L'approfondimento

Democrazia Futura. Le regole europee per lo spazio digitale

di Pieraugusto Pozzi, segretario generale Infocivica – Gruppo di Amalfi |

Come spiegato da Pozzi per Democrazia Futura, la definizione delle regole e dei rapporti tra governi e attori tecnologici andranno a definire i diversi possibili modelli di tecnopolio digitale.

Pieraugusto Pozzi

Pieraugusto Pozzi offre per i lettori di Democrazia futura una lunga e approfondita su “Le regole europee per lo spazio digitale[1]“. “Diverse modalità di definizione delle regole e dei rapporti tra governi e attori tecnologici definiscono tre modelli di tecnopolio digitale: Big State (Cina), Big Tech (Stati Uniti), Big Democracy o Big Rule (Europa) – scrive il nuovo segretario generale di Infocivica – 1. In Cina (e più limitatamente in Russia, per la dimensione ridotta dell’economia) il tecnopolio digitale è caratterizzato dal controllo sempre più stringente del potere politico (Big State) sulle imprese tecnologiche; 2. Negli Stati Uniti, le imprese tecnologiche sono state ampiamente finanziate nel loro sviluppo da programmi governativi per diventare portatori dell’innovazione a livello globale; 3. L’Europa nel digitale è un nano tecnologico con l’esclusione di alcune nicchie: seguendo la linea tracciata nel 2018 con il regolamento sulla tutela dei dati personali e nell’ampio quadro della Dichiarazione europea sui diritti e i principi digitali per il decennio digitale sottoscritta da Parlamento, Consiglio e Commissione, sta diventando un gigante regolatorio (Big Rule), all’avanguardia nella elaborazione delle nuove regole per il digitale”.

###

La discussione sui temi che intersecano società, innovazione tecnologica, amministrazione della cosa pubblica, istituzioni e politica non può prescindere delle regole per lo spazio digitale dell’informazione e della comunicazione.

Il digitale ha infatti introdotto, nel lessico della politica e dell’economia, vocaboli e concetti, fino a qualche tempo fa, di dominio degli specialisti: privacy, Big Data, algoritmi, intelligenza artificiale, servizi e mercati digitali. Questi sono gli elementi che caratterizzano la sovranità digitale, che è un obiettivo strategico fondamentale per tutti gli attori e per tutte le potenze mondiali, particolarmente nell’epoca belligerante che il mondo sta affrontando.

La grande trasformazione[2] indotta dal formato digitale di informazione, comunicazione e conoscenza non è più un tema esclusivamente tecnologico ma ha un carattere profondamente sociale e culturale.

Cambiando i tre assi fondamentali della modernità (scienza, politica ed economia), la trasformazione in atto configura un tecnopolio[3] digitale: una società nella quale la cultura e l’assetto complessivo sono determinati dalla tecnologia digitale.

Nell’ipermodernità digitale sono radicalmente mutati gli elementi dell’economia politica (lavoro, capitale, impresa, produzione, consumo), la distinzione tra sfera privata e sfera pubblica, gli assetti della sovranità, statuale e democratica.

E le guerre: come accade in Ucraina e in Medio Oriente, l’infoguerra è la trasformazione bellica dell’infosfera, combattuta su tre fronti interconnessi:

  1. il fronte militare sul campo, nel quale assumono peso determinante le tecnologie digitali;
  • il fronte delle infrastrutture militari e civili, oggetto di attacchi digitali condotti da unità all’intersezione tra corpi militari specializzati, servizi di spionaggio, forze mercenarie, criminalità organizzata, hackerismo militante;
  • il terzo fronte della comunicazione interna ed esterna, personale e di massa, sui social e nei media, nel quale si svolge una battaglia intorno al senso comune[4].

Tecno-autocrazia e tecno-democrazia. Tre modelli di tecnopolio digitale

Da un punto di vista “politico”, i sistemi digitali dell’infocomunicazione e della conoscenza si caratterizzano con due versioni del tecnopolio digitale, che si potrebbero definire tecno-autocrazia e tecno-democrazia[5].

Da un lato, le autocrazie dell’Internet separato controllano le sorgenti informative e le interazioni per produrre opinioni conformate in larga misura dalla propaganda (top-down): in esse dati e algoritmi servono sia a controllare i cittadini, sia a massimizzare gli affari degli operatori digitali. Dall’altro lato, i sistemi globali non regolamentati, apparentemente orizzontali e disintermediati, moltiplicano all’infinito le sorgenti informative e, mimando una verticalità bottom-up, mettono in crisi i media dell’epoca analogica che soffrono di una progressiva e costante riduzione di diffusione e di autorevolezza.

Si producono opinioni del tipo così è se mi pare, mentre datificazione e algoritmi massimizzano i bilanci di pochi operatori globali e degradano la prassi democratica. Di fatto, vi è un’enorme concentrazione di potere in capo a pochi soggetti tecnologici (privati e ibridi, ma comunque non “pubblici”) che sono spesso più grandi e più forti di Stati e governi e gestiscono informazioni e conoscenze in tutti i settori infrastrutturali ed economici. La logistica e la mobilità, la sanità, l’istruzione, la finanza, il credito, il commercio, la produzione e il consumo non possono più svolgersi senza gli apparati digitali, essenziali anche per la comunicazione, la politica, le relazioni sociali.

Diverse modalità di definizione delle regole e dei rapporti tra governi e attori tecnologici definiscono tre modelli di tecnopolio digitale: Big State (Cina), Big Tech (Stati Uniti), Big Democracy o Big Rule (Europa)[6].

1. In Cina (e più limitatamente in Russia, per la dimensione ridotta dell’economia) il tecnopolio digitale è caratterizzato dal controllo sempre più stringente del potere politico (Big State) sulle imprese tecnologiche.

2. Negli Stati Uniti, le imprese tecnologiche sono state ampiamente finanziate nel loro sviluppo da programmi governativi per diventare portatori dell’innovazione a livello globale. Ai quali si riteneva sufficiente applicare la generica disciplina di mercato e un controllo pubblico piuttosto lasca, ritenendo sufficiente l’autoregolazione o, al più, la co-regolamentazione. In tal modo, le start-up informatiche degli anni Ottanta (Microsoft e Apple) e quelle digitali dei decenni successivi (Amazon, Google, Facebook-Meta) hanno potuto crescere, non sottoposte ai vincoli tipici delle imprese editoriali, radiotelevisive e di telecomunicazioni. Sono così diventate giganti tendenzialmente monopolistici (Big Tech), dotati di un enorme potere di influenza che condiziona politica, cultura e società. In concreto, cinque gruppi tecnologici digitali (Alphabet, Amazon, Apple, Microsoft e Nvdia) quotati a Wall Street valgono circa quarto dell’intero indice di Borsa, che è quindi inevitabilmente condizionato dal loro andamento. Negli ultimi anni le Big Tech hanno acquistato centinaia di start-up che avrebbero potuto essere loro concorrenti, rendendo sempre più difficile la competizione innovativa sul mercato e la crescita di altri operatori. A fine ottobre 2023, L’Executive Order del Presidente Biden sull’intelligenza artificiale[7] ha marcato un significativo cambio di approccio, affermando l’idea che gli sviluppi tecnico-applicativi dell’intelligenza artificiale, inattesi nella loro rapidità e vastità di esiti, possano produrre vantaggi soprattutto mitigandone i pericoli. Il documento, che potrebbe essere modificato o annullato da un atto del prossimo Presidente e che quindi ha un profilo giuridico instabile, delinea uno scenario di cooperazione fra governo, settore privato, ricerca e società civile, allo scopo di definire nuovi standard di sicurezza a protezione della privacy, dell’uguaglianza e dei diritti civili, che consentano di controllare i rischi connessi alla pervasività delle applicazioni dell’intelligenza artificiale nella vita economica, sociale e politica americana. Si tratta di un passo importante, non solo per gli indirizzi e i principi specifici dell’atto, ma perché segna un significativo cambio di direzione rispetto al passato.

3. L’Europa nel digitale è un nano tecnologico con l’esclusione di alcune nicchie, seguendo la linea tracciata nel 2018 con il regolamento sulla tutela dei dati personali e nell’ampio quadro della Dichiarazione europea sui diritti e i principi digitali per il decennio digitale[8] sottoscritta da Parlamento, Consiglio e Commissione, sta diventando un gigante regolatorio (Big Rule), all’avanguardia nella elaborazione delle nuove regole per il digitale. I regolamenti sul governo dei dati (Data Governance Act e Data Act), sui servizi (Digital Services Act) e sui mercati (Digital Markets Act) stanno entrando in vigore in rapida successione e la loro efficacia dovrà essere ora provata sul campo. In particolare, l’Europa, che è il più grande mercato mondiale, cerca di dettare, con DSA e DMA, limiti al business delle piattaforme globali su servizi e mercati. Si tratta di un movimento che, in sostanza, tenta di costituzionalizzare lo spazio digitale, con un profilo economico-normativo e non politico. Un processo che coinvolge anche le applicazioni dell’intelligenza artificiale (Artificial Intelligence Act) e la trasparenza e il pluralismo nel settore dei media (European Media Freedom Act), sui quali, nel mese di dicembre 2023, Parlamento, Consiglio e Commissione europei hanno negoziato accordi che dovrebbero consentire l’approvazione di tali regolamenti entro il termine della legislatura europea (primavera 2024).

Le regole europee su servizi e mercati digitali (DSA e DMA)

Viste le dinamiche del settore digitale[9], in Europa, è maturato il consenso attorno al fatto che le norme di tutela della concorrenza nel mercato (antitrust) e le norme sulla privacy non fossero sufficienti a controllare il potere economico (e sociale) delle grandi piattaforme. Tipicamente, l’azione antitrust si esercita erogando sanzioni monetarie o imponendo lo scorporo di rami di impresa. Nel digitale, l’esperienza dimostra che l’efficacia del primo provvedimento si scontra con la lunghezza dei procedimenti e con l’enorme liquidità dei grandi operatori che sono in grado di assorbire senza difficoltà sanzioni miliardarie[10]. Il secondo provvedimento è difficile da attuare perché le imprese leader del digitale forniscono servizi (ricerca di informazioni in rete, commercio online, relazioni) quasi sempre gratuiti, attraverso organizzazioni verticali integrate, che per tipologia e dimensione, costituiscono essi stessi mercati privi di reale concorrenza, non contendibili.

Altri due elementi, cioè il fatto che gli operatori forti sono quasi tutti basati fuori dall’Europa e che le regolamentazioni nazionali non riescono ad esercitarsi sul mercato, sono stati elaborati e approvati i regolamenti europei sui servizi e sui mercati digitali. Un percorso complesso di norme regolamentari su dati, algoritmi, servizi e mercati che si poggia “costituzionalmente” sui principi stabiliti nella richiamata Dichiarazione europea sui diritti e i principi digitali e giuridicamente, come era già accaduto per il Regolamento Generale sulla Protezione dei Dati Personali (RGPD), nell’art. 114 del Trattato sul Funzionamento dell’Unione (TFUE), che consente l’adozione di misure volte ad assicurare la realizzazione e il funzionamento del mercato interno. La scelta dello strumento regolamentare consente infatti di definire norme obbligatorie armonizzate direttamente applicabili su tutto il territorio dell’Unione. Il legislatore europeo ha quindi introdotto, accanto alla disciplina antitrust, alcuni strumenti tipici della regolazione di settore, come la regolazione asimmetrica, con un sistema di vigilanza, controllo e sanzione fortemente coordinato e centralizzato.

Nell’intento di creare uno spazio digitale nel quale siano protetti i diritti fondamentali degli utenti e siano garantite condizioni di parità per le imprese che usano, a loro volta, tali servizi e piattaforme per sviluppare la propria attività. In particolare, i regolamenti sui servizi digitali (DSA) e sui mercati digitali (DMA), varati quasi negli stessi tempi, hanno lo scopo di limitare il potere di mercato ed economico dei giganti digitali e possono essere la svolta per cambiare radicalmente servizi e mercati digitali e le pratiche d’uso degli utenti digitali europei.

Carattere ed applicazioni del Digital Services Act (DSA)

Nel DSA[11], servizi è la parola chiave: l’obiettivo è infatti quello di regolare i servizi e i contenuti che vengono offerti su Internet. La disciplina si fonda su tre principi: la responsabilità, gli obblighi di diligenza degli operatori e la cooperazione fra autorità. Analogamente a quanto si vedrà per il DMA, il criterio territoriale di applicazione non è riferito al luogo di stabilimento o di residenza del prestatore di servizi, ma al luogo di stabilimento o di residenza del destinatario dei servizi, quando questo si trovi nell’Unione europea.

Il DSA aggiorna i principi della direttiva sul commercio elettronico del 2001 e impone obblighi e doveri di diligenza in capo ai prestatori di servizi digitali, diversamente profilati in relazione alla natura dei servizi prestati e alle dimensioni dei prestatori.

Due principi basilari vanno bilanciati:

  1. “ciò che è illecito offline deve essere illecito anche online”;
  • non si possono imporre ai prestatori di servizi obblighi generali di sorveglianza o di accertamento sui contenuti pubblicati da terzi sulle piattaforme, tenuto conto che i prestatori di servizi di semplice trasporto (cosiddetto mere conduit) e di memorizzazione temporanea (cosiddetto caching) sono esentati da responsabilità per le informazioni fornite da terzi che trasmettono e memorizzano.

Per le piattaforme di grandi dimensioni (con almeno 45 milioni di utenti al mese, il 10 per cento della popolazione europea) vengono introdotti obblighi asimmetrici volti a riequilibrare il potere che tale dimensione comporta.

La Commissione li designa come “una piattaforma o un motore di ricerca di dimensioni molto grandi”, mentre i prestatori di dimensioni più piccole godono di un regime di sostanziale esenzione dagli obblighi regolamentari. Comunque, gli intermediari hanno l’obbligo di istituire un punto di contatto unico per agevolare la comunicazione diretta con le autorità degli Stati membri, la Commissione e il Comitato europeo per i servizi digitali e, ove non siano stabiliti in uno Stato membro ma offrano i propri servizi nell’Unione, devono nominare un rappresentante legale nell’Unione per garantire l’efficacia della vigilanza e l’applicazione delle norme.

In ragione della loro dimensione, ventidue piattaforme online (Alibaba, AliExpress, AmazonStore, Apple, AppStore, Booking.com, Facebook, Google Play, Google Maps, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter (X), Wikipedia, YouTube, Zalando, Pornhub, Stripchat, XVideos) e due motori di ricerca (Bing e Google Search), sono state designati come tali dalla Commissione e hanno iniziato il loro percorso di adeguamento agli obblighi DSA che dovranno essere pienamente osservati da tutti a partire dal 17 febbraio 2024. Google e Microsoft hanno annunciato di aver intrapreso percorsi per l’adeguamento, TikTok ha già reso pubbliche le misure adottate, mentre Amazon ha depositato un ricorso al tribunale del Lussemburgo contestando di dover essere inclusa nell’elenco, al pari di Zalando. Meta (Facebook e Instagram) ha comunicato che gli utenti potranno tornare a vedere i contenuti in ordine cronologico e non secondo l’ordine proposto dall’algoritmo, mentre la Commissione ha contestato a X (ex Twitter) inadempienze a norma del DSA.

Entro il 17 febbraio 2024, gli Stati membri designano coordinatori nazionali dei servizi digitali (per l’Italia sarà AGCOM) e tutti gli operatori dovranno rispettare tutte le prescrizioni DSA, che sono:

moderazione dei contenuti (le piattaforme dovranno contrastare efficacemente contenuti illegali, bot e fake news. Sono previsti sistemi di ‘notifica e risposta’ per la rimozione diretta dei contenuti illegali o nocivi ed è prevista la responsabilità legale nei confronti degli utenti da parte degli operatori):

trasparenza (le condizioni di utilizzo dei servizi dovranno essere semplici e concise in tutte le lingue dei ventisette Paesi Membri dell’Unione europea. Anche l’uso degli algoritmi dovrà essere più trasparente e le piattaforme dovranno etichettare chiaramente gli annunci pubblicitari);

profilazione (gli utenti dovranno avere la possibilità di rinunciare alla profilazione e sarà vietata la pubblicità basata su dati sensibili come l’origine razziale o etnica, l’orientamento sessuale o le opinioni politiche);

tutela dei minori (i sistemi dovranno garantire un elevato livello di privacy, sicurezza e incolumità dei minori, introducendo strumenti come la verifica dell’età e il controllo parentale ed è vietato qualsiasi tipo di pubblicità mirata nei confronti dei bambini);

mitigazione del rischio e tutela della salute (le piattaforme sono chiamate a presentare piani annuali di valutazione del rischio per affrontare qualsiasi minaccia che possono rappresentare per la società, compresa la salute pubblica, e quella fisica e mentale anche dei minori);

stress test e audit (oltre alla supervisione da parte della Commissione dell’Unione europea, le piattaforme saranno sottoposte a controlli regolari da parte di organismi indipendenti).

Le sanzioni previste per chi non osserverà le prescrizioni possono arrivare al 6 per cento del fatturato annuo e, in caso di recidiva, al divieto di operare in Europa.

Il primo effetto dell’applicazione del DSA[12] è molto significativo: richiesti di dare numeri ufficiali sulla propria utenza e sulla moderazione dei contenuti, social e piattaforme sono stati decisamente prudenti e meno inclini a comunicare cifre roboanti: per l’Italia, sia LinkedIn sia X dichiarano poco più di 5 milioni di utenti attivi al mese contro gli oltre 18 milioni stimati finora, mentre Meta dichiara di averne complessivamente 36 milioni, che finora erano stimati in circa 35 milioni per Facebook e in circa 31 milioni per Instagram. I numeri più coerenti sembrano quelli di YouTube (circa 40 milioni di utenti mensili) e TikTok (circa 20 milioni di utenti mensili) ma le cifre veramente preoccupanti sono quelli dichiarati per i cosiddetti moderatori, cioè coloro che controllano i contenuti postati dagli utenti. In totale, nell’Unione europea, i moderatori dei principali social network che capiscono l’italiano sono 724 e devono moderare sei siti che mensilmente hanno circa 110 milioni di account attivi totali. Nel dettaglio, i moderatori in italiano su TikTok sono 430, 179 per le due piattaforme di Meta, 91 per YouTube, 13 per LinkedIn e appena due per X. Facendo le proporzioni, Meta ha un moderatore in grado di capire l’italiano ogni 200mila utenti, LinkedIn ne ha uno ogni 400mila, YouTube uno ogni 440mila. All’estremo superiore c’è TikTok (un moderatore ogni 46mila utenti italiani), a quello inferiore X (un moderatore ogni 2,6 milioni di utenti).

Carattere ed applicazioni del Digital Markets Act (DMA)

Mercati è la parola chiave del DMA[13], che intende regolare i rapporti fra le grandi piattaforme tecnologiche di intermediazione e coloro che operano su tali piattaforme.

Nell’ipotesi di fondo che la nuova disciplina deve affrontare la particolare configurazione delle piattaforme rispetto al mercato, perché

“a differenza delle imprese in altri settori, non competono sul mercato o per il mercato, ma sono il mercato”.

Le principali piattaforme cercano infatti di attirare il maggior numero possibile di utenti, catturandoli, e di inibire l’ingresso di operatori concorrenti,

“che vengono anzi spesso acquistati ancora prima che possano mettere in atto una dinamica concorrenziale (il caso esemplare è l’acquisto di WhatsApp e Instagram da parte di Facebook)”.

Al contrario della disciplina antitrust, il presupposto di applicazione degli obblighi per il DMA non deriva da specifici comportamenti da accertare, ma da elementi oggettivi, come la natura e la dimensione dell’operatore, che, nel regolamento, è designato con la nuova e specifica qualifica di gatekeeper[14]. Dal punto di vista dell’attività, sono considerati gatekeeper tutte le imprese che forniscono servizi di piattaforma: intermediazione online, sistemi (motori) di ricerca online, social network online, condivisione di video online, comunicazione interpersonale, sistemi operativi, browser per navigazione web, assistenti virtuali, cloud computing e pubblicitari. Sono gatekeeper le piattaforme che controllano i punti di accesso (gateway) del mercato digitale, che collegano un gran numero di operatori (utenti business delle piattaforme) con i consumatori (utenti individuali e personali), che abbiano un impatto significativo sul mercato interno e detengano una posizione consolidata e duratura o siano a breve termine in grado di acquisirla.

Dimensionalmente i gatekeeper devono avere almeno 45 milioni di utenti finali e 10 mila utenti business in Europa o avere numeri economici rilevanti: una capitalizzazione di almeno 75 miliardi di euro o un fatturato di almeno 7,5 miliardi di euro nel mercato dell’Unione europea. Questa caratterizzazione consente, per la prima volta, di mappare il mercato digitale europeo, nel tentativo di farne un mercato regolato come lo sono, da tempo, i servizi di telecomunicazioni, dell’energia o i servizi finanziari.

Chi ha una rilevante forza di mercato dovrà assolvere obblighi di apertura dei propri sistemi per consentire ad altri di poter concorrere senza svantaggi e il mercato sarà sorvegliato dalla stessa Commissione europea come regolatore unico: lo stesso assetto adottato per l’euro e per la vigilanza sulla concorrenza. In effetti, la mappatura dei gatekeeper può ricordare la logica del mercato TLC. I grandi fornitori dell’accesso alla rete vengono regolati imponendo condizioni che consentano ad altre imprese di accedere all’infrastruttura per offrire servizi senza essere svantaggiati rispetto allo stesso gatekeeper. Il 6 settembre 2023 sono stati designati i gatekeeper: Apple (con riferimento all’Appstore, al browser Safari e al sistema operativo del cellulare iOS), Google-Alphabet (che vede designati otto servizi, da Google Ads, che comprende i servizi pubblicitari, Google Maps, Google Search, Android, YouTube ad altri servizi Alphabet), Meta–Facebook (Facebook Messenger, Whatsapp e Instagram, oltre a Meta Marketplace e Meta Ads), Tiktok, Amazon (Amazon Store e Amazon Ads), Microsoft (per ora Windows e LinkedIn). Sono sotto osservazione, per Microsoft, Bing, Edge e la pubblicità e, per Apple, il sistema di messaggistica iMessage, il sistema operativo degli iPad (iPadios). Nonostante le obiezioni subito avanzate, con varie argomentazioni, da Apple, Microsoft e Meta per la designazione di gatekeeper, è avviato il processo di adeguamento agli obblighi previsti nel DMA, che dovrebbe concludersi entro il 7 marzo 2024.

Un primo obbligo per i gatekeeper, che ha lo scopo di aprire il mercato, è il divieto di combinare i dati dei diversi servizi offerti, perché si tratta di uno degli effetti di rete più pesanti. Basti pensare a quei servizi diversi, forniti dallo stesso operatore, che consentono alle grandi piattaforme di costruire un profilo complessivo dell’utente che consentono un microtargeting pubblicitario così mirato da non poter essere eguagliato da altri operatori. La combinazione non è più possibile senza il consenso dell’utente e, così, si dovrebbero aprire spazi per un’offerta alternativa di pubblicità che possa riequilibrare il mercato, oggi dominato dagli Over-the-Top (OTT).  Con la concretezza dei numeri, i dati Nielsen sul mercato pubblicitario in Italia, aggiornati a novembre 2023, dicono che la televisione raccoglie circa il 40 per cento del fatturato pubblicitario delle piattaforme, stimato a 8,2 miliardi di euro, ed è comunque sotto il comparto digitale extra OTT; mentre la raccolta della stampa, quotidiana (che ha perso un milione di copie vendute dal 2018 al 2023) e periodica, supera di poco quella della radio e vale poco più del 10 per cento della raccolta televisiva.

Un secondo obbligo a carico dei gatekeeper è la non discriminazione: questo significa che un marketplace non potrà dare più visibilità alle proprie offerte rispetto a quelle di venditori terzi che utilizzano la stessa piattaforma. Nella stessa logica, i gatekeeper non potranno impedire che l’utente business installi un appstore alternativo e indipendente da offrire all’utente finale. I gatekeeper devono ovviamente mantenere il controllo della sicurezza dei propri dispositivi, ovvero controllare che non si creino applicazioni alternative pericolose per la sicurezza.

Altro obbligo importante introdotto dal DMA riguarda l’interoperabilità dei servizi di messaggistica: ciò dovrebbe consentire a servizi alternativi di accedere all’enorme base di utenti delle applicazioni già installate e diffuse. Una sorta di portabilità del proprio profilo, che richiama la portabilità del numero tra operatori diversi di telecomunicazioni. Ovvero la possibilità di cambiare operatore senza cambiare il proprio numero, condizione essenziale per i nuovi operatori per ampliare il parco clienti.

Un altro aspetto fondamentale è quello delle acquisizioni, in particolare alle killer acquisitions che desertificano la potenziale concorrenza. In osservanza del DMA, i gatekeeper sono obbligati a notificare alla Commissione tutte le acquisizioni, senza limitarsi a quelle superiori alla dimensione minima già obbligatoria per controllare cartelli e concentrazioni. La finalità della norma intende garantire una mappatura dei movimenti di mercato per valutare al meglio cosa succede nei mercati digitali e nelle dinamiche della concorrenza.

Per l’inosservanza degli obblighi del DMA, sono previste sanzioni dal 10 per cento al 20 per cento del fatturato globale e sono possibili sanzioni di scorporo di rami societari: le stesse sanzioni previste dalle norme antitrust nel caso di reiterazione dell’abuso di posizione dominante. 

L’importanza dei dati: Data Act, Data Governance Act e la mancanza di ePrivacy

In parallelo alle regole che si occupano di servizi e mercati, ovvero degli algoritmi (ai quali si aggiungeranno le regole sugli algoritmi che apprendono, machine learning, trattati nell’AI Act), l’Unione europea ha attivato un percorso normativo anche riguardo ai dati, con i regolamenti Data Governance Act[15] e Data Act[16].

Con un significativo salto logico: come noto, i dati di carattere personale erano stati l’oggetto del Regolamento Generale sulla Protezione dei Dati Personali (RGPD, in inglese GDPR), approvato nel 2016 ed entrato in vigore nel 2018, con l’obiettivo di armonizzare su scala europea la disciplina di protezione dei dati personali: usi, scambi e trattamenti sono legittimi solo informando adeguatamente ed avendo il consenso degli interessati, mentre speciali regimi di tutela sono definiti per i dati cosiddetti sensibili. I regolamenti della classe “Data” invece hanno lo scopo di definire uno spazio europeo dei dati che, sempre più intensivamente (Big Data) vengono generati. Sia da sistemi e dispositivi digitali distribuiti negli spazi privati e pubblici (nelle case, nelle imprese, nelle città, nel territorio), sia dai sistemi gestionali delle amministrazioni pubbliche. Si tratta quindi di dati di varia natura (ambientali, climatici, di traffico, statistici, territoriali, educativi), per i quali si vogliono dare regole che ne facilitino lo scambio e l’uso (soprattutto di quelli definiti aperti, open data), consentendo la creazione di uno spazio unico europeo dei dati[17].

Il regolamento Data Act, entrato in vigore l’11 gennaio 2024, disciplina l’accesso ai dati generati mediante l’uso di prodotti e servizi, ad esempio i dati generati dai sensori e apparati, disponendo che l’utente, cioè il soggetto (persona fisica o giuridica) che possiede, affitta o noleggia un prodotto o riceve un servizio che comporta la generazione di dati, debba potervi accedere. Anche il titolare del servizio o prodotto ha il diritto di fruirne, previo accordo con l’utente. Dunque, sia chi utilizza un sensore, sia chi ha di fatto la disponibilità materiale di quei dati, perché ha installato o prodotto il dispositivo, potrà sfruttarli con l’accordo con l’utente. Tali dati possono anche, a certe condizioni, essere resi disponibili a terzi.

Il regolamento Data Governance Act, entrato in vigore il 24 settembre 2023, ha invece particolare riguardo ai dati definiti aperti (open data), definendo regole per valorizzarli e condividerli. In particolare, intende agevolare il riutilizzo dei dati degli enti pubblici e favorire la fiducia nella condivisione dei dati, introducendo il cosiddetto altruismo dei dati (data altruism), che consiste nel consenso concesso per l’uso di dati personali per finalità di interesse collettivo. Tema particolarmente rilevante per la ricerca scientifica, che dovrebbe poter utilizzare, con le opportune misure di sicurezza (nella forma di dati anonimi, cioè non re-identificabili, e di dati pseudo-anonimizzati), necessari per la ricerca (data driven) realizzata analizzando grandi quantità di dati. L’obiettivo è la promozione dei dati finanziati e prodotti con fondi pubblici a fini di ricerca scientifica, conformemente al principio «il più aperto possibile, chiuso il tanto necessario». In tale ottica, il regolamento potrebbe essere di sostegno a iniziative civiche e pubbliche di prevenzione e di cura del territorio e dell’ambiente o di monitoraggio dei contratti pubblici e dei sub-appalti (sempre opaca) in vista di obiettivi socialmente rilevanti (dalla sicurezza sul lavoro alle disuguaglianze sanitarie o educative).

A proposito dei dati intesi come elementi centrali della profilazione degli utenti in rete (datificazione), accanto ai significativi traguardi normativi presentati, conseguiti con procedimenti normativi durati anni e scontando l’ostilità delle lobby digitali, non va dimenticato il limbo pluriennale della normativa europea sulla riservatezza dei dati sui comportamenti degli utenti in rete, la cosiddetta disciplina ePrivacy. Che avrebbe dovuto essere approvata in parallelo al GDPR, ma che non ha mai visto la luce.

Una proposta di regolamento ePrivacy fu infatti presentata nel 2017 dalla Commissione e discussa dal Parlamento, ma da anni il documento rimbalza nell’agenda e non c’è possibilità che si approvi un testo regolamentare nemmeno entro la fine della presente legislatura europea. In extremis, la Commissione intende proporre una misura volontaria[18], chiamata “cookie pledge” che dovrebbe essere presentata ad aprile 2024 e comprendere misure per semplificare la vita degli utenti, stanchi di dover cliccare di continuo consensi su (banner) e pagine dedicate (cookie policy). Che vengono giudicate con fastidio e ovviamente quasi mai lette (cookie fatigue), perché si vuole visualizzare subito il contenuto che interessa.

Si tratta di un tema cruciale che incrocia le politiche sui cookie avviate dalle grandi piattaforme (prima Apple e poi Google) che impatterà sull’enorme business della pubblicità digitale.

Per esempio, sarà legittimo il sistema “pay or leave“, ovvero, “se non si vuole profilazione, si paghi qualcosa”? Adottato da vari siti editoriali e, di recente, anche da Meta, potrebbe compensare i ricavi mancati a causa dell’impraticabilità del microtargeting pubblicitario. L’iniziativa della Commissione prevede che chi propone tale opzione spieghi in che modo monetizza l’uso dei dati personali e comunque offra una terza possibilità, con una pubblicità meno invasiva. Su questo punto, alcuni editori hanno già dichiarato che non sarà economicamente sostenibile attuare questo principio, mentre il Comitato dei Garanti europei della privacy (EDPB) ha segnalato che valuterà, caso per caso, la legittimità del “pay or leave“, in modo da evitare che il diritto (di tutti) alla privacy si trasformi in un lusso per pochi.

Pregi e difetti dell’AI Act prossimo venturo

Commentando il significativo accordo politico tra Parlamento, Commissione e Consiglio del 9 dicembre 2023 che sembra aver sbloccato l’approvazione dell’AI Act, dopo le difficoltà che erano emerse, il commissario europeo al Mercato Interno Thierry Breton ha segnalato, con orgoglio, che sarebbe, nel mondo, la prima norma complessiva di regolamentazione dell’intelligenza artificiale. In preparazione da ormai quattro anni e in discussione dall’aprile 2021, il suo iter era stato complicato dall’irruzione dell’Intelligenza artificiale generativa del novembre 2022, che aveva costretto “semplicemente” i legislatori ad aggiornare la definizione stessa di intelligenza artificiale[19]. Quando ormai si disperava di poterne vederne l’approvazione prima della fine della legislatura europea, il negoziato del dicembre 2023 ha sciolto i nodi. La bozza finale di 892 pagine, informalmente resa pubblica il 21 gennaio 2024 dal giornalista Luca Bertuzzi di Euractiv, dopo incertezze dell’ultima ora, è stata approvata all’unanimità dai rappresentanti permanenti degli Stati membri dell’Unione europea (Coreper) nella riunione del 2 febbraio 2024. Con il via libera del Coreper, il negoziato sul testo è chiuso. Il voto finale del Consiglio e del Parlamento Europeo sono attesi entro aprile 2024 [20].

In linea generale, AI Act[21] ha l’obiettivo di tutelare l’integrità e i diritti dell’individuo nello sviluppo tumultuoso delle applicazioni dell’intelligenza artificiale, garantendo un bilanciamento tra innovazione e protezione e sollecitando la responsabilizzazione e l’autovalutazione degli operatori. Come noto, AI Act distingue le applicazioni di intelligenza artificiale in relazione al rischio e all’impatto che possono avere sui diritti fondamentali della persona e sulla società.

Gli obblighi più severi riguardano i sistemi ad alto rischio. In questa categoria sono inseriti anche i sistemi di intelligenza artificiale usati per influenzare l’esito delle elezioni e il comportamento degli elettori e i cittadini avranno il diritto di presentare reclami sui sistemi di intelligenza artificiale e di ricevere spiegazioni sulle decisioni basate sui sistemi ad alto rischio che hanno un impatto sui loro diritti. In ogni caso, AI Act vieterà

  • l’uso dell’intelligenza artificiale per analisi di dati biometrici sensibili; la raccolta di immagini facciali senza specifici obiettivi;
  • l’uso dell’intelligenza artificiale per riconoscere le emozioni;
  • l’uso di intelligenza artificiale per sistemi di valutazione sociale (social scoring) e a tecniche manipolative;
  • l’uso dell’intelligenza artificiale per colpire le persone più vulnerabili;
  • l’uso dell’intelligenza artificiale in sistemi di polizia predittiva.

Nell’evoluzione del provvedimento, più attenzione sembra essere stata posta ai sistemi General Purpose AI (GpAI) che includono i Large Language Models (LLM). Le applicazioni di intelligenza artificiale generativa (ChatGpt, Bard, Midjourney) dovranno essere sottoposte preventivamente a controlli su sicurezza informatica, trasparenza dei processi di addestramento e condivisione della documentazione tecnica prima di arrivare sul mercato. Dovrebbero essere previsti due livelli di obblighi per le GpAI:

  1. per tutti è prevista la pubblicazione dei materiali digitali usati per l’addestramento degli algoritmi (che dovrebbe aiutare i produttori di contenuti a difendere – o farsi riconoscere – i diritti d’autore) e l’obbligo di rendere riconoscibili – contro la disinformazione – tutti i contenuti prodotti all’ intelligenza artificiale;
  2. per i sistemi che pongono rischi sistemici, si prevedono valutazioni e strategie di mitigazione di tali pericoli e l’obbligo di comunicare alla Commissione, che si doterà di un apposito organo di vigilanza del settore, denominato AI Office, eventuali incidenti.

Dovranno essere definiti sia il raccordo con le autorità nazionali di controllo, sia i criteri di designazione di tali organismi. Per l’Italia sembra che il governo abbia l’intenzione di svolgere direttamente tale ruolo, forse attraverso l’Agenzia per l’Italia Digitale, anziché delegarla ad un’autorità indipendente. Il testo include infine misure a sostegno dell’innovazione e delle Pmi e delinea un regime di sanzioni, da 7,5 milioni o l’1,5 per cento del fatturato fino a 35 milioni di euro o il 7 per cento del fatturato globale a seconda della violazione e delle dimensioni dell’azienda.

Realisticamente, vista la velocità di evoluzione e diffusione dei sistemi di intelligenza artificiale, desta qualche perplessità il termine dei 24 mesi previsti per il pieno dispiegamento delle regole, mentre il termine di sei mesi sembra garantire a sufficienza il blocco degli usi vietati. In questo periodo, c’è un’opzione per la conformità volontaria attraverso lo strumento detto AI Pact, proposto nella fase dibattimentale della norma dal Parlamento europeo e, in particolare, sostenuto dal relatore del provvedimento, l’italiano Brando Benifei[22]:

«per evitare i problemi che abbiamo avuto con il Gdpr, promuoviamo l‘AI Pact, che sarà un accordo tra Commissione europea e imprese, istituzioni, realtà che sviluppano e utilizzano l’intelligenza artificiale, per adeguarsi alle nuove norme prima dell’entrata in vigore: sostanzialmente una compliance volontaria».

Conclusioni

Descritto questo complesso scenario regolamentare europeo, la strada di Big Rule appare ampiamente progettata e costruita in diversi anni, prima con il contributo di esperti di diverse discipline (tutte queste norme richiedono davvero competenze interdisciplinari) e poi con la decisione politica delle istituzioni europee. Ora si tratta di verificare se l’Europa e i Paesi membri avranno la capacità di applicare le regole, costringendo “i veicoli e i convogli applicativi” digitali ad usare e a rispettare i nuovi “codici della strada digitale” che è stata tracciata.

Sarà anche possibile che le regole consentano all’industria europea di incentivare campioni industriali, aggiornando il sogno che la Commissione presieduta da Jacques Delors coltivò con i progetti europei Esprit e Race alla metà degli anni Ottanta?

In una sorta di bilancio di fine mandato, ha dichiarato Thierry Breton[23]:

«Quando ho iniziato il mandato alla Commissione Europea nel 2019, ho intrapreso una missione volta a riorganizzare il nostro spazio digitale e a investire nella nostra leadership tecnologica, incluso il campo dell’intelligenza artificiale. DMA, DSA, AI Act e gli altri atti legislativi di cui sono stato promotore sono perfettamente coerenti e complementari tra di loro, espressione di un’Europa che stabilisce fin dall’inizio le regole del gioco. Con il DSA e il DMA abbiamo definito delle regole chiare affinché le grandi piattaforme online smettano di comportarsi come se fossero ‘too big to care’ (troppo grandi per preoccuparsi) […] Con l‘AI Act, abbiamo conciliato gli imperativi di sicurezza e cautela con l’innovazione. Queste legislazioni sono state adottate nonostante delle pressioni fortissime da parte delle aziende tecnologiche. […] Siamo in stretto contatto con i nostri partner internazionali in materia di intelligenza artificiale, sia attraverso le nostre partnership digitali che nei forum internazionali come il G7, il G20, l’Ocse e l’Onu. […] Con il nostro AI Act, sono fiducioso che diventeremo un punto di riferimento globale per un’intelligenza artificiale affidabile. La cooperazione con i partner internazionali rimane cruciale per affrontare la natura transfrontaliera dei rischi prodotti dall’uso dell’intelligenza artificiale, come i rischi per la sicurezza che possono coinvolgere tutti noi. Allo stesso tempo, vedo anche opportunità di collaborazione nell’utilizzo dell’intelligenza artificiale per affrontare sfide globali, come il cambiamento climatico o la salute […] Le start-up avranno l’opportunità di accedere al nostro mercato unico di 450 milioni di cittadini, con regole chiare e armonizzate. Inoltre, beneficeranno di accesso ai nostri supercomputer per l’addestramento dei loro modelli di intelligenza artificiale […] E soprattutto potranno distinguersi come pionieri nello sviluppo dell’intelligenza artificiale «alla europea»: un’intelligenza artificiale affidabile, sicura e accessibile, rispettosa dei diritti fondamentali, in linea con i valori europei e degna di fiducia sia per le imprese sia per i consumatori».

Con riferimento all’intelligenza artificiale, le parole del Commissario Breton trovano riscontro nelle diverse azioni (AI innovation package[24]) annunciate dalla Commissione europea il 24 gennaio 2024, come l’avvio dell’iniziativa denominata “fabbriche dell’intelligenza artificiale” (AI Factories), che aprirà il sistema europeo di supercalcolo alle start-up e alle piccole e medie imprese per consentire loro di sviluppare modelli, sistemi e applicazioni di intelligenza artificiale. Ha detto Margrethe Vestager, vice-presidente della Commissione con delega al digitale:

«Per sviluppare l’intelligenza artificiale serve potenza di calcolo. Per questo vogliamo dare alle PMI e alle start-up un accesso privilegiato alla rete dei supercomputer europei. Siamo impegnati nell’innovazione dell’intelligenza artificiale e nell’innovazione con l’intelligenza artificiale».

Nel pacchetto sono previsti:

  1. la creazione di AI Office all’interno della Commissione, in conformità a quanto è previsto nella bozza AI Act;
  2. un supporto finanziario ulteriore per la ricerca in intelligenza artificiale svolta nei programmi Horizon (4 miliardi di euro fino al 2027);
  3. iniziative di cooperazione e coordinamento europeo per la creazione di agglomerati di dati europei per l’addestramento dei sistemi di intelligenza artificiale; per lo sviluppo di modelli linguistici europei e per lo sviluppo di gemelli digitali utili alla gestione delle città europee;
  4. la definizione delle politiche d’uso dell’intelligenza artificiale nei servizi della Commissione (AI@EC).


[1] Il testo riprende alcuni contenuti del seminario sulle regole europee del digitale, organizzato da Compubblica, Eurovisioni e Infocivica il 23 gennaio 2024, al quale hanno partecipato Marina Caporale, Pier Virgilio Dastoli, Leda Guidi, Marco Magheri, Giacomo Mazzone, Francesco Sciacchitano e chi scrive.

[2] Pieraugusto Pozzi (a cura di), Piccolo dizionario della grande trasformazione digitale, Fano, Aras Edizioni, 2021.

[3] Neil Postman, Technopoly: la resa della cultura alla tecnologia, Torino, Bollati Boringhieri, 1993.

[4] Michele Mezza, Net-War. Ucraina: come il giornalismo sta cambiando la guerra, Roma, Donzelli, 2022.

[5] Luisa Torchia, “Regole per i giganti”, Corriere della Sera- La Lettura, 19 novembre 2023.

[6] Francesca Bria, “Digitalisation: Big Democracy to overcome Big Tech and Big State”, feps-europe.eu, 8 dicembre 2021. Cf. https://feps-europe.eu/digitalisation-big-democracy-to-overcome-big-tech-and-big-state/.

[7] The WhiteHouse, Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence 30 ottobre 2023; https://www.whitehouse.gov/briefing-room/presidential-actions/2023/10/30/executive-order-on-the-safe-secure-and-trustworthy-development-and-use-of-artificial-intelligence/.

[8] Dichiarazione europea comune di Parlamento, Consiglio e Commissione sui diritti e i principi digitali per il decennio digitale (2023/C 23/01); https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32023C0123(01),

[9] Luisa Torchia, Lo Stato digitale. Una introduzione, Bologna, il Mulino, 2023; Marco Mele, “Piattaforme responsabili. DSA e DMA. Intervista a Roberto Viola”, Prima Comunicazione, n. 538, Dicembre 2022; Stefano Carli, “L’Europa sfida i colossi dl web. DSA e DMA”, Prima Comunicazione, n. 545, Ottobre-Novembre 2023.

[10] Guido Scorza, “Big tech, 20 anni di maxi-multe non sono bastati”, Milano Finanza, 25 novembre 2023. Cf. https://gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9955759.

[11] Regolamento Ue 2022/2065 relativo a un mercato unico dei servizi digitali del 19 ottobre 2022;

https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32022R2065.

[12] Emanuele Capone, “I numeri che i social non volevano farti vedere: in Italia ci sono 724 moderatori per 110 milioni di account”, Repubblica Italian Tech, 21 novembre 2023;

https://www.repubblica.it/tecnologia/2023/11/21/news/chi_sono_i_moderatori_di_tiktok_facebook_social_network_dsa-420763183/.

[13] Regolamento Ue 2022/1925 relativo a mercati equi e contendibili nel settore digitale del 14 settembre 2022; https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32022R1925.

[14] La traduzione ufficiale del termine gatekeeper (pag, 27, articolo 1, comma 1 della versione italiana del Regolamento) è controllori dell’accesso. Correttamente, l’espressione descrive la posizione di controllo dei mercati da parte di grandi operatori, che restringono la concorrenza di altri e limitano la libertà degli utenti. Ragionando sulla migliore traduzione, con l’aiuto di Angelo Luvison, Dino Alberto Mattucci e Giacomo Mazzone, si potrebbe dire che i gatekeeper sono i controllori (o mediatori) dominanti dell’accesso ai mercati digitali.

[15] Regolamento 2022/868 del 30 maggio 2022 relativo alla governance europea dei dati;

https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32022R0868.

[16] Regolamento 2023/2854 del 13 dicembre 2023 riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo; https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=OJ:L_202302854.

[17] Giusella Finocchiaro, Oreste Pollicino, Con due proposte la Ue apre alla condivisione dei dati, importante quanto la privacy, Il Sole 24 Ore, 29 aprile 2022.

[18] Vincenzo Tiani, “Così si muove l’Europa: il timore è che la privacy diventi un lusso”, Il Sole 24 Ore, 21 gennaio 2024.

[19] Pieraugusto Pozzi, “La primavera dell’intelligenza artificiale e la bozza di regolamento europeo AI Act,” Democrazia futura, III (1), gennaio-marzo 2023, pp. 309-317.

[20] Andrea Secchi, “AI Act, via libera dagli Stati Ue”, ItaliaOggi, 3 febbraio 2024; Luigi Garofalo, “AI Act, la bozza del testo finale. I Paesi hanno poco tempo per analizzarlo e la Francia punta a modificarlo”, Key4biz, 22 gennaio 2024; https://www.key4biz.it/ai-act-la-bozza-del-testo-finale-i-paesi-hanno-poco-tempo-per-analizzarlo-e-la-francia-punta-a-modificarlo/476350/.

[21] Luca Tremolada, “Ai Act, tutto quello che sappiamo finora e qualche considerazione”, Il Sole 24Ore, 16 dicembre 2023.

[22]Pietro Deragni, “Brando Benifei al Wired Next Fest 2023:Promuoviamo l’AI Pact’”, Wired, 7 ottobre 2023; https://www.wired.it/article/brando-benifei-wired-next-fest-2023-intelligenza-artificiale-ai-pact/.

[23] Roberto Sommella, “Breton: così nascerà una big tech europea”, Milano Finanza, 23 dicembre 2023.

[24] “Commission launches AI innovation package to support Artificial Intelligence startups and SMEs (Press release)”, 24 gennaio 2024; https://ec.europa.eu/commission/presscorner/detail/en/ip_24_383.

Leggi le altre notizie sull’home page di Key4biz