Digital Services Act: al via il diritto di accesso ai dati delle big tech per la ricerca

Il 1° luglio 2025, la Commissione Europea ha pubblicato la versione finale dell’atto delegato sull’accesso ai dati definito dell’articolo 40, uno dei provvedimenti più attesi del Digital Services Act (DSA), la regolamentazione che ridisegna le regole del digitale in Europa. Si inizia così a costruire un’infrastruttura stabile per permettere ai ricercatori di accedere ai dati delle grosse piattaforme online (quelle con più di 45 milioni di utenti attivi mensili nell’UE) per studiarne i cosiddetti rischi sistemici. Con questi si intendono gli effetti negativi generati dal funzionamento e dall’uso delle piattaforme online, che possono incidere su processi democratici, diritti fondamentali, salute pubblica, o benessere collettivo.

Ma se il quadro normativo segna un progresso importante, la sua realizzazione pratica si preannuncia tutt’altro che semplice. Il testo ha infatti sollevato numerose questioni interpretative ed operative, a partire dalla definizione di “ricercatore accreditato” (vetted researcher) che fortunatamente non include solo accademici ma anche studiosi di organizzazioni della società civile, tra cui giornalisti investigativi, a condizione che soddisfino adeguati standard etici e giuridici – in particolare in materia di protezione dei dati personali (GDPR).

Più delicata la clausola sull’assenza di interessi economici, che, se interpretata rigidamente, rischia di escludere think tank e centri di ricerca indipendenti sostenuti da finanziamenti privati, pur senza scopo di lucro. Numerosi studiosi hanno poi sollevato una contraddizione di fondo: dover specificare in anticipo quali dati si vogliono ottenere, senza sapere quali siano effettivamente disponibili, unita all’obbligo di pubblicare i risultati.

Nel dettaglio, l’articolo 40 prevede due canali distinti di accesso ai dati. Il primo, descritto dal comma 12, riguarda l’accesso ai contenuti pubblici, cioè dati visibili a chiunque perché condivisi dagli utenti senza restrizioni di privacy. Questo accesso può avvenire anche in modo automatizzato – ad esempio tramite scraping – e senza autorizzazione preventiva da parte della piattaforma, a patto che non comprometta la sicurezza del servizio né la privacy degli utenti. È il meccanismo più simile a strumenti come il defunto CrowdTangle, che consentiva di monitorare l’ecosistema informativo su Facebook e Instagram prima di venire dismesso da Meta a partire dal 2023.

Il secondo canale, regolato dal comma 8, concerne l’accesso a dati non pubblici, come informazioni su sistemi di raccomandazione, sul targeting pubblicitario o sui processi di moderazione dei contenuti. Qui entra in gioco il nuovo Portale europeo istituito dalla Commissione Europea, attraverso cui i ricercatori possono inviare richieste motivate. La centralizzazione del processo in seno all’UE è un elemento positivo che consente di uniformare le procedure, monitorare le richieste e garantire maggiore trasparenza sul funzionamento complessivo del sistema. Ogni domanda sarà poi esaminata dai Coordinatori dei Servizi Digitali degli Stati membri (AGCOM in Italia) entro un termine massimo di 80 giorni lavorativi.

I dati potranno essere forniti in vari formati e dovranno essere adeguatamente anonimizzati per rispettare il GDPR. Restano esclusi i dati che rivelerebbero segreti commerciali, comprometterebbero la sicurezza della piattaforma o la privacy degli utenti. Una formulazione, questa, che lascia margini di interpretazione e potrebbe essere sfruttata per restringere l’accesso in modo arbitrario.

Il quadro che emerge è ambizioso, ma intrinsecamente fragile. La trasparenza digitale resta un obiettivo conflittuale: l’accesso ai dati è un processo selettivo, costoso da implementare per le piattaforme e può comportare rischi per privacy o sicurezza. Eppure, è uno strumento fondamentale per consentire controlli democratici, regolamentazione efficace e ricerca indipendente.

È prevedibile che le piattaforme oppongano rifiuti, ritardi e interpretazioni restrittive. Il blocco di CrowdTangle, delle API pubbliche e delle possibilità di scraping, la vaghezza con cui compilano i report di trasparenza previsti dal DSA, le minacce di disattivare i sistemi di moderazioni, sono segnali evidenti di resistenza. In questo scenario, sarà essenziale che gli Stati Membri reagiscano con prontezza (evitando sovraccarichi come quello che rischia di colpire l’autorità irlandese, dove hanno sede molte grandi piattaforme) e che l’Unione Europea dimostri la volontà politica di difendere il diritto dei ricercatori, anche a costo di scontrarsi con il potere delle big tech.

In conclusione, l’atto Delegato non è un semplice documento tecnico, ma il cuore operativo della promessa europea di una governance digitale più trasparente e democratica. Se funzionerà, sarà finalmente possibile aprire le “scatole nere” delle piattaforme e riequilibrare i rapporti tra potere privato e interesse pubblico. Ora, però, la sfida è farlo accadere davvero.