La prima sanzione europea a X sotto il DSA: 120 milioni di euro e un messaggio molto chiaro

Il 5 dicembre 2025 la Commissione europea ha imposto a X — la piattaforma già nota come Twitter — una sanzione da 120 milioni di euro per violazione di tre obblighi fondamentali del Digital Services Act (Reg. UE 2022/2065). È la prima multa dell’UE comminata ai sensi del DSA nei confronti di una “Very Large Online Platform” (VLOP), e ciò la rende un precedente di grande rilievo, non solo sul piano sanzionatorio ma soprattutto sul versante politico-regolatorio: da oggi, il DSA non è più un sofisticato impianto normativo potenziale — è un apparato attivo e vigile.
Al di là dell’entità economica, relativamente contenuta rispetto al massimale del 6% del fatturato globale, la decisione segna l’ingresso dell’Europa in una fase di enforcement effettivo delle regole sulla trasparenza e sulla responsabilità algoritmica. E a essere coinvolta è una delle piattaforme più discusse del decennio, un laboratorio vivente di esperimenti sui modelli di verifica dell’identità, sulla moderazione minimalista e sull’esposizione pubblicitaria.
Vediamo nel dettaglio quali obblighi sono stati violati, perché la Commissione ha colpito proprio questi aspetti, e quali ricadute si profilano per il diritto europeo dei servizi digitali — e, inevitabilmente, per gli operatori del mercato italiano. In materia consigliamo il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon, e, per la formazione del professionista, il Master in Cybersecurity e compliance integrata.

1. Il design ingannevole della “spunta blu”: quando l’etichetta vale più del contenuto

La prima e più discussa violazione riguarda la celebre “spunta blu”.
Il nuovo modello introdotto da X consente agli utenti di ottenere il badge tramite abbonamento, senza alcuna verifica dell’identità, sostituendo un meccanismo di attestazione dell’autenticità con un servizio premium a pagamento.
Per la Commissione, questo schema contrasta con il divieto di pratiche ingannevoli di cui agli articoli 25 e 23 del DSA: il badge non è più una garanzia, ma un simbolo commerciale che induce l’utente medio a ritenere affidabile un account che potrebbe non esserlo. Si crea così una distorsione cognitiva immediata: la piattaforma suggerisce implicitamente che il contenuto pubblicato sia proveniente da una fonte verificata, mentre in realtà il badge indica soltanto il pagamento di un abbonamento.
Giuridicamente, siamo davanti al cuore del DSA: la tutela della capacità di giudizio dell’utente, che si fonda su segnali di interfaccia non manipolativi, chiari e non fuorvianti.
O, detta in termini più diretti: se una piattaforma offre un simbolo di autorevolezza senza autorevolezza, deve aspettarsi che l’UE reagisca. In materia consigliamo il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon.

2. L’archivio pubblicitario opaco: quando la trasparenza manca proprio dove serve

Seconda violazione: la piattaforma non garantiva un ad repository conforme, come richiesto dagli articoli 39 e seguenti.
In particolare, la Commissione ha rilevato:

• impossibilità di identificare con chiarezza chi finanziava le campagne pubblicitarie;
• assenza o incompletezza delle informazioni sulle categorie di destinatari e sui criteri di targeting;
• un livello di accessibilità insufficiente per consentire verifiche esterne efficaci.

Per un sistema democratico, questa non è una mancanza marginale.
La trasparenza sugli annunci è lo strumento che permette di comprendere se circolano campagne di disinformazione, inserzioni politiche mascherate, oppure dinamiche di micro-targeting ad alto rischio. L’archivio pubblicitario è, nel DSA, ciò che il registro degli interessi è per il lobbying: un presidio essenziale per valutare chi influenza chi.
L’assenza di un repository accessibile non è solo una carenza tecnica: è una violazione strutturale della responsabilità della piattaforma verso lo spazio informativo europeo.

3. Accesso negato ai dati per i ricercatori: l’art. 40 DSA non è un optional

Terza contestazione: X non ha fornito ai ricercatori indipendenti un accesso adeguato ai dati pubblici necessari per indagare fenomeni come disinformazione, manipolazione algoritmica, diffusione di contenuti borderline.
Questa è una delle innovazioni più avanzate del DSA: l’art. 40 riconosce il valore della ricerca scientifica indipendente come strumento di vigilanza esterna.
Non si tratta di una richiesta generica di apertura dei dati, ma di un processo regolato:

• su richiesta di ricercatori qualificati;
• con finalità di analisi dei rischi sistemici;
• sotto supervisione dell’Autorità competente.

Negare o rendere eccessivamente complesso questo accesso significa impedire alla comunità scientifica di svolgere il proprio ruolo di controllo, e ostacolare la trasparenza degli algoritmi e dell’ecosistema informativo.
In un mondo dominato da sistemi di ranking, reti neurali e dinamiche di amplificazione ancora in parte opache, il legislatore europeo ha scelto di introdurre un contrappeso epistemico: la scienza come garanzia di accountability.

Potrebbero interessarti anche:

• Il primo “segnalatore attendibile” in Italia: implicazioni del Digital Services Act
• L’UE e la regolamentazione degli algoritmi di raccomandazione: le sfide del Digital Services Act

4. La sanzione: perché 120 milioni e non il 6% del fatturato?

La multa da 120 milioni, pur significativa, è molto lontana dal massimale previsto dal DSA.
Perché?
Perché il sistema sanzionatorio del DSA è costruito su criteri di:

• proporzionalità rispetto alla gravità della violazione;
• durata dell’inadempimento;
• numero di utenti coinvolti nell’Unione;
• cooperazione o meno della piattaforma durante l’istruttoria.

Qui la Commissione ha scelto una cifra che unisce fermezza e prudenza: abbastanza alta da segnare un precedente, ma non tale da sembrare una misura punitiva esemplare sproporzionata rispetto allo stadio iniziale dell’enforcement.

5. Obblighi di conformità: 60 giorni, 90 giorni, e poi le sanzioni periodiche

Alla decisione si accompagnano precise scadenze operative:

• entro 60 giorni lavorativi: X deve comunicare come intende rendere conforme il sistema di verifica (“spunta blu”);
• entro 90 giorni lavorativi: occorre presentare un piano completo per l’adeguamento dell’archivio pubblicitario e per garantire l’accesso ai dati ai ricercatori;
• in caso di ritardi o inadempimenti, la Commissione può imporre sanzioni periodiche di mora, uno strumento molto incisivo che può raggiungere il 5% del fatturato giornaliero.

Il DSA non lascia margini a soluzioni cosmetiche: vuole modifiche reali, strutturali, documentate e monitorabili.

6. Implicazioni giuridiche: cosa cambia davvero per il diritto dei servizi digitali

a) La trasparenza diventa un obbligo sostanziale, non un adempimento formale
La decisione conferma che la trasparenza — sugli algoritmi, sulle interfacce, sulla pubblicità — è un principio strutturale del diritto europeo. Non basta “informare”: occorre non ingannare e non confondere.
b) Il principio di non-manipolazione dell’interfaccia sale di rango
Con il caso “spunta blu”, la Commissione ribadisce che anche la scelta estetica o grafica di un simbolo può costituire una pratica ingannevole.
Le interfacce sono strumenti normativi impliciti: ciò che sembra una questione di design, per il DSA, è materia giuridica a tutti gli effetti.
c) L’apertura dei dati alle ricerche diventa un pilastro dell’ecosistema digitale europeo
La decisione dà concreta applicazione all’art. 40 DSA, segnalando che l’Europa intende affidare alla comunità scientifica un ruolo di vigilanza complementare a quello delle autorità.
Si tratta di una rivoluzione silenziosa ma profonda: la trasparenza non è solo verso gli utenti, ma anche verso la scienza.
d) Il DSA entra nella fase dell’enforcement effettivo
Fino a oggi abbiamo discusso molto della struttura del regolamento; da oggi, discutiamo della sua applicazione concreta.
E ciò impatterà immediatamente:

• team legali delle piattaforme;
• DPO;
• responsabili marketing;
• aziende che gestiscono campagne online;
• ricercatori che utilizzeranno gli accessi previsti dal DSA.

7. Perché questo caso riguarda anche l’Italia

Perché il DSA si applica pienamente anche ai servizi digitali utilizzati in Italia, e perché molte aziende italiane:

• acquistano pubblicità su piattaforme VLOP;
• usano strumenti di targeting;
• sviluppano prodotti digitali che devono essere conformi agli obblighi di trasparenza;
• operano come fornitori intermedi.

Inoltre, la decisione segna un precedente che i tribunali nazionali e le Autorità (Agcom, Garante Privacy quando rileva l’intersezione con il GDPR) terranno inevitabilmente in considerazione.

8. Conclusioni: un precedente che riscrive il rapporto tra piattaforme e diritto europeo

La sanzione a X è molto più di un episodio isolato: è il primo colpo di martello di un modello regolatorio nuovo, che mira a ridurre l’asimmetria di potere informativo tra piattaforme e utenti, tra algoritmi e democrazia, tra mercato e diritti fondamentali.
Il DSA non si limita a “limitare i danni” delle piattaforme: pretende che esse assumano un ruolo di responsabilità sistemica. Per le piattaforme, il tempo della sperimentazione incontrollata è finito. Per i giuristi, il tempo dell’interpretazione comincia adesso.

Formazione in materia per professionisti

Master in Cybersecurity e compliance integrata
Il Master, giunto alla II edizione, è un percorso formativo avanzato pensato per imprese e pubbliche amministrazioni, professionisti, DPO, responsabili IT, compliance officer e consulenti legali che operano nel settore della sicurezza informatica e della governance normativa delle tecnologie digitali.
L’obiettivo del programma è fornire una visione sistematica, integrata e aggiornata della normativa europea e italiana in materia di cybersicurezza, affrontando in chiave applicativa i principali riferimenti normativi, dalle Direttive NIS alla nuova regolamentazione dei sistemi di intelligenza artificiale, passando per i regolamenti complementari e le linee guida e le ultime Determinazioni dell’ACN.
Attraverso un approccio teorico-pratico, il master esplora:
• L’evoluzione della strategia europea di cybersicurezza.
• L’impianto della Direttiva NIS 2 e il D.lgs. 138/2024, con approfondimento su soggetti obbligati, misure tecniche e regimi sanzionatori.
• Il Perimetro nazionale di sicurezza cibernetica e la Legge n. 90/2024 come strumenti di difesa strategica dello Stato.
• Le interazioni con normative chiave come il GDPR, il Cybersecurity Act, il Digital Operational Resilience Act (DORA) e il Cyber Resilience Act (CRA).
• Il nuovo AI Act, che disciplina lo sviluppo, l’uso e il controllo dei sistemi di intelligenza artificiale in Europa.
• Le responsabilità aziendali e degli amministratori, la governance interna della cybersicurezza e le strategie di compliance integrata.
Il percorso è arricchito da esempi pratici, simulazioni di audit, check list operative e riferimenti normativi aggiornati, utili per implementare con efficacia le disposizioni di legge nei diversi contesti organizzativi.
>>>Per info ed iscrizioni<<<

Ti interessano questi contenuti?

Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!