi inattesa.
Il dato più significativo è il ritiro della proposta di Regolamento ePrivacy, che chiude un iter durato quasi nove anni senza produrre il testo atteso. Le ragioni istituzionalmente dichiarate — mancanza di accordo prevedibile tra i co-legislatori e obsolescenza della proposta rispetto al quadro tecnologico e normativo sopravvenuto (GDPR, DSA, AI Act, Codice europeo delle comunicazioni elettroniche) — riflettono la complessità strutturale di un dossier su cui si sono sovrapposti interessi nazionali, industriali e di tutela dei diritti fondamentali difficilmente componibili in un unico testo.
Sul fronte della deroga, il voto dell'11 marzo 2026 ha prodotto un esito tecnico rilevante: la crittografia end-to-end è esclusa nella posizione negoziale del Parlamento europeo dall’ambito di applicazione delle misure volontarie di rilevamento. Il requisito del ragionevole sospetto come condizione per l’attivazione delle misure e la limitazione al materiale già identificato restringono significativamente lo spazio applicativo della deroga rispetto alle ambizioni originarie della Commissione e, ancor più, rispetto alle proposte più invasive che avevano alimentato il dibattito pubblico sul “Chat Control”.
Rimane aperto — e politicamente più che mai rilevante — il negoziato sul CSAR. Le posizioni di Parlamento e Consiglio restano divergenti su punti cruciali, in particolare sulla portata delle misure di rilevamento volontario e sul loro rapporto con la crittografia. L’esito dei triloghi in corso sarà determinante per il quadro normativo europeo sulla riservatezza delle comunicazioni per il prossimo ciclo normativo europeo.
Fonti istituzionali
Parlamento Europeo
- Comunicato stampa — Voto plenaria 11 marzo 2026 (IT)
- Notizia PE pre-voto, 9 marzo 2026
- Posizione negoziale PE sul CSAR, novembre 2023
- Legislative Train — ePrivacy Reform (aggiornato 22/01/2026)
- Legislative Train — Combating child sexual abuse online
- Emendamenti approvati alla proposta della Commissione (PDF)
- Procedura 2025/0429(COD) — Osservatorio legislativo
Commissione europea
- Programma di lavoro 2025 — COM(2025) Work Programme, 11 febbraio 2025
- Ritiro delle proposte — C/2025/5423, GU 6 ottobre 2025
- Proposta CSAR — COM(2022) 209
Consiglio dell’Unione Europea
- Posizione negoziale del Consiglio sul CSAR, 26 novembre 2025
- Documento ST-6312-2026-INIT, 4 marzo 2026
EUR-Lex