Bruxelles, 26 novembre 2025. Il Consiglio UE approva il regolamento contro gli abusi sui minori online. Approvazione il 13 novembre. Il voto si è tenuto il 13 novembre. Il voto è avvenuto il 13 novembre. Oggi arriva il comunicato stampa ufficiale. La legge obbliga tutte le piattaforme digitali — social network, chat, motori di ricerca, app store — che operano in Europa a prendere misure concrete. Non importa dove l'azienda ha sede: se raggiunge utenti europei, deve rispettare le nuove norme.
Peter Hummelgaard, ministro danese della Giustizia, ha dichiarato: "Ogni anno vengono condivisi milioni di file che mostrano abusi sessuali su minori. E dietro ogni singola immagine e video, c'è un bambino che ha subito gli abusi più orribili e terribili. Questo è assolutamente inaccettabile. Sono lieto che gli Stati membri abbiano finalmente concordato una soluzione che preveda obblighi per i fornitori di servizi di comunicazione al fine di contrastare la diffusione di materiale pedopornografico".
Cosa dice davvero la legge
Il regolamento si basa su un principio semplice: chi gestisce una piattaforma deve sapere se e come viene usata per abusare di bambini. Non è una proposta vaga. Ogni fornitore di servizi online deve fare una valutazione del rischio documentata e concreta. Scrive nei report: è vero che la mia piattaforma viene usata per diffondere materiale pedopornografico? Viene usata per adescare minori? Quanto è grave?
Sulla base di questa analisi, ogni servizio viene messo in una di tre categorie: alto rischio, medio rischio, basso rischio. I criteri sono precisi. Guardano al tipo di servizio — social media, chat, gaming, marketplace — all'architettura tecnica, alle politiche di sicurezza che già applichi, e ai pattern di utenza, cioè chi usa il servizio e come. Se noti molti account anonimi, multipli, temporanei, profili che cambiano in fretta, uso di VPN, creazione di gruppi privati, allora il rischio sale. Una chat privata con verificazione d'identità avrà valutazione diversa da una chat pubblica anonima.
Cosa devono fare le aziende
Se il rischio è identificato, le aziende non possono fare finta di nulla. Devono implementare misure di mitigazione proporzionate. Il regolamento non dice esattamente quali — lascia libertà di innovazione — ma fornisce una lista di quello che si aspetta: strumenti che permettono agli utenti di segnalare abusi in modo facile e adatto all'età dei minori; controlli sulla privacy e impostazioni predefinite rigorose per i bambini; accesso a numeri di emergenza e organizzazioni di supporto; verifica o valutazione dell'età che rispetti la privacy e il miglior interesse del minore. Non possono farlo in modo approssimativo: la verifica dell'età deve essere accurata, proporzionata, trasparente, non discriminatoria.
I servizi classificati come ad alto rischio ricevono un carico ancora più pesante: l'autorità nazionale può ordinargli di contribuire allo sviluppo di tecnologie specifiche per ridurre l'abuso sul loro servizio. Non è punizione. È obbligo di investimento tecnico. Chi non si adegua rischia sanzioni serie. Il regolamento prevede penalty payments — il testo del Consiglio non specifica l'importo esatto, ma gli articoli sulla conformità prevedono multa fino al 6% del fatturato mondiale annuo per violazioni gravi, fino all'1% per violazioni meno gravi, e fino al 5% del fatturato medio giornaliero per inosservanza prolungata.
Il nodo dell'ordine di scansione — cosa il press non disse chiaramente
Il comunicato ufficiale dice che il Consiglio ha "concordato una soluzione" sui fornitori. Quello che non emerge dal testo pubblico è una scelta cruciale: non ci sono ordini di scansione generalizzata. Il regolamento lo ripete più volte: nulla deve essere inteso come imposizione di obblighi di rilevamento sui fornitori.
Era la parte più controversa della proposta originale della Commissione del maggio 2022. Molti paesi e i gruppi di difesa della privacy si sono opposti. Scansionare tutte le chat, tutti i messaggi, alla ricerca di abusi, avrebbe significato toccare la crittografia end-to-end, quella che protegge le conversazioni da sguardi esterni — perfino dalla stessa piattaforma. Indebolire o aggirare la crittografia era il vero dubbio.
Il Consiglio ha scelto una strada diversa: invece di scansione generalizzata, ha rafforzato il potere delle autorità di ordire la rimozione, il blocco e la deindicizzazione. Se un'autorità competente trova materiale illegale o di grooming su un servizio, può ordinare al fornitore di toglierlo subito. Entro 24 ore deve essere fatto. Non è più questione di "vediamo se riusciamo a trovarla". È: "toglila".
Come funziona un ordine di rimozione
Un'autorità — designata da ogni Stato membro — scopre materiale pedopornografico ospitato su una piattaforma. Invia un ordine formale alla piattaforma. Scrive: questo contenuto viola la legge, rimuovilo. Il fornitore deve rispondere entro 24 ore. Se non lo fa, rischia una procedura sanzionatoria.
Lo stesso vale per il blocco: se il contenuto è ospitato fuori dall'UE ma accessibile attraverso un provider di accesso a internet europeo — Telecom Italia, Vodafone, ecc. — l'autorità può ordinare al provider di bloccare l'accesso al sito. E per i motori di ricerca, c'è un ordine di delisting: rimuovere quel risultato dal motore, come già avviene per altri contenuti illegali in Europa.
C'è una procedura anche per gli ordini transfrontalieri. Se l'Irlanda scopre abuso ospitato in Francia, non deve aspettare la Francia. Invia una comunicazione formale e la Francia verifica, agisce. Il modello è lo stesso del regolamento europeo contro il terrorismo online del 2021.
Protezione delle vittime — un canale diretto
Uno degli articoli centrali riguarda l'assistenza alle vittime. Se una persona adulta scopre che materiale che la ritrae quando era minore è ancora online, non deve supplicare l'azienda. Ha il diritto di chiedere ufficialmente la rimozione. L'azienda deve rispondere. E il nuovo Centro UE interviene come verificatore: controlla che l'azienda abbia davvero eliminato il contenuto.
Questo è cruciale. Finora molte vittime raccontavano: ho chiesto rimozione, l'azienda promette, il contenuto rimane. Ora c'è una terza parte — il Centro europeo — che monitora l'esecuzione e può segnalare negligenza alle autorità. Le vittime possono anche chiedere supporto direttamente al Centro UE, che verifica se le aziende coinvolte hanno rimosso o disabilitato l'accesso agli elementi che la vittima desidera vengano rimossi.
Le attività volontarie continueranno
Paradossalmente, il regolamento mantiene la deroga che consente ai fornitori di scansionare volontariamente i loro servizi. Oggi, grazie a un'eccezione alla direttiva e-privacy introdotta nel 2021 e prorogata nel 2024, le aziende di messaggistica possono analizzare i contenuti alla ricerca di abuso, segnalare, e rimuovere. Era una misura temporanea che scadeva il 3 aprile 2026. Il Consiglio ha deciso: il regolamento nuovo la renderà permanente.
Questo significa: se Meta, Telegram, WhatsApp vogliono volontariamente scandagliare i loro servizi con tecnologie di hash matching e intelligenza artificiale per trovare materiale di abuso, possono farlo. Non è obbligatorio. È una scelta consapevole. E rimane protetta dalla legge sulla privacy. Tali attività devono comunque rispettare i vincoli derivanti dal diritto dell'Unione, in particolare dal GDPR, con specifiche garanzie sulla proporzionalità delle tecnologie impiegate e sulla trasparenza verso gli utenti.
Il Centro UE — chi è, cosa fa
Viene istituita una nuova agenzia europea, il Centro dell'UE sugli Abusi Sessuali sui Minori. La sede non è ancora stata decisa — lo farà il Parlamento insieme al Consiglio in una procedura separata — ma sarà un'agenzia con strutture operative e personale dedicato.
Il Centro ha funzioni operative precise. Raccoglie i report che i fornitori sono obbligati a inviare. Gestisce un database centralizzato di indicatori di abuso — cioè pattern tecnici, hash di immagini note, segnali di grooming — che le piattaforme possono usare per le loro attività volontarie. Supporta le autorità nazionali nella valutazione del rischio. Fornisce tecnologie gratuite ai fornitori per eseguire gli ordini di rilevamento e rimozione. Trasmette informazioni rilevanti a Europol e alle polizie nazionali per le indagini.
Il Centro ha un Management Board — rappresentanti di tutti gli Stati membri più Commissione — e un Technology Committee con esperti tecnici. C'è anche un Victims Board, cioè vittime adulte che sedono nei consigli. È riconoscimento che questo non è solo tecnologia e enforcement, ma diritti umani. La governance è stata semplificata rispetto alla proposta originale: è stato eliminato un Executive Board, trasferendo le competenze al Management Board.
I tempi
Il regolamento entra in vigore 20 giorni dopo la pubblicazione sulla Gazzetta Ufficiale UE. Ma gli obblighi principali — valutazione rischio, misure di mitigazione, autorità nazionali operanti — scatteranno dopo 24 mesi. Alcune disposizioni su trasparenza, reporting e funzionamento a regime del Centro dopo 48 mesi. L'emendamento alla deroga e-privacy, invece, si applica immediatamente.
Perché questo rinvio? Per dare tempo ai fornitori e ai governi di adeguarsi. Una piattaforma piccola ha bisogno di tempo per fare valutazione del rischio. Uno Stato membro deve designare le autorità, dargli risorse, formarle.
C'è anche una clausola di revisione: entro tre anni, la Commissione deve valutare se è necessario e fattibile introdurre obblighi di rilevamento in futuro. Cioè, fra tre anni, gli europei e i legislatori faranno il punto: le misure finora adottate bastano, oppure serve andare oltre? Tecnologie di rilevamento affidabili esistono? Inoltre, è prevista una valutazione complessiva entro cinque anni dall'entrata in vigore, con particolare attenzione all'efficacia delle misure di prevenzione e mitigazione del rischio.
Il Parlamento avrà l'ultima parola
Oggi il Consiglio ha concordato il suo mandato negoziale. Il Parlamento europeo aveva già adottato la sua posizione nel novembre 2023, con Javier Zarzalejos come rapporteur. Da qui in poi inizia il trilogo: riunioni formali fra Consiglio, Commissione, Parlamento per fare convergere i testi. La scommessa è che si arrivi a un accordo finale entro l'estate 2026.
Nel frattempo, ogni europeo deve sapere: è partita la campagna più vasta mai intrapresa dall'UE contro lo sfruttamento di bambini online. Non con la scansione generalizzata che spaventava, ma con un modello fatto di responsabilità delle piattaforme, verifiche delle autorità, assistenza alle vittime, e un'agenzia europea incaricata di coordinare il tutto.
Info
| Elemento | Valore |
|---|---|
| Data approvazione Consiglio | 13 novembre 2025 |
| Data comunicato stampa | 26 novembre 2025 |
| Proposta originale | Commissione UE, 11 maggio 2022 |
| Posizione Parlamento europeo | Novembre 2023 |
| Rapporteur PE | Javier Zarzalejos (EPP, Spagna) |
| Categorie rischio | Alto, Medio, Basso |
| Sanzione massima | 6% fatturato mondiale annuo (violazioni gravi) |
| Sanzione minima | 1% fatturato mondiale annuo (violazioni meno gravi) |
| Sanzione inosservanza prolungata | 5% fatturato medio giornaliero |
| Tempo risposta rimozione | 24 ore |
| Entrata in vigore | 20 giorni dopo pubblicazione Gazzetta Ufficiale |
| Applicazione obblighi principali | 24 mesi |
| Applicazione reporting/Centro | 48 mesi |
| Applicazione deroga e-privacy | Immediata |
| Scadenza deroga temporanea originale | 3 aprile 2026 |
| Sede Centro UE | Da decidere (consultazione Parlamento) |
| Revisione tecnica obblighi rilevamento | Entro 3 anni |
| Valutazione complessiva | Entro 5 anni |
| Prossimo step | Trilogo Consiglio-Parlamento-Commissione |
| Target accordo finale | Estate 2026 |
Glossario
- CSAM (Child Sexual Abuse Material): materiale che ritrae abusi sessuali su minori — immagini, video, contenuti di qualsiasi forma che possono essere diffusi online.
- Grooming: adescamento online di minori da parte di adulti. Un processo che instaura fiducia con l'obiettivo di commettere abusi sessuali.
- Autorità coordinatrice: ente nazionale designato da ogni Stato membro per valutare il rischio, le misure di mitigazione, emettere ordini di rimozione e blocco, coordinare l'applicazione del regolamento.
- Categorizzazione del rischio: classificazione di un servizio online come ad alto, medio o basso rischio, basata su criteri oggettivi come tipo di servizio, architettura tecnica, politiche di sicurezza, pattern di utenza.
- Mitigazione: insieme di misure tecniche, procedurali, organizzative che il fornitore adotta per ridurre il rischio che il suo servizio venga usato per abuso sessuale su minori.
- Delisting: rimozione di un risultato dai motori di ricerca. Se cerchi su Google e trovi link a materiale illegale, l'ordine di delisting lo toglie dai risultati.
- Ordine di blocco: provvedimento di un'autorità che obbliga un provider di accesso internet — es. Telecom, Vodafone — a impedire accesso a un sito contenente abuso.
- Centro UE: agenzia europea incaricata di gestire il database centralizzato di indicatori di abuso, supportare le autorità nazionali, fornire tecnologie, assistere vittime, trasmettere informazioni a Europol e alle polizie nazionali.
- Regolamento (UE) 2021/1232: norma che permette ai fornitori di servizi di comunicazione di scansionare volontariamente i loro servizi per trovare materiale di abuso, esentandoli dalla direttiva e-privacy. Il regolamento nuovo la rende permanente.
- Penalty payments: sanzioni economiche imposte ai fornitori per inosservanza dei vincoli del regolamento.
- Trilogo: procedura negoziale formale fra Consiglio dell'UE, Parlamento europeo, Commissione europea per armonizzare i testi legislativi e raggiungere accordo finale.
Consiglio dell’Unione europea — Regulation to prevent and combat child sexual abuse (general approach), documento 15318/25 LIMITE, 13 novembre 2025. https://data.consilium.europa.eu/doc/document/ST-1... (consultato 27 novembre 2025).
