Sommario: 1. Il perimetro dell’indagine – 2. La dimensione digitale della violenza (anche di genere) – 3. La vigilanza algoritmica in Rete e la rimozione dei contenuti illeciti prima del Digital Service Act – 4. Il Digital Service Act: uno sguardo di insieme – 5. Il meccanismo di notice and action – 6. Rimozione dei contenuti e disabilitazione degli account – 7. L’obbligo di motivazione – 8. Gli ordini di rimozione dell’autorità giudiziaria – 9. La due diligence tra contraddittorio e trasparenza – 10. Osservazioni conclusive.
ABSTRACT
Il saggio esamina l’impatto del Digital Services Act (DSA) sul sistema digitale europeo, con particolare attenzione alle nuove tutele previste per le vittime di violenza di genere online. Attraverso l’analisi normativa, lo studio evidenzia come il DSA introduca obblighi rafforzati per le piattaforme digitali in materia di moderazione dei contenuti illegali, trasparenza algoritmica e meccanismi di segnalazione rapida. Inoltre, viene analizzato il nuovo quadro regolatorio nell’ottica di promuovere un maggiore equilibrio tra libertà di espressione e tutela della dignità, soffermandosi sulle criticità ancora aperte riguardanti l’effettiva applicabilità delle misure.
This essay examines the impact of the Digital Services Act (DSA) on the European digital system, with a particular focus on the new protections provided for victims of online gender-based violence. Through a regulatory analysis, the study highlights how the DSA introduces strengthened obligations for digital platforms regarding the moderation of illegal content, algorithmic transparency, and rapid reporting mechanisms. Furthermore, the new regulatory framework is analyzed with a view to promoting a greater balance between freedom of expression and the protection of dignity, focusing on the remaining critical issues regarding the effective applicability of the measures.
Da tempo, ormai, l’Unione europea ha sviluppato una importante attenzione e sensibilità per le istanze della vittima di reato, codificando, negli anni, un corpus normativo[1] che può essere considerato come vero e proprio «statuto europeo»[2] per le vittime, finalizzato a garantire una protezione a largo spettro[3], tanto in chiave preventiva, quanto repressiva[4].
Destinataria preferenziale di questa strategia integrata di tutela è la vittima vulnerabile[5] o particolarmente debole, spesso qualificata come «supervittima»[6], giustappunto per rimarcare la posizione nodale dalla stessa ricoperta nel diritto dell’Unione.
In tale contesto, la persona offesa è stata considerata come un soggetto fragile, connotato da una duplice dimensione di vulnerabilità[7]:
- in senso soggettivo-relazionale nei casi in cui la debolezza della vittima è connessa a particolari condizioni bio-fisiologiche di cui la stessa è portatrice (quali, per esempio, l’età, il genere, l’orientamento sessuale, la disabilità);
- in senso oggettivo-situazionale, nei casi in cui l’illecito penale, le relative modalità di realizzazione e le finalità criminose perseguite determinano una specifica condizione di debolezza (ad esempio, nei casi di terrorismo, criminalità organizzata, circolazione stradale, tortura, infortuni sul lavoro).
A tali due dimensioni se ne può aggiungere, oggi, una terza, che si cristallizza nella c.d. vulnerabilità generalizzata-digitale.
Ed è proprio nel contesto dei crimini digitali che la violenza che qui interessa, ovvero quella di genere, ha ampliato progressivamente il proprio ambito di manifestazione, assumendo forme nuove di prevaricazione, strettamente connesse alle dinamiche comunicative della Rete[8].
L’ambiente online, come si vedrà nel prosieguo, per le sue caratteristiche di anomia, anonimato e rapidità di diffusione, costituisce un contesto favorevole all’amplificazione e reiterazione di condotte lesive[9] (revenge porn, cyberstalking, doxing, sextortion, hate speech[10]) che pongono la vittima della cyber-violenza in una condizione di spiccata fragilità.
In questo scenario, il Regolamento (UE) 2022/2065, noto come Digital Services Act (DSA), rappresenta una chiave di svolta nella costruzione di una governance europea dei contenuti digitali. Esso mira ad instaurare un equilibrio tra libertà d’espressione, tutela dei diritti fondamentali e responsabilità sociale delle piattaforme, introducendo una serie articolata di obblighi di diligenza (due diligence obligations) per gli intermediari digitali, fondati sul principio di proporzionalità e di graduazione in base alla dimensione e all’impatto del servizio[11].
Diversamente detto, il DSA rappresenta un primo tentativo di istituzionalizzare la responsabilità sociale digitale, vincolando le piattaforme a un dovere di prevenzione e cooperazione nella gestione dei rischi connessi alla violenza online.
È quantomai attuale il rischio che la Rete divenga, con sempre maggior frequenza, il principale veicolo per la violenza, essendo un enorme volano di produzione e consumo di contenuti nell’ambiente cyber[12].
Ed infatti, i crimini digitali hanno da un lato ampliato le modalità di commissione di specifiche fattispecie delittuose (tra cui stalking online, molestie online, istigazione alla violenza o all’odio online); sotto altro profilo, hanno determinato l’introduzione di nuovi illeciti penali (si pensi alla condivisione non consensuale di materiale intimo o manipolato)[13]. Il contesto del cyberspazio, a ben osservare, crea una situazione di più intensa vulnerabilità, poiché risulta contraddistinto da una maggiore facilità di accesso da parte dell’autore di reato al mondo digitale della vittima, la quale si trova al cospetto di una oggettiva difficoltà, alle volte impotenza, ad arginare le condotte illecite che può subire[14].
Nel contempo, i crimini digitali vivono una sorta di “contiguità” fra lo spazio digitale e quello reale al punto che forme di violenza iniziate nel luogo fisico, possono proseguire in quello mediato dalla Rete e viceversa, con una evidente intensificazione dell’offensività del crimine[15]. Più precisamente, le vittime della violenza online possono esibire, sul piano personologico, una vulnerabilità rafforzata che amplifica in modo significativo l’offensività dell’illecito[16]. Ed infatti, la distanza fisica esistente tra gli autori di reato e le rispettive vittime può favorire una “spersonalizzazione” di queste ultime agli occhi dei primi, agevolando, altresì, l’anonimato di cui beneficiano spesso i cyber delinquenti (frequentemente celati dietro nickname). A ciò si aggiunge la difficoltà tecnica che spesso si incontra nel rimuovere i contenuti attraverso i quali si manifesta la violenza online che, una volta pubblicati in Rete, potrebbero essere già stati duplicati e ripubblicati da alti utenti, rimanendo dunque accessibili, anche per tempi molto lunghi.
Circostanze che amplificano il senso di insicurezza ed impotenza delle vittime della violenza digitale[17]. Quest’ultima, a ben vedere, è diventata un fenomeno criminoso complesso, in continua espansione, rispetto alla quale deve essere fornita una risposta stratificata, ripetutamente soggetta a rinnovamento, che passa attraverso la convergenza sinergica di strumenti preventivo-repressivi di differente natura[18].
Sotto questa prospettiva, viene in rilievo anche la violenza digitale di genere[19] – intesa come declinazione della violenza digitale[20] – che diviene una trasposizione tecnologica delle forme tradizionali di violenza, fondata sul potere informazionale e sulla logica algoritmica delle piattaforme. Detta forma di violenza si inserisce in un contesto di asimmetrie strutturali tra utenti e piattaforme, dove la visibilità dei contenuti e la loro persistenza nel tempo contribuiscono a una seconda vittimizzazione, talvolta più incisiva di quella derivante dal contatto fisico.
- La vigilanza algoritmica in Rete e la rimozione dei contenuti illeciti prima del Digital Service Act.
Prima di analizzare in che modo il DSA abbia inciso sul contrasto alla violenza di genere perpetrata nelle piattaforme digitali, appare utile approfondire il concetto di “vigilanza algoritmica” nella Rete.
A ben vedere, con lo sviluppo di Internet, sono emerse diverse fonti di debolezza, note come i “tre punti di vulnerabilità di Internet”: anonimato, convenienza e accessibilità[21]. Nel contempo, sono state individuate altre vulnerabilità, come: i) l’approssimazione al mondo reale; ii) una maggiore accettabilità online di attività inaccettabili nel mondo reale; iii) l’ambiguità tra morale e crimine; iv) una distanziazione tra il sé reale e il sé online[22].
A tali oggettive criticità si deve, poi, aggiungere la caratteristica strutturale della Rete[23] che ha una natura essenzialmente non gerarchica e, di conseguenza, seppure l’hosting e la ricerca di servizi sono mediati da agenzie di servizi Internet (commerciali e governative), il contenuto di commenti, post, immagini, etc., dipende principalmente dall’attività degli utenti. Nel contempo, le caratteristiche delle piattaforme social creano un ambiente dinamicamente complesso e promiscuo nel quale l’elevata condivisione di informazioni (anche private e riservate) aumenta il rischio di danni a potenziali soggetti vulnerabili[24].
In questa prospettiva è stata sperimentata la c.d. vigilanza algoritmica[25] che consente, anche attraverso strumenti di Intelligenza Artificiale, la moderazione (parzialmente) automatizzata e la regolamentazione dei contenuti sulle piattaforme di social media, al fine di verificare la conformità con la legge[26]. Più nel dettaglio, prima dell’introduzione del DSA, sono state le piattaforme a sviluppare, testare e mettere in funzione un numero crescente di sistemi automatizzati finalizzati ad identificare e segnalare i contenuti illeciti[27], al fine di armonizzarsi al quadro normativo delineato dalla Direttiva 2000/31/CE sul commercio elettronico. In realtà, tale Direttiva si fondava su un approccio essenzialmente liberista e tecnologicamente neutro, improntato al principio di non responsabilità dell’intermediario per i contenuti generati dagli utenti, salvo nei casi in cui quest’ultimo avesse un ruolo attivo nella loro diffusione[28].
Nell’analizzare sotto il profilo tecnico in cosa consiste la suddetta vigilanza, si può rilevare come essa, nell’utilizzare gli algoritmi come strumenti di controllo, si estrinseca in un sistema più ampio rispetto ai classici sistemi di sorveglianza, basandosi su un controllo che coinvolgeplurimidati, quali il tracciamento, l’analisi dei metadati, le parole chiave[29]. L’automazione, specialmente attraverso le tecnologie di Machine Learning[30], ha contribuito all’estensione della sorveglianza e, in tale scenario, gli algoritmi vanno considerati come parte dei sistemi decisionali automatizzati, che combinano persone e codici computazionali in dinamiche complesse[31]. Infatti, attraverso la vigilanza algoritmica, le piattaforme riescono a monitorare le attività degli utenti e a modulare i contenuti in base alle loro preferenze[32].
Nel contempo, gli algoritmi non forniscono barriere rigide che impediscono agli individui di parlare liberamente, ma aiutano a determinare se una comunicazione è consentita o soppressa[33].
Tuttavia, questo meccanismo, comunemente definito di notice and takedown, comporta un regime di responsabilità passiva e reattiva che è rimessa all’iniziativa del soggetto leso o dell’autorità competente, senza imporre alle piattaforme alcun obbligo di monitoraggio o prevenzione generalizzato[34].
Ed infatti, l’assenza di un adeguato quadro normativo ha più volte spinto la Corte di Giustizia UE ad intervenire sulla complessa questione della rimozione dei contenuti dai servizi di hosting; segnando così il passaggio da una responsabilità meramente reattiva a una forma embrionale di responsabilità proattiva, ancorché limitata ai casi di ordine giudiziale o amministrativo. I giudici di Lussemburgo hanno, così, precisato che, in base alla direttiva 2000/31/CE, l’autorità giudiziaria o amministrativa può richiedere la rimozione seriale di contenuti ad un servizio di hosting qualora essi siano identici o equivalenti ad un contenuto ritenuto illecito dalle stesse autorità[35]. Sotto altro profilo, si è anche affermato che il prestatore di servizi di hosting può perdere il beneficio dell’esenzione di responsabilità se svolge un ruolo attivo tale da conferirgli conoscenza o controllo dei dati memorizzati[36] e i giudici nazionali possono ordinare alle piattaforme la rimozione non solo dei contenuti specificamente segnalati come illeciti, ma anche di quelli equivalenti o identici[37].
Si può quindi ritenere che la vigilanza algoritmica e i plurimi interventi della Corte di Giustizia UE abbiano fatto emergere la necessità di costruire una architettura normativa comune, in grado di conciliare libertà di comunicazione, sicurezza digitale e responsabilità sociale delle piattaforme,tracciando così il perimetro del Digital Service Act.
- Il Digital Service Act: uno sguardo di insieme.
Il nuovo Regolamento (UE) 2022/2065 (Digital Services Act, DSA)[38], relativo al mercato unico dei servizi digitali, segna il passaggio da un sistema di responsabilità essenzialmente passivo e frammentato, ereditato dalla direttiva e-Commerce, a un modello di responsabilità procedurale e relazionale, incentrato su obblighi di diligenza che impongono alle piattaforme di mettere in atto misure per contrastare la diffusione di beni, servizi o contenuti illegali online. Nel contempo, esso riconosce che un comportamento responsabile e diligente da parte dei prestatori di servizi intermediari è essenziale per un ambiente online sicuro, prevedibile e affidabile[39].
Il Regolamento si configura, dunque, come un vero e proprio codice di procedura amministrativa delle piattaforme, poiché istituisce un corpus di regole formali e sostanziali di comportamento per gli intermediari online, con l’obiettivo di procedimentalizzare la libertà d’impresa digitale e di riequilibrarla con i diritti fondamentali degli utenti.
Diversamente detto, il Regolamento mira a creare un ambiente digitale più sicuro e trasparente[40], proteggendo i diritti fondamentali degli utenti (in particolare la libertà di espressione e di informazione, la libertà di impresa, il diritto alla non discriminazione), con il fine di conseguire un elevato livello di protezione dei consumatori.
Più nel dettaglio, esso prevede specifici obblighi di diligenza in capo alle piattaforme per contrastare i contenuti illegali, la disinformazione online e altri rischi per la società[41], al fine di promuovere una nuova cultura della prevenzione. Il Capo III del regolamento, infatti, disciplina una serie di due diligence obligations relative anche alle attività di private enforcement, con un sistema di obblighi strutturato secondo vari livelli di intensità[42].
In linea generale, cinque istituti appaiono centrali per la protezione contro la violenza di genere in Rete:
- il meccanismo di segnalazione e azione (notice and action);
- le misure di rimozione dei contenuti e disabilitazione degli account;
- l’obbligo di motivazione;
- gli ordini di rimozione dell’autorità giudiziaria;
- il contraddittorio.
Nel tracciare il perimetro dei principali obblighi di due diligence che ricadono sui fornitori di servizi, si rileva come le piattaforme sono, ora, obbligate ad introdurre specifiche procedure di dettaglio sul piano della moderazione dei contenuti e dei reclami; a vietare la pubblicità mirata ai minori; ad introdurre specifici obblighi finalizzati a proteggere la privacy e la sicurezza degli utenti minori di età, nonché il loro benessere mentale e fisico; ad introdurre obblighi di tracciabilità per i fornitori di mercati online, al fine di contrastare la diffusione di merci illegali[43].
Inoltre, i prestatori di servizi intermediari devono individuare, identificare e contrastare – con attività automatizzate o meno – contenuti illegali e informazioni incompatibili con le condizioni generali, forniti dai destinatari del servizio, comprese le misure adottate che incidono sulla disponibilità, sulla visibilità e sull’accessibilità di tali contenuti illegali o informazioni; prevedere misure a presidio delle suddette condotte; introdurre un sistema sanzionatorio che consenta la rimozione o la disabilitazione dell’accesso ai contenuti illegali, ovvero la cessazione o la sospensione dell’account di un destinatario del servizio[44].
- Il meccanismo di notice and action.
Delineato il piano dell’indagine, diviene necessario soffermarsi sull’elemento fondamentale del DSA, ovvero il rafforzamento della responsabilità delle piattaforme digitali che sono onerate dall’obbligo di introdurre misure proattive per prevenire la diffusione di contenuti illegali[45].
Nel partire dall’analisi del tessuto normativo, viene in rilievo in primis l’art. 14 del Regolamento che mira a potenziare termini e condizioni di servizio[46], imponendo agli operatori di includere nelle condizioni generali[47], ogni informazione su tutte le politiche, le procedure e gli strumenti utilizzati per moderare i contenuti immessi in Rete dagli utenti, fornendo altresì informazioni specifiche sul processo decisionale algoritmico e la successiva verifica umana[48]. Nel contempo, l’art. 16 introduce l’obbligo, in capo ai prestatori di servizi, di memorizzazione e predisposizione di meccanismi di facile accesso e uso per consentire a qualsiasi persona o ente di notificare la presenza di contenuti illegali[49], con la possibilità di presentare segnalazioni esclusivamente per via elettronica[50].
Una simile impostazione induce a ritenere come gli artt. 14 e 16 delineino un primo obbligo di due diligence, finalizzato a introdurre un modello più articolato di cooperazione procedimentale, sostituendosi al tradizionale paradigma del notice and takedown. Nel contempo, nell’ottica del contrasto alla violenza di genere online, il meccanismo di notice and action rappresenta uno strumento chiave per assicurare una rimozione tempestiva dei contenuti lesivi.
Da un punto di vista procedurale, la segnalazione (notice) deve contenere elementi minimi (descrizione, localizzazione, motivi dell’illiceità, dati del segnalante) e, una volta ricevuta, la piattaforma è obbligata ad agire con tempestività e obiettività, motivando le decisioni e informando sia il segnalante sia l’utente interessato.
Sotto il profilo dell’action, si prevede anche l’introduzione di veri e propri meccanismi interni finalizzati a gestite efficacemente i reclami degli utenti, nel rispetto di standard elevati di trasparenza ed imparzialità nella gestione delle segnalazioni, bilanciando la libertà di espressione con la protezione dei diritti degli utenti e la lotta contro i contenuti illegali e dannosi.
I prestatori di servizio hanno, quindi, l’obbligo di prendere in carico le segnalazioni e di adottare tutte le necessarie decisioni in modo tempestivo, diligente, non arbitrario e obiettivo, fornendo, altresì, informazioni specifiche sull’eventuale uso di strumenti automatizzati per trattare e/o assumere gli opportuni provvedimenti.
Di tal ché, la norma in questione sembra delineare il perimetro di un diritto procedurale europeo del contenuto digitale[51], in quanto obbliga le piattaforme ad agire non solo ex post, ma anche secondo una logica di amministrazione preventiva della legalità[52].
Così ragionando si può ritenere che il Regolamento introduca una sorta di «livello basilare e minimo di diritti procedurali»[53] sia attraverso il meccanismo di notice and action,sia attraverso l’introduzione dell’obbligo di informare, sempre e senza indebito ritardo, il segnalatore del ricevimento della segnalazione e della decisione presa in merito, fornendo contestualmente ogni informazione circa i ricorsi disponibili per contestare il provvedimento del prestatore.
In altri termini, si disciplina una vera e propria autonomia regolatoria delle piattaforme, sottoposta a vincoli di motivazione, accountability e controllo pubblico.
Diversamente detto, il meccanismo de quo non è solo uno strumento tecnico, ma un obbligo di diligenza organizzativa, che riflette l’evoluzione del diritto digitale verso un modello di compliance by design[54].
Il problema sarà, però, capire il punto di equilibrio tra vigilanza algoritmica, moderazione semi-automatizzata dei contenuti e intervento (eventuale o obbligatorio) dell’uomo nelle decisioni di rimozione di dati digitali e/o disabilitazione degli account[55]. Interrogativo che nasce da uno scenario del tutto inedito che vede le piattaforme elevate a “giudici privati” della sicurezza digitale[56], all’interno di una politica di collaborazione tra big tech e autorità di controllo nella prevenzione degli illeciti[57].
Gli artt. 16 e 17 del Regolamento disciplinano, sempre sotto il profilo dell’action, gli interventi di rimozione dei contenuti illegali, da parte del prestatore di servizi, previo provvedimento motivato[58].
A rafforzare il sistema di tutele, si prevede anche che in caso di violazioni reiterate o gravi, il prestatore di servizi possa disabilitare, temporaneamente o in via permanente, l’account responsabile, motivando in ordine alla proporzionalità e garantendo – come si vedrà – il diritto di difesa dell’utente (art. 23).
Delineato il perimetro dell’analisi, occorre verificare in primis quale sia l’eventuale procedura da seguire per comminare una sanzione e, in secondo piano, in cosa consista l’obbligo di motivazione.
Da un punto di vista normativo, si rileva – senza indugi – che il DSA non fornisce regole di dettaglio circa il funzionamento specifico di tali procedure interne di reclamo e di sanzione; né si individuano specifiche indicazioni sui correlati diritti procedurali del destinatario della sanzione stessa.
A ben vedere, il Regolamento si limita a sancire l’obbligo delle piattaforme online di: a) gestire i reclami presentati tramite il loro sistema interno in modo in modo tempestivo, non discriminatorio, diligente e non arbitrario; b) ritirare la propria decisione ove il reclamo contenga «sufficienti motivi per indurre il fornitore a ritenere che la decisione presa sia infondata»; c) «comunicare senza indebito ritardo ai reclamanti la loro decisione motivata in merito al reclamo presentato, nonché i mezzi ulteriori di ricorso a loro disposizione»; d) prevedere che i ricorsi interni in questione vengano decisi con la supervisione di personale adeguatamente qualificato e non avvalendosi esclusivamente di strumenti automatizzati.
In altri termini, alle piattaforme, viene lasciata ampia libertà nel disciplinare le procedure dei sistemi interni di reclamo, con conseguente facoltà di formalizzare liberamente protocolli interni di gestione del meccanismo di notice and action[59]. E se da un lato ci si trova sicuramente al cospetto di decisioni capaci di incidere in modo significativo sui loro diritti fondamentali, in particolare sulla libertà di comunicazione e di espressione[60], sotto altro mancano indicazioni di maggiore dettaglio circa le garanzie procedurali minime a tutela di utenti che si trovino di fronte ad una sanzione[61].
Ma non solo. Nel volgere lo sguardo al versante squisitamente processuale, e con specifico riguardo al segmento investigativo di ricerca della prova, il Regolamento non disciplina le modalità di acquisizione da parte delle autorità giudiziarie (ovvero della vittima in caso di indagini difensive) dei contenuti illeciti rimossi, atteso che questi costituiscono – quantomeno in potenza – il corpo del reato.
Di qui, la necessità di costruire una cornice di regolazione finalizzata a disciplinare, in primis, le modalità di custodia dei contenuti illeciti rimossi e degli account disabilitati. In tale prospettiva, sarebbe sicuramente auspicabile l’introduzione di uno specifico divieto di cancellazione, da parte del gestore del servizio, di tali dati informatici, unito all’obbligo di conservazione dei suddetti dati per un predominato lasso temporale. In secondo piano, nei casi in cui il contenuto illegale è stato rimosso a seguito di una segnalazione, andrebbe anche normata la possibilità per l’autorità giudiziaria (e per le parti private) di acquisire ex post le suddette informazioni al fine di poterle utilizzare in un eventuale procedimento penale.
Diversamente detto, mancano i criteri generali di diritto cui ricorrere per assicurare la corretta conservazione dei dati originali; per impedirne la cancellazione o l’alterazione; per garantire l’eventuale ed immediata duplicazione su richiesta dall’autorità giudiziarie[62].
Quanto analizzato sinora ci conduce ad un ulteriore aspetto peculiare disciplinato dal DSA, ovvero la necessaria motivazione dei provvedimenti adottati dai gestori del servizio.
In tale ottica, va osservato come il sistema di tutele predisposte nel DSA si inserisce in una più ampia visione del ruolo del prestatore di servizi[63]. Più precisamente, poiché la sola repressione penale dei comportamenti online non è parsa sufficiente a garantire tutela effettiva alle vittime, il legislatore europeo ha ritenuto necessario un ripensamento della responsabilità delle piattaforme che diventano, oggi, attori regolatori e non meri intermediari tecnici[64].
In altri termini, la piattaforma agisce come soggetto para-amministrativo, tenuto a rispettare obblighi di imparzialità, trasparenza e motivazione analoghi a quelli propri dell’amministrazione pubblica.
Il principio sotteso è che l’attività di moderazione, poiché incide sui diritti fondamentali, deve essere regolata alla stregua di un procedimento amministrativo.
Nel contempo, ogni decisione di moderazione, rimozione del contenuto, sospensione o chiusura dell’account, deve essere motivata e comunicata all’interessato, con indicazione del contenuto e della base giuridica o contrattuale invocata; dell’eventuale uso di strumenti automatizzati; dei rimedi disponibili (interni o stragiudiziali). Ciò significa che, se da un lato il Regolamento ha elevato la rimozione dei contenuti a strumento di tutela sostanziale della persona, sotto altro profilo ne ha bilanciato l’utilizzo con garanzie procedurali di trasparenza e contraddittorio[65].
Occorre, a questo punto, comprendere in cosa consista la motivazione che i prestatori di hosting services devono fornire ai destinatari del servizio. A ben vedere, la norma prevede che sia chiarita la tipologia di sanzione irrogata, specificandone la portata territoriale e la durata; siano indicati i fatti e le circostanze su cui si basa la decisione di applicare la restrizione del servizio, precisando – solo «ove opportuno» – se la sanzione sia stata applicata all’esito di una segnalazione pervenuta tramite il meccanismo di notice and action di cui all’art. 16 DSA o in virtù di indagini volontarie intraprese di propriainiziativa dall’organizzazione. Ed ancora, il sanzionato deve essere informato della possibilità di presentare ricorso. In tal caso, va anche chiarita la base giuridica o la clausola contrattuale “interna” che si assume violata e i motivi per cui l’informazione o il contenuto vengono considerati in contrasto con tali previsioni.
L’obbligo di motivazione sembra, dunque, sottolineare la volontà del legislatore eurounitario di tutelare sia segnalanti, sia operatori digitali, al fine di assolvere a quel delicato compito di operare il complesso bilanciamento tra esigenze di protezione e diritti di difesa dell’utente che ha subito la restrizione imposta dalla piattaforma[66].
Alla luce di tale struttura normativa, la motivazione non si presenta all’interprete come un mero adempimento formale, quanto piuttosto come l’estrinsecazione della garanzia di legittimità sostanziale e di verificabilità della decisione[67]. Più precisamente, essa diviene un dovere di legalità “orizzontale”, per cui anche i soggetti privati che gestiscono spazi di comunicazione diventano garanti di diritti fondamentali[68]. Dunque, la portata dogmatica di tale obbligo estende dal settore pubblico al settore privato l’amministrazione della libertà di espressione.
In altri termini, l’obbligo di motivazione trasforma la decisione di moderazione da atto discrezionale a provvedimento motivato e controllabile e, in questo senso, esso diventa il criterio di distinzione tra autotutela privata e funzione pubblica digitale.
L’aspetto più significativo disciplinato nel DSA è la possibilità per le autorità competenti di emanare ordini vincolanti, rivolti ai prestatori di servizi di hosting per rimuovere il materiale illecito (art. 3, lettera g, punto iii).
In tale ottica, il Regolamento pare tracciare un punto di equilibrio tra l’autonomia privata delle piattaforme digitali e il potere pubblico di garantire la legalità nello spazio informativo europeo.
Equilibrio che si concretizza in un duplice meccanismo: da un lato, l’ordine di rimozione dei contenuti illegali emesso da un’autorità giudiziaria o amministrativa (art. 9 DSA); dall’altro, l’obbligo di motivazione delle decisioni autonome adottate (art. 17 DSA). Si tratta di due norme complementari, che realizzano una sorta di procedimentalizzazione multilivello del potere di incidere sulla comunicazione digitale: il primo strumento esprime il controllo pubblico sull’illiceità dei contenuti; il secondo traduce in regole di diritto privato il principio di legalità e di trasparenza tipico dell’azione amministrativa.
Ciò posto, l’ordine di rimozione si pone non già come una misura meramente coercitiva, ma come un atto amministrativo in senso sostanziale, soggetto ai principi generali del giusto procedimento, della motivazione e della proporzionalità[69].
Così ragionando, il meccanismo di cui all’art. 9 DSA va a realizzare una forma embrionale di cooperazione giudiziaria europea digitale[70], fondata su un riconoscimento automatico e al contempo temperato dal rispetto dei diritti fondamentali della persona interessata[71].
Nel rimanere focalizzati sul tessuto normativo, il Regolamento prevede che gli Stati membri designino le autorità competenti ad emettere ordini vincolanti di rimozione o disabilitazione dell’accesso a contenuti illegali, obbligando i prestatori di servizi a conformarsi senza indebito ritardo e a comunicare l’esecuzione dell’ordine[72]. Questi ultimi devono essere specifici e motivati, devono recare informazioni precise sull’autorità emanante, sulla base giuridica, sui mezzi di ricorso disponibili e devono essere riconosciuti ed eseguiti in tutti gli Stati membri, secondo il principio di mutuo riconoscimento digitale[73].
L’efficacia transfrontaliera di suddetti provvedimenti costituisce uno degli elementi più innovativi del DSA, in quanto consente di superare la tradizionale frammentazione giurisdizionale delle misure di takedown, spesso inefficaci quando il prestatore ha sede in un altro Stato membro o quando il contenuto è ospitato su server esteri.
Nel contempo, anche l’art. 9 (alla stregua dell’art. 17) impone che ogni ordine contenga una motivazione dettagliata delle ragioni per cui il contenuto è ritenuto illegale, indicando la norma di diritto applicata e la modalità con cui essa si rapporta alla fattispecie concreta[74]. Norma che, letta in combinato disposto con gli artt. 41 e 47 della Carta dei diritti fondamentali, rappresenta la positivizzazione del principio di trasparenza dell’autorità digitale, funzionale al controllo giurisdizionale e al sindacato di proporzionalità[75].
Alla luce di tali osservazioni, si è indotti a ritenere come gli artt. 9 e 17 costruiscono una catena di legalità progressiva: l’autorità pubblica esercita un potere di ordine che vincola ex lege e deve essere motivato in senso formale e sostanziale. Ugualmente, la piattaforma, soggetto privato delegato alla regolazione del discorso pubblico, esercita un potere di autotutela contrattuale che, per effetto del DSA, è vincolata dagli stessi requisiti di motivazione, proporzionalità e verificabilità.
Entrambi i meccanismi sono il segnale di un passaggio dal diritto sostanziale al diritto procedurale della comunicazione digitale[76].
Il combinato disposto degli artt. 9 e 17 sembra, dunque, garantire la tracciabilità della decisione di limitare il diritto di espressione e, in secondo luogo, la possibilità di controllo giurisdizionale, con il fine ultimo di prevenire arbitrii e discriminazioni sistemiche, soprattutto nei casi di violenza di genere, dove l’asimmetria informativa tra vittima e piattaforma è massima.
Il corredo di innovazioni introdotte dal Regolamento in esame si completa di uno specifico richiamo al dovere di bilanciare la rapidità dell’intervento delle piattaforme con le garanzie del contraddittorio, soprattutto nei casi di sospensione dell’account o rimozione di contenuti illegali.
Più nel dettaglio, la due diligence per le piattaforme online prevede l’obbligo di fornire ai propri utenti, sia segnalanti che segnalati, un sistema di reclamo. Ed infatti, gli obblighi di rimedio interno e trasparenza sono cristallizzati nell’art. 20 DSA che impone alle piattaforme la predisposizione di un sistema interno di gestione dei reclami che consenta agli utenti di impugnare le decisioni di moderazione[77]. La suddetta disciplina è strettamente collegata all’obbligo di motivazione di cui all’art. 17 DSA che, come già visto, richiede che la decisione di rimozione contenga lo statement of reasons che specifichi, tra le varie cose, anche i fatti, la norma e/o Clausola contrattuale invocata[78]. Nel contempo, il diritto di difendersi è presidiato da alcune garanzie procedurali quali il diritto di accesso al fascicolo e il diritto di essere ascoltati prima dell’adozione di sanzioni amministrative (artt. 52, 74 DSA).
A ben vedere, si introduce un livello minimo di garanzie a tutela degli utenti, consentendo loro di accedere agli atti e richiedere, già a livello interno, un ulteriore riesame della decisione.
Chiaramente, la piattaforma è chiamata a bilanciare l’esigenza di rapida rimozione dei contenuti illeciti con il diritto dell’autore del contenuto stesso ad essere informato e a replicare. Nel silenzio normativo, l’individuazione ed attuazione del punto di equilibrio tra le contrapposte esigenze pare essere interamente demandato all’implementazione di specifiche procedure interne attuate dalle piattaforme.
Completa il corredo di oneri gravanti sui prestatori di servizio l’art. 15 DSA che introduce un ulteriore obbligo di due diligence: il dovere di pubblicare, almeno una volta all’anno, «relazioni chiare e facilmente comprensibili sulle attività di moderazioni dei contenuti svolte durante il periodo di riferimento»[79]. Un vero e proprio report che elenca i numeri delle segnalazioni ricevute; le azioni di moderazione (ovvero le azioni intraprese dalla piattaforma, come la rimozione di contenuti o la disabilitazione di account); le politiche di sicurezza adottate.
Si tratta di una previsione che muove dalla prospettiva della disclosure anche relativamente al modo in cui sono applicate in concreto le regole autonormate dalle piattaforme sull’attività di moderazione dei contenuti.
Tuttavia, se da un alto gli organi di enforcement possono accedere ai report e, dunque, acquisire informazioni che hanno indubbiamente un peso significativo per valutare la due diligence delle piattaforme, sotto altro profilo a queste ultime viene lasciato un margine di libero apprezzamento, nella redazione dei report, estremamente ampio[80].
- Osservazioni conclusive.
La diffusione delle piattaforme online e, soprattutto, dei social network, ha prodotto una epocale trasformazione del sistema informativo, amplificando sia la disponibilità, sia la divulgazione di contenuti digitali. In un simile contesto, l’arena digitale viene sempre più frequentemente occupata dalle grandi piattaforme private che si pongono come i «nuovi governanti di questo tempo»[81].
Più ampiamente, la tutela dei diritti nei nuovi territori dello spazio virtuale ha generato una diversa allocazione dei poteri tra settore pubblico e settore privato, nella lotta alla c.d. sovranità digitale[82].
In tale scenario, la rapida espansione di internet oltre confini delimitati si è tradotta nell’adozione di piani regolatori di diversa ispirazione[83], con il fine – quantomeno in potenza – «di realizzare una disciplina globalizzante nell’interpretazione delle linee di politica legislativa, volta a reagire alla portata intrinsecamente extraterritoriale dei fenomeni in questione»[84].
Ed appare, ormai, innegabile come il legislatore contemporaneo debba necessariamente confrontarsi sui diritti digitali fondamentali per gli utenti, sugli obblighi per le piattaforme in termini di contestabilità, trasparenza ed equità verso tutti gli interlocutori nell’ecosistema digitale, sui sistemi pubblici di enforcement e di controllo efficaci, nell’ottica di un approccio co-regolatorio che sta progressivamente ponendo le basi di un diritto pubblico digitale europeo.
In questa direzione, il DSA è sicuramente riuscito a colmare una lacuna che caratterizzava lo scenario normativo europeo con riferimento alla responsabilizzazione degli operatori digitali nelle attività di autonormazione e auto-organizzazione. Ed è pregevole la scelta di cercare di risolvere un gap mediante un regolamento europeo, trattandosi di uno strumento (per definizione) più adatto a disciplinare il fenomeno del business digitale che necessita, inevitabilmente, di risposte di respiro sovrannazionale.
Gli oneri per le piattaforme sono risultati molteplici, dal dovere di rafforzare l’apparato di garanzie minime definito dall’art. 14, disciplinando l’esercizio dei propri poteri sanzionatori nel rispetto di diritti essenziali; alle policy di gestione dei reclami; all’individuazione di misure sanzionatorie/interdittive, finalizzate a tutelare le vittime; alla dettagliata definizione dei soggetti titolari della potestà di dettare tali regole; all’enunciazione del principio di proporzionalità del trattamento sanzionatorio[85]. Il tutto bilanciando innovazione, libertà di espressione e sicurezza online.
Sullo sfondo, però, si intravedono alcune ombre. In primis, appare concreto il rischio di subire il fascino di strumenti decisionali automatizzati che – mediati anche dall’intelligenza artificiale – possono sostituirsi, o parzialmente sostituirsi, all’uomo nella scelta dei contenuti illeciti da rimuovere o degli account da disabilitare[86]. In tal caso, la presunzione di non discriminazione di cui gli strumenti totalmente o parzialmente automatizzati potrebbero – in astratto – godere, deve pur sempre scontrarsi con la circostanza che l’algoritmo è «ontologicamente condizionato dal sistema di valori e dalle intenzioni di chi ne commissiona la creazione e/o di chi lo crea»[87].
Sotto altro profilo, di più ampio respiro, si riscontra come il DSA, seppure delinei un ventaglio di obblighi, lasci un ampio spazio discrezionale alle piattaforme, con la logica conseguenza che l’efficacia del Regolamento sarà strettamente connessa alle regole interne che le singole big tech sceglieranno di adottare.
Diversamente detto, il pericolo è quello di assistere alla creazione di veri e propri ordinamenti privati delle piattaforme che possono, così, sottrarsi alle norme provenienti da qualsiasi altro ordinamento pubblico, diventando sempre di più «luoghi non sottoponibili alle “regole dei governi”, ma disciplinabili esclusivamente con regole proprie»[88].
[1] Tra i plurimi atti normativi si richiamano, la Direttiva 2012/29/UE che rappresenta il principale testo dell’Unione dedicato alla tutela delle vittime di reato, fornendo, tra le altre cose, nell’art. 2, una definizione estesa di vittima. Antecedente alla suddetta Direttiva si richiamano, anche, la Direttiva 2011/36/UE sulla prevenzione e repressione della tratta di esseri umani e protezione delle vittime, nonché la Convenzione del Consiglio d’Europa sulla prevenzione e la lotta contro la violenza nei confronti delle donne e la violenza domestica (Convenzione di Istanbul, 2011). In dottrina, specificamente sulla Convenzione di Istanbul, AA.VV., La violenza nei confronti delle donne dalla Convenzione di Istanbul al «Codice Rosso», a cura di T. Manente, Giappichelli, 2019. Gli interventi regolatori sono perseguiti con il Regolamento (UE) n. 606/2013 che riguarda provvedimenti civili (divieti di avvicinamento, ordini di allontanamento, etc.). Più di recente, la Direttiva (UE) 2024/1385 e, per un approfondimento, C. PAONESSA, La diffusione di contenuti illeciti online. Obblighi di incriminazione e contrasto del “Deepfake” nella direttiva (UE) 2024/1385, in Discrimen, 10.6.2025.
[2] L’espressione è di M. GIALUZ, Lo statuto europeo delle vittime vulnerabili, in Lo scudo e la spada. Esigenze di protezione e poteri delle vittime nel processo penale tra Europa e Italia, di S. Allegrezza – H. Belluta – M. Gialuz – L. Lupária.Giappichelli, 2012, p. 59.
[3] S.O. VALL-LLOVERA, Manifestaciones del derecho a la protección de la seguridad e integridad de la víctima menor, in La víctima menor de edad. Un estudio comparado Europa/America, a cura di T. Armentadeu e S.O. Vall-Llovera, EditorialColex, Madrid, 2010, p. 202.
[4] Sul tema, tra i molti, E.M. CATALANO, La tutela della vittima nella direttiva 2012/29/UE e nella giurisprudenza della Corti europee, in Riv. it. dir. proc. pen., 2014, p. 1789; D. SAVY, La vittima dei reati nell’Unione europea – le esigenze di tutela dei diritti fondamentali e la complementarietà della disciplina penale e civile, Giuffrè, 2013; C. AMALFITANO, L’azione dell’Unione europea per la tutela delle vittime di reato, in Dir. un. eur., 2011, p. 643
[5] In dottrina, C. AMALFITANO, La vittima vulnerabile nel diritto internazionale e dell’Unione europea, Riv. it. med. leg., 2018, p. 523; F. TRAPELLA, La tutela del vulnerabile. Regole europee, prassi devianti, possibili rimedi, in Arch. pen. web, 3 dicembre 2019.
[6] In argomento, S. ALLEGREZZA, La riscoperta della vittima nella giustizia penale europea, in Lo scudo e la spada. cit., p. 1; M. DEL TUFO, La vittima di fronte al reato nell’orizzonte europeo, in Punire, mediare, riconciliare. Dalla giustizia penale internazionale alla rielaborazione dei conflitti individuali, a cura di G. Fiandaca e C. Visconti, Giappichelli, Torino, 2009, p. 107; M.L. LANTHIEZ, La clarification des fondaments européens desdroits des victimes, in La victime sur la scène pénale en Europe, a cura di G. Giudicelli-Delage e C. Lazerges, Puf, Parigi,2008, p. 145 ss.
[7] Tra i molti, F. PALAZZO, Soggetti vulnerabili e diritto penale, in La fragilità della persona nel processo penale, a cura di G. Spangher – A. Marandola, Giappichelli, 2021, p. 94. Sulle forme di manifestazione della vulnerabilità della vittima M. VENTUROLI, La vulnerabilità della vittima di reato quale categoria “ageometria variabile” del diritto penale, in Riv. it. med. leg., 2018, p. 553.
[8] In tema, C. BERNASCONI, I diversi volti della violenza digitale di genere nella cornice degli obblighi sovranazionali di tutela, in Dis. Crimen, 17 settembre 2025. In senso più ampio, AA.VV., Contrasto a violenza e discriminazione di genere, a cura di P. Felicioni – A. Sanna, 2019, Giuffrè.
[9] M. VENTUROLI, La vittima del reato tra riconoscimenti formali e nuovi orizzonti sanzionatori, in Riforma Cartabia. La nuova giustizia penale, a cura di D. Castronuovo – M. Donini – E. M. Mancuso – G. Varraso, Wolters Kluwer, 2023, p. 509.
[10] Sulle specifiche questioni si rinvia a M. MATTIA, “Revenge porn” e suicidio della vittima: il problema della divergenza tra ‘voluto’ e ‘realizzato’ rispetto all’imputazione oggettiva degli eventi psichici, in www.lalegislazionepenale.eu, 19 luglio 2019; T. PIETRELLA, L’incidenza dello sviluppo tecnologico sulla tenuta di condotte offensive. Rilevanza giuridica della comunicazione degradante online nel reato di diffamazione, in www.sistemapenale.it, 6 ottobre 2023, p. 13; A. VERZA, Aggredire attraverso l’immagine. Cristallizzazioni tecnologiche, genere e diniego di tutela nella logica disciplinante neoliberale, in Ragion pratica, 2017, p. 469. Analizza i meccanismi psicologici nella comunicazione digitale, A. SPENA, La parola(-)odio. Sovraesposizione, criminalizzazione e interpretazione dello hate speech, in Criminalia 2016, p. 579.
[11] Il regolamento si applica a tutte le categorie di intermediary services (mere conduit, caching, hosting), ma distingue in modo crescente gli obblighi per le piattaforme online e per le Very Large Online Platforms (VLOPs)e Very Large Online Search Engines (VLOSEs), ossia gli operatori che raggiungono almeno 45 milioni di utenti attivi nell’Unione.
[12] S. BRASCHI, La nuova direttiva sulla lotta alla violenza contro le donne e alla violenza domestica e le sue ricadute nell’ordinamento nazionale, in Dir. pen. proc., 2024, p. 1375.
[13] M. TONELLOTTO, Criminalità e cyberspazio, alcune riflessioni in materia di cybercriminalità, in Riv. vitt. crim. sic., vol. XVI, 2022, p. 13.
[14] A. VERZA, Aggredire attraverso l’immagine, cit., p. 469.
[15] E. STAKSRUD, Does the use of social networking sites increase children’s risk of harm?, in Computers in human behaviour, 2013, p. 40; R. THOMAS, E. CHRISTIANSEN, Community and social network sites as Technology Enhanced Learning Envi-ronments, in Technology, Pedagogy and Education, 2008, p. 207.
[16] Affrontano tale aspetto N. AMORE, La tutela penale della riservatezza sessuale nella società digitale. Contesto e contenuto del nuovo cybercrime disciplinato dall’art. 612-ter c.p., in www.lalegislazionepenale.eu, 20 gennaio 2020, p. 5; G.M. CALETTI, Libertà e riservatezza sessuale all’epoca di Internet. L’art. 612-ter c.p. e l’incriminazione della pornografia non consensuale, in Riv. it. dir. proc. pen., 2019, p. 2067; M. MATTIA, “Revenge porn” e suicidio della vittima: il problema della divergenza tra ‘voluto’ e ‘realizzato’ rispetto all’imputazione oggettiva degli eventi psichici, in www.lalegislazionepenale.eu, 19 luglio 2019, p. 4.
[17] Analizza la tematica della peculiare dimensione del cyberspazio, inteso come luogo agevolatore la commissione di illeciti poiché le condotte risultano «protett[e] dall’anonimato dello schermo», G. MAROTTA, Tecnologie dell’informazione e nuovi processi di vittimizzazione, in Riv. vitt. crim. sic., 2012, p. 93.
[18]Affronta il tema, E. MONTELIUS, K. NYGREN, Doing’ risk, ‘doing’ difference: towards an understanding of the intersections of risk, morality and taste, in Health, Risk & Society, 2014, p. 431; D. LYON, Surveillance studies: An overview, London, Polity Press, 2007.
[19] È stato osservato come la violenza digitale, seppure abbraccia tutte quelle forme di violenza rese possibili dall’utilizzo delle nuove tecnologie, si concentra particolarmente nella c.d. violenza di genere che vede la donna esposta alle aggressioni cyber; così, E. BERGAMINI, Combating Violence against Women and Domestic Violence from the Istanbul Convention to the EU Framework: The Proposal for an EU Directive, in Freedom, Security & Justice: European Legal Studies, 2023, n. 2, 28.
[20] C. BERNASCONI, I diversi volti della violenza digitale di genere, cit., p. 5.
[21] E. COHEN, The surveillance-innovation complex: the irony of the participatory turn, in D. Barney et al. (Eds.), The Participatory Condition in the Digital Age, Minneapolis, University of Minnesota Press, 2016.
[22] T. GILLESPIE, Custodians of the internet: platforms, content moderation, and the hidden decisions that shape social media, New Haven, Yale University Press, 2018.
[23] «Il passaggio da strumento a ambiente dovrebbe farci comprendere che le tecnologie digitali, attraverso il loro potere computazionale, contribuiscono a plasmare l’ambiente in cui viviamo garantendo le condizioni della loro stessa esistenza indipendentemente dagli esseri umani (…) la rigidità del diritto tradizionale si rivela incapace di regolare le nuove modalità delle azioni umane; la destatualizzazione e la deterritorializzazione producono un diritto flessibile e adattabile al modello reticolare del mondo digitale». Così E. MAESTRI, Stupri digitali: una questione di governance del cyberspazio, in Annali online della Didattica e della Formazione Docente, 2024, p. 31.
[24] A.I. COOPER (Ed.), Sex and the Internet: A guidebook for clinicians, London, Brunner-Routledge, 2020, p. 26; S.A. KING, Internet gambling and pornography: Illustrative examples of psychological consequences of communication anarchy, in Cyberpsychology & Behavior, 1999, p. 175; K.M. HERTLEIN, A. STEVENSON, The Seven “As” Contributing to Internet-Related Intimacy Problems: A Literature Review. Cyberpsychology, in “Journal of Psychosocial Research on Cyberspace”, 2010, p. 29. Sul tema, anche, E. QUAYLE, M. TAYLOR, Social networking as a nexus for engagement and exploitation of young people, in Information Security Technical Report, 2011, p. 44.
[25] E. MAESTRI, Stupri digitali, cit., p. 64.
[26] L’automazione ha consentito di ampliare il concetto di sorveglianza che viene mediata da algoritmi; sulla questione, D. LYON, Surveillance studies: An overview, London, Polity Press, 2007.
[27] N. JUST, M. LATZER, Governance by algorithms: Reality construction by algorithmic selection on the Internet, in Media, Culture & Society, 2016, p. 238; C. KATZENBACH, L. ULBRICHT, Algorithmic governance, in Internet Policy Review, 2019, p. 8.
[28] G. SARTOR, Providers Liability: From eCommerce Directive to Digital Services Act, in Eur. Rev. Priv. Law, 2022, p. 785.
[29] D. LYON, Surveillance studies: An overview, London, Polity Press, 2007, p. 40.
[30]«I sistemi di machine learning hanno la capacità, già ad oggi, di emanciparsi dalle informazioni ricevute in sede di programmazione, giungendo a soluzioni innovativee addirittura, secondo alcuni, creative,con conseguente fuoriuscita degli output artificiali dalla sfera di dominio (e di comprensione) di programmatori e sviluppatori». Così, B. FRAGASSO, Intelligenza artificiale e crisi del diritto penale d’evento: profili di responsabilità penale del produttore di sistemi di i.a., in Riv. it. dir. proc. pen., 2024, p. 290. Sulla specifica questione, anche, G. TEUBNER, Soggetti giuridici digitali. Sullo status privatistico degli agenti software autonomi, Edizioni Scientifiche Italiane, 2019, p. 55.
[31] S. ZUBOFF, Big other: surveillance capitalism and the prospects of an information civilization, in Journal of information technology, 2015, p. 75.
[32] Seppure non è questa la sede per approfondire il ruolo dell’intelligenza artificiale nella vigilanza algoritmica, può sicuramente rilevarsi come tali sistemi non possono essere considerati come meri “strumenti”, poiché non reagiscono in maniera deterministica agli input forniti dall’uomo, nè sono da questi pienamente dominabili; sul tema, tra i molti, J. MILLAR – I. KERR, Delegation, relinquishment, and responsibility: The prospect of expert robots, in R. Calo e al. (eds.), Robot Law, Edward Elgar Publishing, 2016, p. 107.
[33] G. DELEUZE, Postscript on the Societies of Control, in D. Wilson, C. Norris (Eds.), Surveillance, crime and social control, London, Routledge, 2017, p. 35; A. ROUVROY, The end(s) of critique: data-behaviourism versus due-process, in M. Hildebrandt, E. De Vries (Eds.), Privacy, Due Process and the Computational Turn. Philosophers of Law Meet Philosophers of Technology. London, Routledge, 2013, p. 143; J. CHENEY-LIPPOLD, We Are Data, in New York University Press, 2017, p. 49. Nel panorama italiano, L. MAGNANI, Ingegnerie della conoscenza. Introduzione alla filosofia computazionale, Marcos y Marcos, 1997, p. 50.
[34] A ben osservare, il quadro previgente al DSA si caratterizza per un’evidente frammentazione normativa e per un approccio reattivo e decentralizzato, fondato su un sistema di responsabilità ex post. Per una analisi delle pronunce della Corte di Giustizia UE, antecedenti al Digital Service Act, tra i molti, M. MONTI, La Corte di Giustizia, la Direttiva E-Commerce e il controllo contenutistico online: le implicazioni della decisione C 18-18 sul discorso pubblico online e sul ruolo di Facebook, in MediaLaws, 2019, p. 243; ID, Privatizzazione della censura e Internet platforms: la libertà d’espressione e i nuovi censori dell’agorà digitale, in Riv. it. inf. dir., 2019, p. 35.
[35] Si è precisato, infatti che «i contenuti equivalenti da rimuovere devono essere individuati dall’autorità giudiziale o amministrativa senza che ai servizi di hosting sia richiesta alcuna valutazione autonoma sugli stessi e di modo che i suddetti servizi possano procedere ad una rimozione di tali contenuti mediante procedure automatizzate, sì da non porre in essere procedure di sorveglianza generalizzata o attiva. In settori non armonizzati, la direttiva 2000/31/CE non osta alla rimozione su scala mondiale di un contenuto dai servizi di hosting, fatto salvo quanto previsto dalle norme internazionali vigenti». Cfr., CGUE, 3 ottobre 2019, Glawischnig-Piesczek c. Facebook Ireland Limited, causa C-18/18, in MediaLaws, 2019, p. 243.
[36] CGUE Google France, 23 marzo 2010, (causa C-236/08); Id., 16 febbraio 2012, SABAM c. Netlog (causa C-360/10); Id., 27 marzo 2014, UPC Telekabel Wien (causa C-314/12), nelle quali la Corte ha ribadito che le misure di blocco o rimozione devono rispettare il principio di proporzionalità, bilanciando la tutela dei diritti fondamentali con la libertà di impresa e d’informazione; per una analisi delle pronunce si rinvia a M. MONTI, La Corte di Giustizia, cit., p. 244.
[37] CGUE, 3 ottobre 2019, Glawischnig-Piesczek, cit.
[38] Il Regolamento è stato pubblicato il 27 ottobre 2022 in Gazzetta Ufficiale dell’Unione Europea il nuovo Reg. UE 2022/2065 relativo a un mercato unico dei servizi digitali e «segna l’epilogo del percorso iniziato nel dicembre 2020, con la presentazione della relativa proposta da parte della Commissione Europea e l’avvio di un ampio processo di consultazione; volendo risalire ancor più indietro nel tempo, è possibile affermare che il provvedimento concorre a realizzare la Strategia per il mercato unico digitale, enunciata nel maggio 2015 e resa poi progressivamente oggetto di attuazione». Così, S. BRASCHI, Il nuovo Regolamento sui servizi digitali: quale futuro per la responsabilità degli Internet Provider Service?, in Dir. pen. proc., 2023, p. 367.
[39] Esso si componendosi di 156 considerando e 93 articoli, ripartiti in quattro capi: “disposizioni generali” (artt. 1-3), “responsabilità dei prestatori di servizi intermediari” (artt. 4-10), “obblighi in materia di dovere di diligenza per un ambiente trasparente e sicuro” (artt. 11-48) e “attuazione, cooperazione, sanzione ed esecuzione” (artt. 49-93).
[40] E. BIRRITTERI, Punire la disinformazione: il ruolo del diritto penale e delle misure di moderazione dei contenuti delle piattaforme tra pubblico e privato, in Dir. pen. cont. – Riv. Trim., 2021, p. 304.
[41] A. TURILLAZZI – M. TADDEO – L. FLORIDI – F. CASOLARI, The Digital Services Act: an analysis of its ethical, legal and social implications, in Law, Innovation and Technology, 2023, n. 15, p. 83.
[42] Per un inquadramento generale, A. TURILLAZZI – M. TADDEO – L. FLORIDI – F. CASOLARI, The Digital Services Act:An Analysis of Its Ethical, Legal, and Social Implications, in SSRN Electonic Journal, 2022.
[43] In particolare, tali fornitori devono ora garantire che i venditori forniscano informazioni verificate sulla loro identità prima di poter iniziare a vendere i loro beni su tali mercati online.
[44]M.L. BIXIO, Gli obblighi applicabili a tutti i prestatori di servizi intermediari, ai prestatori di servizi di hosting e ai fornitori di piattaforme online (Artt. 11-32 – Capo III, Sezioni, 1, 2, 3 e 4), in Diritto di internet, 2023, p. 21.
[45] L. TORCHIA, I poteri di vigilanza, controllo e sanzionatori nella regolazione europea della trasformazione digitale, in Rivista trimestrale di diritto pubblico, 2022, p. 1108.
[46] In dottrina, M.L. BIXIO, Gli obblighi applicabili a tutti i prestatori di servizi, cit., p. 21.
[47] La norma precisa anche che il linguaggio da utilizzare nelle condizioni generali di servizio deve essere chiaro, semplice e comprensibile (se del caso anche ai minori).
[48] Si legge, al paragrafo 4 dell’art. 14, che gli operatori rimangono liberi di regolare i meccanismi di moderazione dei contenuti degli utenti, così come i correlati strumenti di reclamo, dovendo però, farlo «in modo diligente, obiettivo e proporzionato» e «tenendo debitamente conto dei diritti e degli interessi legittimi di tutte le parti coinvolte, compresi i diritti fondamentali dei destinatari del servizio, quali la libertà di espressione, la libertà e il pluralismo dei media, e altri diritti e libertà fondamentali sanciti dalla Carta».
[49] Gli operatori dovranno predisporre anche misure idonee a facilitare le segnalazioni affinché siano «sufficientemente precise e adeguatamente motivate» (art. 16 comma 2 del Regolamento). Va comunque precisato che prima dell’introduzione del DSA era la giurisprudenza a valorizzare l’adozione di meccanismi di filtraggio preventivi, così, ex multis, Cass. civ. sez. I, 13 dicembre 2021, n. 39763. In dottrina, si rinvia a L. TORMEN, La linea dura della Cassazione in materia di responsabilità dell’hosting provider (attivo e passivo), in Nuova giur. civ. comm., 2019, p. 1047; nonché, per una analisi sulle prospettive di riforma, A. INGRASSIA, Responsabilità penale degli internet service provider: attualità e prospettive, in Dir. pen. proc., 2017, p. 1626.
[50] In tale contesto, va precisato come l’art. 22 del DSA istituisce la figura dei “segnalatori attendibili”, prescrivendo che alla trattazione delle loro segnalazioni sia accordata priorità.
[51] In dottrina, sul rapporto tra diritti e dimensione digitale della società, P. DE PASQUALE, Verso una Carta dei diritti digitali (fondamentali) dell’Unione europea?, in Il Diritto dell’Unione Europea, 2022, p. 163.
[52] L. D’AGOSTINO, Il Digital Services Act: verso un codice di procedura delle piattaforme, in Riv. dir. civ., 2023, p. 415.
[53] L. D’AGOSTINO, Disinformazione e obblighi di compliance degli operatori del mercato digitale alla luce del nuovo Digital Service Act, in Media Law, 2024, p. 24.
[54] D. KELLER, Intermediary Liability 2.0, in Geo. L. Tech. Rev., 2018, p. 1.
[55] In argomento, G. CONTISSA – G. LASAGNI – G. SARTOR, Quando a decidere in materia penale sono (anche) algoritmi e IA: alla ricerca di un diritto effettivo, in Dir. internet, 2019, p. 620. Sul tema, anche, W. N. PRICE II, Regulating Black-Box Medicine, in Mich. L. Rev., 2017, p. 421; J.S. ALLAIN, From Jeopardy! to Jaundice: The Medical Liability Implications of Dr. Watson and Other Artifificial Intelligence Systems, in La. L. Rev., 2013, p. 1049.
[56] Per un’analisi sul ruolo dell’intelligenza artificiale nei processi decisionali, tra i molti, N. AMORE, L’effetto della robotica e dell’IA nell’imputazione giuridica degli eventi infausti, in N. Amore – E. Rossero (a cura di), Robotica e intelligenza artificiale nell’attività medica. Organizzazione, autonomia, responsabilità, Il Mulino, p. 244; A. FIORELLA, Responsabilità penale dei Tutor e dominabilità dell’Intelligenza Artificiale. Rischio permesso e limiti di autonomia dell’Intelligenza Artificiale, in R. Giordano (a cura di), Il diritto nell’era digitale. Persona, mercato, amministrazione, giustizia, Giuffrè, 2022, p. 651; M.B. MAGRO, Decisione umana e decisione robotica. Un’ipotesi di responsabilità da procreazione robotica, in Leg. pen., 10 maggio 2020; I. SALVADORI, Agenti artificiali, opacità tecnologica e distribuzione della responsabilità penale, in questa Riv. it. dir. pen. proc, 2021, p. 100.
[57] EUROPOL, ChatGPT. The impact of Large Language Models on Law Enforcement, 19 dicembre 2023.
[58] La rimozione dei contenuti illeciti è, nell’ambito della violenza digitale di genere, di cruciale importanza in quanto determina una reazione tempestiva a condotte che spesso generano danni immediati ed irreversibili.
[59] In dottrina, F.G. SELL, The Digital Services Act: A General Assessment, in A. von Ungern-Sternberg (a cura di), Content Regulation in the European Union. The Digital Services Act, Trier, 2023, 95.
[60] «Pur non potendosi certamente imporre generali modelli standard secondo un analitico livello di dettaglio, l’impressione anche su questo versante è quella di un percorso che, pur avendo condivisibilmente istituzionalizzato tali meccanismi e correttamente sancito in linea generale l’obbligo delle piattaforme di agire in modo non discriminatorio e arbitrario e secondo diligenza anche nella gestione dei reclami interni, poteva essere ancora perfezionato nella direzione della più efficace tutela dei diritti degli utenti»; così, L. D’AGOSTINO, Disinformazione e obblighi di compliance, cit. p. 14.
[61] A ben osservare, uno dei pochi aspetti che viene normato dal DSA attiene ai risarcimenti e ai costi della lite, si prevede che gli utenti debbano poter accedere gratuitamente, o per un importo simbolico a tali meccanismi, «(t)ale previsione, al netto della natura non vincolante delle decisioni degli organismi in parola, ci pare rivesta in definitiva una indubbia importanza nella misura in cui offre agli utenti dei servizi digitali una ulteriore alternativa per tutelare la propria posizione, specie lì dove il sistema di reclamo interno alla piattaforma online non abbia dato gli esiti sperati o comunque presenti criticità, senza dover necessariamente adire l’autorità giudiziaria o in generale gli attori pubblici di enforcement e senza che l’innesco di tale binario alternativo di risoluzione delle controversia pregiudichi il diritto di poter percorrere comunque, in qualsiasi fase, le strade della giurisdizione statale»; cfr. .L. D’AGOSTINO, Disinformazione e obblighi di compliance, cit., 16.
[62] Per un’analisi sulla più ampia questione dell’acquisizione ed analisi di prove informatiche, tra i tanti, S. ATERNO, Acquisizione e analisi della prova informatica, in Dir. pen. proc., 2006, p. 61; E. LORENZETTO, Utilizzabilità dei dati informatici incorporati su computer in sequestro: dal contenitore al contenuto passando per la copia, in Cass. pen., 2010, p. 1522; L. LUPARIA, La ratifica della convenzione sul cyber crime del Consiglio d’Europa. I profili processuali, in Dir. pen. proc., 2008, p. 717; F.M. MOLINARI, Questioni in tema di perquisizione e sequestro di materiale informatico, in Cass. pen., 2012, p. 707. Affrontano il tema con specifico riguardo anche al versante tecnico-informatico AA.VV., Investigazione penale e tecnologia informatica. L’accertamento del reato tra progresso scientifico e garanzie fondamentali, a cura di Luparia – Ziccardi, Giuffrè, 2007; AA.VV., Cyber Forensics e Investigazioni digitali, a cura di S. Aterno, F. Cajani, C. Costabile, D. Curtotti, Giappichelli, 2021.
[63] Si rileva anche che, ai sensi dell’art. 16, il DSA implementa gli obblighi di collaborazione degli hosting provider, prescrivendogli anche di informare l’autorità giudiziaria, qualora «venga[no] a conoscenza di informazioni che fanno sospettare che sia stato commesso, si stia commettendo o probabilmente sarà commesso un reato che comporta una minaccia per la vita o la sicurezza di una o più persone».
[64] E. MAESTRI, Stupri digitali, cit., p. 33.
[65] La disciplina introduce infatti l’obbligo per le piattaforme di comunicare agli utenti le ragioni della rimozione, consentendo il ricorso a sistemi interni di gestione dei reclami (art. 20) e a meccanismi di risoluzione extragiudiziale delle controversie (art. 21).
[66] In passato, la dottrina si era già espressa su eventuali profili di responsabilità degli Internet provider service, soprattutto nei casi di delitti di particolare gravità, così, A. MANNA, Considerazioni sulla responsabilità penale dell’internet provider in tema di pedofilia, in Dir. inf., 2001, p. 151.
[67] Parla di «condizione epistemica della legalità algoritmica», L. D’AGOSTINO, Disinformazione e obblighi di compliance, cit., p. 26.
[68] D. F. BERNASCONI, I diversi volti della violenza digitale, cit., p. 9.
[69] Il DSA opera un bilanciamento tra tali interessi contrapposti, pure in considerazione del significativo squilibrio tra i poteri contrattuali delle parti. Sul tema, B. CAROTTI, La politica europea sul digitale: ancora molto rumore, in Riv. trim. dir. pub., 2022, p. 998. Ampiamente, anche G. ALPA, Sul potere contrattuale delle piattaforme digitali, in Contratto delle imprese, 2022, p. 721.
[70] Sull’ampio tema della cooperazione giudiziaria digitale, tra i molti, S. SIGNORIN, Verso l’applicazione trasversale del principio “digital by default” nel settore della cooperazione giudiziaria dell’Unione europea, in Eurojust, 2025, p. 206. Affrontano il medesimo tema anche G. NIXON, Ctrl, Alt, Delete: re-booting the European Union via e-government, in P. G. Nixon, V. N. Koutrakou (a cura di), E-government in Europe, 2007, p. 19; E. THEMELI, The frontiers of digital justice in Europe, in AA. VV., (a cura di), Frontiers in Civil Justice, Cheltenham, 2022, p. 102.
[71] In dottrina, per una disamina della questione, M. LAMANUZZI, Il coinvolgimento dei gestori delle piattaforme social nel contrasto dell’odio e della pornografia virtuale. Oltre la net neutrality: tra autoregolamentazione e responsabilità amministrativa, in I nuovi volti del sistema penale fra cooperazione pubblico privato e meccanismi di integrazione fra hard law e soft law, in AA.VV., Atti del X corso di Formazione interdottorale di Diritto e Procedura Penale “Giuliano Vassalli” per Dottorandi e Dottori di ricerca; VIII convegno sezione giovani penalisti AIDP, a cura di A. Gullo – V. Militello – T. Rafaci, Milano, 2021, p. 390. Per una analisi sul rapporto tra sicurezza e diritti, tra i molti, CISTERNA, Il difficile equilibrio tra sicurezza interna e tutela dei diritti, in Guida dir., Dossier,2018, n. 3, p. 81.
[72] Nel contesto della violenza di genere online, questa previsione assume una funzione strategica. In Italia, tali ordini possono essere emanati, ad esempio, dal giudice penale nell’ambito delle indagini previste dal Codice Rosso (Legge n. 69/2019) o, in via d’urgenza, dall’autorità giudiziaria civile, ex art. 700 c.p.c., qualora si renda necessario impedire la diffusione di contenuti lesivi della dignità o dell’integrità personale della vittima. Inoltre, l’art. 612-ter c.p. (diffusione illecita di immagini o video sessualmente espliciti) consente al pubblico ministero di chiedere l’immediata rimozione dei contenuti e il sequestro delle copie digitali, in coordinamento con i fornitori di servizi di hosting. Sul piano sovranazionale, la disciplina dell’art. 9 DSA integra e rafforza gli strumenti previsti dalla Direttiva 2011/93/UE sulla lotta contro l’abuso e lo sfruttamento sessuale dei minori, nonché dalla Convenzione di Budapest sul cybercrime, che già prevedevano poteri di blocco e rimozione dei contenuti a carattere illecito. Il DSA, tuttavia, introduce per la prima volta un meccanismo di interoperabilità e riconoscimento reciproco degli ordini di rimozione tra Stati membri, imponendo alle piattaforme di agire tempestivamente entro 24 ore dal ricevimento dell’ordine, salvo impedimenti tecnici o giuridici. In dottrina, G. FINOCCHIARO, Le nuove regole europee sui servizi digitali, in Dir. internet, 2023, p. 67.
[73] M.L. BIXIO, Gli obblighi applicabili a tutti i prestatori di servizi intermediari, cit., p. 21.
[74] «Nella fase di enforcement a valle di tali regole autonormate, invece, l’articolo in commento appare più sensibile alle esigenze sia di dettagliare maggiormente, e non solo con clausole di carattere generale, gli obblighi degli operatori, sia di rafforzare e specificare con più analiticità i diritti e le garanzie procedurali minime per gli utenti che subiscono simili misure para-punitive»; in tal senso, L. D’AGOSTINO, Disinformazione e obblighi di compliance, cit., p. 11. A ben vedere, l’ampiezza dell’obbligo motivazionale contempera esigenze di tutela delle vittime e diritti fondamentali, fornendo una base di informazioni indispensabili per l’utente che voglia avvalersi degli strumenti di reclamo.
[75] Sotto il profilo dogmatico, la motivazione si configura dunque come principio strutturante del diritto dei servizi digitali, in quanto consente il bilanciamento tra libertà di espressione, la tutela della dignità personale e la legalità dell’azione repressiva, pubblica o privata. In dottrina, anche, M. BASSINI, Digital Services Act e responsabilità delle piattaforme, in MediaLaws, 2023, p. 18.
[76] L. TORCHIA, I poteri di vigilanza, controllo e sanzionatori, cit., p. 1108.
[77] Il sistema deve essere semplice, gratuito, proporzionato, accessibile; le decisioni devono essere motivate e devono, altresì, essere specificate le condizioni di ricorso esterno (artt. 20 e 21 DSA). In dottrina, A. MANTELERO, Piattaforme e libertà: il ruolo dell’intermediario digitale nel diritto europeo, in BioLaw Journal, 2022, p. 55.
[78] L’art. 21 introduce, altresì, un meccanismo di risoluzione stragiudiziale delle controversie, con organismi certificati che possono esaminare e decidere sulle impugnazioni relative a rimozioni e sospensioni. Per un commento sulle questioni in tema di risoluzione alternativa delle controversie, G. GIOIA – A. BIGI, La risoluzione stragiudiziale delle controversie nel mercato dei servizi digitali (artt. 17, 20, 21, 24, 35 – Capo III, Sezioni 2, 3 e 5), in Diritto di internet, 1, 2023, 39.
[79] Questo include statistiche sulle segnalazioni di contenuti illegali, le azioni intraprese per moderare tali contenuti e le politiche implementate per garantire la sicurezza e la trasparenza.
[80] G. BUTTARELLI, La regolazione delle piattaforme digitali: il ruolo delle istituzioni pubbliche, in Gior. dir. amm., 2023, p. 116; L. TORCHIA, I poteri di vigilanza, controllo e sanzionatori, cit., p., 1109.
[81] K. KLONICK, The New Governors: The People, Rules, and Processes Governing Online Speech, in Harvard Law Review, 131, 2018, 1598-1670. Sul tema, anche, A. MANGANELLI, Piattaforme digitali, cit., p. 885. L’A. ritiene che le regole contrattuali tra utenti e grandi piattaforme, accettate volontariamente dai primi sottoscrivendo i termini e le condizioni di servizio, sono divenute regole di gestione e di governance delle interazioni delle community composte da enormi gruppi di utenti.
[82] Sul tema, A. VIGORITO, Sovranità digitale ed extraterritorialità dei dati: è davvero configurabile (e da parte di chi) un “oblio globale”?, in Dir. infor. informatica, 2023, p. 777.
[83] Muove in tal senso, ad esempio il GDPR e, sul tema, tra i tanti, A. BRADFORD, The Brussels Effect, in Northwerstern University Law Review, 2012, p. 17.
[84] A. VIGORITO, Sovranità digitale, cit., p. 778.
[85] Per un approfondimento, R. NIRO, Piattaforme digitali e libertà di espressione fra autoregolamentazione e coregolazione: note ri-costruttive, in Oss. fonti, 2021, p. 3.
[86] «La società è affascinata dall’idea che l’intelligenza artificiale possa fornire risposte scevre da errori, che potrebbero invece condizionare la valutazione dell’essere umano, e raggiungere un esito giudiziario più affidabile perché privo di influenze morali, etiche, valoriali, politiche (…). [Tuttavia], nonostante l’apparente neutralità dell’input fornito, come insegna il noto esperimento compiuto in casa Amazon, la deriva discriminatoria può determinarsi, autonomamente, nei processi decisionali automatizzati»; così, T. ALESCI, Processo algoritmico e contrasto alla violenza di genere. Punti di contatto, in Dir. pen. proc., 2025, p. 1340. In tema, anche, V. MANES, L’oracolo algoritmico e la giustizia penale: al bivio tra tecnologia e tecnocrazia, in U. Ruffolo (a cura di), Intelligenza Artificiale – Il diritto, i diritti, l’etica, Giuffrè, 2020, p. 547; B. PANATTONI, Intelligenza Artificiale: le sfide per il diritto penale nel passaggio dall’automazione tecnologica all’autonomia artificiale, in Dir. inf., 2021, p. 317. Ritiene che l’output prodotto dall’IA va sempre corroborato con altri elementi di prova, M. GIALUZ, Quando la giustizia penale incontra l’intelligenza artificiale: luci e ombre dei risk assessment tools tra Stati Uniti ed Europa, in Dir. pen. cont., 29 maggio 2019, 17.
[87] T. ALESCI, Processo algoritmico, cit., 1341. L’A. precisa, inoltre, come l’«interpretazione del risultato, dipende anche da una imprescindibile categorizzazione dei dati di partenza, dall’affidamento alla neutralità del dato inserito che comporta una carente flessibilità ermeneutica a revocare in dubbio il risultato».
[88] Così, A. MANGANELLI, Piattaforme digitali e social network, fra pluralità degli ordinamenti, pluralismo informativo e potere di mercato, in Giur. cost., 2023, p. 887. L’A precisa, infatti che «in un contesto di pervasivo potere di mercato e contrattuale, le piattaforme hanno sempre avuto la possibilità concreta di stabilire unilateralmente i propri termini di servizio, come condizioni generali di contratto che sono andate a costituire quella che è stata poi definita platform law. È diventato così evidente che la scelta non era (più) tra regole o assenza di regole, ma fra regole derivanti dai poteri pubblici e regole derivanti dai poteri privati».
