Nella prima settimana di giugno si terranno le elezioni europee in tutta l’Unione: come affrontare i rischi derivanti dalla prassi di disinformazione online? La Commissione Europea ha deciso di promulgare ad hoc un atto delegato, previsto dal Regolamento UE detto “Digital Services Act” (”DSA”), n. 2022/2065 ed entrato in vigore a pieno regime da febbraio scorso.

L’atto è intitolato “Communication from the Commission on Guidelines for providers of Very Large Online Platforms and Very Large Online Search Engines on the mitigation of systemic risks for electoral processes pursuant to the Digital Services Act (Regulation (EU) 2022/2065)”, C(2024) 2121 final, datato 26 marzo.

È il primo atto con cui la Commissione esplora il tema molto discusso e ancora vago dei “rischi sistemici”, con un proprio atto di indirizzo della misure di loro contenimento e pertanto rappresenta un’utile prima cartina da tornasole anche per ragionamenti più ampi e “orizzontali” circa la compliance dei provider quanto alla mitigazione, in generale, di tali rischi. Vedremo di seguito una breve disamina del contenuto.

Premesse, attese e promesse

È vero che è recentissima l’adozione di un separato Regolamento, il 2024/900, dedicato alla trasparenza e al targeting pubblicitario politico, già in vigore da fine marzo scorso – tuttavia i tempi di piena applicazione si spingono fino all’ottobre 2025.

Nel frattempo, la Commissione aveva avviato da tempo consultazioni con vari stakeholder, per poter arrivare a un minimo framework che andasse a coprire da subito le imminenti elezioni europee. E nemmeno tanto minimo, dato che il testo è di dense 26 pagine, articolato in temi e cadenze temporali che arrivano a un notevole livello di dettaglio. Rappresenta un tangibile primo esercizio di applicazione del DSA.

La Commissione ha sentito tanto più l’urgenza di intervenire in quanto lo strumento più completo e utile disponibile al momento – il c.d. Code of practice on Disinformation del 2022 – deve ancora essere “processato” per potersi dire far parte (con relativo corredo di sanzioni e KPI) dell’armamentario approntato dal DSA. Il che avverrà quando verrà sancito essere un Codice di condotta adottato ai sensi del DSA, con relativo apparato sanzionatorio.

En passant, ricordiamo che le sanzioni del DSA non sono trascurabili, per es. la Commissione può elevare certe sanzioni pecuniarie fino al 6% del fatturato globale delle imprese.

Infine, è utile segnalare che i presenti orientamenti vanno a integrare le politiche della Commissione nel settore della democrazia e di libere elezioni, eque e resilienti, tra cui contiamo già lo European democracy action plan del 2020, il pacchetto sulle elezioni e l’integrità presentato dalla Commissione nel 2021 e recentemente il Defence of Democracy package del 2023.

Si inserisce in una strategia che da tempo la Commissione persegue onde tentare, nelle intenzioni, di preservare il circuito informativo elettorale il meno possibile “inquinato” da influenze indebite, specie se “state sponsored” al pari di attacchi informatici – in gergo, si parla di manipolazione e interferenza dell’informazione straniera (abbr. “FIMI”).

L’intervento della Commissione nel solco del DSA

Torniamo al tema attuale, cioè il testo sfornato dalla Commissione con l’obiettivo primario di affrontare le imminenti elezioni europee (ma non solo, essendo applicabile anche ai processi elettorali nazionali degli Stati membri).

Bersaglio primario? Le piattaforme online e i motori di ricerca di maggiori dimensioni (abbreviati rispettivamente dagli acronimi inglesi, “VLOP” e “VLOSE”), quindi gli arcinoti big players che sono già stati censiti e designati dalla Commissione come risulta in un apposito elenco pubblico.

Si tratta di spazi digitali cruciali per il dibattito pubblico e influenzano l’opinione pubblica e il comportamento elettorale – difatti il DSA impone loro di valutare e mitigare i rischi “sistemici” per i discorsi civici e i processi elettorali, ovvero tutti i possibili effetti negativi sui diritti fondamentali.

La base è l’art. 35 del DSA ove si permette alla Commissione di fornire linee guida su come mitigare specifici rischi, includendo le migliori pratiche e raccomandazioni che rispettino i diritti fondamentali.

Ed è noto – soprattutto dopo il periodo pandemico – come vari fenomeni associati alle piattaforme digitali, come la disinformazione e i contenuti estremisti, rappresentino un rischio per l’integrità delle elezioni.

Rischio che può manifestarsi attraverso, tra l’altro, la diffusione di contenuti illeciti (oltre che “dannosi”, pur leciti), richiedendo un’azione coerente contro tali contenuti e la fornitura di meccanismi di “notifica e di azione” efficaci. Il pensiero della Commissione è indirizzato in primis ai social network che tanto hanno contato in passate esperienze di disinformazione di massa.

I presenti orientamenti mirano a supportare VLOP e VLOSE nell’affrontare questi rischi specifici. L’iter dei VLOP e VLOSE sarà dunque quello di valutare in proprio i rischi sistemici (effetti negativi ad ampio raggio) che possono presentarsi per la tutela dei diritti fondamentali (inclusi l’accessibilità e l’inclusività per tutti i gruppi, inclusi quelli vulnerabili).

Dopodiché, individuati tali rischi, dovranno stabilire e applicare misure di mitigazione, in maniera proattiva ex ante. Ecco il senso del testo in parola, agevolare tale operazione con un “catalogo” di misure di mitigazione specifiche per l’ambito elettorale politico.

Restando ovviamente salvi tutti gli ulteriori obblighi pertinenti previsti dal DSA – e che includono la trasparenza, i sistemi di raccomandazione, i meccanismi di risposta alle crisi e via dicendo.

Di enorme rilievo è l’ambito temporale, perché la Commissione raccomanda che le misure siano adottate “durante i periodi pre-elettorali, elettorali e post-elettorali”. Il che rappresenterà una sfida importante per i provider obbligati.

Rafforzamento dei processi interni delle piattaforme

Per garantire che le misure di mitigazione siano adeguatamente allineate ai rischi individuati nei processi elettorali, i fornitori di piattaforme e motori di ricerca sono incoraggiati a potenziare i loro processi interni: ciò dovrebbe basarsi su un’analisi approfondita di vari elementi, tra cui l’attività degli attori politici sulla piattaforma, le discussioni rilevanti che emergono e come queste vengono utilizzate in contesti elettorali, nonché su dati specifici (per es. il numero di utenti in uno Stato membro durante determinate elezioni).

Un aspetto cruciale di questo potenziamento include l’identificazione e la messa a disposizione di informazioni, analisi e dati rilevanti che possono aiutare nella progettazione e calibrazione delle misure mirate a mitigare i rischi legati alle elezioni. Ciò può comprendere dettagli sui partiti politici, i candidati, le campagne e altre attività politiche, con un occhio di riguardo alla protezione dei dati personali secondo la normativa vigente.

Per assicurare che le misure adottate siano il più efficaci possibile, i provider dovrebbero considerare il contesto: cioè le specificità regionali, locali e linguistiche dove le misure saranno impiegate. È quindi raccomandato che le informazioni raccolte siano facilmente accessibili a chi è responsabile dell’elaborazione e calibrazione delle misure di mitigazione dei rischi, con un’attenzione particolare alle risorse di moderazione dei contenuti che possiedono competenze linguistiche locali e una profonda conoscenza dei contesti nazionali o regionali specifici.

La Commissione suggerisce inoltre la formazione di un team interno dedicato, chiaramente identificabile, prima di ogni ciclo elettorale. Questo team dovrebbe disporre di risorse proporzionate ai rischi individuati per le elezioni in questione e dovrebbe includere personale con conoscenze specifiche dello stato membro interessato. La competenza di questo gruppo dovrebbe spaziare dalla moderazione dei contenuti alla verifica dei fatti, coprendo anche aspetti come le minacce ibride, la cibersicurezza, la disinformazione e la partecipazione pubblica, lavorando in collaborazione con esperti esterni e organizzazioni di fact-checking indipendenti.

È consigliato che i termini e le condizioni dei fornitori definiscano chiaramente il periodo in cui verranno implementate misure specifiche per mitigare i rischi elettorali. Alcune di queste misure potrebbero essere necessarie solo in specifici periodi elettorali, tenendo conto delle diverse leggi e procedure elettorali nazionali.

Infine, le misure di mitigazione dovrebbero idealmente essere messe in atto da uno a sei mesi prima del periodo elettorale e continuare per almeno un mese successivamente, con un’intensificazione nel periodo immediatamente precedente al voto per affrontare l’aumento del rischio di minacce e garantire che le informazioni sulle procedure di voto siano accurate e affidabili.

Misure specifiche di mitigazione

Per affrontare i rischi sistemici legati ai processi elettorali, i provider sono chiamati ad adottare una serie di misure di mitigazione che coprono diversi ambiti cruciali. Una delle principali preoccupazioni è l’accesso alle informazioni ufficiali sul processo elettorale: al fine di aumentare la partecipazione elettorale e contrastare la disinformazione, è fondamentale che queste piattaforme facilitino l’accesso a informazioni accurate e affidabili, come dettagli su come e dove votare, fornite dalle autorità elettorali nazionali. Questo può tradursi in una varietà di iniziative sulle piattaforme: da pannelli informativi a link diretti ai siti delle autorità.

Parallelamente, si dice essenziale promuovere l’alfabetizzazione mediatica (“media literacy”) tra gli utenti, incoraggiando una maggiore consapevolezza critica riguardo alle tecniche di disinformazione e manipolazione. I fornitori di VLOP e VLOSE possono svolgere un ruolo attivo collaborando con organizzazioni locali e sostenendo campagne e iniziative mirate, incluse quelle che prevedono l’uso di gamification e altri strumenti interattivi per educare gli utenti.

Un altro punto focale riguarda la necessità di fornire agli utenti contesti più chiari sui contenuti e gli account con cui interagiscono. Questo può includere per es. l’applicazione di etichette di fact-checking sui contenuti identificati come disinformazione, suggerimenti per incoraggiare gli utenti a valutare l’accuratezza e l’origine dei contenuti prima di condividerli, oppure meccanismi che evidenziano chiaramente gli account ufficiali e quelli sostenuti da governi di Paesi terzi.

Inoltre, considerata l’influenza significativa che i sistemi di raccomandazione possono avere nel modellare l’opinione pubblica, è vitale che queste piattaforme offrano agli utenti controlli significativi sui loro feed, promuovendo la diversità e il pluralismo dei media. Questo include anche l’adozione di misure per limitare la diffusione di contenuti ingannevoli o manipolati, soprattutto quelli generati tramite intelligenza artificiale (su cui vedi sotto).

Sul fronte della pubblicità politica, anche alla luce del citato recente Regolamento, si richiede una maggiore trasparenza e responsabilità, con particolare attenzione all’evitare discriminazioni. I provider dovrebbero far sì che gli annunci politici siano chiaramente etichettati e che gli utenti possano accedere facilmente a informazioni dettagliate sui promotori degli annunci.

Infine, dato il potenziale ascendente degli influencer nel contesto elettorale, è cruciale aumentare la trasparenza riguardo ai contenuti sponsorizzati, obbligando gli influencer a indicare chiaramente quando i loro post contengono pubblicità politica. Questo – insieme alla demonetizzazione dei contenuti che diffondono disinformazione e alla vigilanza contro la manipolazione del servizio – rappresenta secondo la Commissione un passo fondamentale per preservare l’integrità del dibattito pubblico online.

Elezioni vs AI Generativa

La sezione 3.3 del documento riguarda le misure di mitigazione legate all’Intelligenza Artificiale Generativa, quella che per l’appunto genera informazioni e contenuti. Con gli sviluppi tecnologici recenti, l’AI generativa ha permesso la creazione e l’uso diffuso di sistemi di intelligenza artificiale capaci di generare testi, immagini, video o altri contenuti sintetici.

Questi sviluppi, pur offrendo nuove opportunità, possono portare a specifici rischi sistemici nel contesto delle elezioni.

Ricordiamo che peraltro nell’attuale lista di VLOP e VLOSE mancano fornitori o servizi come quelli di OpenAI, cioè direttamente di AI, pertanto, quanto indicato andrà applicato se e quando i servizi e provider attualmente censiti utilizzino tali tool al loro interno (potrebbe per es. essere il caso di Bing che implementa Copilot di Microsoft).

In particolare, e contestualizzando, l’AI generativa può essere utilizzata in modo improprio per indurre in errore gli elettori o manipolare i processi elettorali mediante la creazione e la diffusione di contenuti sintetici inautentici, distorti, fuorvianti (inclusi testo, audio, immagini fisse e video) e riguardanti attori politici, rappresentazioni false di eventi, sondaggi elettorali, contesti o narrazioni.

I sistemi di AI generativa possono anche produrre informazioni scorrette, incoerenti o inventate, cosiddette “allucinazioni”, che distorcono la realtà e che possono potenzialmente indurre in errore o fuorviare gli elettori.

La Commissione raccomanda che i fornitori di VLOPs e VLOSEs allineino le loro politiche all’AI Act. In anticipo rispetto alla sua entrata in applicazione, ciò avverrà in linea con l’AI Pact, ovvero dell’iniziativa della Commissione Europea, del novembre 2023, che invita le aziende a impegnarsi volontariamente a conformarsi in anticipo a certe prescrizioni della imminente norma sull’AI dell’UE, prima che i requisiti diventino obbligatori.

Questo patto mira a promuovere la preparazione e l’adozione precoce delle normative sull’IA, incentivando la condivisione di pratiche e azioni volte a garantire lo sviluppo e l’uso responsabile dell’IA. Le migliori pratiche di mitigazione, e che possono già ora informare le misure di mitigazione dei rischi pertinenti, possono essere quindi tratte dall’AI Act e dall’AI Pact.

Sono particolarmente rilevanti, in questo contesto, gli obblighi previsti nell’AI Act per i fornitori di modelli di AI general-purpose, inclusi i requisiti per l’AI generativa. Come l’etichettatura dei “deepfake” e – per i fornitori di sistemi – di utilizzare soluzioni tecniche all’avanguardia per garantire che i contenuti creati tramite AI generativa siano contrassegnati (watermark ecc.) in un formato leggibile dalle macchine e riconoscibili come tali, il che consentirà la loro rilevazione da parte dei fornitori di VLOP e VLOSE.

Ciò per rassicurare sulla provenienza e sull’autenticità dei contenuti e delle informazioni. I testi, in particolare, dovranno recare nell’output le fonti concrete utilizzate come input generativo, di fatto al pari di un motore di ricerca.

I provider, peraltro, dovranno stabilire delle metriche di valutazione della sicurezza e dell’accuratezza delle proprie attività in merito. Si dovranno adottare misure specifiche (come red-teaming ed esercitazioni, procedure di monitoraggio continuo ecc.) così come adattare i propri termini contrattuali di servizio, se necessario, onde sia informare gli utenti della necessaria trasparenza che delle conseguenze (punitive) in caso di violazioni. Altrettanto tarati su queste necessità dovranno essere i processi algoritmici di moderazione dei contenuti, specie tramite una valutazione di impatto sui diritti fondamentali in gioco.

In sintesi, questa sezione evidenzia l’importanza di adottare misure proattive per mitigare i rischi associati all’uso dell’AI generativa nei contesti elettorali. Sottolineando la necessità di una cooperazione tra i diversi attori dell’industria digitale per sviluppare misure di mitigazione efficaci, nel pieno rispetto dei diritti fondamentali protetti in UE.

Ricerca indipendente e diritti fondamentali

Il monitoraggio indipendente e l’analisi delle misure di mitigazione del rischio elettorale adottate dai grandi fornitori di servizi digitali sono essenziali per assicurare la loro efficacia e il rispetto dei principi democratici.

Questi fornitori sono incoraggiati a garantire un accesso ampio e trasparente ai dati per ricercatori e terzi, specialmente in periodi elettorali, per facilitare studi approfonditi, inclusi quelli sulla pubblicità politica. La trasparenza nell’implementazione di queste misure è fondamentale per consentire un controllo pubblico che supporti l’adattamento e il miglioramento delle strategie di mitigazione, garantendo così un impatto equo e non polarizzato sul dibattito pubblico.

E proprio le misure di mitigazione dei rischi messe in atto devono essere adottate nel già citato e pieno rispetto dei diritti fondamentali – tra cui la libertà di espressione e il pluralismo dei media, garantiti dalla Carta dell’Unione Europea, oltre a tenere conto delle raccomandazioni e dei principi guida rilevanti, come quelli proposti dalle Nazioni Unite su imprese e diritti umani.

In questo contesto è fondamentale considerare l’impatto delle misure contro i contenuti illegali, come quelli che incitano alla violenza o all’odio, poiché possono limitare la partecipazione al dibattito democratico, soprattutto per gruppi vulnerabili o minoranze.

La disinformazione e le forme di violenza online, comprese quelle legate all’estremismo o ai pregiudizi contro le comunità LGBTIQ+, minano il dialogo aperto e democratico, contribuendo a dividere e polarizzare la società.

La Commissione sottolinea l’importanza, da parte dei provider, del coinvolgimento delle organizzazioni della società civile nella valutazione del rischio e raccomanda che le valutazioni d’impatto sui diritti fondamentali vengano condivise con queste organizzazioni non appena completate.

Questo approccio mira a creare un dialogo aperto e costruttivo su buone pratiche e miglioramenti possibili, rafforzando nelle intenzioni la trasparenza e la partecipazione democratica nel processo di mitigazione dei rischi, legati ai processi elettorali e oltre.

Una costante vigilanza

La protezione dell’integrità delle elezioni è una sfida complessa che richiede una profonda conoscenza del contesto specifico di ciascun Paese, oltre a reazioni tempestive agli sviluppi che possono influenzare i rischi legati all’uso dei servizi suddetti.

Oltre a quanto detto sopra, per raggiungere questo obiettivo la Commissione ritiene vitale che i provider collaborino strettamente con le autorità nazionali ed europee competenti, nonché con una vasta gamma di attori non statali, tra cui accademici, esperti indipendenti, organizzazioni della società civile e osservatori elettorali.

Queste interazioni dovrebbero concentrarsi sullo scambio di informazioni che possano guidare sia le valutazioni del rischio che lo sviluppo e l’adattamento delle misure di mitigazione del rischio elettorale. Invitando alla condivisione aperta delle informazioni tra tutte le parti coinvolte.

La vigilanza imposta dalla Commissione, come abbiamo già visto sopra, si deve estendere al periodo post-elettorale, raccomandando di “effettuare un riesame post-elettorale che comprenda una valutazione dell’efficacia delle misure di attenuazione del rischio impiegate in tale contesto, al fine di adeguarle, se necessario. Tale relazione interna dovrebbe includere una valutazione del rispetto delle metriche interne di performance e di qualsiasi altro criterio di valutazione prima, durante e dopo le elezioni, degli insegnamenti tratti e dei settori di miglioramento”.

E sarà tanto più importante per le elezioni imminenti dell’Unione, espressamente affrontate nel documento proprio segnalandone la complessità: tenendo conto della dimensione transfrontaliera ed europea unica di queste elezioni, nell’assegnare adeguate risorse di mitigazione del rischio da parte dei fornitori.

“La campagna elettorale non sarà solo nazionale e il dibattito si verificherà a livello transfrontaliero. Oltre a stabilire contatti con le autorità nazionali competenti, la Commissione raccomanda che i fornitori di VLOP e VLOSE stabiliscano contatti con le autorità a livello dell’UE prima delle elezioni. Il Parlamento europeo svolge un ruolo chiave nelle elezioni europee e dovrebbe essere un interlocutore chiave per le VLOP e le VLOSE in vista di queste elezioni”.

In definitiva, la collaborazione di tutti gli stakeholder sarà fondamentale e la Commissione dovrà fungere da sorta di arbitrio, non proprio imparziale ma diretto alla tutela dei diritti fondamentali e che ha giustificato l’introduzione del DSA.

Si tratta di un primo test sul campo di tenuta ed efficacia di questa novella normativa – la posta in gioco è talmente rilevante che la responsabilità di successo ricade non solo sulle istituzioni e sui fornitori di servizi digitali, ma anche sulla società civile e sugli utenti finali, chiamati proattivamente a interagire con i provider. La difesa dell’integrità elettorale in questo contesto digitale richiederà un impegno condiviso verso la vigilanza e l’azione collaborativa, non bastando la normativa e l’apporto della Commissione.