Digital Service Act, la legge sui servizi digitali


Nel Fedro di Platone, Socrate diceva che la scrittura era una minaccia per la cultura perché a un libro non si possono fare domande. A Socrate mancava Internet. (Luciano De Crescenzo). Chissà cosa direbbe oggi Socrate…
Le informazioni sono divenute torrenti, fiumi, inondazioni inarrestabili e siamo divenuti incapaci di dominarle, di memorizzarle e di valutare se siano o non siano di buona qualità” (Eugenio Borgna). Il pensiero non può che correre alla sicurezza dei servizi digitali.
Un tema sempre caldo, un terreno spesso scivoloso e impervio per coloro – professionisti e cittadini – che quotidianamente frequentano la rete per ragioni ludiche, professionali, commerciali ecc. Come si rispettano i doveri e come si tutelano i diritti online?
Il 23 aprile 2022 tra il Consiglio e il Parlamento europeo è stato siglato un accordo politico provvisorio riguardante la legge sui servizi digitali, il Digital Service Act. Che cosa è, cosa cambierà, come verrà applicato, dove?
Ne abbiamo parlato con l’Avvocata Marisa Marraffino del Foro di Milano esperta in privacy e reati informatici.

Avvocata Marraffino, nel dicembre 2020 la Commissione europea ha presentato due proposte legislative, la legge sui servizi digitali e la legge sui mercati digitali. Il 24 marzo 2022 è stato sancito un accordo politico provvisorio tra il Consiglio e il Parlamento e il 23 aprile 2022 si è siglato un accordo politico provvisorio riguardante la legge sui servizi digitali.
Lei ha affermato che è arrivata con qualche anno di ritardo, perché? Si poteva arrivare prima a questo traguardo?

È un accordo importante che ha l’ambizione di rafforzare le tutele per gli utenti dei social network, quindi sicuramente si poteva fare prima. Non è un punto di arrivo, ma di partenza che lascia agli Stati membri molti spazi sui quali intervenire. Anche in Italia ci auguriamo che il legislatore voglia finalmente accendere un faro sui diritti degli utenti dei social network. Oggi ci sono ancora molte lacune e le tutele per gli utenti non sono sempre semplici né efficaci. I tempi sono maturi per una normativa uniforme a livello mondiale, non soltanto europeo, visto che internet non ha confini.
Siamo decisamente in ritardo, visto che il principale social network quest’anno è diventato maggiorenne. Facebook venne creato ufficialmente il 4 febbraio del 2004. Oggi scontiamo ancora lo scotto di questo ritardo normativo, dato che i social hanno un peso, anche politico, diverso rispetto al passato ed è più difficile legiferare.
Al di là dei buoni propositi e delle petizioni di principio, occorrerebbe la reale volontà di cambiare le cose. La storia recente ha dimostrato che i tentativi di “trattare” con le piattaforme non hanno portato a risultati soddisfacenti, da qui l’intervento tardivo del legislatore.

Una norma, che consente di sancire il principio secondo cui ciò che è illegale offline deve esserlo anche online, che mira a proteggere lo spazio digitale e a garantire la protezione dei diritti fondamentali degli utenti.
Quale sarà l’impegno di ciascun Paese?

IL DSA sarà direttamente applicabile in tutti gli Stati membri e prevede misure di sistema per evitare che vengano veicolati contenuti illeciti o pericolosi in Rete. Tendenzialmente non servirà a risolvere il singolo caso segnalato dall’utente ma a evitare che violazioni di massima possano verificarsi, implementando le misure di sicurezza e anche preventive.
Le piattaforme con più di 45 milioni di utenti avranno oneri aggiuntivi, come quello di predisporre ogni anno una valutazione del rischio per evitare la diffusione di contenuti illegali, la profilazione dei minorenni e in generale la manipolazione degli utenti.
Ogni Stato membro dovrà nominare un coordinatore digitale, che potrà essere un’autorità già esistente o una nuova, che dovrà poi interfacciarsi con le piattaforme ma anche con la Commissione europea. Per le violazioni commesse da piattaforme con oltre 45 milioni di utente le decisioni in merito a eventuali sanzioni, che potranno arrivare fino al 6% del fatturato annuo globale o addirittura fino al divieto di operare nel mercato unico dell’UE in caso di ripetute e gravi violazioni, saranno prese a livello centrale dalla Commissione europea.

Come si potrà creare concretamente un ambiente online più sicuro?
La prevenzione da sola non basta, occorre implementare l’attuale impianto normativo per garantire reale efficacia alle norme esistenti. Oggi l’80% delle querele per diffamazione in Italia vengono archiviate perché non si riesce a identificare chi si muove dietro a un nickname. Le piattaforme non collaborano e spesso non rispondono neppure alle richieste dei pubblici ministeri. L’obbligo di collaborare con le autorità dovrebbe essere considerato una prestazione obbligatoria ai sensi del d.lgs. 259/2003, come modificato dal d.lgs. 207/2021. L’attuale impunità fa sì che oggi chiunque possa svegliarsi un giorno, creare un account con un nome di fantasia e con quell’account creare vari profili social dai quali insultare e far proliferare discorsi d’odio.
Anche negli Stati Uniti la libertà d’espressione non è assoluta, su questo punto tutti i paesi del mondo dovrebbero trovare una disciplina comune per cooperare e creare davvero una Rete sicura.

Come saranno definite le responsabilità per le piattaforme (social media, mercati online…)?
Intanto per i siti di e-commerce scatterà l’obbligo di identificare i venditori e gli inserzionisti pubblicitari.
Bisognerà vedere, poi, in concreto in che modo le piattaforme riusciranno a raggiungere l’obiettivo di mitigare il rischio di condivisione dei contenuti illeciti. Di sicuro la moderazione dei contenuti dovrà essere più trasparente ed equa. Ci saranno nuovi doveri di due diligence, le responsabilità saranno amministrative.

Sfide digitali come ad esempio quelle della disinformazione, dell’illegalità dei prodotti, dell’incitazione all’odio e alla violenza, come potranno essere gestite con questa nuova norma?
Le piattaforme dovranno nominare un responsabile che dovrà verificare costantemente la conformità al Digital Services Act e collaborare coi coordinatori dei servizi digitali di ogni stato membro e con la Commissione europea.
Sulla carta si tratta di norme importanti che però di fatto potrebbero essere di molto ridimensionate.
Molti discorsi di odio, addirittura contenuti pedopornografici oggi circolano via chat sfruttando la crittografia end to end. Qui è difficile intervenire, soprattutto in via preventiva.
L’Unione europea però ha presentato una bozza di regolamento che imporrebbe ai fornitori di servizi di messaggistica e anche email di utilizzare ogni strumento possibile, anche attraverso algoritmi automatici, per impedire che vengano condivisi contenuti pedopornografici.
E’ da anni che lavoriamo in Italia su questi temi, con Terre des Hommes lo scorso 10 maggio abbiamo presentato a Palazzo Chigi una proposta di legge che aiuterebbe molto la tutela delle vittime dei reati informatici. Ci auguriamo che ci sia una reale volontà di lavorare su questi temi perché non c’è più tempo da perdere. La legge deve andare di pari passo con la tecnologia che ormai ha dimostrato di avere a disposizione gli strumenti per tutelare di più le vittime.

La sorveglianza e la trasparenza dei dati come potranno essere garantite?
Intanto, tramite un sistema di comunicazione più semplice con le piattaforme. Chiunque sia vittima di diffamazione online sa quanto sia difficile interloquire con i social network e i motori di ricerca, che dovrebbero mettere a disposizione di tutti, inquirenti compresi, canali per contatti diretti e validi anche ai fini delle notifiche.
Oggi le cause civili contro le piattaforme sono complesse, costose e costringono le vittime a notifiche internazionali cartacee, illogiche e anacronistiche. Quelle penali, come detto, si arenano spesso prima di identificare i responsabili.

Ciò che è illegale offline deve esserlo anche online: per i professionisti della salute come si sostanzierà questo e, in questa direzione la sicurezza dei cittadini che ai professionisti si rivolgono anche online?
I professionisti della salute hanno già molti obblighi, dettati su tutti dal Gdpr. Se commettono delle violazioni sono i primi a pagarne le conseguenze. Le misure di sicurezza per i dati sanitari sono molto rigorose e prevedono rigidi sistemi di controllo. Poi però spesso sono i pazienti stessi a condividere sui social network i propri dati sanitari. Chi cura rubriche sulla salute ad esempio dovrebbe inserire avvertenze di rischio specifiche per avvisare i lettori di non condividere dati che potrebbero renderli identificabili e che poi potrebbero essere indicizzati dai motori di ricerca. I dati sanitari dei pazienti poi devono essere salvati su data base separati da quelli anagrafici in modo da non consentire l’identificazione del paziente anche in caso di data breach. Se poi è lo stesso paziente a pubblicare sui social network la propria cartella clinica allora questa è una questione culturale sulla quale c’è ancora molto da lavorare.

Come sarà garantita l’attuazione efficace e uniforme degli obblighi della legge sui servizi digitali?
Il DSA da solo non basterà, occorreranno anche norme nazionali e internazionali oltre a un cambiamento culturale importante.
Faccio un esempio: la legge da sola non basta se poi le persone ancora oggi hanno paura di denunciare.
Capita anche nei casi più gravi. Di recente mi sono occupata di una condivisione tramite WhatsApp di contenuti pedopornografici in una chat di classe tra studenti di 12 anni. Venivano condivisi contenuti raccapricciati. Su venti genitori circa a denunciare sono stati soltanto in due mentre gli altri hanno minimizzato o addirittura hanno “invitato” gli altri genitori a desistere.

Marina Vanzetta
14 giugno 2022

STAMPA L'ARTICOLO