Internet più sicura, stretta Ue sulle imprese digitali. Ma non sarà facile applicare le regole

Da sabato 17 febbraio è entrato in funzione il Digital Services Act (DSA), il pacchetto di nuove norme europee sui servizi digitali ai quali, dopo le grandi piattaforme web, si devono ora obbligatoriamente adeguare anche tutte le aziende che operano nel settore digitale, dai fornitori di cloud e di hosting, ai motori di ricerca, dagli e-commerce ai servizi online e, in generale, tutti gli intermediari di servizi che operano su piattaforma.

Il DSA impone in sostanza una maggiore trasparenza sull’uso di algoritmi e sulla pubblicità (in particolare quella che viene mostrata tramite la profilazione dei dati sensibili a fini marketing e per le campagne), avendo tra gli obiettivi anche quello di contrastare la disinformazione e la violenza on line, di tutelare con più rigore le informazioni private degli utenti come opinioni politiche, orientamento sessuale o origine etnica, di proteggere i minori in rete e di arginare i cosiddetti dark patterns, ovvero i sistemi nascosti di manipolazione delle scelte su internet.

Le normative hanno finora riguardato 22 multinazionali che hanno dovuto recepire il regolamento Ue già nel 2023 e che ogni mese forniscono servizi ad almeno il 10% della popolazione dell’Unione europea, vale a dire 45 milioni di persone. Si tratta dei principali e più noti motori di ricerca, Bing e Google Search, dei giganti del web come i social media (tutta la galassia Meta di Zuckerberg – Facebook e Instagram – l’ex Twitter X, TikTok, Snapchat, LinkedIn, Pinterest), delle più cliccate piattaforme di commercio elettronico (Alibaba, AliExpress, Amazon, Apple AppStore, Zalando), dei servizi Google (Google Play, Google Maps e Google Shopping) e di altre piattaforme di larghissima diffusione come Booking.com, Wikipedia e YouTube. Dallo scorso Natale anche i siti di intrattenimento per adulti come Pornhub, Xvideos e Stripchat non sfuggono più alle maglie normative di Bruxelles.

Dopo Golia adesso è il turno di Davide: le aziende online che erogano servizi digitali (sotto forma di marketplace, social network, siti di contenuti in condivisione, app store e piattaforme web di turismo e ospitalità) devono adempiere agli obblighi previsti dal DSA. Tutte le piattaforme si dovranno inoltre dotare di organismi che motivino la rimozione di contenuti, o lo shadow banning (il blocco della visibilità di un utente o la restrizione dei suoi contenuti all’interno di una community), gestendo eventuali ricorsi. Per chi viola le direttive sono previste multe fino al 6% del fatturato globale o il blocco temporaneo dell’attività.

Le nuove regole europee sono da poco legge per tutti e già si apre la prima, grande incognita: chi dovrà controllare che il DSA venga rispettato?  A vigilare sono gli organismi indipendenti nazionali preposti allo scopo, l’Italia ha affidato il ruolo all’AgCom, che dal 17 febbraio hanno iniziato ad operare anche per le piattaforme e i motori di ricerca con meno di 45 milioni di utenti attivi mensili. Dublino ha nominato il corrispettivo irlandese, lo stesso hanno fatto Romania e Portogallo, mentre i Paesi bassi hanno affidato la pratica al Garante del mercato e dei consumatori come ha fatto il Lussemburgo. Peccato che al momento molti controllori di altri paesi non abbiano ancora risposto “presente”: mancano all’appello Belgio, Lettonia, Estonia, Lituania, Slovenia, Slovacchia, Malta, Grecia fino ai big Francia, Germania e Polonia. Si tratta di undici paesi su 27, un biglietto da visita certo non entusiasmante per un pacchetto che per le cosiddette “big tech” è in vigore già da un anno. Inoltre, assieme alle autorità di controllo mancano anche le figure dei “segnalatori affidabili” (trusted flaggers), centrali per l’applicazione del DSA poiché, siano essi individui o enti, vantano esperienza comprovata nel contrastare l’odio online, la violenza in rete e la diffusione di truffe e disinformazione. Possono essere incaricati enti di ricerca, fact checkers, sindacati, università e associazioni per i diritti digitali, la cui nomina spetta alle autorità del singolo Paese membro. Allo stato attuale, nemmeno chi ha già un’autorità dedicata è detto che abbia individuato i suoi segnalatori; in Italia, ad esempio, Agcom ha avviato il 14 febbraio le consultazioni pubbliche per scrivere un regolamento: dureranno 30 giorni al termine dei quali raccoglierà gli spunti per stabilire la procedura con cui identificare i trusted flaggers ai quali, questa l’ipotesi, riconoscerà l’incarico per tre anni.

Infine, il DSA finisce inevitabilmente per sovrapporsi alla tecnologia da tempo ormai al centro del dibattito pubblico e politico: l’intelligenza artificiale. Sul regolamento europeo dedicato, l’AI Act, ci sarà il voto finale di Bruxelles ad aprile, quando il Digital services act già dovrebbe incidere sugli strumenti di generazione automatica dei contenuti ed entrerà in azione in due casi: se l’AI è “embedded” in motori di ricerca o altre piattaforme (come Gemini di Google o Copilot di Bing) la piattaforma deve adeguarsi al DSA. Il secondo caso, invece, riguarda quei sistemi autonomi che non ricadono nel regolamento ma che dovranno finirci se riconosciuti come parte di un motore di ricerca o di una piattaforma. Potrebbe essere questo il caso della famigerata ChatGPT, ipotesi che costringerebbe OpenAI (e il suo vulcanico patron Elon Musk) a doversi misurare con le regole europee ben prima dell’AI Act.