DSA — Regolamento (UE) 2022/2065¶
Regolamento sui servizi digitali (Digital Services Act, DSA). Stabilisce norme armonizzate sulla prestazione di servizi intermediari nel mercato interno, con l'obiettivo di garantire un ambiente online sicuro, prevedibile e affidabile in cui i diritti fondamentali sanciti dalla Carta siano effettivamente tutelati. Definisce: (a) un quadro per l'esenzione condizionata dalla responsabilità dei prestatori di servizi intermediari (semplice trasporto, caching, hosting); (b) obblighi di diligenza scaglionati in base alla categoria del prestatore (tutti i prestatori, hosting, piattaforme online, marketplace, piattaforme online di dimensioni molto grandi — VLOPs — e motori di ricerca online di dimensioni molto grandi — VLOSEs); (c) un sistema di vigilanza e di esecuzione incentrato sui coordinatori dei servizi digitali nazionali, sul Comitato europeo per i servizi digitali e sui poteri esecutivi della Commissione per VLOPs e VLOSEs. Sostituisce e completa il quadro previgente della direttiva 2000/31/CE sul commercio elettronico (di cui sopprime gli articoli 12-15) e si applica accanto a GDPR, AI Act, Data Act, DGA e PLD.
Identificativi¶
| Campo | Valore |
|---|---|
| Titolo ufficiale | Regolamento (UE) 2022/2065 del Parlamento europeo e del Consiglio del 19 ottobre 2022 relativo a un mercato unico dei servizi digitali e che modifica la direttiva 2000/31/CE (regolamento sui servizi digitali) |
| CELEX | 32022R2065 |
| ELI | http://data.europa.eu/eli/reg/2022/2065/oj |
| Pubblicazione | GU L 277 del 27.10.2022, pag. 1 |
| Adozione | 19 ottobre 2022 |
| Entrata in vigore | 16 novembre 2022 |
| Applicazione | 17 febbraio 2024 (regola generale); 16 novembre 2022 per artt. 24(2-3, 6), 33(3-6), 37(7), 40(13), 43 e capo IV sezioni 4-6; per VLOPs/VLOSEs designati ex art. 33: 4 mesi dopo la notifica della designazione |
| Atti modificati | Direttiva 2000/31/CE (artt. 12-15 soppressi, art. 89 DSA); Direttiva (UE) 2020/1828 (allegato I, art. 90 DSA) |
| Base giuridica | Articolo 114 TFUE |
| Tipo di atto | Regolamento — direttamente applicabile in tutti gli Stati membri |
Struttura¶
5 capi · 93 articoli · 156 considerando · nessun allegato.
| Capo | Argomento | Articoli |
|---|---|---|
| I | Disposizioni generali | 1 – 3 |
| II | Responsabilità dei prestatori di servizi intermediari | 4 – 10 |
| III | Obblighi in materia di dovere di diligenza per un ambiente online trasparente e sicuro (6 sezioni) | 11 – 48 |
| IV | Attuazione, cooperazione, sanzioni ed esecuzione (6 sezioni) | 49 – 88 |
| V | Disposizioni finali | 89 – 93 |
Il Capo III è organizzato in 6 sezioni che traducono il principio di graduazione degli obblighi: sezione 1 (tutti i prestatori intermediari), sezione 2 (prestatori di hosting), sezione 3 (piattaforme online), sezione 4 (marketplace online), sezione 5 (VLOPs e VLOSEs), sezione 6 (codici di condotta, protocolli di crisi, accessibilità). Il Capo IV è organizzato in 6 sezioni che disciplinano vigilanza, cooperazione transfrontaliera, Comitato europeo per i servizi digitali, vigilanza specifica delle VLOPs/VLOSEs da parte della Commissione, disposizioni comuni e atti delegati/di esecuzione.
Ambito di applicazione¶
Materiale (art. 1, par. 1; art. 2, par. 1): si applica ai servizi intermediari offerti a destinatari il cui luogo di stabilimento si trova nell'Unione o che sono ubicati nell'Unione, indipendentemente dal luogo di stabilimento dei prestatori (criterio del collegamento sostanziale con l'Unione, art. 3, lett. d-e). Stabilisce norme armonizzate per un ambiente online sicuro, prevedibile e affidabile in cui i diritti fondamentali sanciti dalla Carta siano effettivamente tutelati.
Soggettivo (art. 3, lett. g, i, j): si applica ai prestatori di servizi intermediari definiti come servizi della società dell'informazione consistenti in (i) semplice trasporto, (ii) memorizzazione temporanea (caching), (iii) memorizzazione di informazioni (hosting). Categorie ulteriori: piattaforme online (sotto-insieme dell'hosting che diffonde informazioni al pubblico), motori di ricerca online, marketplace online (piattaforme che consentono di concludere contratti a distanza con operatori commerciali), VLOPs/VLOSEs (≥ 45 milioni di destinatari attivi medi mensili nell'UE, art. 33).
Esclusioni (art. 2, par. 2-4): non si applica ai servizi non intermediari, fa salva la direttiva 2000/31/CE (eccetto gli artt. 12-15 soppressi dall'art. 89 DSA) e fa salvi: AVMSD (direttiva 2010/13/UE), diritto d'autore, regolamento (UE) 2021/784 (contenuti terroristici), regolamento (UE) 2019/1148 (precursori esplosivi), regolamento P2B (UE) 2019/1150, diritto UE di tutela dei consumatori e sicurezza dei prodotti, GDPR e direttiva e-Privacy, cooperazione giudiziaria civile e penale.
Esenzione condizionata dalla responsabilità (capo II, artt. 4-6): mantiene il regime già previsto dalla direttiva 2000/31/CE per mere conduit, caching e hosting, integrato dal principio di assenza di obblighi generali di sorveglianza (art. 8) e dalla clausola di «samaritano del buon cuore» (art. 7) per le indagini volontarie di propria iniziativa.
Cross-reference sextuple con AI Act, GDPR, Data Act, DGA e PLD¶
Il DSA interagisce con cinque atti UE pubblicati su questo sito: l'AI Act (per i sistemi algoritmici delle piattaforme online — moderazione contenuti, sistemi di raccomandazione, profilazione), il GDPR (per il trattamento di dati personali nei servizi intermediari, con specifici divieti DSA in materia di pubblicità mirata su categorie particolari e su minori), il Data Act (per la complementarità del pacchetto-dati UE), il DGA (per il rapporto fra servizi intermediari DSA e servizi di intermediazione dei dati DGA, distinti ma terminologicamente vicini) e la PLD (per la responsabilità del software impiegato dai prestatori intermediari, ad esempio sistemi automatizzati di moderazione difettosi).
Asse DSA ↔ AI Act (sistemi algoritmici di piattaforme online)¶
| DSA | AI Act | Natura dell'intersezione |
|---|---|---|
| Art. 3, lett. s, t («sistema di raccomandazione», «moderazione dei contenuti» — definizioni autonome) | AI Act, art. 3, punti 1, 3 (definizioni di «sistema di IA» e «fornitore») | I sistemi di raccomandazione e i sistemi automatizzati di moderazione sono sistemi algoritmici che possono qualificarsi come sistemi di IA ex AI Act; gli obblighi DSA di trasparenza e i requisiti AI Act (rischio limitato/alto rischio) si cumulano |
| Art. 14 (T&C); art. 27 (trasparenza sistemi di raccomandazione); art. 38 (opzione non basata sulla profilazione per VLOPs/VLOSEs) | AI Act, art. 50 (obblighi di trasparenza); allegato III, punto 8 (sistemi IA alto rischio) | Convergenza degli obblighi di trasparenza algoritmica: il DSA impone disclosure dei parametri di raccomandazione e un'opzione non basata sulla profilazione per VLOPs/VLOSEs (art. 38); l'AI Act impone informazione all'utente per interazione con sistemi IA, deepfake e contenuti generati o manipolati |
| Art. 26 (pubblicità); art. 28 (protezione minori) | AI Act, art. 5 (pratiche IA vietate) | Divieti DSA su pubblicità basata su categorie particolari di dati (art. 9 GDPR) e su profilazione di minori intersecano i divieti AI Act sulle pratiche IA che sfruttano vulnerabilità di gruppi specifici (art. 5, par. 1, lett. b) |
| Capo III, sezione 5 — artt. 33-43 (VLOPs/VLOSEs); art. 34 (valutazione rischio sistemico, inclusi «sistemi algoritmici») | AI Act, art. 9 (sistema di gestione dei rischi); art. 27 (FRIA — fundamental rights impact assessment); art. 55 (obblighi GPAI rischio sistemico) | Le valutazioni di rischio sistemico delle VLOPs (art. 34 DSA) coprono esplicitamente i sistemi algoritmici (par. 2, lett. a, b) e si integrano con la FRIA e con la valutazione di rischio dei sistemi IA ad alto rischio quando una piattaforma li impiega |
| Art. 40 (accesso ai dati per ricercatori vetted) | AI Act, art. 60 (sandbox); considerando 105 e ss. | I dati di funzionamento delle VLOPs accessibili a ricercatori abilitati (DSA art. 40, par. 4-12) costituiscono fonte rilevante per la ricerca indipendente sui rischi sistemici delle piattaforme che incorporano IA |
Asse DSA ↔ GDPR (carve-out, divieti specifici, ordini su dati personali)¶
| DSA | GDPR | Natura dell'intersezione |
|---|---|---|
| Art. 2, par. 4, lett. g; considerando 9, 10 | Tutto il GDPR | Clausola di salvaguardia: il DSA è senza pregiudizio del GDPR e della direttiva e-Privacy; i due regimi operano in modo cumulativo |
| Art. 9 e 10 (ordini contro contenuti illegali / di fornire informazioni) | GDPR, artt. 6, par. 1, lett. c-e; 23 | Gli ordini delle autorità nazionali ai prestatori intermediari richiedono base giuridica ex GDPR per il trattamento di dati personali; il DSA fornisce il quadro procedurale ma non sostituisce le condizioni di liceità |
| Art. 26, par. 3 (divieto pubblicità basata su profilazione con categorie particolari di dati) | GDPR, art. 4, punto 4 (profilazione); art. 9 (categorie particolari) | Rinvio definitorio diretto + divieto autonomo DSA: vietata su tutte le piattaforme online la pubblicità basata su profilazione che usi categorie particolari di dati ex art. 9 GDPR |
| Art. 28, par. 2 (protezione minori — divieto pubblicità basata su profilazione di minori) | GDPR, art. 4, punto 4; considerando 38 | Divieto autonomo DSA che irrigidisce le tutele GDPR sui minori in ambito pubblicità targettizzata |
| Art. 24 (relazioni di trasparenza piattaforme online); art. 42 (relazioni VLOPs) | GDPR, art. 30 (registro trattamenti) | Le relazioni di trasparenza DSA includono dati di moderazione e attività automatizzate; non sostituiscono il registro GDPR ma vi si affiancano |
| Art. 38 (opzione non basata sulla profilazione per VLOPs/VLOSEs) | GDPR, art. 4, punto 4; art. 22 (decisioni automatizzate) | Obbligo DSA che dà attuazione operativa alla logica del diritto a non essere sottoposti a decisioni automatizzate basate sulla profilazione, complementare all'art. 22 GDPR |
| Capo IV — coordinatori dei servizi digitali | GDPR, capo VI — autorità di controllo | I coordinatori dei servizi digitali (DSC) e le autorità per la protezione dei dati sono autorità distinte ma cooperano nei dossier intersettoriali (considerando 91-92 DSA); il DSC consulta la DPA prima di adottare decisioni che incidono sul trattamento di dati personali |
Asse DSA ↔ Data Act (complementarità nel pacchetto-dati UE)¶
L'intersezione DSA ↔ Data Act è strutturalmente limitata: il Data Act regola accesso e portabilità dei dati IoT/cloud (B2C, B2B, B2G), il DSA regola gli obblighi sui contenuti e sui rischi sistemici dei servizi intermediari. Le due discipline operano su piani diversi ma condividono il principio di non-sovrapposizione e di rispetto reciproco.
| DSA | Data Act | Natura dell'intersezione |
|---|---|---|
| Art. 2, par. 4; considerando 9 | Tutto il Data Act | Clausola di non-pregiudizio reciproca: il DSA fa salvo il diritto UE in materia di dati (incluso, in via prospettica, il Data Act); inversamente il Data Act non incide sugli obblighi DSA |
| Art. 40 (accesso ai dati per ricercatori vetted) | Capo V — artt. 14-22 (B2G in necessità eccezionali) | Modelli paralleli di accesso a dati di privati per finalità di interesse pubblico: il DSA per la ricerca sui rischi sistemici, il Data Act per esigenze pubbliche eccezionali; nessuna sovrapposizione operativa ma logica condivisa di data altruism a fini istituzionali |
| Capo III, sezione 5 — artt. 33-43 (VLOPs/VLOSEs) | Capo VI — artt. 23-31 (switching dei servizi cloud) | Quando una VLOP si avvale di servizi cloud per l'erogazione, gli obblighi DSA sulla resilienza operativa interagiscono con i requisiti Data Act sulla portabilità dei servizi cloud |
Asse DSA ↔ DGA (servizi intermediari vs servizi di intermediazione dei dati)¶
DSA e DGA condividono il termine «intermediario / intermediazione» ma si applicano a categorie distinte di servizi: il DSA disciplina i servizi intermediari della società dell'informazione (semplice trasporto, caching, hosting di contenuti), il DGA disciplina i servizi di intermediazione dei dati (mediatori fra titolari dei dati e utilizzatori dei dati). Una stessa entità può, in casi specifici, essere soggetta a entrambi i regimi.
| DSA | DGA | Natura dell'intersezione |
|---|---|---|
| Art. 3, lett. g («servizio intermediario» = mere conduit, caching, hosting) | DGA, art. 2, punto 11 («servizio di intermediazione dei dati») | Le due categorie sono distinte: il «servizio intermediario» DSA opera su contenuti, il «servizio di intermediazione dei dati» DGA opera su dati (in particolare per costituire rapporti contrattuali fra titolari e utilizzatori); il considerando 28 DGA chiarisce che il DGA non si applica ai servizi che si limitano a fornire intermediazione tecnica |
| Art. 11, 12, 13 (punti di contatto e rappresentante legale) | DGA, art. 11, 14 (notifica e rappresentante legale del fornitore di servizi di intermediazione dei dati) | Modelli strutturalmente paralleli: entrambi richiedono designazione di un punto di contatto/rappresentante legale per prestatori extra-UE che operano nell'Unione, ma per finalità diverse (vigilanza dei contenuti vs vigilanza dei dati) |
| Art. 26, par. 3; art. 38 (divieti pubblicità mirata) | DGA, capo IV — artt. 16-25 (altruismo dei dati) | Le piattaforme online che integrano organizzazioni per l'altruismo dei dati riconosciute (DGA) per raccolta dati con finalità di interesse generale operano in un regime in cui i divieti DSA sulla profilazione e i requisiti DGA sul modulo europeo di consenso all'altruismo convivono |
Asse DSA ↔ PLD (responsabilità del software di moderazione)¶
L'intersezione DSA ↔ PLD è puntuale ma significativa: la PLD 2024/2853 classifica espressamente il software come «prodotto», compresi i sistemi automatizzati e i sistemi di IA. I sistemi automatizzati di moderazione, di raccomandazione e di valutazione del rischio impiegati dai prestatori DSA possono quindi rientrare nell'ambito PLD se causano un danno ai sensi della direttiva.
| DSA | PLD | Natura dell'intersezione |
|---|---|---|
| Art. 14, par. 4; art. 16 (meccanismi di segnalazione e azione) | PLD, art. 4, punto 1 (definizione «prodotto», include software); art. 7 (presunzione di difettosità) | I sistemi automatizzati di moderazione sono software ai sensi PLD: la rimozione errata sistematica di contenuti leciti che causi danno economico al destinatario può attivare l'azione PLD se ricorrono gli elementi della responsabilità per prodotto difettoso |
| Capo III, sezione 5 — art. 34 (valutazione rischio sistemico per VLOPs); art. 37 (revisioni indipendenti) | PLD, considerando 13, 17, 18; art. 7, par. 2 (presunzione difettosità in casi complessi) | La documentazione DSA prodotta dalle VLOPs (valutazioni di rischio, revisioni indipendenti) può costituire elemento probatorio rilevante in un giudizio PLD per dimostrare difettosità o per attivare la presunzione semplice ex art. 7 PLD |
| Art. 5, 6 (esenzione condizionata della responsabilità del prestatore intermediario) | PLD, art. 8 (operatori responsabili) | Il regime di esenzione condizionata DSA per mere conduit, caching e hosting riguarda il contenuto trasmesso o memorizzato; la PLD riguarda la difettosità del prodotto-software del prestatore: i due regimi non si sovrappongono ma possono concorrere in singole fattispecie |
Sestetto definitorio¶
Sei nozioni chiave attraversano il DSA e gli altri cinque atti, con rinvii definitori espliciti o paralleli funzionali. Il DSA introduce inoltre il proprio vocabolario autonomo (servizio intermediario, piattaforma online, VLOPs/VLOSEs, sistema di raccomandazione, moderazione dei contenuti).
| Concetto | DSA | AI Act | GDPR (fonte) | Data Act | DGA | PLD |
|---|---|---|---|---|---|---|
| Dati personali | (rinvio implicito al GDPR) | art. 3, punto 50 | art. 4, punto 1 | art. 2, punto 3 | art. 2, punto 3 | art. 4, punto 6 (rinvia al DGA) |
| Profilazione | art. 26, par. 3; art. 28, par. 2 (rinvia al GDPR) | (richiamata in più capi) | art. 4, punto 4 | n/a | n/a | n/a |
| Consumatore | art. 3, lett. c | n/a | n/a | art. 2, punto 12 | n/a | art. 4, punto 1 (persona fisica) |
| Servizio della società dell'informazione | art. 3, lett. a (rinvia a Dir. (UE) 2015/1535) | n/a | n/a | n/a | n/a | n/a |
| Servizio intermediario / di intermediazione | art. 3, lett. g (intermediario di contenuti) | art. 3, punti 3, 4 (provider, deployer) | art. 4, punto 8 (responsabile) | art. 2, punti 13, 14 (titolare/destinatario dei dati) | art. 2, punto 11 (intermediario di dati) | art. 4, punto 10 (fabbricante) |
| Sistema algoritmico / di raccomandazione | art. 3, lett. s; art. 27 | art. 3, punto 1 (sistema di IA) | n/a | n/a | n/a | n/a |
Modifiche e rettifiche¶
Il testo originario del 19 ottobre 2022 è in vigore dal 16 novembre 2022 e si applica integralmente dal 17 febbraio 2024. Rettifiche pubblicate: nessuna rettifica significativa pubblicata in GU UE alla data di pubblicazione di questa scheda. Atti delegati e di esecuzione: la Commissione ha adottato un numero crescente di atti delegati e di esecuzione previsti dal regolamento (in particolare per audit indipendenti delle VLOPs, modelli di relazione di trasparenza, accesso ai dati per ricercatori vetted ex art. 40, sanzioni pecuniarie ex art. 74). Designazioni VLOPs/VLOSEs: prima tornata 25 aprile 2023, con espansioni successive nel 2023-2024.
Stato di applicabilità¶
Il DSA è entrato in vigore il 16 novembre 2022 (ventesimo giorno successivo alla pubblicazione del 27 ottobre 2022, art. 93). Si applica integralmente a tutti i prestatori di servizi intermediari a decorrere dal 17 febbraio 2024 (art. 93, par. 2). Disposizioni applicabili da prima data (16 novembre 2022): art. 24, paragrafi 2, 3 e 6 (informazioni sul numero medio mensile di destinatari attivi); art. 33, paragrafi da 3 a 6 (procedura di designazione VLOPs/VLOSEs); art. 37, par. 7 (revisioni indipendenti — atti delegati); art. 40, par. 13 (accesso ai dati per ricercatori — atti delegati); art. 43 (contributo per le attività di vigilanza); capo IV, sezioni 4, 5 e 6 (vigilanza VLOPs/VLOSEs da parte della Commissione, disposizioni comuni in materia di esecuzione, atti delegati e di esecuzione). Per le VLOPs/VLOSEs già designate: applicazione integrale a 4 mesi dalla notifica della designazione. Il regolamento è direttamente applicabile in tutti gli Stati membri; gli Stati membri designano il coordinatore dei servizi digitali (DSC, art. 49) entro il 17 febbraio 2024.
Termini correlati nel glossario¶
Voci del glossario AI-centric rilevanti per questo atto:
- Piattaforma online di dimensioni molto grandi (VLOP)
- Motore di ricerca online di dimensioni molto grandi (VLOSE)
- Profilazione
- Categorie particolari di dati personali
- Deep fake
- Sistema di IA
- Modello di IA per finalità generali
- Rischio sistemico
Fonti ufficiali¶
- EUR-Lex — versione italiana (CELEX 32022R2065)
- EUR-Lex — versione inglese (CELEX 32022R2065)
- EUR-Lex — European Legislation Identifier (ELI)
- Commissione europea — pagina dedicata al Digital Services Act
- Commissione europea — DSA: a safer online environment (overview)
- Elenco delle VLOPs e VLOSEs designate (Commissione europea)
- DSA Transparency Database
- European Board for Digital Services
Indice della sezione¶
- Considerando — testo integrale dei 156 considerando in versione bilingue
- Testo del regolamento — tutti gli articoli organizzati per capo:
- Capo I — Disposizioni generali (artt. 1-3)
- Capo II — Responsabilità dei prestatori di servizi intermediari (artt. 4-10)
- Capo III — Obblighi in materia di dovere di diligenza per un ambiente online trasparente e sicuro (artt. 11-48) — 6 sezioni
- Capo IV — Attuazione, cooperazione, sanzioni ed esecuzione (artt. 49-88) — 6 sezioni
- Capo V — Disposizioni finali (artt. 89-93)