Categorie principali
Altre categorie
Network Maggioli
    Registrarsi conviene

    Tanti vantaggi subito accessibili

  • 1

    Download gratuito dei tuoi articoli preferiti in formato PDF

  • 2

    Possibilità di sospendere la pubblicità dagli articoli del portale

  • 3

    Iscrizione al network dei professionisti

  • 4

    Ricevi le newsletter con le nostre Rassegne fiscali

La prima sanzione europea a X sotto il DSA: 120 milioni di euro e un messaggio molto chiaro

Il 5 dicembre 2025 la Commissione europea ha imposto a X una sanzione per violazione di tre obblighi fondamentali del Digital Services Act  (DSA)

Scarica PDF Stampa

Il 5 dicembre 2025 la Commissione europea ha imposto a X — la piattaforma già nota come Twitter — una sanzione da 120 milioni di euro per violazione di tre obblighi fondamentali del Digital Services Act (Reg. UE 2022/2065). È la prima multa dell’UE comminata ai sensi del DSA nei confronti di una “Very Large Online Platform” (VLOP), e ciò la rende un precedente di grande rilievo, non solo sul piano sanzionatorio ma soprattutto sul versante politico-regolatorio: da oggi, il DSA non è più un sofisticato impianto normativo potenziale — è un apparato attivo e vigile.
Al di là dell’entità economica, relativamente contenuta rispetto al massimale del 6% del fatturato globale, la decisione segna l’ingresso dell’Europa in una fase di enforcement effettivo delle regole sulla trasparenza e sulla responsabilità algoritmica. E a essere coinvolta è una delle piattaforme più discusse del decennio, un laboratorio vivente di esperimenti sui modelli di verifica dell’identità, sulla moderazione minimalista e sull’esposizione pubblicitaria.
Vediamo nel dettaglio quali obblighi sono stati violati, perché la Commissione ha colpito proprio questi aspetti, e quali ricadute si profilano per il diritto europeo dei servizi digitali — e, inevitabilmente, per gli operatori del mercato italiano. In materia consigliamo il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon, e, per la formazione del professionista, il Master in Cybersecurity e compliance integrata.

Indice

1. Il design ingannevole della “spunta blu”: quando l’etichetta vale più del contenuto


La prima e più discussa violazione riguarda la celebre “spunta blu”.
Il nuovo modello introdotto da X consente agli utenti di ottenere il badge tramite abbonamento, senza alcuna verifica dell’identità, sostituendo un meccanismo di attestazione dell’autenticità con un servizio premium a pagamento.
Per la Commissione, questo schema contrasta con il divieto di pratiche ingannevoli di cui agli articoli 25 e 23 del DSA: il badge non è più una garanzia, ma un simbolo commerciale che induce l’utente medio a ritenere affidabile un account che potrebbe non esserlo. Si crea così una distorsione cognitiva immediata: la piattaforma suggerisce implicitamente che il contenuto pubblicato sia proveniente da una fonte verificata, mentre in realtà il badge indica soltanto il pagamento di un abbonamento.
Giuridicamente, siamo davanti al cuore del DSA: la tutela della capacità di giudizio dell’utente, che si fonda su segnali di interfaccia non manipolativi, chiari e non fuorvianti.
O, detta in termini più diretti: se una piattaforma offre un simbolo di autorevolezza senza autorevolezza, deve aspettarsi che l’UE reagisca. In materia consigliamo il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon.

VOLUME

NIS 2 ed Evoluzione della Cybersicurezza Nazionale

Il volume offre una ricostruzione completa e aggiornata della Direttiva NIS 2 e del suo recepimento nel D.Lgs. 4 settembre 2024, n. 138, mettendoli in relazione con l’architettura della cybersicurezza nazionale, il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN) e le più recenti riforme europee in materia.Curato da Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri, con contributi di dirigenti ACN e prefazione del Direttore Generale Bruno Frattasi, il testo unisce in un’unica guida quadro teorico, prassi applicativa e impatti operativi per soggetti essenziali e importanti. – Quadro normativo europeo “all-in-one”Dalla NIS 1 alla NIS 2, passando per Cybersecurity Act, DORA, Direttiva CER, Cyber Resilience Act e Cyber Solidarity Act, il volume ricostruisce in modo sistematico la strategia UE sulla cybersicurezza e la colloca nel contesto del mercato digitale e delle infrastrutture critiche.- Focus sull’ambito di applicazione e sull’autovalutazione NIS 2Una sezione dedicata aiuta a capire se e come si rientra tra i soggetti essenziali o importanti, illustrando le eccezioni, i poteri di ACN e proponendo un vero e proprio strumento di autovalutazione (giurisdizione, dimensione, tipologia di soggetto).- Requisiti minimi e misure di sicurezza spiegati punto per puntoAmpio commento alle misure di gestione del rischio informatico per soggetti essenziali e importanti, con analisi della determinazione ACN 14 aprile 2025 n. 164179 e delle misure di sicurezza di base (governance, asset, gap analysis, rafforzamento dell’assetto di cybersicurezza, gestione incidenti).- Protezione dei dati personali, domini e obblighi di notificaIntegrazione tra NIS 2, disciplina privacy e gestione dei data breach: procedure di notifica, ruolo dei nomi a dominio, sinergie e possibili sovrapposizioni tra i diversi regimi di segnalazione.- Governance aziendale e responsabilità degli organi di gestioneCapitoli dedicati ai doveri dell’organo di gestione in materia di cybersicurezza, alle responsabilità degli amministratori e degli organi direttivi e alla necessità di strutture interne dedicate (referente per la cybersicurezza, ruoli chiari, accountability).- Condivisione delle informazioni e notifiche degli incidenti al CSIRT ItaliaAnalisi degli obblighi di divulgazione coordinata delle vulnerabilità, degli accordi di condivisione delle informazioni, della rete CSIRT nazionale e delle nuove regole sulla notifica degli incidenti (soggetti obbligati, eventi da notificare, termini, tassonomia cyber, sanzioni ed esenzioni).- Crittografia e transizione post-quantumApprofondimento sul rafforzamento delle misure di sicurezza dei dati tramite crittografia, sul Centro Nazionale di Crittografia, sulle linee guida ACN e Garante Privacy e sui rischi della futura “rottura crittografica” nell’era quantistica, con indicazioni operative per la transizione post-quantum.- Vigilanza ACN, ispezioni e sanzioniCommento ai poteri di monitoraggio e valutazione della conformità dell’ACN, alle verifiche e ispezioni, agli esiti delle attività di controllo e alle misure di esecuzione. Il volume illustra inoltre la funzione delle sanzioni nel quadro della cybersicurezza europea, i criteri di proporzionalità e gli strumenti deflativi del contenzioso.- Cooperazione nazionale, CSIRT e gestione delle crisiTrattazione del ruolo dei CSIRT, del sistema delle autorità di settore NIS, del Tavolo NIS, del Quadro nazionale di gestione delle crisi informatiche e dei meccanismi di coordinamento tra ACN, Procura nazionale antimafia e antiterrorismo, polizia giudiziaria, servizi di informazione e autorità UE (gruppo di cooperazione NIS, EU-CyCLONe).- Riforma dei reati informatici e del D.Lgs. 231/2001Una parte finale è dedicata alle modifiche al codice penale e al codice di procedura penale (accesso abusivo, danneggiamento informatico, estorsione tramite reati informatici, truffa, intercettazioni, testimoni e collaboratori di giustizia) e all’aggiornamento del catalogo dei reati presupposto ex D.Lgs. 231/2001. Perché non puoi farne a meno oraCon l’entrata in vigore del D.Lgs. 138/2024 e delle più recenti determinazioni dell’Agenzia per la Cybersicurezza Nazionale, oltre 20.000 entità pubbliche e private sono già coinvolte dagli obblighi NIS 2, con impatti diretti su governance, misure di sicurezza, notifiche di incidente e sanzioni.Questo volume fornisce il quadro completo e operativo per impostare o rivedere il proprio modello di compliance, ridurre il rischio di non conformità e presentarsi preparati a verifiche, ispezioni e richieste informative. Acquista ora “NIS 2 ed evoluzione della cybersicurezza nazionale” e utilizza la guida per mappare correttamente i tuoi obblighi, adeguare processi e controlli interni e trasformare la conformità NIS 2 da adempimento formale a leva strategica di sicurezza e affidabilità per la tua organizzazione.

 

Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri | Maggioli Editore 2025

34.20 €

Scopri di più

2. L’archivio pubblicitario opaco: quando la trasparenza manca proprio dove serve


Seconda violazione: la piattaforma non garantiva un ad repository conforme, come richiesto dagli articoli 39 e seguenti.
In particolare, la Commissione ha rilevato:

  • impossibilità di identificare con chiarezza chi finanziava le campagne pubblicitarie;
  • assenza o incompletezza delle informazioni sulle categorie di destinatari e sui criteri di targeting;
  • un livello di accessibilità insufficiente per consentire verifiche esterne efficaci.

Per un sistema democratico, questa non è una mancanza marginale.
La trasparenza sugli annunci è lo strumento che permette di comprendere se circolano campagne di disinformazione, inserzioni politiche mascherate, oppure dinamiche di micro-targeting ad alto rischio. L’archivio pubblicitario è, nel DSA, ciò che il registro degli interessi è per il lobbying: un presidio essenziale per valutare chi influenza chi.
L’assenza di un repository accessibile non è solo una carenza tecnica: è una violazione strutturale della responsabilità della piattaforma verso lo spazio informativo europeo.

3. Accesso negato ai dati per i ricercatori: l’art. 40 DSA non è un optional


Terza contestazione: X non ha fornito ai ricercatori indipendenti un accesso adeguato ai dati pubblici necessari per indagare fenomeni come disinformazione, manipolazione algoritmica, diffusione di contenuti borderline.
Questa è una delle innovazioni più avanzate del DSA: l’art. 40 riconosce il valore della ricerca scientifica indipendente come strumento di vigilanza esterna.
Non si tratta di una richiesta generica di apertura dei dati, ma di un processo regolato:

  • su richiesta di ricercatori qualificati;
  • con finalità di analisi dei rischi sistemici;
  • sotto supervisione dell’Autorità competente.

Negare o rendere eccessivamente complesso questo accesso significa impedire alla comunità scientifica di svolgere il proprio ruolo di controllo, e ostacolare la trasparenza degli algoritmi e dell’ecosistema informativo.
In un mondo dominato da sistemi di ranking, reti neurali e dinamiche di amplificazione ancora in parte opache, il legislatore europeo ha scelto di introdurre un contrappeso epistemico: la scienza come garanzia di accountability.

Potrebbero interessarti anche:

4. La sanzione: perché 120 milioni e non il 6% del fatturato?


La multa da 120 milioni, pur significativa, è molto lontana dal massimale previsto dal DSA.
Perché?
Perché il sistema sanzionatorio del DSA è costruito su criteri di:

  • proporzionalità rispetto alla gravità della violazione;
  • durata dell’inadempimento;
  • numero di utenti coinvolti nell’Unione;
  • cooperazione o meno della piattaforma durante l’istruttoria.

Qui la Commissione ha scelto una cifra che unisce fermezza e prudenza: abbastanza alta da segnare un precedente, ma non tale da sembrare una misura punitiva esemplare sproporzionata rispetto allo stadio iniziale dell’enforcement.

5. Obblighi di conformità: 60 giorni, 90 giorni, e poi le sanzioni periodiche


Alla decisione si accompagnano precise scadenze operative:

  • entro 60 giorni lavorativi: X deve comunicare come intende rendere conforme il sistema di verifica (“spunta blu”);
  • entro 90 giorni lavorativi: occorre presentare un piano completo per l’adeguamento dell’archivio pubblicitario e per garantire l’accesso ai dati ai ricercatori;
  • in caso di ritardi o inadempimenti, la Commissione può imporre sanzioni periodiche di mora, uno strumento molto incisivo che può raggiungere il 5% del fatturato giornaliero.

Il DSA non lascia margini a soluzioni cosmetiche: vuole modifiche reali, strutturali, documentate e monitorabili.

6. Implicazioni giuridiche: cosa cambia davvero per il diritto dei servizi digitali


a) La trasparenza diventa un obbligo sostanziale, non un adempimento formale
La decisione conferma che la trasparenza — sugli algoritmi, sulle interfacce, sulla pubblicità — è un principio strutturale del diritto europeo. Non basta “informare”: occorre non ingannare e non confondere.
b) Il principio di non-manipolazione dell’interfaccia sale di rango
Con il caso “spunta blu”, la Commissione ribadisce che anche la scelta estetica o grafica di un simbolo può costituire una pratica ingannevole.
Le interfacce sono strumenti normativi impliciti: ciò che sembra una questione di design, per il DSA, è materia giuridica a tutti gli effetti.
c) L’apertura dei dati alle ricerche diventa un pilastro dell’ecosistema digitale europeo
La decisione dà concreta applicazione all’art. 40 DSA, segnalando che l’Europa intende affidare alla comunità scientifica un ruolo di vigilanza complementare a quello delle autorità.
Si tratta di una rivoluzione silenziosa ma profonda: la trasparenza non è solo verso gli utenti, ma anche verso la scienza.
d) Il DSA entra nella fase dell’enforcement effettivo
Fino a oggi abbiamo discusso molto della struttura del regolamento; da oggi, discutiamo della sua applicazione concreta.
E ciò impatterà immediatamente:

  • team legali delle piattaforme;
  • DPO;
  • responsabili marketing;
  • aziende che gestiscono campagne online;
  • ricercatori che utilizzeranno gli accessi previsti dal DSA.

7. Perché questo caso riguarda anche l’Italia


Perché il DSA si applica pienamente anche ai servizi digitali utilizzati in Italia, e perché molte aziende italiane:

  • acquistano pubblicità su piattaforme VLOP;
  • usano strumenti di targeting;
  • sviluppano prodotti digitali che devono essere conformi agli obblighi di trasparenza;
  • operano come fornitori intermedi.

Inoltre, la decisione segna un precedente che i tribunali nazionali e le Autorità (Agcom, Garante Privacy quando rileva l’intersezione con il GDPR) terranno inevitabilmente in considerazione.

8. Conclusioni: un precedente che riscrive il rapporto tra piattaforme e diritto europeo


La sanzione a X è molto più di un episodio isolato: è il primo colpo di martello di un modello regolatorio nuovo, che mira a ridurre l’asimmetria di potere informativo tra piattaforme e utenti, tra algoritmi e democrazia, tra mercato e diritti fondamentali.
Il DSA non si limita a “limitare i danni” delle piattaforme: pretende che esse assumano un ruolo di responsabilità sistemica. Per le piattaforme, il tempo della sperimentazione incontrollata è finito. Per i giuristi, il tempo dell’interpretazione comincia adesso.

Formazione in materia per professionisti


Master in Cybersecurity e compliance integrata
Il Master, giunto alla II edizione, è un percorso formativo avanzato pensato per imprese e pubbliche amministrazioni, professionisti, DPO, responsabili IT, compliance officer e consulenti legali che operano nel settore della sicurezza informatica e della governance normativa delle tecnologie digitali.
L’obiettivo del programma è fornire una visione sistematica, integrata e aggiornata della normativa europea e italiana in materia di cybersicurezza, affrontando in chiave applicativa i principali riferimenti normativi, dalle Direttive NIS alla nuova regolamentazione dei sistemi di intelligenza artificiale, passando per i regolamenti complementari e le linee guida e le ultime Determinazioni dell’ACN.
Attraverso un approccio teorico-pratico, il master esplora:
• L’evoluzione della strategia europea di cybersicurezza.
• L’impianto della Direttiva NIS 2 e il D.lgs. 138/2024, con approfondimento su soggetti obbligati, misure tecniche e regimi sanzionatori.
• Il Perimetro nazionale di sicurezza cibernetica e la Legge n. 90/2024 come strumenti di difesa strategica dello Stato.
• Le interazioni con normative chiave come il GDPR, il Cybersecurity Act, il Digital Operational Resilience Act (DORA) e il Cyber Resilience Act (CRA).
• Il nuovo AI Act, che disciplina lo sviluppo, l’uso e il controllo dei sistemi di intelligenza artificiale in Europa.
• Le responsabilità aziendali e degli amministratori, la governance interna della cybersicurezza e le strategie di compliance integrata.
Il percorso è arricchito da esempi pratici, simulazioni di audit, check list operative e riferimenti normativi aggiornati, utili per implementare con efficacia le disposizioni di legge nei diversi contesti organizzativi.
>>>Per info ed iscrizioni<<<

Ti interessano questi contenuti?


Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!

Iscriviti alla newsletter
Iscrizione completata

Grazie per esserti iscritto alla newsletter.

Seguici sui social


Avv. Luisa Di Giacomo

Laureata in giurisprudenza a pieni voti nel 2001, avvocato dal 2005, ho studiato e lavorato nel Principato di Monaco e a New York.
Dal 2012 mi occupo di compliance e protezione dati, nel 2016 ho conseguito il Master come Consulente Privacy e nel 2020 ho conseguito il titolo…Continua a leggere

Scrivi un commento

Accedi per poter inserire un commento

Leggi anche
Privacy e Cybersecurity
Australia, social e minori: il divieto under-16 come esperimento legislativo globale?

L’Australia introduce il divieto assoluto ai social per gli under-16: un esperimento legislativo glo…

Luisa Di Giacomo 05/12/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Chat control: gli sviluppi più recenti e le novità introdotte

Dopo l’ampio dibattito sulla proposta originaria nota come “Chat Control”, gli ultimi mesi hanno seg…

Luisa Di Giacomo 02/12/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Conservazione dei dati biometrici: la Corte UE chiarisce i limiti

La Corte UE si pronuncia su raccolta e conservazione dei dati biometrici e genetici da parte della p…

Lorena Papini 24/11/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Cloudflare va in blackout e il web inciampa: la fragilità dell’infrastruttura digitale

Un blackout globale Cloudflare il 18 novembre 2025 ha reso instabili servizi web in tutto il mondo, …

Luisa Di Giacomo 21/11/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;