Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

conformita alle norme ue

Big Tech e Gdpr: obblighi ignorati, solo le multe funzionano

Home Mercati digitali
Partecipa al dibattito
Indirizzo copiato

Le norme europee impongono responsabilizzazione a titolari e fornitori di servizi digitali, ma le piattaforme internazionali mostrano scarsa sensibilità verso obblighi contrattuali e diritti fondamentali. Solo le sanzioni pecuniarie sembrano indurre cambiamenti comportamentali nelle Big Tech

Pubblicato il 17 feb 2026
Roberto Marchiori

Esperto in transizione digitale, privacy e trattamento documentale

big tech norme ue (1)

Le norme comunitarie tracciano un perimetro in cui titolari, fornitori e deployer sono chiamati a forme di responsabilizzazione.

Sovranità normativa contro asimmetria operativa

Questa sovranità normativa si scontra con una realtà asimmetrica. Gli obblighi di trasparenza verso le autorità e i doveri di sorveglianza diventano scogli insormontabili quando i fornitori di sistemi IA e servizi cloud risiedono oltreoceano.

AI, lo scontro Big Tech ed Europa sulle regole: i punti chiave

Questi colossi, spesso criticati per un’adesione minima a requisiti di sicurezza e privacy e sembrano operare come poteri extra-ordinamentali.

L’esperienza recente insegna che la sensibilità di queste piattaforme verso i diritti fondamentali o gli obblighi contrattuali è limitata, a meno che non entrino in gioco le sanzioni pecuniarie. Pensiamo alle multe record inflitte ad Apple (98,6 milioni), X (120 milioni) o l’accordo milionario di Amazon con il fisco italiano che forse dimostrano solo il linguaggio delle ammende sembrano avere il potere di scalfire la discrezionalità delle Big Tech.

Sanzioni record alle piattaforme: i casi emblematici

La cronaca si occupa prevalentemente di servizi al grande pubblico. Pur non direttamente significativi per le organizzazioni e le Pubbliche Amministrazioni, si tratta di casi rappresentativi di come i grandi operatori rispondono.

La Commissione Europea ha inflitto a X (ex Twitter) una sanzione di 120 milioni di euro per violazioni sistemiche del DSA. I punti critici includono il design ingannevole delle “spunte blu“, che suggeriscono una verifica dell’identità in realtà assente, e un archivio pubblicitario opaco che nasconde chi finanzia i messaggi. Viene inoltre contestato il blocco dell’accesso ai dati per i ricercatori, l’opacità degli algoritmi e la gestione carente di contenuti illegali, come incitamenti alla violenza o deepfake. Apple è stata sanzionata dall’Antitrust italiana per quasi cento milioni di euro per abuso di posizione dominante.

L’azienda ha imposto agli sviluppatori terzi la policy ATT (App Tracking Transparency), obbligandoli a un “doppio consenso” oltre al già esistente ATT (App Tracking Transparency) che riduce drasticamente i loro ricavi pubblicitari. Contemporaneamente, Apple ha riservato a sé stessa un trattamento di favore, utilizzando identificatori proprietari meno restrittivi per i propri servizi pubblicitari.

Meta affronta una doppia pressione legale. La Commissione Europea contesta il modello “Pay or Consent, ritenendo che non offra una reale alternativa gratuita rispettosa della privacy. Parallelamente, su ricorso di Max Schrems, una sentenza della Corte Suprema austriaca ha stabilito che Meta deve garantire agli utenti l’accesso completo a tutti i dati, incluse fonti e destinatari, dichiarando illecito il tracking senza consenso esplicito per finalità pubblicitarie.

Come ultimo esempio, Amazon, che ha siglato un accordo con l’Agenzia delle Entrate italiana versando mezzo miliardo di euro di euro per chiudere una contestazione su una frode fiscale legata all’evasione dell’IVA da parte di venditori terzi. Sebbene l’accordo offra un forte sconto rispetto ai 3 miliardi inizialmente ipotizzati dalla Procura, la magistratura prosegue le indagini sui manager coinvolti.

Il caso Cloudflare e le strategie di conformità

In questi giorni domina il caso Cloudflare, importante operatore che non pubblica direttamente siti e contenuti ma gioca un ruolo cruciale nella filiera tecnica tra cui security, DNS (Domain Name Server, trovare velocemente un sito), CDN (Content Delivery Network, mettere velocemente a disposizione i contenuti) e reverse proxy (tecnologia di sicurezza che può essere usata anche per offuscare le fonti dei contenuti). Nel momento in cui scrivo (14/01/2026) sta proseguendo il battibecco tra Cloudflare e vari attori italiani.

Cloudflare si dichiara vittima di censura ma mi limito a ricordare che, senza richiamare il DSA (Digital Services Act), in anni recenti è stata accusata di supportare reti di dichiarata disinformazione (8chan, Kiwi Farms etc).

Circostanze parzialmente diverse riguardano Microsoft e Google che sono state oggetto di pesanti indagini antitrust. Entrambe offrono ampi servizi di collaboration a organizzazioni pubbliche e private e, in seguito alle sanzioni, hanno optato per offrire maggiore interoperabilità tramite strategie di conformità anticipata, come lo sminuzzamento dei prezzi e il supporto all’AI Act, per mitigare il rischio di multe basate sul fatturato globale.

Problemi pratici per organizzazioni e responsabili del trattamento

Le organizzazioni che utilizzano sistemi dei grandi operatori internazionali devono affrontare diversi problemi pratici. Il problemi si acuiscono quando i grandi operatori vengono nominati responsabili del trattamento ai sensi del GDPR.

I problemi possono essere i più diversi. Il più comune riguarda la trasparenza e l’informazione. Spesso le informazioni fornite dagli operatori sono eccessivamente lunghe e articolate che finiscono per nascondere i concetti significativi. Talvolta succede il contrario dove le informazioni sono eccessivamente semplificate e generiche tali da offuscare le reali intenzioni degli operatori.

Più nello specifico, un problema comune è la forma e il tempo del consenso. Spesso gli operatori impongono a organizzazioni e utenti determinati trattamenti invitandoli a deselezionare le parti non desiderate. I dati personali trattati possono avere natura differente ma – questo è il punto – comprendono anche i dati comportamentali che sono fondamentali per segmentare i clienti a cui successivamente fare indirizzare messaggi pubblicitari. Il consenso successivo, chiamato opt out, normalmente è vietato. Al riguardo il GDPR è molto chiaro nel richiedere che il consenso venga prestato in forma chiara solo prima del trattamento.

Valutazioni di impatto e accountability preventiva

Sia le piattaforme “normali” sia quelle potenziate dall’intelligenza artificiale in generale rientrerebbero nei casi in cui gli operatori sono obbligati a svolgere preventivamente valutazioni di impatto sui diritti e le libertà fondamentali. Si tratti di DPIA (Data Protection Impact Assessment) o di FRIA (Fundamental Rights Impact Assessment), la valutazione andrebbe svolta preventivamente in accountability.

Coerenza sanzionatoria e linguaggio delle ammende

Questi casi recenti sono emblematici per almeno due aspetti. In primo luogo dimostrano una certa coerenza degli organi nazionali ed europei nel perseguire gli illeciti di grandi operatori internazionali. Secondariamente, le sanzioni pecuniarie riguardano situazioni diverse e diverse norme tra cui spicca ovviamente il DSA (Digital Services Act) e il GDPR ma pare che siano solo le sanzioni a suscitare risposte dai grandi operatori.

Il mosaico normativo europeo: GDPR, DSA, DMA e AI Act

A livello dell’Unione, le norme che riguardano gli operatori Ict sono parecchie e intrecciate. Pur sostanzialmente convergenti nella protezione di diritti e libertà, spesso sono di complessa applicazione. Per questo motivo molte sono oggetto di revisione nell’ambito di un più ampio progetto di semplificazione chiamato “Digital Compact” (che a sua volta presenta aspetti critici).

Nell’ambito dei diritti e delle libertà fondamentali delle persone fisiche, il GDPR (General Data Protection Regulation, Regolamento Ue 2016/679) occupa una posizione centrale. Regola la circolazione dei dati personali che deve essere basata su consenso o su altri cinque casi specifici.

L’interessato, cioè la persona a cui i dati si riferiscono, deve prestare il consenso in modo chiaro solo dopo esser stato informato su natura e finalità del trattamento. Va da sé che difficilmente questo succede, nè l’interessato ha cognizione di quali siano i suoi dati personali, nè chi li tratta, nè perchè, nè a chi verranno trasmessi e per farci cosa. Chi tratta i dati è tenuto alla responsabilizzazione che comporta non solo il rispetto formale dei principi del GDPR ma di comprovare concretamente tale conformità. Non basta aderire passivamente alle norme: occorre adottare misure tecniche e organizzative proattive, documentandole per dimostrare l’efficacia delle tutele adottate. Le violazioni comportano sanzioni fino a 20 milioni di euro o, se imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente. Soluzione minima sarebbe non considerare i grandi operatori come responsabili del trattamento e considerarli come titolari autonomi.

DSA, DMA e AI Act: obblighi e sanzioni

Tra le altre norme rientra il DSA (Regolamento UE 2022/2065) contrasta disinformazione e contenuti illegali applicandosi a intermediari come social e marketplace. Le piattaforme con oltre 45 milioni di utenti, definite VLOP o VLOSE, sono soggette a obblighi rigorosi riguardo trasparenza e gestione dei rischi. Tra questi giganti Facebook o Google Maps a cui sanzioni fino al 6% del fatturato annuo mondiale rischiano di essere estremamente dannose.

Parallelamente, il DMA (Regolamento UE 2022/1925) limita lo strapotere dei “gatekeeper” per garantire mercati equi, impedendo loro di favorire i propri servizi a danno della concorrenza. In questo caso, le sanzioni per inosservanza possono raggiungere il 20% del fatturato globale. Non va dimenticato l’AI ACT (Regolamento Ue 2024/1689) che è strutturato sul rischio per le persone e prevede sanzioni dall’1 al 7% del fatturato. Nel corso del 2025 l’enforcement non è stato attivato ma possiamo ragionevolmente aspettarci qualcosa per quest’anno.

Asimmetria informativa e difficoltà di scelta

Lato imprese, la selezione degli operatori è ostacolata da un’asimmetria informativa strutturale. Il titolare deve scegliere fornitori capaci di garantire la conformità, ma l’opacità algoritmica e contrattuale delle Big Tech impedisce una valutazione reale dei rischi. Senza trasparenza, la responsabilità di sorveglianza diventa un onere formale privo di controllo effettivo.

Cittadini europei e complessità normativa

Lo stesso succede anche ai cittadini europei ma in forma aggravata visto che, anche quando il cittadino volesse affrontare norme e contratti (e non lo fa quasi mai) si trova ad affrontare un linguaggio normativo astruso e complesso che richiederebbe ore di analisi anche per i tecnici.

Ciò impedisce ai clienti di valutare appieno i rischi, come il lock-in digitale, dove la dipendenza tecnica diventa politica.

Sovranità digitale e concentrazione del mercato

Ovviamente centrale è la sovranità digitale di cui tanto si parla è centrale. Pensiamo al caso di Karim Ahmad Khan, procuratore della Corte Penale Internazionale (CPI) a cui, in seguito alle sanzioni statunitensi contro la CPI legate alle indagini su Israele, Microsoft ha disattivato l’account istituzionale. Khan ha successivamente optato per openDesk, una piattaforma open source sviluppata dal Centro tedesco per la Sovranità Digitale (ZenDiS).

È un problema per tutti. Accanto ai cittadini imprese e istituzioni pubbliche almeno in teoria avrebbero gli strumenti conoscitivi e negoziali per operare scelte informate. Come noto il mercato è dominato da pochi attori in regime di monopolio o oligopolio. Questa scarsità di alternative reali, unita all’opacità algoritmica dei fornitori, espone il mercato a rischi di concentrazione e rende quasi impossibile una migrazione d’emergenza verso fornitori sovrani o europei.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

M
Roberto Marchiori
Esperto in transizione digitale, privacy e trattamento documentale
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • disconessione strategica (1) interdipendenza tecnologica

  • autonomia strategica

    Governare l’interdipendenza: ecco la vera sovranità tecnologica UE

    09 Feb 2026

    di Marco Bacini

    Condividi
  • ue privacy (1) G7 Privacy 2025 DSA e GDPR

  • nuove linee guida

    DSA-GDPR: l'Edpb indica le regole di convivenza

    15 Set 2025

    di Federica De Stefani

    Condividi
  • dazi trump sovranità europea

  • lo scenario

    Dazi Trump, così l'Europa può sopravvivere e innovare

    04 Apr 2025

    di Stefano da Empoli

    Condividi
0
Lascia un commento, la tua opinione conta.x