Il modello regolatorio dietro il nuovo Digital Services Act (Dsa) europeo rientra in pieno nello spirito del tempo della compliance. Su un piano teorico funziona. Ma il diavolo sarà come sempre nei dettagli. L’analisi di Fabio Bassan, professore di Diritto internazionale dell’Economia all’Università Roma Tre
L’accordo di due giorni fa nel trilogo (Commissione, Parlamento, Consiglio Ue) consente la rapida pubblicazione del Digital Services Act (Dsa). Il regolamento europeo, direttamente applicabile, imporrà un regime standard in tutta l’Unione per gli obblighi delle piattaforme digitali sul controllo dei contenuti veicolati su queste infrastrutture.
Sui contenuti del Dsa stiamo leggendo commenti analitici, più o meno critici a seconda delle impostazioni di fondo, però unanimi nel qualificare il regolamento (insieme al Dma) una vera e propria rivoluzione, che impone modifiche strutturali ai modelli di business delle piattaforme; le divergenze si concentrano più che altro sulla previsione circa la capacità espansiva di queste regole, via Brussel’s effect, di diventare standard internazionali.
Il Dsa prevede una revisione profonda del regime imposto alle piattaforme che, a partire dalla direttiva europea sul commercio elettronico (del 2000), hanno goduto di un’esenzione pressoché totale dalla responsabilità di un controllo preventivo dei contenuti trasmessi sulle piattaforme. Lo stesso regime era stato previsto, all’epoca, negli Usa, più o meno negli stessi anni (Telecommunications Act e Decency Act).
Mentre però gli Stati Uniti continuano nel percorso di auto-regolazione delle piattaforme, l’Unione europea ora cambia direzione, applicando anche alle piattaforme digitali quel regime di co-regolazione che è ormai la caratteristica della disciplina europea in tutti i settori. In sintesi: le regole le stabiliscono le piattaforme ma nel rispetto di principi e vincoli definiti dall’Unione, che vigila sull’attuazione e, in caso di violazioni, sanziona.
Dunque nel Dsa: le piattaforme con più di 45 milioni di utenti attivi devono adottare strumenti adeguati per prevenire, e non solo rimuovere, contenuti illeciti in quanto non rispettano le norme che tutelano i consumatori, i minori, la verità dei fatti, nonché per rendere conoscibile il modo in cui queste informazioni sono veicolate (trasparenza sui dati e sugli algoritmi di raccomandazione).
Queste piattaforme dovranno sottostare a una verifica annuale della Commissione europea che in caso di violazioni potrà infliggere sanzioni molto significative, parametrate al fatturato conseguito in ragione del comportamento illecito. Il ‘trilogo’ ha anche convenuto in extremis su uno strumento specifico (una ‘misura cautelare’) che consentirà alla Commissione di intervenire in via di urgenza in caso di crisi (ad esempio, la guerra in Ucraina) adottando misure proporzionate ed efficaci nei confronti delle grandi piattaforme che – non adottando o non utilizzando strumenti di prevenzione idonee – contribuiscano alla diffusione di informazioni false.
Il modello regolatorio che viene seguito dal Dsa è analogo a quello del Dma (Digital Market Act, anch’esso approvato da poco). Le norme creano macro categorie, cui corrispondono regole diverse quanto a vincoli, controlli, sanzioni. Ogni caso specifico rientra così in una ‘casella’ all’interno della ‘matrice regolatoria’ in cui il diritto applicabile è certo.
Lo è per la Commissione, che deve vigilare, ma lo è anche per gli operatori, che sanno esattamente quali conseguenze comportano i loro comportamenti e possono prevederli in anticipo. Certezza del diritto, in altri termini, a rafforzare la rule of law regolatoria. Forse gli strumenti per definire le “caselle” sono approssimativi, si basano ad esempio sulle dimensioni delle piattaforme (misurate in vario modo), ma si tratta di un limite accettabile in quanto funzionale all’obiettivo primario: la certezza e prevedibilità del diritto.
Questo modello regolatorio rientra pienamente nello ‘spirito del tempo’ della compliance, che è la via principale seguita dall’Unione europea nella disciplina dell’attività d’impresa: la regolazione definisce principi e perimetri di azione, crea ‘ambienti regolatori’ in cui le imprese possono muoversi e competere liberamente, autoregolandosi e conoscendo a priori i confini dell’azione lecita. L’area di ‘competizione libera’ cambia a seconda dello sviluppo e della crescita della piattaforma (che di volta in volta esce da una ‘casella regolatoria’ ed entra in un’altra), la quale però può misurare la crescita e adeguare in modo coerente le proprie norme interne. A volte ciò comporta un aumento dei costi regolatori, che sono però costi prevedibili e quindi integrabili i all’interno di un business plan.
Gli stessi principi informano il regolamento sull’intelligenza artificiale, ancora non approvato, che crea categorie di rischio fondate sulle attività e sui settori (matrice, di nuovo) utile anche qui per ripartire i rischi e imputare responsabilità. La questione in questo caso però è più complessa, sia per la relativa novità del fenomeno, sia per la caratteristica della filiera dei servizi e dei prodotti, più ‘affollata’ di quanto sia nelle piattaforme digitali, le quali tendono a internalizzare (sviluppando o acquisendo) tutte le attività e le funzioni strumentali al proprio servizio. E infatti sull’intelligenza artificiale il dibattito è ancora aperto.
L’impostazione regolatoria dell’Unione (per il Dsa, ma anche per il Dma, l’intelligenza artificiale, e molti altri regolamenti su questi settori ancora in discussione) muove dalla seguente impostazione: regole chiare, libertà di azione delle imprese nel perimetro regolatorio, controllo a posteriori e, se del caso, sanzione. Su un piano teorico, funziona.
Occorrerà però vedere in concreto: le norme applicative e la prassi saranno decisive. Un esempio tra tutti: le modalità per definire la trasparenza dei dati e degli algoritmi di raccomandazione dovrà essere declinata (e applicata) in modo chiaro, per evitare di ripetere una prassi che non ha rappresentato un benchmark in passato. Mi riferisco alla verifica, anch’essa annuale e a posteriori, della contabilità separata degli operatori dominanti in alcuni mercati delle comunicazioni elettroniche. L’analogia dei due casi è impressionante, e la difficoltà del regolatore di verificare in concreto ex post l’attività degli operatori è documentata, anche in letteratura.
Più in generale, questo modello regolatorio non può essere applicato nei settori in cui le regole sono ‘embedded’ nella tecnologia (penso alla intelligenza artificiale, ma non solo), e verificarne a posteriori l’applicazione costituisce operazione ibrida.
Un modello parzialmente alternativo, che può essere utilizzato per la disciplina dei settori in cui i regolamenti europei sono ancora in discussione, prevede una partecipazione dei regolatori alla formazione delle ‘regole interne’ alle infrastrutture (piattaforme digitali, ma non solo).
I vantaggi di un simile intervento sono molti e significativi: (1) si resterebbe sul piano della co-regolazione, coerente con l’impostazione europea, e la si renderebbe più efficace; (2) si potrebbe ‘alleggerire’ l’onere regolatorio, di compliance dell’operatore, poiché la verifica sarebbe fatta, parzialmente, nel momento della formazione delle regole; (3) si semplificherebbe il lavoro del regolatore e del vigilante; (4) si accelererebbe l’evoluzione tecnologica e se ne potrebbe controllare meglio la conformità al livello di welfare che vogliamo garantire in Europa.
Di questi temi e modelli si discuterà nel convegno internazionale del 29 aprile presso Unidroit, cui parteciperanno rappresentanti del Fondo Monetario Internazionale, della Banca Mondiale, delle Nazioni Unite, dell’Ocse, di organi consultivi della Commissione europea, di studiosi internazionali.
