Il teatro della conformità
Digital Services Act · Due anni in vigore · 2024–2026
Digital services Act: Come l’Europa ha costruito la macchina della responsabilità delle piattaforme senza mai toccare ciò che produce il danno. Le piattaforme hanno ottimizzato la procedura. L’algoritmo è rimasto intatto.
Berlino, febbraio 2026. Democracy Reporting International porta X Corporation davanti a un tribunale tedesco. Vuole quello che il Digital Services Act promette sulla carta: l’accesso ai dati delle elezioni, il diritto sancito dall’Articolo 40 di guardare dentro le macchine algoritmiche delle grandi piattaforme. Il giudice stabilisce che quel diritto esiste, che è direttamente azionabile, che nessuna azienda può restringerlo arbitrariamente. Una prima volta assoluta nella storia del diritto digitale.
Fuori, su X, l’algoritmo raccomanda contenuti con cinque volte il potere di trattenimento dell’attenzione rispetto a quelli accurati. Oggi, come il giorno della sentenza, come il giorno in cui è stata depositata la norma.
Due anni del Digital Services Act in piena vigore hanno prodotto qualcosa di preciso: un sistema di controllo che funziona in modo sofisticato su tutto ciò che è misurabile attraverso una procedura, senza riuscire a modificare nulla che dipenda dalla logica economica con cui le piattaforme decidono cosa amplificare.
Digital services act – L’architettura del paradosso
Il Digital Services Act impone alle Very Large Online Platforms — le piattaforme con più di 45 milioni di utenti attivi mensili nell’UE — valutazioni del rischio annuali, verifiche indipendenti obbligatorie, archivi pubblicitari accessibili e meccanismi di ricorso per gli utenti. Il parametro elaborato da KPMG nel 2025 registra un incremento dei giudizi positivi sull’adeguamento normativo dal 72 all’79%. Solo Stripchat, la piattaforma meno potente del gruppo, ha ricevuto un giudizio pienamente positivo, senza riserve. Le restanti diciannove hanno ottenuto pareri negativi o condizionati.
Il progetto SIMODS ha rilevato nel 2025, su base sistematica, che circa il 20% dei contenuti su TikTok risulta disinformazione, con il 34% classificato come “problematico” in senso più ampio. Su X i contenuti problematici arrivano al 32%, con un indice di trattenimento dell’attenzione cinque volte superiore rispetto ai contenuti accurati. Su Facebook, sette volte. Su YouTube, otto. Il 79% di giudizi positivi sulle verifiche di conformità e il 34% di contenuti problematici su TikTok abitano lo stesso universo legale senza mai incontrarsi, perché descrivono due sistemi che operano in parallelo sulla stessa infrastruttura.
Quando una misura diventa un obiettivo, cessa di essere una buona misura — Charles Goodhart, 1975
L’algoritmo di trattenimento dell’attenzione non premia la falsità delle informazioni: premia la loro intensità emotiva. I contenuti disinformativi generano attenzione prolungata perché attivano risposte affettive primarie — paura, indignazione, appartenenza tribale — con un’efficienza che i contenuti accurati raramente eguagliano. Finché il vantaggio in termini di attenzione che i contenuti ad alta intensità emotiva producono non viene modificato a livello di struttura del sistema di raccomandazione, l’effetto netto di qualsiasi intervento di moderazione rimane marginale rispetto al flusso complessivo.
Digital services act: il teatro della compliance
Le piattaforme non sono entità omogenee. Apple e Microsoft hanno strutture azionarie disperse: l’adeguamento al DSA viene trattato come una voce di rischio legale e reputazionale, un costo quantificabile da incorporare nei modelli finanziari. Meta e Alphabet hanno strutture a doppia classe di azioni: Mark Zuckerberg detiene il 61% dei diritti di voto con una quota di proprietà economica molto inferiore; Larry Page e Sergey Brin mantengono una struttura analoga in Alphabet. Una singola persona può imprimere alle decisioni algoritmiche di una piattaforma da tre miliardi di utenti una visione che nessun meccanismo assembleare può correggere. Il DSA è scritto come se queste architetture di potere fossero irrilevanti. I dati mostrano che non lo sono.
X è il caso terminale di questa logica. Un proprietario unico con ruolo esecutivo, volatilità delle politiche interne elevata a strumento politico dichiarato. Quando la Commissione europea ha emesso la multa da 120 milioni di euro il 5 dicembre 2025, X ha risposto chiudendo l’account pubblicitario della Commissione stessa — lo stesso giorno in cui l’amministrazione americana pubblicava la propria Strategia di Sicurezza Nazionale accusando l’UE di censura digitale. Tre risposte sincronizzate a un unico atto regolatorio.
Grok senza regole
Il 29 dicembre 2025, xAI aggiorna Grok con una funzionalità di modifica delle immagini. Nell’arco di quarantotto ore era già chiaro cosa stava accadendo: gli utenti avevano scoperto che il sistema eseguiva richieste di rimuovere i vestiti dalle persone nelle fotografie. I ricercatori di AI Forensics hanno stimato che tra il 5 e il 6 gennaio 2026 siano state generate almeno 6.700 immagini sessuali attraverso lo strumento. Il Centre for Countering Digital Hate ha calcolato un totale vicino ai tre milioni di immagini su un arco temporale leggermente più lungo. Alcune raffiguravano minori. La procura di Parigi ha aperto un’indagine penale.
Grok non appariva in nessuna delle valutazioni del rischio che X aveva l’obbligo normativo di pubblicare. Il portavoce della Commissione Thomas Regnier in conferenza stampa: “C’è una sola verità: Grok non è da nessuna parte in questi rapporti. Significa che X non ha valutato il rischio che Grok pone ai nostri cittadini. Questo è già un problema fondamentale.” I documenti erano in ordine, le procedure eseguite, la conformità certificata. Un sistema capace di generare materiale di abuso sessuale su minori era stato implementato senza che nessuna riga del processo obbligatorio lo avesse nominato.
Digital services act: Il diritto di vedere e i suoi limiti
Nella prima metà del 2025, gli organismi di risoluzione extragiudiziale delle controversie hanno esaminato oltre 1.800 dispute riguardanti Facebook, Instagram e TikTok: nel 52% dei casi chiusi, le decisioni delle piattaforme sono state rovesciate. I meccanismi interni di gestione dei reclami hanno ricevuto oltre 165 milioni di appelli dal 2024, con un tasso di inversione vicino al 30% — tre decisioni di moderazione su dieci rovesciate quando l’utente le impugna. AliExpress ha assunto impegni vincolanti con supervisore indipendente. La sentenza di Berlino ha stabilito che l’opacità algoritmica produce un danno soggettivo azionabile: non sapere come funziona un sistema che influenza miliardi di decisioni non è una questione di riservatezza aziendale.
Il problema è che il diritto di vedere dipende dalla qualità di ciò che viene reso visibile. I ricercatori dell’Oxford Internet Institute hanno documentato il fenomeno delle “metriche mancanti”: le relazioni di trasparenza aggregano i dati in modo da rendere impossibile l’analisi granulare dei fenomeni che contano. In assenza di indicatori come la precisione — la percentuale di contenuti rimossi che erano effettivamente in violazione — e il richiamo — la percentuale di contenuti in violazione che il sistema riesce a rilevare — è strutturalmente impossibile valutare se i sistemi di sicurezza funzionino. A questo si aggiunge un conflitto di interessi strutturale: le principali società di consulenza che producono le verifiche annuali obbligatorie sono spesso anche consulenti strategici delle stesse piattaforme che verificano.
Non sapere come funziona un sistema che influenza miliardi di decisioni non è riservatezza aziendale. È una lesione di un diritto tutelabile.
La mappa delle protezioni a due velocità
Il DSA distribuisce gli obblighi di supervisione tra la Commissione europea e i Coordinatori nazionali dei Servizi Digitali di ogni Stato membro. È un sistema federale costruito sull’assunzione implicita che gli Stati abbiano capacità comparabili. Malta — lo Stato membro più piccolo — affronta gli stessi obblighi della Germania con una frazione delle risorse umane e finanziarie disponibili. Il risultato non è un’anomalia: è una conseguenza logica dell’architettura normativa. I cittadini residenti in Stati con autorità sottofinanziate godono di protezioni effettive significativamente minori rispetto a quelli dei paesi con Coordinatori robusti.
L’European Disability Forum ha documentato un fallimento di perimetro parallelo. In diversi articoli della norma l’accessibilità digitale è trattata come principio orientativo piuttosto che come requisito vincolante. La norma non copre l’infrastruttura digitale critica — servizi di ospitalità web, registri dei nomi a dominio — fondamentale per la partecipazione lavorativa e civica delle persone con disabilità. Milioni di cittadini europei con disabilità rimangono fuori dai meccanismi di protezione previsti dalla norma per una scelta di perimetro che nessuna revisione ha ancora corretto.
La guerra che si combatte altrove
Il 5 dicembre 2025, la Commissione europea ha emesso la prima sanzione storica sotto il DSA: 120 milioni di euro a X per il design ingannevole delle spunte blu a pagamento, l’archivio pubblicitario incompleto e il blocco dell’accesso ai dati per i ricercatori. Lo stesso giorno, l’amministrazione Trump pubblicava la propria Strategia di Sicurezza Nazionale accusando l’UE di censurare la libertà di espressione. Il 24 dicembre, il Dipartimento di Stato americano ha imposto il divieto d’ingresso negli Stati Uniti a cinque europei, tra cui Thierry Breton e i vertici di organizzazioni che monitorano l’odio digitale e la disinformazione, definiti “attivisti radicali” che avevano guidato sforzi per “punire le visioni americane”.
Il 24 novembre precedente, la Commissione aveva presentato il pacchetto Omnibus digitale — una proposta di “semplificazione” del corpus normativo digitale europeo. Il Segretario al Commercio Howard Lutnick l’ha respinta immediatamente, collegando la riduzione del 50% dei dazi su alluminio e acciaio europei all’indebolimento esplicito del Digital Markets Act e del Digital Services Act. ChatGPT conta 120 milioni di utenti attivi mensili nell’UE — quasi tre volte la soglia che attiva gli obblighi più stringenti — e la sua classificazione giuridica è ancora in attesa. La stessa Commissione che in dicembre infligge a X una sanzione storica, in novembre propone di ammorbidire le norme su cui quella sanzione è fondata, sotto la pressione di dazi commerciali esplicitamente condizionati alla deregolazione digitale.
Post scriptum · 2027
La revisione del DSA è prevista per il 2027. Quattro fratture strutturali sono già identificabili. Le metriche di trasparenza aggregano i dati in modo da rendere invisibili i fenomeni che contano: imporre la fornitura di indicatori su precisione e richiamo della moderazione permetterebbe di separare le piattaforme che moderano in modo efficace da quelle che producono errori sistematici in proporzioni oggi opache. L’applicazione a geometria variabile richiede protocolli comuni e risorse centralizzate per le autorità delle regioni periferiche. L’accessibilità digitale deve diventare un obbligo vincolante, non un principio orientativo. I piani di riduzione dei rischi sistemici devono incorporare esplicitamente i rischi derivanti dai contenuti sintetici — il caso Grok ha dimostrato che è possibile implementare un sistema capace di produrre materiale illegale senza che nessuna riga del processo obbligatorio di valutazione lo abbia nominato.
Se chi condurrà la revisione affronterà queste linee di faglia o le aggirerà in un processo di semplificazione determinato da pressioni esterne è la domanda che il sistema non può ancora rispondere.
- Commissione europea — Prima sanzione DSA: decisione su X Corporation, dicembre 2025
- AI Forensics — Report Grok Image Generator: analisi delle immagini generate, gennaio 2026
- Oxford Internet Institute — Missing Metrics: trasparenza e lacune nelle relazioni delle VLOP, 2025
- Democracy Reporting International — Comunicato sentenza Berlino (Articolo 40 DSA), febbraio 2026
- EDRi — Lettera aperta sull’Omnibus digitale: 127 organizzazioni contro il pacchetto di semplificazione, 2025
