Cosa copre il DSA e a chi si applica

Il DSA è un regolamento, non una direttiva: ha effetto diretto in tutti gli Stati membri dell'UE senza necessità di recepimento nazionale. È entrato pienamente in vigore per le piattaforme online molto grandi e i motori di ricerca ad agosto 2023 e per tutti gli altri a febbraio 2024, il che significa che i publisher hanno ormai due anni di esperienza operativa con il regime. La normativa crea un sistema graduato di obblighi in base alle dimensioni e alla tipologia di piattaforma: le micro e piccole imprese sono in gran parte esentate, i servizi intermediari hanno obblighi di base, i provider di hosting hanno doveri di content moderation, le piattaforme online hanno ulteriori obblighi di trasparenza e le piattaforme online molto grandi (oltre quarantacinque milioni di utenti attivi mensili nell'UE) affrontano gli obblighi più stringenti, incluse valutazioni del rischio sistemico e audit esterni.

Dove si collocano la maggior parte dei publisher

La grande maggioranza dei publisher rientra nella categoria delle piattaforme online: ospitano contenuti generati dagli utenti (commenti, post nei forum, contributi dei lettori), erogano pubblicità e raccomandano contenuti tramite feed algoritmici o moduli di articoli correlati. Il livello delle piattaforme online è quello in cui il DSA diventa operativamente rilevante: restrizioni alla pubblicità mirata per i minori, obblighi di trasparenza sulla distribuzione e i parametri di targeting pubblicitario, spiegazioni sui sistemi di raccomandazione e opt-out, e un regime di notifica e azione per i contenuti illegali. I publisher che superano la soglia delle piattaforme online molto grandi aggiungono valutazione del rischio sistemico, obbligo di revisore esterno e requisiti di accesso ai dati della piattaforma per i ricercatori accreditati dalla Commissione.

Il criterio geografico

Il DSA ha applicazione extraterritoriale. Un publisher statunitense con visitatori europei rientra nell'ambito applicativo non appena gli utenti dell'UE possono interagire con il servizio — il che riguarda essenzialmente qualsiasi sito web pubblico. Il criterio non è la sede del publisher, ma se il servizio è offerto a destinatari dell'UE. Analogamente al GDPR, questo coinvolge per impostazione predefinita la maggior parte del settore editoriale globale.

Le restrizioni alla pubblicità mirata

Il livello del DSA che conta di più per il consenso ai cookie e le operazioni pubblicitarie è l'Article 26, che limita la pubblicità mirata in due modi specifici che i publisher devono tenere in considerazione in fase di progettazione.

Il divieto di targeting dei minori

Il DSA vieta la pubblicità mirata ai minori basata sulla profilazione che utilizza dati personali. Il divieto si applica ogniqualvolta il publisher sappia, o debba ragionevolmente sapere, che il destinatario è un minore — il che in pratica significa che scatta per qualsiasi segnale su cui il publisher potrebbe plausibilmente agire (un'età dichiarata, un segnale di controllo parentale, una categoria di contenuto che implica fortemente un pubblico giovane, un flag dell'account dal sistema utente del publisher). Il CMP deve codificare questa restrizione: anche se un utente minore accetta i cookie di marketing, il percorso della pubblicità mirata deve essere disattivato per impostazione predefinita. L'alternativa è la pubblicità contestuale — selezione degli annunci basata sul contenuto della pagina piuttosto che sui profili utente — che la maggior parte dei principali SSP e ad server espone ora come modalità di erogazione di primo livello.

Il divieto sui dati sensibili

Il DSA vieta inoltre la pubblicità mirata basata sulla profilazione che utilizza categorie particolari di dati personali ai sensi dell'Article 9 del GDPR: razza, religione, opinioni politiche, appartenenza sindacale, salute, vita sessuale, orientamento sessuale, dati biometrici, dati genetici. Il divieto è assoluto: il consenso non lo sblocca. I publisher che gestiscono categorie di contenuto che toccano una qualsiasi di queste aree — publisher in ambito salute, media religiosi, siti di notizie politiche, pubblicazioni LGBTQ+ — devono garantire che il loro ad-tech stack non trasmetta agli inserzionisti segnali di profilo derivati da questi dati, anche quando l'utente ha acconsentito a tutte le categorie di marketing.

Implicazioni operative per il CMP

Il CMP deve codificare le restrizioni del DSA come gate rigidi, non come semplici commutatori dello stato di consenso. Una ricevuta di consenso che indica 'tutte le categorie accettate' non autorizza la pubblicità mirata a un minore o basata su dati dell'Article 9. L'implementazione più pulita instrada lo stato di consenso, il segnale relativo ai minori e la classificazione dei contenuti sensibili della pagina attraverso una singola funzione decisionale che si interpone tra il CMP e i vendor di ad-tech, con la funzione che predefinisce la distribuzione contestuale ogni volta che uno dei gate DSA si attiva.

L'opt-out dal sistema di raccomandazione

L'Article 38 del DSA richiede alle piattaforme online che utilizzano sistemi di raccomandazione — classificazione algoritmica dei contenuti nei feed, moduli di articoli correlati, code video 'prossimo in riproduzione' — di spiegare i principali parametri di tali sistemi e offrire agli utenti almeno un'opzione che non sia basata sulla profilazione. I publisher che gestiscono la content discovery personalizzata non possono fare della profilazione l'unica modalità disponibile.

Come appare la modalità senza profilazione

La modalità senza profilazione è tipicamente un feed cronologico, un feed classificato per popolarità o un feed curato editorialmente che non personalizza in base al comportamento del singolo utente. L'utente deve poter passare a questa modalità tramite un controllo chiaramente visibile — non nascosto nelle impostazioni dell'account — e la scelta deve essere ricordata per le sessioni future. I publisher dovrebbero trattare il controllo del sistema di raccomandazione come una parte di primo livello dell'UX di consenso, spesso presentato attraverso la stessa interfaccia CMP che gestisce le preferenze sui cookie.

Trasparenza sui parametri di classificazione

La piattaforma deve pubblicare, in linguaggio semplice, i principali parametri utilizzati dal suo sistema di raccomandazione — recenza, popolarità, somiglianza con il comportamento passato, peso editoriale, rilevanza pubblicitaria. La pubblicazione è tipicamente una sezione nella privacy policy o una pagina di trasparenza dedicata, e deve essere sufficientemente specifica da consentire a un regolatore di verificare la descrizione rispetto al comportamento effettivo della piattaforma. Un linguaggio vago come 'utilizziamo il machine learning per raccomandare contenuti che potrebbero interessarti' non soddisfa lo standard.

Come il DSA si sovrappone a GDPR ed ePrivacy

Il DSA non sostituisce GDPR ed ePrivacy: aggiunge regole a livello di piattaforma su di essi. Le interazioni sono per lo più additive, ma in due punti specifici limitano ciò che il solo consenso può autorizzare.

Il consenso non può derogare ai divieti del DSA

Il divieto di targeting dei minori e il divieto sui dati sensibili dell'Article 9 sono assoluti. Un utente non può acconsentire alla ricezione di pubblicità mirata in nessuno dei due casi. Si tratta di un vincolo progettuale significativo per i CMP che storicamente trattavano il consenso come lo sblocco universale: sotto il DSA, lo stato di consenso è necessario ma non sufficiente, e l'architettura del CMP deve riflettere questa realtà.

Gli obblighi di trasparenza si aggiungono a quelli del GDPR

Gli obblighi di trasparenza pubblicitaria del DSA — identificare chiaramente gli annunci, nominare l'inserzionista, spiegare i principali parametri di targeting utilizzati per la specifica distribuzione dell'annuncio — sono indipendenti dai requisiti di trasparenza del GDPR e devono essere soddisfatti nel creative pubblicitario stesso. La maggior parte dei publisher gestisce questo aspetto tramite template dell'ad server che inseriscono automaticamente il blocco ad-marker del DSA nei creative pubblicati.

Modifiche pratiche a CMP e ad stack

Il CMP e l'ad stack conformi al DSA dispongono di un piccolo numero di elementi ripetibili che si sono stabilizzati su tutte le principali piattaforme commerciali entro il 2026.

Integrazione del segnale minori

Il CMP deve accettare un segnale relativo ai minori dal sistema di account utente del publisher, dalla classificazione dei contenuti della pagina o dal livello di controllo parentale, e propagare il segnale nella decisione di consenso. La maggior parte dei CMP espone ora questo come attributo 'minor' sulla ricevuta di consenso, che l'ad stack legge insieme allo stato di consenso. Il segnale si propaga a valle attraverso Google Consent Mode v2, la stringa IAB TCF v2.3 e qualsiasi integrazione vendor-specifica che lo supporti.

Classificazione dei contenuti sensibili

I publisher dovrebbero eseguire un passaggio di classificazione dei contenuti su ogni pagina che la mappa alle categorie di dati sensibili del DSA. La classificazione può essere manuale per i siti editoriali con tassonomie strutturate o automatizzata per i siti ad alto volume con tagging dei contenuti basato su NLP. La classificazione alimenta la decisione di fallback contestuale dell'ad stack: una pagina etichettata con una categoria sensibile viene instradata solo verso annunci contestuali, indipendentemente dallo stato di consenso.

Toggle del sistema di raccomandazione

L'opt-out dal sistema di raccomandazione dovrebbe trovarsi nello stesso posto della vista preferenze del banner di consenso — la maggior parte dei CMP espone ora un modulo generico 'controlli della piattaforma' a questo scopo. Il toggle modifica la preferenza a livello di sessione dell'utente e, se autenticato, la preferenza a livello di account. Il servizio di raccomandazione a valle legge la preferenza ad ogni chiamata di classificazione.

Errori comuni nel DSA che portano a rilievi

Le decisioni di enforcement del DSA del 2024 e 2025 hanno prodotto un elenco chiaro di pattern che portano a indagini della Commissione. Il CMP imposta per impostazione predefinita il flag di targeting dei minori su false per ogni utente senza mai verificare i segnali di età del publisher. L'opt-out dal sistema di raccomandazione è nascosto a tre clic di profondità nelle impostazioni dell'account invece di essere presentato vicino al banner di consenso. Il blocco ad-marker del creative pubblicitario viene aggiunto agli annunci display ma omesso per i video. La classificazione dei contenuti sensibili copre categorie ovvie come salute e religione, ma manca i siti di notizie politiche che rientrano comunque nella protezione delle opinioni politiche dell'Article 9. Il livello delle piattaforme online molto grandi pubblica la propria valutazione del rischio sistemico, ma la tratta come un esercizio una tantum piuttosto che come il documento vivo annuale richiesto dal DSA.

La conclusione

Il DSA è il primo grande regolamento UE dal GDPR a ridisegnare concretamente ciò che i publisher possono fare con l'attenzione del pubblico per cui hanno già raccolto il consenso. I divieti di targeting dei minori e dell'Article 9 sono vincoli progettuali assoluti, non opzioni di consenso. L'opt-out dal sistema di raccomandazione è un controllo utente di primo livello che si affianca al banner dei cookie. Gli obblighi di trasparenza sulla distribuzione pubblicitaria richiedono template dell'ad server che iniettino automaticamente i marker corretti in ogni creative pubblicato. Nulla di tutto ciò è opzionale, né può essere implementato in fretta quando arriva una lettera di enforcement. I publisher che hanno integrato i gate DSA nel loro CMP e ad stack durante la fase di implementazione 2023-2024 operano ora in modo conforme; quelli che hanno trattato il DSA come un esercizio documentale stanno trascorrendo il 2026 nella coda di enforcement della Commissione. Il lavoro è moderato, l'architettura è consolidata e le conseguenze dell'inerzia non sono più ipotetiche.