DDL Nicita–Basso — Disegno di legge presentato al Senato della Repubblica
Il problema che questo disegno di legge affronta
Il dibattito regolatorio dominante sulle piattaforme digitali si è concentrato su ciò che le piattaforme dicono — su contenuti illegali, disinformazione, incitamento all’odio. Questo disegno di legge muove da una premessa diversa: il danno più pervasivo che le grandi piattaforme infliggono agli utenti non riguarda ciò che pubblicano, ma il modo in cui lo pubblicano. L’architettura algoritmica che governa la selezione, la sequenza, l’amplificazione e la tempistica dei contenuti è essa stessa uno strumento produttore di danni, progettato e ottimizzato non per servire gli interessi degli utenti ma per massimizzare attenzione, coinvolgimento e dipendenza comportamentale.
Questa distinzione — tra contenuto e design — costituisce al tempo stesso il fondamento concettuale e il perimetro applicativo del disegno di legge. Esso non disciplina ciò che le piattaforme possono o non possono dire. Disciplina ciò che possono o non possono fare alle menti e alle abitudini dei propri utenti attraverso scelte ingegneristiche invisibili, non consensuali e sistematicamente orientate alla compulsione.
Tre fenomeni giuridicamente distinti
Il disegno di legge individua e definisce tre categorie distinte di condotte algoritmiche vietate, ciascuna con un proprio regime giuridico.
La prima è la dipendenza algoritmica — la capacità prevedibile e sistematica di specifiche architetture di design di indurre un uso compulsivo e compromettere la capacità dell’utente di interrompere volontariamente la fruizione del servizio. Il fondamento scientifico è consolidato: lo scroll infinito, l’autoplay, i sistemi di notifica a rinforzo variabile e i meccanismi di gamification come gli streaks e i badge sfruttano il circuito dopaminergico della ricompensa in modi che le neuroscienze cliniche hanno documentato e la ricerca epidemiologica ha correlato a un deterioramento misurabile degli indicatori di salute mentale, particolarmente negli adolescenti. La definizione del disegno di legge segue questa evidenza: la dipendenza algoritmica non è un’etichetta psicologica ma una qualificazione giuridica di scelte di design che, rispetto alle alternative disponibili, riducono sistematicamente l’autonomia dell’utente.
La seconda è l’influenza algoritmica — la modificazione non trasparente e non richiesta dell’ambiente informativo dell’utente attraverso la profilazione comportamentale e sistemi di raccomandazione ottimizzati per il coinvolgimento. A differenza della curatela editoriale, che è dichiarata e uniforme, l’influenza algoritmica opera individualmente, in modo continuo e al di sotto della soglia di consapevolezza dell’utente, costruendo le preferenze piuttosto che rispecchiarle. Il disegno di legge include espressamente la shadow suppression — il declassamento occulto di specifici contenuti, fonti o account senza notifica all’utente — come forma di influenza algoritmica quando realizzata in funzione della profilazione individuale e non in adempimento di obblighi di legge.
La terza è la manipolazione algoritmica selettiva — l’intervento intenzionale e non neutrale dell’operatore sulle logiche di amplificazione e soppressione per finalità politiche, commerciali o propagandistiche. Questa categoria è giuridicamente distinta dalle prime due: richiede un elemento di intenzionalità e un obiettivo specifico che va oltre la massimizzazione del coinvolgimento. I casi paradigmatici che hanno orientato la redazione sono ben documentati: l’amplificazione sistematica di specifici account politici su X (già Twitter) a seguito dell’acquisizione del 2022, e il caso TikTok/Romania del novembre 2024, in cui la Corte Costituzionale rumena ha annullato le elezioni presidenziali anche sulla base di relazioni dei servizi di intelligence che documentavano un’amplificazione coordinata e inautentica sulla piattaforma — il primo caso in cui la manipolazione algoritmica selettiva ha prodotto effetti giuridicamente rilevanti su un processo elettorale in uno Stato membro dell’Unione europea.
Le disposizioni principali
L’articolo 3 stabilisce il catalogo delle pratiche vietate, strutturato in tre livelli corrispondenti ai tre fenomeni sopra descritti. Il catalogo è deliberatamente non esaustivo: l’AGCOM — l’Autorità per le garanzie nelle comunicazioni, anche Coordinatore dei servizi digitali ai sensi del DSA — è abilitata ad ampliarlo per regolamento in risposta all’evoluzione tecnologica e agli orientamenti europei. Questa scelta evita l’obsolescenza regolatoria senza sacrificare la certezza giuridica: le pratiche enumerate costituiscono il nucleo del divieto, mentre la flessibilità regolamentare ne governa il perimetro.
L’articolo 4 impone un generale dovere di diligenza nella progettazione algoritmica: i fornitori devono attivamente progettare i propri sistemi in modo da minimizzare i rischi di dipendenza, influenza e manipolazione, conformemente alle linee guida tecniche dell’AGCOM. Per i sistemi di IA conversazionale, il dovere comprende l’implementazione di protocolli di rilevazione delle crisi idonei a identificare indicatori di vulnerabilità psicologica — pensieri suicidari, disturbi alimentari, autolesionismo — e a indirizzare l’utente immediatamente verso assistenza umana verificata. È fondamentale sottolineare che il rispetto del dovere di diligenza non esonera il fornitore dalla responsabilità per violazione dei divieti di cui all’articolo 3: i due obblighi sono cumulativi e non sostituibili l’uno all’altro.
L’articolo 5 inverte l’attuale default di settore sulla profilazione. La profilazione comportamentale opera attualmente come modalità predefinita, con le alternative non profilate o del tutto indisponibili o sepolte dietro architetture di interfaccia deliberatamente ostili. Il disegno di legge richiede che la modalità non profilata sia il genuino default, che l’attivazione della profilazione richieda un consenso espresso e revocabile e che la disattivazione sia altrettanto semplice e accessibile dell’attivazione. La stessa logica si estende ai sistemi di IA conversazionale: gli utenti devono poter disattivare la memoria persistente e la personalizzazione adattiva.
L’articolo 6 applica uno standard rafforzato agli utenti di età inferiore ai diciotto anni. Le configurazioni protettive — che escludono tutte e tre le categorie di design vietato — devono essere attive per default, non offerte come opzione. La profilazione psicologica dei minori ai fini dell’engagement è vietata in modo assoluto. I sistemi di IA conversazionale devono operare in modalità restrittiva per gli utenti minorenni, con soglie di sensibilità rafforzate per i protocolli di rilevazione delle crisi.
L’articolo 7 introduce un obbligo privo di precedenti diretti nel diritto europeo: estende i doveri di conformità ai produttori di sistemi operativi. Apple, Google e gli altri fornitori di OS devono implementare meccanismi nativi di verifica dell’età a livello di sistema operativo, accessibili alle applicazioni attraverso API standardizzate senza trasmissione non necessaria di dati personali. Lo stesso articolo vieta separatamente ai produttori di sistemi operativi di progettare funzionalità che ostacolino o impediscano la disinstallazione diretta delle applicazioni — risposta esplicita ai dark pattern che rendono la rimozione di un’app sistematicamente più difficile della sua installazione.
Gli articoli 9 e 10 affidano i poteri di enforcement all’AGCOM, che deve adottare linee guida tecniche vincolanti entro centoventi giorni dall’entrata in vigore della legge. Queste linee guida sono giuridicamente rilevanti oltre la loro funzione regolatoria: costituiscono il parametro normativo di riferimento per l’accertamento della responsabilità civile ai sensi dell’articolo 12. Un comitato tecnico-scientifico permanente, composto da esperti di progettazione algoritmica, neuroscienze comportamentali, psicologia clinica e protezione dei minori, fornisce la base di evidenza che le linee guida devono incorporare e aggiornare almeno ogni due anni.
L’articolo 11 stabilisce il regime sanzionatorio. Le violazioni del divieto di dipendenza algoritmica e del dovere di diligenza comportano sanzioni fino al due per cento del fatturato mondiale annuo, o venti milioni di euro se superiore. Le violazioni dei divieti di influenza algoritmica e manipolazione selettiva comportano sanzioni fino al quattro per cento del fatturato mondiale annuo, o trenta milioni di euro se superiore. Entrambe le soglie sono aumentate della metà quando le violazioni riguardano utenti minorenni o si verificano in prossimità di consultazioni elettorali o referendarie. Una penalità di mora fino al cinque per cento del fatturato medio giornaliero mondiale per ogni giorno di inadempimento si applica alle violazioni persistenti o reiterate.
L’articolo 12 crea un regime di responsabilità civile modellato sull’articolo 2050 del codice civile — la disposizione che disciplina la responsabilità per l’esercizio di attività pericolose; l’onere si sposta sulla piattaforma, che deve superare la presunzione producendo la documentazione tecnica dell’architettura algoritmica impiegata nel periodo rilevante e dimostrando la sua inidoneità a produrre il danno nel caso concreto. Il segreto industriale non è opponibile alla divulgazione rilevante ai fini del nesso causale.
L’articolo 14 istituisce il Fondo per l’alfabetizzazione digitale e la comprensione delle profilazioni algoritmiche, collocato presso la Presidenza del Consiglio dei ministri. L’ottanta per cento delle sanzioni definitivamente riscosse dall’AGCOM ai sensi di questa legge è versato annualmente al Fondo; il restante venti per cento è trattenuto dall’AGCOM per le finalità istituzionali di vigilanza e enforcement. Le risorse del Fondo sono destinate a tre categorie di intervento: programmi scolastici per lo sviluppo del pensiero critico nei confronti dei meccanismi algoritmici, campagne di sensibilizzazione pubblica per le famiglie e la cittadinanza, e ricerca applicata finalizzata alla produzione di materiali didattici e strumenti per lo studio degli effetti delle piattaforme sulla cognizione e sul pluralismo democratico. Il Ministro dell’istruzione è tenuto a trasmettere annualmente alle Camere una relazione sulle attività del Fondo e sui risultati conseguiti.
Compatibilità con il diritto dell’Unione europea
Il disegno di legge è redatto per occupare lo spazio regolatorio che l’armonizzazione europea ha deliberatamente lasciato aperto, non per competere con essa. Il DSA realizza un’armonizzazione massima con riguardo alla responsabilità per i contenuti di terzi e agli obblighi delle piattaforme online di dimensioni molto grandi; non armonizza gli standard sostanziali che governano il design algoritmico al livello di dettaglio che questo disegno di legge affronta. Il regime di responsabilità civile del DDL prende di mira le scelte di design della stessa piattaforma — non i contenuti di terzi — e si colloca pertanto al di fuori dell’ambito di preemption del DSA. L’obbligo di default non profilato di cui all’articolo 5 attua e integra i principi di minimizzazione dei dati e di privacy by design del GDPR senza sostituirli.
L’articolo 13 prevede una clausola di adeguamento automatico: qualsiasi disposizione nazionale incompatibile con un futuro atto dell’Unione che armonizzi la stessa materia cessa di avere efficacia dalla data di applicazione di quell’atto. Il disegno di legge è pertanto concepito non come alternativa nazionale permanente alla regolazione europea, ma come acceleratore — un modello operativo che può informare, e cederà il passo, al futuro Digital Fairness Act.
Perché questo conta oltre i confini dell’Italia
Il contributo più significativo del DDL Nicita–Basso al dibattito regolatorio internazionale è la distinzione tra responsabilità per il design e responsabilità per i contenuti. Il diritto della responsabilità civile negli Stati Uniti si muove in questa direzione da diversi anni: la traiettoria che va dai casi sull’immunità ai sensi della Section 230 fino ad Anderson v. TikTok e Attorney General of California v. Meta Platforms stabilisce che le scelte architetturali proprie delle piattaforme — distinte dai contenuti di terzi — possono generare responsabilità civile senza attivare l’immunità federale. Il DDL Nicita–Basso formalizza questa distinzione per via legislativa, con un’architettura di responsabilità calibrata sull’asimmetria informativa specifica del contenzioso in materia di piattaforme: il meccanismo causale è complesso, le prove sono detenute dal convenuto e il danno è diffuso e spesso ritardato nel tempo.
Il modello di responsabilità oggettiva con presunzione del nesso causale è l’innovazione più concretamente rilevante del disegno di legge. Il danno algoritmico è storicamente risultato ingiudicabile non perché irreale, ma perché non provabile a livello individuale con informazioni a cui i danneggiati non hanno accesso. Presumendo il nesso causale e spostando l’onere della prova contraria sulla piattaforma — richiedendole di produrre e illustrare la propria documentazione algoritmica — il DDL crea un quadro praticabile senza abbassare lo standard probatorio sostanziale. Le piattaforme che hanno progettato i propri sistemi in modo da evitare gli effetti vietati potranno superare la presunzione; quelle che non l’hanno fatto non potranno.
L’obbligo di verifica dell’età a livello di sistema operativo è il primo tentativo nel diritto europeo di affrontare il problema della protezione dei minori al livello dell’infrastruttura tecnologica piuttosto che al livello delle singole applicazioni. Riflette un’intuizione di ingegneria dei sistemi: una verifica dell’età efficace richiede un meccanismo centralizzato e interoperabile che le singole applicazioni non possono replicare senza creare duplicativi rischi per i dati. Che questo approccio venga infine adottato a livello europeo o affinato attraverso il processo del Digital Fairness Act, il DDL Nicita–Basso ne stabilisce il modello.