Il Digital Services Act (DSA) e il Digital Markets Act (DMA) sono regolamenti dell'UE che stabiliscono nuove regole obbligatorie per i fornitori di servizi online e le potenti piattaforme di "gatekeeper" per garantire la sicurezza degli utenti e l'equità dei mercati. Sebbene redatti a Bruxelles, la loro portata è globale: qualsiasi azienda che si rivolga agli utenti dell'UE deve rispettarli o rischiare multe fino al 6% – e, per i gatekeeper recidivi, fino al 20% – del fatturato mondiale. Con la piena applicazione del DSA già in atto e i primi report di conformità del DMA attesi entro pochi mesi, i consigli di amministrazione e i team di prodotto hanno poco tempo per capire quali cambiamenti siano necessari.
Questa guida fa chiarezza sul gergo legale. Troverete definizioni chiare, confronti affiancati, date chiave e una checklist dettagliata che traduce gli articoli statutari in azioni pratiche per il personale tecnico, legale e addetto alla conformità. Continuate a leggere per scoprire come il nuovo regolamento influisce sulla vostra attività e cosa fare in seguito.
Il nuovo regolamento digitale dell'UE in sintesi
Bruxelles non ha redatto il Digital Services Act (DSA) e il Digital Markets Act (DMA) separatamente. Insieme, costituiscono il fondamento di un pacchetto di riforme più ampio, volto a rilanciare l'economia online dell'UE dopo due decenni di dominio incontrollato delle piattaforme e di applicazione frammentaria.
Perché l'UE ha introdotto il DSA e il DMA
- Il predominio delle Big Tech ha messo in luce i punti deboli del diritto della concorrenza: i singoli casi antitrust hanno richiesto anni, mentre i gatekeeper continuavano a crescere.
- I contenuti illegali (propaganda terroristica, merci contraffatte) attraversano senza problemi i confini nazionali e la direttiva sul commercio elettronico del 2000 prevedeva poco più di una semplice notifica e rimozione.
- I politici volevano rafforzare i diritti fondamentali (si pensi alla libertà di espressione e alla tutela dei consumatori) senza imporre un monitoraggio generale.
- Dal punto di vista politico, le due normative sono considerate la spina dorsale di un mercato unico digitale affidabile, in grado di competere con gli Stati Uniti e la Cina.
Posizione all'interno della più ampia strategia digitale dell'UE
La DSA e la DMA si trovano accanto, non sopra, ad altri gruppi di punta:
- GDPR → dati personali
- NIS2 → sicurezza informatica
- Data Act → condivisione dei dati industriali
- AI Act → algoritmi ad alto rischio
- Direttiva sul lavoro tramite piattaforma → diritti dei lavoratori autonomi
Ogni legge affronta un diverso ambito di rischio; l'applicazione è condivisa tra le autorità di regolamentazione nazionali e la Commissione europea per evitare sovrapposizioni e consentire al contempo indagini congiunte.
Obiettivi e principi di alto livello
| Obiettivo | Vantaggio pratico per utenti e PMI |
|---|---|
| Trasparenza dei sistemi e degli annunci | Meno disinformazione, acquisti consapevoli |
| Responsabilità per contenuti illegali | Rimozione più rapida di truffe e discorsi d'odio |
| Mercati digitali contendibili | Abbassare le barriere all'ingresso per le startup |
| Sicurezza dell'utente e diritti fondamentali | Navigazione più sicura, voce più forte dei consumatori |
Nel complesso, la DSA rafforza la governance dei contenuti, mentre la DMA mantiene i mercati contendibili: un doppio colpo che riequilibra il campo di gioco digitale.
Digital Services Act (DSA): ambito di applicazione, obiettivi e obblighi fondamentali
La DSA riscrive le regole per tutto ciò che trasporta, ospita o cura contenuti online. Il suo obiettivo principale è chiaro: garantire la sicurezza degli utenti, preservando al contempo un mercato aperto per idee e beni. Per raggiungere questo obiettivo, il regolamento suddivide gli obblighi in base alla tipologia di servizio: leggero per i canali di rete, pesante per i giganti i cui algoritmi plasmano il dibattito pubblico. Poiché si applica ogni volta che gli utenti dell'UE vengono "presi di mira", la norma colpisce i fornitori globali di SaaS e le attività collaterali di drop-shipping con la stessa sicurezza dei nomi noti.
Chi deve conformarsi
- Rientrano in questo ambito i servizi di semplice trasporto (ISP, CDN), i provider di caching, i servizi di hosting e le "piattaforme online" che mettono a disposizione degli altri contenuti degli utenti e di terze parti.
- Una fascia speciale, quella delle piattaforme online molto grandi (VLOP) e dei motori di ricerca online molto grandi (VLOSE), entra in vigore a partire da 45 milioni di utenti mensili nell'UE.
- La posizione è irrilevante: qualsiasi fornitore che offra servizi all'UE o monitori il comportamento degli utenti dell'UE deve nominare un rappresentante legale dell'UE.
Obblighi di base per tutti gli intermediari
- Crea canali di "notifica e intervento" facili da usare, in modo che chiunque possa segnalare contenuti illegali.
- Pubblicare relazioni annuali sulla trasparenza che descrivano dettagliatamente le decisioni di moderazione, gli ordini delle autorità e l'uso di strumenti automatizzati.
- Mantenere un unico punto di contatto per utenti e autorità di regolamentazione.
- Collaborare rapidamente con i tribunali nazionali e i coordinatori dei servizi digitali.
Regole aggiuntive per le piattaforme online
- Verificare i commercianti (ovvero "Conosci il tuo cliente aziendale") prima di consentire loro di vendere ai consumatori.
- Offrire meccanismi di reclamo interni e accesso alla risoluzione extragiudiziale certificata delle controversie.
- Etichettare ogni annuncio in tempo reale, divulgare i parametri di targeting chiave e vietare gli annunci basati su dati sensibili o rivolti a minori senza rigorose misure di sicurezza.
Obblighi VLOP/VLOSE
- Eseguire e pubblicare valutazioni annuali del rischio sistemico riguardanti la disinformazione, l'integrità delle elezioni e la sicurezza dei bambini.
- Implementare piani di mitigazione supervisionati da un responsabile della conformità indipendente e soggetti a audit esterni.
- Gestisci archivi di annunci pubblici con API ricercabili, in modo che i ricercatori possano analizzare attentamente la pubblicità politica e basata su specifici argomenti.
- Implementare protocolli di crisi quando eventi come pandemie o guerre aumentano i rischi online.
Responsabilità e sfumature di salvaguardia
Il DSA preserva il classico porto sicuro: nessuna responsabilità se il fornitore non ha “effettiva conoscenza” dell’illegalità (Article 4). Ma l'asticella si alza quando arriva una notifica credibile: chi si attarda perde l'immunità. È importante sottolineare che la legge rifiuta il monitoraggio generalizzato, imponendo invece un "dovere di diligenza" calibrato sulle dimensioni della piattaforma. Esempio: un marketplace che rimuove tempestivamente una borsa contraffatta segnalata mantiene il suo scudo; uno che ignora le notifiche ripetute può incorrere sia in ordini di rimozione che in multe fino al 6% del fatturato globale.
Digital Markets Act (DMA): ambito di applicazione, obiettivi e obblighi fondamentali
Mentre il DSA regola i contenuti, il DMA affronta il potere di mercato. Si tratta di un regolamento ex ante sulla concorrenza che predefinisce il comportamento di una manciata di piattaforme "gatekeeper" affinché le aziende più piccole possano continuare a raggiungere i clienti, innovare e monetizzare le proprie offerte. Le sanzioni sono salatissime – fino al 10% del fatturato globale (20% per i recidivi) – quindi sapere se si è, o si dipende da, un gatekeeper è fondamentale.
Definizione di “Gatekeeper”
Si presume che un fornitore sia un gatekeeper quando offre un servizio di piattaforma di base e soddisfa tutte e tre le soglie quantitative:
- Fatturato SEE di 7.5 miliardi di euro (ultimi tre anni) or Capitalizzazione di mercato di 75 miliardi di euro
- Almeno 45 milioni di utenti finali attivi al mese nell'UE
- Almeno 10 attivi all'anno gli utenti business
I servizi principali della piattaforma includono motori di ricerca, social network, sistemi operativi, marketplace online, app store, servizi pubblicitari, browser web, assistenti vocali e servizi cloud.
La Commissione può ancora etichettare un'azienda come gatekeeper tramite un test qualitativo (potere di mercato "consolidato e duraturo"), mentre le aziende possono confutare la designazione se dimostrano la mancanza di tale potere.
Obblighi che i gatekeeper devono rispettare
Entro sei mesi dalla designazione, i gatekeeper devono:
- Consenti agli utenti finali di disinstallare le app precaricate e di modificare facilmente le impostazioni predefinite.
- Abilita la portabilità dei dati in tempo reale e concedi agli utenti aziendali l'accesso alle metriche delle prestazioni.
- Garantire l'interoperabilità delle funzioni di messaggistica di base (testo, voce, video).
- Offri agli inserzionisti e agli editori prezzi trasparenti per ogni impressione pubblicitaria e strumenti di riconciliazione.
- Utilizzare termini FRAND per accedere agli app store, ai servizi di pagamento e ai dati di ranking delle ricerche.
Pratiche severamente vietate
- Dare la preferenza ai propri prodotti o servizi nelle classifiche o nei risultati.
- Bloccare gli utenti aziendali tramite clausole anti-steering o raggruppando servizi "da non perdere".
- Riutilizzo dei dati personali raccolti da un servizio all'altro senza esplicita
GDPRconsenso. - Limitare l'utilizzo da parte degli sviluppatori terzi di soluzioni di pagamento o di identità esterne.
Processo di conformità e reporting
Il flusso formale è il seguente: notifica di designazione → termine di attuazione di sei mesi → rapporto di conformità completo. I gatekeeper devono nominare un responsabile della conformità indipendente, sottoporsi ad audit annuali, gestire un canale di segnalazione per gli utenti aziendali e conservare registri dettagliati delle misure adottate. La mancata conformità può comportare il pagamento di sanzioni periodiche pari al 5% del fatturato giornaliero e, in ultima istanza, misure strutturali come la cessione.
Interazione con il diritto della concorrenza
Il DMA si affianca agli articoli 101 e 102 del TFUE. Non sostituisce le azioni antitrust caso per caso; fornisce invece regole ex ante chiare e chiare, applicate centralmente dalla task force DMA della Commissione, mentre le autorità nazionali garanti della concorrenza forniscono assistenza nella raccolta di prove e nel monitoraggio. Insieme, mirano a garantire mercati digitali contendibili ed equi in tutta l'UE.
DSA vs. DMA: confronto affiancato
Entrambe le leggi derivano dallo stesso manuale di Bruxelles, ma affrontano problemi diversi. Il Digital Services Act (DSA) regolamenta il flusso e la moderazione dei contenuti; il Digital Markets Act (DMA) disciplina il potere economico di una manciata di piattaforme "gatekeeper". La matrice seguente evidenzia le principali suddivisioni da tenere in considerazione quando si mappano gli obblighi di conformità.
Scopo e focus principale
- DSA: Sicurezza dell'utente, trasparenza e responsabilità nella governance dei contenuti.
- AMD: Mercati digitali equi e contendibili, limitando l'auto-negoziazione dei gatekeeper.
Entità coperte
- DSA: Ogni intermediario online, da un forum amatoriale a una CDN, con livelli aggiuntivi per VLOP/VLOSE.
- AMD: Solo le aziende designate come gatekeeper che forniscono i servizi principali della piattaforma.
Organi di vigilanza e poteri
- DSA: Coordinatori nazionali dei servizi digitali più un consiglio di amministrazione dell'UE; potere di ordinare rimozioni e audit.
- AMD: La task force DMA della Commissione europea può effettuare irruzioni all'alba e imporre misure correttive strutturali.
Tempistiche e scadenze
- DSA: Pienamente applicabile dal 17 febbraio 2024; obblighi annuali in corso per i VLOP.
- AMD: La designazione del gatekeeper fa scattare un termine di sei mesi per conformarsi e presentare il primo rapporto.
Sanzioni e strumenti di applicazione
- DSA: Multe fino al 6% del fatturato globale, 1% al giorno per ritardi, sospensione del servizio per rischio sistemico.
- AMD: Multe fino al 10% (ripetibili al 20%) e, in ultima analisi, cessione forzata.
Impatto previsto su PMI e consumatori
- PMI: Maggiore accesso ai dati della piattaforma e una classificazione più equa, ma nuova documentazione per la verifica del venditore ai sensi del DSA.
- consumatori: Meno truffe e classifiche poco chiare, maggiore controllo sui dati e sulle app predefinite: una situazione vantaggiosa quando entrambe le azioni funzionano in tandem.
Chi deve conformarsi e come prepararsi
Anche se il tuo logo non ha mai onorato Bruxelles, il Digital Services Act (DSA) e il Digital Markets Act (DMA) potrebbero comunque finire sulla tua scrivania. Entrambe le norme dipendono da cosa fai online, non da dove hai sede legale. Un controllo attento dell'esposizione, seguito da un piano di progetto breve e iterativo, mantiene il carico di lavoro gestibile e i revisori soddisfatti.
Mappatura dell'esposizione per modello di business
| Modello di business | Livello DSA | Rilevanza DMA | Tipico "Trigger" |
|---|---|---|---|
| ISP / CDN | Semplice condotto | Nona | Traffico di rete verso l'UE |
| SaaS / Cloud hosting | Hosting | Nona | Memorizza o elabora i file utente |
| Marketplace / App store | Piattaforma online → VLOP a 45 milioni di utenti | Possibile guardiano | Utilizza venditori terzi |
| Social media, Ricerca | Piattaforma online / VLOP | Servizio di piattaforma principale | Cura i contenuti generati dagli utenti |
| API Fintech/Banca | Hosting + responsabile del trattamento dei dati | Basso | Fornisce l'aggregazione degli account |
Anche le aziende extra-UE che si rivolgono a utenti UE devono nominare un rappresentante legale UE, senza eccezioni.
Roadmap di conformità passo dopo passo
- Esegui l'inventario di ogni servizio, flusso di dati e punto di contatto con l'utente.
- Nominare un responsabile esecutivo, stanziare un budget, stabilire una tempistica di sei mesi.
- Eseguire un'analisi dei gap rispetto ai compiti di base del DSA e, se pertinente, agli allegati del gatekeeper del DMA.
- Redigere o aggiornare i termini e le condizioni, le etichette degli annunci e le politiche interne sui reclami.
- Formare il personale, implementare gli strumenti tecnologici e programmare il primo rapporto sulla trasparenza.
Governance, documentazione e rendicontazione
Conservare un dossier attivo contenente:
- Rapporti annuali sulla trasparenza e valutazioni del rischio sistemico
- Notifiche ricevute e timestamp delle azioni
- Registri delle modifiche degli algoritmi e certificati di audit
- Rapporti di conformità del gatekeeper (se designato)
Lista di controllo dei controlli tecnici e organizzativi
- Dashboard di segnalazione degli utenti con 24 ore di SLA
- Moduli di verifica dell'età e del venditore
- API per la portabilità dei dati (esportazione JSON/CSV)
- Repository di annunci separato con endpoint di ricerca pubblico
- Manuale di risposta alle crisi legato agli ingegneri reperibili
Budgeting e pianificazione delle risorse
Le PMI in genere stanziano dai 20 ai 60 euro per la redazione di documenti legali e la creazione di strumenti; i gatekeeper designati dovrebbero aspettarsi spese a sette cifre, principalmente per audit e build di interoperabilità. Valutate in anticipo la possibilità di "build vs. buy": la moderazione esternalizzata o la conformità SaaS possono dimezzare i costi correnti, mantenendo al contempo i team snelli.
Meccanismi di applicazione, sanzioni e ricorso
Le normative funzionano solo quando i trasgressori ne risentono. Ecco perché l'UE ha dotato DSA e DMA di una rete di controllo a più livelli e di sanzioni così elevate da far battere ciglio anche alle aziende da mille miliardi di dollari.
Architettura di supervisione
I Coordinatori dei Servizi Digitali svolgono la maggior parte dei compiti dei DSA a livello nazionale, supportati da un Comitato UE per i casi transfrontalieri e la coerenza delle politiche. La Commissione guida ogni indagine DMA e tutta la supervisione VLOP/VLOSE, esercitando poteri di indagine a sorpresa, mandati di interrogatorio e ordini di accesso ai dati in tempo reale.
Multe e sanzioni DSA
- Fino al 6% del fatturato globale per violazione
- Sanzioni ricorrenti limitate all'1% del fatturato giornaliero
- Sospensione del servizio o blocco dell'accesso per rischi sistemici persistenti
- Conservazione obbligatoria dei registri per cinque anni, per consentire futuri audit
Multe DMA e rimedi strutturali
I gatekeeper rischiano il 10% (e il 20% per i recidivi) del fatturato mondiale. Se le misure monetarie si rivelassero inutili, la Commissione potrebbe imporre codici comportamentali, richiedere API di interoperabilità o, come colpo di grazia, ordinare la separazione strutturale delle linee di business.
Reclami e ricorso dell'utente
Utenti, commercianti e whistleblower possono presentare reclami tramite le dashboard delle piattaforme, gli organismi ADR certificati o direttamente alle autorità di regolamentazione. Le piattaforme devono rispondere rapidamente e senza alcun costo per il reclamante. Le associazioni dei consumatori possono raggruppare i reclami ai sensi della Direttiva UE sui ricorsi collettivi.
Prospettive del contenzioso
Aspettatevi più DSA/DMA cause Nei tribunali olandesi, comprese le azioni collettive per rimozioni errate o per auto-preferenza. Registri di moderazione dettagliati e percorsi di controllo possono decretare il successo o il fallimento della difesa. Una revisione legale tempestiva salvaguarda quindi sia la reputazione che il bilancio.
Date chiave, traguardi e aggiornamenti futuri
Il regolamento è già in vigore, ma molti dettagli operativi devono ancora essere definiti. Segnatevi i seguenti punti di controllo in modo che budget, sprint tecnici e briefing del consiglio di amministrazione siano puntuali nella settimana giusta.
Cronologia legislativa
Proposta presentata il 15 dicembre 2020 → accordo politico 23 aprile 2022 → testi pubblicati nella Gazzetta ufficiale il 27 ottobre 2022 → entrambi gli atti sono entrati in vigore il 16 novembre 2022.
Scadenze di conformità
Le designazioni VLOP/VLOSE sono entrate in vigore il 25 aprile 2023; il DSA si applica a tutti dal 17 febbraio 2024. I gatekeeper hanno sei mesi di tempo dopo la designazione; i primi rapporti di conformità DMA sono previsti per il 6 settembre 2024.
Prossimi atti delegati e linee guida
Entro il quarto trimestre del 4, la Commissione dovrebbe predisporre modelli sulle valutazioni del rischio sistemico, API per i repository pubblicitari e standard ADR certificati, oltre a sessioni periodiche di domande e risposte da parte del Consiglio dell'UE.
Clausole di revisione e possibili espansioni
Una revisione formale triennale nel 2026 potrebbe ampliare la copertura agli hub del metaverso, agli assistenti vocali e ai servizi di intelligenza artificiale generativa se i rischi sistemici persistono.
Risposte rapide a domande comuni
Hai poco tempo? Le brevi spiegazioni che seguono coprono le domande che riceviamo più spesso dai clienti che cercano di decifrare il Digital Services Act (DSA) e il Digital Markets Act (DMA).
Che cosa significa il Digital Services Act in parole semplici?
Un regolamento sulla trasparenza e sulla sicurezza degli utenti che obblighi ogni sito web, app o provider di hosting a consentire alle persone di segnalare facilmente i contenuti illegali, ad agire rapidamente in seguito a tali segnalazioni e a pubblicare statistiche annuali di moderazione.
Che cos'è il Digital Markets Act in parole semplici?
Una legge sulla concorrenza ex ante che indica alle piattaforme “gatekeeper” (si pensi agli app store, ai motori di ricerca, ai social network) cosa devono fare (aprire le API, consentire le disinstallazioni) e cosa non devono fare (auto-preferire, vincolare i servizi).
Differenza principale tra DSA e DMA?
Il DSA regola il modo in cui i contenuti vengono trattati per la tutela degli utenti; il DMA regola il modo in cui il potere di mercato viene utilizzato per una concorrenza leale. Il primo mira alla condotta, il secondo alla posizione dominante.
Il DSA/DMA si applica anche al di fuori dell'UE?
Sì. Se ti rivolgi a utenti dell'UE o ne monitori il comportamento, devi rispettare l'obbligo di nominare un rappresentante legale dell'UE, anche se la tua sede centrale è nella Silicon Valley o a Singapore.
Cosa succede se la mia azienda ignora le regole?
Le autorità di regolamentazione possono imporre sanzioni fino al 6% (DSA) o al 10%/20% (DMA) del fatturato globale, imporre penali giornaliere e, in casi estremi, bloccare l'accesso al mercato dell'UE.
Sono coperti i servizi bancari e finanziari?
Solo quando agiscono come intermediari online, ad esempio gestendo un marketplace o un livello API. Le normative specifiche di settore, come la PSD2, continuano ad applicarsi parallelamente.
Passi successivi
Il DSA e il DMA sono già applicabili e l'ignoranza comporta multe salate. È importante trattare la conformità come qualsiasi altro lancio di prodotto: strutturato, preventivato e documentato:
- Mappare ogni servizio digitale e identificare quale atto e livello si applica.
- Eseguire una rapida scansione dei rischi, quindi approfondire l'analisi laddove l'esposizione è elevata.
- Assegnare budget, proprietari e una tempistica di sei mesi prima che le autorità di regolamentazione lo chiedano.
- Registra ogni decisione e ottieni una revisione legale esterna in anticipo, non dopo un reclamo.
Hai bisogno di un aiuto personalizzato? Contattaci Law & More per trasformare questi proiettili in un piano attuabile.
