Nel 2022, Didier Reynders, commissario per la Giustizia e la Tutela dei consumatori nella Commissione UE, ha annunciato che nel 2023 la Commissione UE avrebbe lavorato alla regolamentazione dei dark pattern e alla trasparenza nel mercato della pubblicità online.
Riguardo alla regolamentazione dei primi, si tratta di modelli di progettazione ingannevoli ovvero interfacce e percorsi di navigazione concepiti per influenzare l’utente, spesso sfruttando pregiudizi cognitivi, affinché intraprenda azioni inconsapevoli o non desiderate, ma convenienti per la piattaforma online.
Prestiamo attenzione alle date. Stiamo per entrare, a tappe forzate, in una fase nuova del sistema normativo europeo. Significa che, per temi ritenuti rilevanti sul fronte dei servizi digitali e del mercato digitale, i grandi player avranno come interlocutore diretto, costante e multitasking, la Commissione UE. Una fase che potremmo definire di statalismo digitale europeo, con le ambizioni e i rischi di ogni statalismo.
Ecco cosa prevede il DSA, cosa potrebbe fare la Commissione UE, quali sono gli intrecci con altre norme.
I due cavalli di battaglia del DSA
La regolamentazione dei dark pattern e la trasparenza nel mercato della pubblicità online sono due cavalli di battaglia del Regolamento 2065/2022 (UE) (DSA), con norme che riguardano tutte le piattaforme online.
Nel 2023, la Commissione UE diventerà il diretto regolatore e controllore delle più importanti categorie di intermediari di servizi digitali individuate dal DSA: le piattaforme online di dimensioni molto grandi (“Vlops”) e i motori di ricerca di dimensioni molto grandi (“Vloses”).
Lo scorso 25 aprile 2023 la Commissione UE ha dato attuazione all’art. 33 del DSA, designando quali Vlops diciassette piattaforme (Alibaba AliExpress, Amazon Store, Apple AppStore, Booking.com, Facebook, Google Play, Google Maps, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, Wikipedia, YouTube, Zalando) e quali VLOSES due motori di ricerca (Bing e Google Search).
Ai sensi dell’art. 92 del DSA, questi diciassette Vlops e questi due Vloses dovranno adeguarsi al DSA entro quattro mesi da quando tale designazione gli è stata notificata (quindi, entro fine agosto 2023). Altri player via via qualificati come Vlops e Vloses
dovranno fare lo stesso entro quattro mesi dalla notifica della designazione da parte della Commissione UE.
Invece, per gli altri ISP comprese le piattaforme online non qualificabili come Vlops, il DSA sarà applicabile dal 17 febbraio 2024.
Vlops e Vlose
Questa categoria dei Vlops e Vloses contiene al suo interno, fra gli altri, grandissimi player che sono fornitori di core platform services (servizi di piattaforma essenziali come gli assistenti virtuali, i sistemi operativi, i servizi pubblicitari, di intermediazione online, di cloud computing, di comunicazione interpersonale, di condivisione video, nonché i motori di ricerca e i browser web).
Superano inoltre soglie rilevantissime definite dal Regolamento 1925/2022 (UE) (“DMA”) di presenza sul mercato, di capillarità di erogazione di core platform services sul territorio europeo e di numerosità di utenti attivi nell’Unione Europea.
Oltre ad essere Vlops o Vloses ai sensi del DSA, nel settembre 2023 saranno designati
dalla Commissione UE come gatekeepers del mercato digitale ai sensi del DMA e dal marzo 2024 dovranno applicare il DMA, che prevede anch’esso per la Commissione UE poteri di persuasione, inibizione, coercizione, controllo, sanzione.
I prossimi passi Ue su dark pattern e
trasparenza nel mercato della pubblicità
Ciò che già in questo 2023 la Commissione UE inizierà a fare con Vlops e Vloses su dark pattern e trasparenza nel mercato della pubblicità online potrebbe anticipare la linea che dal marzo 2024 seguirà nei confronti di coloro fra essi che saranno designati gatekeepers del mercato digitale.
L’approccio iniziale della Commissione UE alla regolamentazione dei due temi sarà dunque interessante non solo in sé – per lo specifico argomento -, ma anche perché ci darà la misura dello stile che questa Commissione UE potrebbe seguire come controparte diretta dei grandi player (per lo più statunitensi) dell’economia digitale mondiale.
Dalla fine di agosto 2023 i Vlops e Vloses dovranno adeguarsi all’intero pacchetto di norme del DSA e cioè:
- quelle che valgono per tutti gli ISP, indipendentemente dal servizio di intermediazione digitale che erogano e dalle loro dimensioni;
- quelle che valgono per piattaforme online, Vlops e Vloses (fra cui, appunto, divieto di dark patterns e trasparenza della pubblicità online);
- quelle che valgono solo per Vlops e Vloses. Pertanto, Vlops e Vloses saranno i primi destinatari di indirizzi e controlli della Commissione UE su due temi che dal 17 febbraio 2024 riguarderanno tutte le piattaforme online.
Cosa prevede il DSA
Secondo il considerando (67) del DSA, i dark pattern distorcono o compromettono in misura rilevante, intenzionalmente o di fatto, la capacità dei destinatari del servizio di compiere scelte o decisioni autonome e informate e possono essere utilizzati per convincere i destinatari del servizio a adottare comportamenti indesiderati o decisioni indesiderate che abbiano conseguenze negative per loro.
Obiettivo del DSA è impedire alle piattaforme online di ingannare i destinatari del servizio o di distorcerne o limitarne l’autonomia e il processo decisionale, o ancora di condizionare la scelta dei destinatari del servizio attraverso la struttura, la progettazione o le funzionalità di un’interfaccia online o di una parte della stessa.
D’altra parte, dice il considerando (67), va salvaguardata la possibilità per le piattaforme online di interagire direttamente con i destinatari dei servizi e di offrire loro servizi nuovi o aggiuntivi. Le pratiche legittime e conformi al diritto europeo (per esempio nel campo della pubblicità) non dovrebbero essere considerate di per sé
dark pattern.
L’art. 25 del DSA vieta espressamente ai fornitori di piattaforme online di progettare, organizzare o gestire le loro interfacce online in modo tale da ingannare o manipolare i destinatari dei loro servizi o da falsare materialmente o da compromettere altrimenti la capacità dei destinatari dei loro servizi di prendere decisioni libere e informate.
In base all’art. 52 del DSA, l’entità delle sanzioni per violazione di questo divieto (come delle altre norme) sarà decisa dagli Stati membri. Tuttavia, le norme statali dovranno definire soglie edittali che le rendano effettive, proporzionate e dissuasive. L’importo massimo potrà essere pari al 6% del fatturato annuo mondiale del fornitore di servizi intermediari interessato nell’esercizio finanziario precedente.
Cosa prevede la norma
La norma prevede che la Commissione UE può emanare orientamenti su pratiche specifiche, in particolare:
- attribuire maggiore rilevanza visiva ad alcune scelte quando si richiede al destinatario del servizio di prendere una decisione;
- chiedere ripetutamente che un destinatario del servizio effettui una scelta laddove tale scelta sia già stata fatta, specialmente presentando pop-up che interferiscano con l’esperienza dell’utente;
- rendere la procedura di disdetta di un servizio più difficile della sottoscrizione dello stesso.
Il primo punto si riferisce a pratiche di nascondimento di informazioni su un servizio ottenute usando un carattere minuscolo o colori a basso contrasto o inserendo informazioni chiave in un luogo oscuro.
Il secondo punto fa pensare ai tantissimi pop-up con inserti pubblicitari da cui non riusciamo a uscire quando navighiamo. Il terzo punto sembra invece cucito addosso al servizio a pagamento Prime di Amazon Store, dove fino al 2022 l’iter per disiscriversi era decisamente più lungo e meno intuitivo di quello per iscriversi. Dunque, nei prossimi mesi, arriveranno orientamenti della Commissione UE sulle pratiche vietate dal (e punibili ai sensi del) DSA.
Tre pratiche specifiche: dove non vale il divieto dei dark pattern
Oltre a indicare tre pratiche specifiche – pur senza escluderne altre –, all’art. 25.2 il DSA chiarisce espressamente che il divieto dei dark pattern non vale per pratiche qualificabili come scorrette verso i consumatori ai sensi della direttiva 2005/29/CE o come infrazioni del GDPR. Queste restano contrastabili e punibili ai sensi delle rispettive discipline. In realtà, né il GDPR né la normativa sulle pratiche scorrette verso
i consumatori contengono una definizione di dark pattern. Tuttavia, per questi ambiti disciplinari, c’è stato in tempi recenti a livello europeo un poderoso lavoro classificatorio e interpretativo.
La protezione dei dati personali
Le Linee guida del Comitato Europeo (EDPB) del 24 febbraio 2023 sui modelli di progettazione ingannevoli nelle interfacce dei social media hanno individuato un’ampia serie di casistiche, fornito numerosissimi esempi (spesso, illustrati), ed indicato un elenco di buone pratiche.
L’EDPB raccomanda ai gestori dei social di astenersi da comportamenti come:
- porre gli utenti di fronte a una grande quantità di richieste, informazioni, opzioni o possibilità al fine di indurli a condividere più dati personali o consentire involontariamente il trattamento degli stessi (overloading);
- usare interfacce realizzate in modo che gli utenti dimentichino o non riflettano su aspetti legati alla protezione dei propri dati (skipping); influenzare gli utenti facendo appello alle loro emozioni o usando immagini d’impatto (stirring);
- ostacolare o bloccare gli utenti nel processo di informazione sull’uso dei propri dati o nella gestione delle proprie scelte (obstructing);
- avvalersi di interfacce poco chiare nell’indicare gli scopi del trattamento dei dati personali, che possono indurre a un consenso non valido (flickle);
- dotarsi di interfacce progettate in modo da nascondere agli utenti le informazioni e gli strumenti di controllo della privacy (leftinthedark).
La protezione dei consumatori
Il 29 dicembre 2021 la Commissione UE ha pubblicato una Guida sull’interpretazione e sull’applicazione della direttiva 2005/29/CE con una sezione (la 4.2.7) su pratiche
data-driven e dark patterns. Le pratiche manipolative possono includere l’oscuramento visivo di informazioni importanti o la loro sistemazione nello spazio in modo da promuovere un’opzione specifica (ad esempio un pulsante molto visibile, un altro nascosto; un percorso molto lungo, un altro più breve), nonché l’uso di domande trabocchetto e di un linguaggio ambiguo per confondere il consumatore.
Inoltre, far leva su emozioni per indurre i consumatori a compiere una determinata scelta – o per distoglierli dal compierla – potrebbe costituire una pratica commerciale aggressiva ai sensi della direttiva 2005/29/CE. Fra gli esempi offerti dalla Guida, timer che servono a creare urgenza nei consumatori affermando falsamente che un prodotto sarà disponibile solo per un periodo di tempo molto limitato. Anche la Guida qualifica
come pratica scorretta il rendere la procedura di disdetta di un servizio più difficile della sottoscrizione dello stesso, portando come esempio il “confirmshaming”, in cui il consumatore viene invitato reiteratamente, senza giustificazione motivata, a riconsiderare la propria scelta attraverso una manipolazione emotiva (“Ci dispiace vederti andare via”, “Ecco i vantaggi che perderai”) e “interferenze visive”, come immagini in evidenza che lo incoraggiano a continuare con l’abbonamento invece di
annullarlo.
Dark pattern: nozione fluida
Da questa ricognizione, emerge che la nozione di dark pattern è fluida, e che potrebbe non essere semplice comprendere quando la competenza a reprimere la pratica è della Commissione UE ai sensi del DSA (se compiuta da una VLOP o da un VLOSE), del Coordinatore dei servizi digitali ai sensi del DSA (se compiuta da una piattaforma online), dell’Autorità di controllo in materia di protezione dei dati personali ai sensi del
GDPR o dall’Autorità di controllo in materia di pratiche scorrette verso i consumatori (in Italia, l’AGCM), ai sensi della legge attuativa della direttiva 2005/29/CE (in Italia, il Codice del consumo).
Tanto più che a questo articolato quadro regolatorio si aggiunge il DMA. Dal marzo 2024, i gatekeeper (strettamente sorvegliati dalla Commissione UE) non potranno indulgere alla presentazione non neutrale delle scelte dell’utente finale o a qualsiasi utilizzo della struttura, della funzione o del modo di funzionamento di un’interfaccia o di parte di essa per sovvertire o compromettere l’autonomia, il processo decisionale o la
scelta dell’utente.
La trasparenza nella pubblicità online
L’altro tema su cui la Commissione UE ha annunciato un intervento per il 2023 è la trasparenza nella pubblicità online, oggetto di disciplina nell’art. 26 del DSA. Questa norma prevede che i fornitori di piattaforme online che presentano pubblicità sulle loro interfacce online provvedano affinché, per ogni singola pubblicità presentata a ogni singolo destinatario, i destinatari del servizio siano in grado di identificare in modo chiaro, conciso, inequivocabile e in tempo reale:
- la natura pubblicitaria dell’informazione (anche attraverso contrassegni visibili);
- l’ente per conto della quale viene presentata la pubblicità;
- l’ente che paga per la pubblicità, se diverso da quello al punto due;
- informazioni rilevanti direttamente e facilmente accessibili dalla pubblicità relative ai parametri utilizzati per determinare il destinatario al quale viene presentata la pubblicità e, laddove applicabile, alle modalità di modifica di detti parametri.
Inoltre, i fornitori di piattaforme online devono mettere a disposizione dei destinatari del servizio una funzionalità che consente di dichiarare se i contenuti che forniscono siano o contengano comunicazioni commerciali.
L’obiettivo del DSA
Lo scopo del DSA è fare in modo che gli utenti delle piattaforme online siano in grado di riconoscere che un contenuto ha natura pubblicitaria prima della visualizzazione o contestualmente alla visualizzazione.
Dunque, il contrassegno deve trovarsi in una posizione ben visibile, in caratteri chiari e di dimensioni sufficientemente grandi, deve contenere parole univoche come “pubblicità” o “promozione commerciale”, deve essere chiaro su chi è l’inserzionista, deve chiarire perché il contenuto è mostrato a quello specifico utente, permettendogli di settare in modo diverso i parametri che lo hanno incluso nel target e di non
visualizzarlo più.
Per comprendere il senso della norma, torna nuovamente utile la Guida della Commissione UE sull’interpretazione e sull’applicazione della direttiva 2005/29/CE del 29 dicembre 2021. La Commissione osserva che alcune piattaforme possono presentare maggiori rischi per la pubblicità nascosta, dato che gli elementi commerciali sono mescolati con contenuti generati dagli utenti. Inoltre, i consumatori potrebbero non essere sempre consapevoli del fatto che i professionisti utilizzano i social media per scopi di marketing.
La pubblicità – dice la Commissione UE – non può essere occulta. Al contrario, deve essere palese.
L’art. 44 del DSA
L’art. 44 del DSA attribuisce alla Commissione UE il compito di promuove – tramite i competenti organismi di normazione europei (come il Comitato Europeo Normazione, o “CEN”) e internazionali (come l’ISO) – lo sviluppo e l’attuazione di norme volontarie fra l’altro, in tema di misure tecniche che consentano il rispetto degli obblighi sanciti dall’art. 26 in materia di pubblicità, compresi quelli riguardanti i contrassegni ben
visibili.
Conclusioni
Agli albori di internet, si parlava di netiquette. Poi, sono state varate norme, sono state prodotte interpretazioni, sicché tutte le possibili varianti della slealtà commerciale o comunicativa sono state messe a fuoco in linee guida e altri documenti ufficiali. In termini di contenuto, il DSA non aggiunge molto.
Probabilmente, la vera novità è nel “chi” può indirizzare e controllare i grandi player. Sarà un organo politico (la Commissione UE) a farlo. L’Unione Europea del nostro tempo ritiene che la netiquette non possa più essere frutto di autodisciplina individuale o di settore, ma che debba soggiacere a standard e controlli.
