La prima sanzione della Commissione europea nei confronti di una VLOP ai sensi del Digital Services Act
Emanuela Ardizzone (studentessa di Diritto e politiche dell’Unione europea 2025/2026)
Il 5 dicembre 2025, la Commissione europea ha adottato per la prima volta una decisione di non conformità ai sensi dell’art. 73, par. 1, del Digital Services Act, imponendo a X una sanzione di 120 milioni di euro.
La Commissione, invero, ha avviato anche altre indagini, ma nessuna di queste si è conclusa con provvedimento di questo tipo. Segnatamente, il procedimento avviato il 16 maggio 2024 nei confronti di META per violazioni del DSA in merito alla tutela dei minori su Facebook e Instagram, e continuato ad ottobre 2025 con il parere preliminare, ancora non è terminato; mentre quello avviato il 19 febbraio 2024 nei confronti di TikTok e continuato con il parere preliminare del maggio 2025 si è concluso con l’accettazione da parte della Commissione, il 5 dicembre 2025, degli impegni vincolanti (art. 71 DSA) assunti dalla piattaforma in merito alla violazione degli obblighi in materia di trasparenza dei servizi pubblicitari. Le indagini proseguono, invece, su altre presunte violazioni di TikTok, come il suo design che crea dipendenza, in merito al quale è stato pubblicato dalla Commissione, il 6 febbraio 2026, il proprio parere preliminare.
Tornando, però, al caso in esame, vale la pena di ricordare, che il 25 aprile 2023, X è stata designata una VLOP ai sensi del DSA, dopo aver dichiarato di avere 112 milioni di utenti attivi al mese nell’Unione europea, numero decisamente superiore a quello minimo di 45 milioni previsto dall’art. 33, par. 1, del DSA. Successivamente, il 18 dicembre 2023, la Commissione ha avviato un procedimento ai sensi dell’art. 66, par. 1, del DSA, sulla base di un’indagine preliminare condotta fino a quel momento su informazioni fornite dalla piattaforma, come la relazione di valutazione dei rischi e la relazione sulla trasparenza. Infine, il 12 luglio 2024, la Commissione europea ha trasmesso a X il proprio parere preliminare (art. 73, par. 2, del DSA) secondo cui la piattaforma stava violando il DSA. Per giungere a tale parere, la Commissione si è servita dell’analisi dei documenti interni della società, di colloqui con esperti, della cooperazione con i coordinatori nazionali dei servizi digitali e anche del DSA whistleblower tool, uno strumento grazie al quale chiunque abbia conoscenze utili alla Commissione può contattarla anonimamente per contribuire alla sua attività di vigilanza.
La prima violazione attribuita a X riguarda l’uso ingannevole del “segno di spunta blu”, contrario all’art. 25 del DSA, relativo alla “progettazione e organizzazione delle interfacce online”, che al primo paragrafo prevede per le piattaforme l’obbligo di non progettare, organizzare o gestire “le loro interfacce online in modo tale da ingannare o manipolare i destinatari dei loro servizi o da materialmente falsare o compromettere altrimenti la capacità dei destinatari dei loro servizi di prendere decisioni libere e informate”. Quanto prescritto non sarebbe rispettato se il segno di spunta blu, indicatore di un utente verificato, può essere acquistato da chiunque, abbonandosi alla piattaforma, senza alcuna verifica, togliendo quella garanzia dell’autenticità dell’account che si avrebbe se X verificasse chi si trova realmente dietro un determinato account prima di renderlo visibile ai destinatari del servizio come “verificato”, così da non esporre questi ultimi al pericolo di truffe, di inganni e di altre forme di manipolazione.
La seconda violazione riguarda, invece, la mancanza di trasparenza del repository di annunci di X, non conforme all’art. 39 del DSA, che contiene ulteriori obblighi di trasparenza della pubblicità online, ai sensi dei quali le VLOP devono compilare e rendere accessibile al pubblico, in una specifica sezione della loro interfaccia online, un registro contente una serie di informazioni sui servizi pubblicitari offerti sulle loro interfacce online, per l’intero periodo durante il quale presentano pubblicità e fino a un anno dopo la data dell’ultima presentazione dell’annuncio pubblicitario sulle loro interfacce online. La violazione di X è data dal fatto di non avere un repository di annunci siffatto, in quanto l’accessibilità è limitata da barriere di accesso, ci sono ritardi eccessivi nell’elaborazione e il registro manca di informazioni richieste dal paragrafo 2 dello stesso articolo, come il contenuto dell’annuncio (lettere a) o l‘entità che ha pagato l’annuncio (lettera c).
La terza violazione, infine, riguarda la mancata fornitura ai ricercatori dell’accesso ai dati pubblici, condotta contraria all’art. 40 del DSA, intitolato “accesso ai dati e controllo”, che al dodicesimo paragrafo prevede l’obbligo per le VLOP di dare accesso “senza indebito ritardo ai dati, compresi, laddove tecnicamente possibile, i dati in tempo reale” ai ricercatori, “compresi quelli appartenenti a organismi, organizzazioni e associazioni senza scopo di lucro”. Ai fini dell’accesso, i dati devono essere pubblicamente accessibili nell’interfaccia online della piattaforma, mentre i ricercatori devono soddisfare le condizioni di cui al paragrafo 8 lettere b), c), d) ed e): devono essere indipendenti da interessi commerciali; la loro domanda deve comunicare il finanziamento della ricerca; devono essere in grado di rispettare le specifiche prescrizioni di sicurezza e riservatezza dei dati e di proteggere i dati personali, e descrivere, nella loro richiesta, le misure messe in atto a tal fine; la loro domanda deve dimostrare che il loro accesso ai dati e i periodi richiesti è necessario e proporzionato ai fini della loro ricerca, che deve essere finalizzata all’individuazione, all’identificazione e alla comprensione dei rischi sistemici nell’Unione a norma dell’art. 34, par. 1. A differenza di queste prescrizioni, X non permette tale accesso in modo indipendente ai ricercatori risultati idonei e il suo processo volto a concedere a questi ultimi l’accesso alla sua interfaccia per programmi applicativi (API) ha l’effetto di dissuadere i ricercatori dallo svolgere i loro progetti di ricerca o lascia loro la possibilità di pagare tasse sproporzionatamente elevate.
La sanzione, che, come detto, è di 120 milioni di euro, risulta il limite massimo del “6% del fatturato totale realizzato a livello mondiale su base annua nell’esercizio precedente”, previsto dal primo paragrafo dell’art. 74 del DSA; ed è stata calcolata sulla base dei criteri indicati al par. 4 dello stesso articolo: natura, gravità, durata e reiterazione della violazione. Si parla di una cifra, quindi, proporzionata rispetto a questi criteri, ma sufficientemente alta per rappresentare un precedente.
Il comunicato stampa della Commissione Europea riporta che dal 5 dicembre X avrebbe avuto 60 giorni per comunicare alla Commissione le misure che intendeva adottare per porre fine alla violazione relativa all’uso del segno di spunta blu e di 90 giorni per comunicarle il piano d’azione con le misure necessarie per porre fine alle altre due violazioni; entro un mese dal ricevimento di tale piano d’azione, il Consiglio dei servizi digitali (art. 61 del DSA) avrebbe dovuto esprimere il proprio parere a riguardo e poi la Commissione avrebbe avuto un altro mese per adottare la decisione finale. I termini appena citati sono stati prorogati, in quanto il 26 gennaio la Commissione ha avviato un nuovo procedimento di infrazione nei confronti di X, riguardante l’utilizzo di un sistema di raccomandazione basato su Grok (chatbot di intelligenza artificiale sviluppato da xAI, società fondata da Elon Musk nel 2023).
Ci si trova quindi in una fase ancora cruciale, ma l’importanza di questo precedente sta nel fatto di aver dato per la prima volta concreta applicazione alle disposizioni del DSA in merito a violazioni delle VLOP, così da rendere concretamente realizzabile l’obiettivo del regolamento, indicato nel primo paragrafo dell’art. 1, e cioè un ambiente online che sia “sicuro, prevedibile e affidabile che faciliti l’innovazione e in cui i diritti fondamentali sanciti dalla Carta, compreso il principio della protezione dei consumatori, siano tutelati in modo effettivo”.
(Le opinioni e i pareri espressi sono esclusivamente dell’autore o degli autori e non riflettono necessariamente quelli dell’Unione europea. Né l’Unione europea può essere ritenuta responsabile per tali opinioni e pareri).