Il 15 maggio 2025 la Commissione europea ha recapitato a TikTok la sua “preliminary view”. Secondo l’esecutivo, l’archivio degli annunci promozionali della piattaforma non rispetta l’art. 39 del Digital Services Act (DSA – Regolamento UE 2022/2065) perché è incompleto, poco interrogabile e privo di API “aperte” (cioè interfacce di programmazione che permettono a sviluppatori esterni e autorità di accedere in modo trasparente e automatizzato ai dati, facilitando così il monitoraggio e l’analisi degli annunci pubblicitari).
L’inadempimento – se confermato – può costare fino al 6% del fatturato mondiale della cinese ByteDance (società madre di Tik Tok) e l’imposizione di una sorveglianza rafforzata ovvero un regime di controlli straordinari, ispezioni trimestrali e obbligo di reporting dettagliato sulle modifiche algoritmiche.
Indice degli argomenti
I passaggi dopo l’apertura
Questa tappa arriva quindici mesi dopo l’apertura formale dell’inchiesta del 19 febbraio 2024 con cui Bruxelles aveva messo sotto esame quattro aree di rischio: design “addictive” degli algoritmi, tutela dei minori, accesso ai dati per la ricerca e, appunto, trasparenza pubblicitaria.
Ricostruendo i vari passaggi, è così possibile capire meglio il recente punto di approdo della Commissione.
Premessa importante: si può dire che i procedimenti avviati finora contro TikTok per presunte violazioni del Dsa non sono completamente pubblici nei dettagli, il pubblico non ha accesso integrale agli atti dell’indagine.
La Commissione europea ha comunicato le proprie conclusioni preliminari e le sospette violazioni, basate su documenti interni, test e colloqui riservati, senza che l’intero fascicolo investigativo sia reso pubblico.
Ci si basa pertanto sulla versione della vicenda dichiarata dalla parti finora, non su atti visionati ed esaminati autonomamente.
Gli atti sanzionatori finali e che potrebbero giungere alla fine dell’iter dovrebbero permettere, invece, di esaminare l’intero contesto di valutazione.
Che cos’è il DSA e l’Ad repository in sintesi
Il Dsa è l’ambizioso regolamento europeo entrato in vigore nel 2024 per garantire un ecosistema digitale più trasparente e sicuro.
Applicabile a tutte le piattaforme online, introduce obblighi specifici per le grandi realtà in materia di moderazione dei contenuti, contrasto alla disinformazione, protezione dei minori e accountability algoritmica.
L’obiettivo è bilanciare il potere delle Big tech, richiedendo loro di prevenire rischi sistemici e di sottoporsi a verifiche indipendenti.
Il Dsa opera in sinergia con il Digital Markets Act (Dma – Regolamento UE 2022/1925), focalizzato sulle pratiche antitrust, e con il Gdpr per la protezione dei dati.
In breve, alcuni obblighi specifici Dsa in capo alle piattaforme concernono gli annunci promozionali presentanti agli utenti, i quali vanno raccolti e catalogati in apposito archivio online (“ad repository”) che risponda ai seguenti requisiti.
Sanzioni previste dal Dsa
Il Dsa prevede un parco sanzionatorio e rimediale d’impatto, in caso di violazioni:
- misure ad interim (art. 70): ordini urgenti di modifica o sospensione di funzionalità;
- commitment volontari (art. 71): la piattaforma può proporre rimedi per chiudere il caso;
- decisione di non-compliance (artt. 73-75): ammenda fino al 6 % del fatturato mondiale e sorveglianza rafforzata (ovvero un monitoraggio continuo da parte di auditor esterni nominati dalla Commissione, con accesso illimitato a codici sorgente e database interni);
- penalità di mora (art. 76): fino al 5 % del fatturato giornaliero, per ogni giorno di ritardo.
Regolamento (UE) 2024/900
In breve, il DSA si prefigge di creare uno spazio digitale più sicuro e trasparente, tutelando i diritti fondamentali degli utenti e promuovendo la responsabilità delle piattaforme online nella gestione dei contenuti e dei rischi sistemici.
Quanto al contesto geopolitico ed elettorale, il Dsa mira a prevenire la manipolazione delle informazioni e la diffusione di disinformazione che potrebbero influenzare processi democratici cruciali, come le elezioni europee e nazionali.
Oltretutto in ambito elettorale il Dsa è completato da una seconda disciplina, ovvero il Regolamento (UE) 2024/900, che stabilisce norme armonizzate in materia di trasparenza, targeting e pubblicità politica online.
È complementare al Dsa e prevede obblighi specifici per i prestatori di servizi di pubblicità politica, con sanzioni per violazioni e misure per assicurare l’integrità del dibattito politico digitale nella Ue.
Come funziona il Dsa verso le piattaforme Vlop
Ai sensi della normativa Dsa, TikTok è stata designata “Very Large Online Platform” (VLOP) il 25 aprile 2023, avendo superato la soglia dei 45 milioni di utenti mensili nell’Ue.
Dal 17 febbraio 2024 è quindi soggetta al regime rafforzato del Titolo IV Dsa. Da questo riconoscimento scaturiscono diversi obblighi, piuttosto gravosi ma proporzionali a quanto le piattaforme possono contare nel quadro generale dell’informazione e dei suoi effetti:
- risk-assessment (art. 34) e mitigazione dei rischi (art. 35);
- protezione dei minori (art. 28);
- Ad repository (art. 39);
- accesso ai dati (art. 40).
Risk-assessment (art. 34) e mitigazione dei rischi (art. 35)
Ogni Vlop deve identificare, almeno una volta l’anno, i “rischi sistemici” che derivano dal suo design – inclusi dipendenza, radicalizzazione e disinformazione – e adottare misure tecniche o di governance per ridurli.
La Commissione contesta a TikTok di non aver dimostrato di aver analizzato gli effetti “rabbit-hole” del proprio Feed for you (ovvero la dinamica per cui l’algoritmo promuove contenuti sempre più estremi o polarizzanti, intrappolando gli utenti in loop tematici che amplificano bias cognitivi e riducono l’esposizione a fonti plurali) né di aver implementato contromisure proporzionate (come limitazioni alla viralità di contenuti sensibili, strumenti di “friction” per interrompere sessioni prolungate o opzioni di personalizzazione algoritmica).
Si tratta di accuse rilevanti se consideriamo che l’effetto rabbit-hole non è solo una questione di user experience. Infatti si tratta di un rischio concreto per la coesione sociale: studi come quello dell’AI Observatory della Commissione del 2024 mostrano come la polarizzazione algoritmica abbia amplificato tensioni politiche in Paesi come la Francia e la Polonia.
Inoltre, l’assenza totale di audit esterni sugli algoritmi di TikTok, a differenza di quanto fatto da Meta per Facebook nel 2023 ,solleva dubbi sulla volontà della piattaforma di allinearsi agli standard Ue.
Protezione dei minori (art. 28)
Il Dsa richiede una age-verification efficace e impostazioni privacy predefinite più restrittive per i minori, oltre al divieto di advertising profilato verso gli stessi.
Bruxelles ritiene che gli strumenti della piattaforma non offrano le garanzie richieste. Il tema della verifica dell’età sta diventando sempre più pregnante in Europa, basti pensare al caso della Germania, dove dal 2024 è obbligatorio l’uso di sistemi biometrici o documenti d’identità elettronici per accedere a contenuti “sensibili” su piattaforme under-18.
TikTok, invece, si affida ancora a autodichiarazioni facilmente eludibili e a modelli di machine learning con tassi di errore non sufficientemente affidabili.
Ad repository (art. 39)
Cuore della contestazione del 15 maggio, l’archivio attualmente esiste, ma è lacunoso, non consente query complesse, non espone API. E quindi non permette a giornalisti, watchdog e studiosi di intercettare dark ads e campagne di manipolazione.
Ne consegue che la piattaforma rimane una “black box” pubblicitaria, in contrasto con l’esempio di X (ex Twitter) che dal 2024 ha reso accessibile via API i propri dati sugli annunci politici.
Senza trasparenza è impossibile tracciare operazioni come quelle denunciate nel 2024, dove fake account legati a stati terzi hanno sfruttato TikTok per influenzare le elezioni europee attraverso annunci micro-targeting su temi migratori.
Accesso ai dati (art. 40)
Ricercatori accreditati devono poter ottenere dataset completi per valutare l’impatto della piattaforma.
L’indagine europea segnala ritardi e restrizioni nell’API di TikTok, la quale filtra arbitrariamente i dati accessibili, omette parametri chiave come l’engagement rate per contenuti sensibili e impiega formati non standardizzati che ostacolano l’analisi comparativa.
Pertanto, la piattaforma sta di fatto neutralizzando uno dei pilastri del Dsa: la possibilità per la comunità scientifica di monitorare in modo indipendente fenomeni come la disinformazione o l’hate speech.
Questo approccio opaco mina la fiducia nelle istituzioni e rende illusorio il modello di “accountability by design” promosso dallaUe.
Come accaduto nel caso di ricercatori europei che, durante le elezioni europee del 2024, hanno riscontrato gravi problemi di qualità e incompletezza nei dati forniti dall’API di TikTok, con omissioni e discrepanze significative rispetto ai dati visibili sulla piattaforma, compromettendo così la validità delle analisi scientifiche basate su tali dati.
Ambiente digitale più sicuro e trasparente con il Dsa
Le norme citate del Dsa mirano a garantire un ambiente digitale più sicuro e trasparente, tutelando i diritti fondamentali degli utenti e la coesione sociale. Esse vogliono:
- ridurre i rischi sistemici derivanti dal design delle piattaforme, come dipendenza, radicalizzazione e disinformazione;
- proteggere in modo rafforzato i minori, attraverso verifiche d’età efficaci e limiti alla pubblicità profilata;
- assicurare trasparenza nelle attività pubblicitarie, permettendo il monitoraggio pubblico e indipendente delle campagne;
- facilitare l’accesso ai dati da parte della comunità scientifica per valutare e contrastare fenomeni nocivi online;
- promuovere la responsabilità e la conformità delle piattaforme con gli standard europei, anche attraverso indagini e sanzioni importanti in caso di violazioni.
In sintesi, il Dsa impone alle piattaforme come TikTok obblighi stringenti e controlli rigorosi per mitigare i rischi sociali e garantire trasparenza e sicurezza nell’ecosistema digitale europeo.
Il procedimento Gdpr in Irlanda: 530 milioni di sanzione a TikTok
Appena due settimane prima della preliminary view Dsa, il 2 maggio 2025, l’Irish data protection commission (Dpc), autorità di controllo privacy irlandese, ha multato TikTok per 530 milioni di euro. L’accusa è di aver trasferito dati personali di utenti europei in Cina senza garanzie equivalenti a quelle dell’Ue (art. 46 Gdpr) e per carenza di trasparenza informativa (art. 13 Gdpr).
Oltre alla sanzione, il Dpc ha ordinato la sospensione dei trasferimenti entro sei mesi in assenza di misure supplementari efficaci .
La Dpc ha contestato l’inadeguatezza delle Standard contractual clauses sottoscritte da TikTok, ritenendo che la stessa piattaforma avesse riconosciuto come la legislazione cinese – dall’Anti-terrorism law alla National intelligence law – attribuisca poteri di accesso governativo incompatibili con la Carta dei diritti fondamentali dell’Ue.
In particolare, Pechino può richiedere dati a qualsiasi entità cinese, anche operante in Europa, senza notifica agli interessati, creando un conflitto insanabile con il principio di “protezione equivalente” richiesto dal Gdpr.
La decisione irlandese cita esplicitamente il caso Schrems II (2020), in cui la Corte di giustizia Ue aveva già invalidato il Privacy Shield Usa-Ue per ragioni analoghe.
L’appello
La casa madre ha annunciato appello, richiamando peraltro il proprio progetto “Clover” che prevede data center in Europa, ma la decisione è esecutiva salvo sospensive.
Rammentiamo che per la normativa europea (e sua interpretazione a cura dell’Edpb) non sarebbe comunque sufficiente spostare i data-center nell’Ue, dato che le garanzie del trasferimento devono includere anche meccanismi giuridici per impedire l’accesso extraterritoriale ai dati, per esempio, tramite
cifratura end-to-end eccetera.
Il baricentro di Dsa e Gdpr
Sebbene perseguano obiettivi diversi, Dsa e Gdpr condividono il medesimo baricentro: l’obbligo di dimostrare con evidenze concrete la conformità dei processi interni.
Nel Dsa servono log sugli algoritmi, repository aperti e audit di rischio; nel Gdpr occorrono transfer-impact-assessments, encryption e contratti supplementari.
In entrambi i casi la mancata prova documentale si traduce in sanzioni ad alto impatto e rischi operativi (come la sospensione di funzionalità o di flussi di dati).
L’incrocio di fuoco del Dsa e del Gdpr pare delineare una strategia europea sempre più netta: imporre alle BigtTech un cambio di paradigma da un modello “trust us” a un modello “show us”, dove ogni affermazione deve essere verificabile da autorità e terze parti indipendenti.
Prossime tappe per TikTok e l’Ue
TikTok ha ora diritto di replica e può negoziare impegni ex art. 71 Dsa per colmare le lacune dell’ad-repository: apertura delle API (per garantire un accesso più trasparente e completo ai dati), ampliamento dei metadati (inclusi parametri chiave come l’engagement rate per contenuti sensibili), audit indipendente sul sistema di targeting eccetera.
Se il dialogo fallisse, la decisione finale della Commissione potrebbe arrivare entro pochi mesi, anche perché il calendario elettorale europeo impone rapidità.
Manipolazione elezioni romene
Come adombrato da altri episodi pregressi (come l’indagine sulla manipolazione elettorale nelle presidenziali romene del 2024), la Commissione teme che il peso “elettorale” di TikTok possa sostanzialmente intaccare o comunque sensibilmente influire sui risultati elettorali, per cui è pronta a intervenire con misure restrittive, fino a un possibile bando, per tutelare l’integrità del processo elettorale europeo.
Queste integrazioni sono basate sulle informazioni relative all’indagine della Commissione europea su TikTok e ai timori legati all’influenza della piattaforma sulle elezioni europee prossime venture, in particolare per i rischi di manipolazione e disinformazione emersi nelle elezioni nazionali recenti, come in Romania.
La Commissione europea ha avviato, nel dicembre scorso, un procedimento formale contro TikTok per valutare i rischi legati alle elezioni e al discorso civico, concentrandosi su due aspetti principali: i sistemi di raccomandazione di TikTok, in particolare i rischi di manipolazione coordinata non autentica o sfruttamento automatizzato del servizio, e le politiche della piattaforma riguardo agli annunci politici e ai contenuti politici a pagamento.
La Commissione sospetta che TikTok non abbia adeguatamente mitigato i rischi specifici legati agli aspetti regionali e linguistici delle elezioni nazionali.
Il futuro della governance digitale e le dinamiche geopolitiche
L’analisi della vicenda TikTok e delle recenti azioni della Commissione europea offre un terreno fertile per riflessioni sia giuridiche sia interdisciplinari, aprendo interrogativi cruciali sul futuro della governance digitale e sulle dinamiche geopolitiche che la plasmano.
L’Unione europea si conferma laboratorio avanzato di regolazione digitale, capace di esercitare un’influenza globale non tanto tramite l’innovazione tecnologica o la produzione industriale, quanto attraverso la forza normativa.
Il “Brussels effect” mostra come la regolazione europea possa venire adottata come standard globale, costringendo anche attori extraeuropei – come TikTok – a conformarsi per accedere e mantenersi nel mercato Ue.
Questo fenomeno conferma il diritto in una leva di soft power, influenzando gli equilibri geopolitici: la regolazione diventa una sorta di “infrastruttura etica” e strumento di sovranità economica e culturale, in un contesto in cui la competizione internazionale si gioca sempre più sulla definizione delle regole piuttosto che sulla mera supremazia tecnologica.
La dialettica fra il modello regolatorio Ue e Usa
Il caso TikTok si inserisce in una dialettica più ampia tra il modello regolatorio europeo – preventivo, strutturato e trasparente – e quello statunitense, più reattivo e orientato all’enforcement ex post.
Gli Usa percepiscono le regole Ue, come il Dsa e il Dma, come potenzialmente punitive verso le Big tech americane, tanto da minacciare ritorsioni commerciali e sollevare dubbi sulla legittimità e l’imparzialità di queste normative.
Questo scontro normativo riflette una tensione di fondo: la volontà europea di limitare il potere delle piattaforme dominanti, indipendentemente dalla loro nazionalità, e la preoccupazione americana per la perdita di centralità nell’infrastruttura digitale globale.
Il ruolo della regolazione nella difesa della democrazia digitale
L’impianto sanzionatorio e i poteri di controllo previsti dal Dsa – come la sorveglianza rafforzata, l’accesso ai codici sorgente e l’obbligo di trasparenza algoritmica – pongono interrogativi inediti sul bilanciamento tra sicurezza, libertà economica e tutela dei diritti fondamentali.
L’azione della Commissione Ue contro TikTok, soprattutto in vista delle elezioni europee, evidenzia il ruolo centrale che la regolazione può avere nella difesa della democrazia digitale, ma apre anche il rischio di un uso strumentale delle norme per fini geopolitici o di protezionismo mascherato.
La richiesta di audit indipendenti e di apertura delle API, per esempio, solleva questioni sulla proprietà intellettuale, la sicurezza nazionale e la concorrenza globale.
La regolazione europea non si limita a dettare regole tecniche, vuole incidere profondamente sui modelli di business, sull’architettura delle piattaforme e sulle dinamiche sociali, imponendo una “accountability by design” che trasforma la cultura aziendale e la relazione tra cittadini, imprese e istituzioni.
Il rischio “rabbit-hole” e la polarizzazione algoritmica, oggetto di indagine nel caso TikTok, mostrano come la disciplina giuridica debba dialogare con la psicologia, la sociologia e le scienze computazionali per governare fenomeni complessi e imprevedibili.
La vicenda TikTok e l’evoluzione della regolazione europea dimostrano che la partita della geopolitica digitale si gioca sempre più sulle regole, non solo sulle tecnologie.
Anche gli Stati Uniti, tradizionalmente riluttanti a un approccio normativo preventivo, sono costretti a confrontarsi con l’efficacia del modello europeo, tra resistenze e tentativi di negoziazione.
