DSA (Digital Services Act): Obblighi per Piattaforme e Startup 2026
Digital Services Act (Reg. UE 2022/2065): a chi si applica, obblighi per piattaforme, marketplace, SaaS e startup. Trasparenza algoritmica, KYBC, Notice & Action e sanzioni fino al 6% del fatturato. Guida aggiornata al 2026.
Ordine degli Avvocati di Sciacca n. 747 · Avvocato & Sviluppatore · IT Law
Nota metodologica. La presente analisi è aggiornata al 17 giugno 2026. Il Regolamento (UE) 2022/2065 (Digital Services Act) è in vigore dal 16 novembre 2022 ed è pienamente applicabile a tutte le piattaforme dal 17 febbraio 2024. Le piattaforme di dimensioni molto grandi (VLOP) e i motori di ricerca di dimensioni molto grandi (VLOSE) sono soggetti a obblighi aggiuntivi dalla designazione della Commissione europea (agosto-dicembre 2023). In Italia, l'autorità di coordinamento è AGCOM (Delibera n. 283/24/CONS). Il contenuto ha finalità esclusivamente informativa e non costituisce parere legale.
Fonti primarie: Reg. UE 2022/2065 (DSA), EUR-Lex · AGCOM, Autorità Digitale dei Servizi · EU Commission, DSA enforcement
Il Digital Services Act si applica alla mia piattaforma o alla mia startup?
Il DSA si applica a tutti i servizi intermediari che offrono i loro servizi a destinatari nell'Unione Europea, indipendentemente dalla sede legale del fornitore. La gradazione degli obblighi è proporzionale alla dimensione e al ruolo del servizio: i semplici servizi di caching o mere conduit hanno obblighi minimi, mentre le piattaforme (inclusi marketplace, app store, social network e piattaforme di sharing economy) hanno obblighi più estesi. Le micro e piccole imprese (meno di 50 dipendenti e fatturato inferiore a 10 milioni di euro) beneficiano di esenzioni specifiche dagli obblighi più onerosi.
Il Digital Services Act non è un adempimento riservato ai grandi operatori come Meta, Amazon o Google. La struttura graduata del Regolamento coinvolge anche piattaforme di medie dimensioni, marketplace B2C, SaaS con contenuti generati dagli utenti e servizi di cloud hosting, con obblighi differenziati che molte aziende italiane ancora non hanno mappato.
1. A chi si applica il Digital Services Act?
Il DSA distingue quattro categorie di soggetti, con obblighi crescenti (Artt. 11–48):
| Categoria | Esempi | Obblighi principali |
|---|---|---|
| Servizi intermediari (mere conduit, caching, hosting) | Cloud provider, CDN, servizi DNS, hosting generico | Obblighi di trasparenza di base, punto di contatto, rappresentante legale UE |
| Piattaforme online (hosting che diffonde informazioni al pubblico) | Marketplace, app store, piattaforme collaborative, social media | Notice & Action, reclami interni, trasparenza algoritmica, divieto dark pattern |
| Marketplace B2C (sottoinsieme delle piattaforme) | Amazon, eBay, Etsy, marketplace verticali | KYBC (verifica identità venditori), informativa sui prodotti illegali, tracciabilità |
| VLOP/VLOSE (piattaforme con >45M utenti UE/mese) | 25+ piattaforme designate dalla Commissione UE | Risk assessment sistemico, audit indipendenti, repository annunci, accesso dati ai ricercatori |
2. Quali sono gli obblighi concreti per una piattaforma o marketplace italiano?
2.1 Meccanismo di Notice & Action (Art. 16 DSA)
Ogni piattaforma deve predisporre un meccanismo elettronico che consenta a chiunque di segnalare contenuti, prodotti o servizi potenzialmente illeciti. La segnalazione deve essere:
- Accessibile e di facile utilizzo
- Corredata da una spiegazione chiara dei motivi
- Gestita con una decisione motivata notificata al segnalante e all'autore del contenuto
La mancata implementazione del meccanismo di segnalazione è una violazione autonoma del DSA, indipendentemente dall'effettiva presenza di contenuti illeciti sulla piattaforma.
2.2 KYBC, Conosci il tuo cliente business (Art. 30 DSA)
I marketplace B2C devono raccogliere, verificare e conservare informazioni specifiche sui venditori professionali prima di consentire loro di offrire prodotti o servizi:
- Nome, indirizzo, numero di telefono e indirizzo email
- Partita IVA o altro identificativo fiscale
- Per i venditori extra-UE: copia del documento di identità e autocertificazione
- Informazioni sul conto bancario di accredito dei pagamenti
La piattaforma deve compiere sforzi ragionevoli per verificare l'esattezza di queste informazioni utilizzando banche dati pubbliche ufficiali (Registro Imprese, VIES, albi professionali). L'inadempimento dell'obbligo KYBC espone la piattaforma a responsabilità per i prodotti illegali venduti da venditori non verificati.
2.3 Trasparenza dei sistemi di raccomandazione (Art. 27 DSA)
Le piattaforme devono indicare nelle proprie condizioni generali, con linguaggio chiaro e accessibile, i parametri principali utilizzati nei sistemi di raccomandazione e le opzioni per modificarli. Per le VLOP, deve essere offerta almeno un'opzione di raccomandazione non basata sulla profilazione.
3. Cosa rischia chi non si adegua?
Le sanzioni previste dal DSA (Art. 74) sono parametrate su scala europea:
| Violazione | Sanzione massima |
|---|---|
| Violazione degli obblighi del Regolamento | 6% del fatturato mondiale annuo |
| Fornitura di informazioni inesatte, incomplete o fuorvianti | 1% del fatturato o dell'entrata mondiale annua |
| Mancato rispetto delle misure provvisorie disposte dalla Commissione | Penalità di mora fino al 5% del fatturato medio giornaliero |
AGCOM, in qualità di Coordinatore dei Servizi Digitali per l'Italia, ha poteri ispettivi e sanzionatori diretti sulle piattaforme stabilite in Italia e poteri di indagine su piattaforme stabilite in altri Stati membri che producono effetti sul territorio nazionale.
4. Startup e PMI: cosa cambia davvero
Le micro e piccole imprese (meno di 50 dipendenti e fatturato annuo inferiore a 10 milioni di euro) sono esentate da alcuni obblighi (Art. 19 DSA), tra cui:
- L'obbligo di predisporre un sistema interno di gestione dei reclami
- L'obbligo di risoluzione extragiudiziale delle controversie
- L'obbligo di pubblicare report annuali di trasparenza
Le esenzioni non si applicano alle piattaforme qualificate come VLOP/VLOSE. Inoltre, gli obblighi fondamentali come il meccanismo di Notice & Action, il divieto di dark pattern e il punto di contatto restano applicabili a tutte le piattaforme, indipendentemente dalla dimensione.
5. Cosa fare subito
- Classificare il proprio servizio nella tassonomia DSA (semplice hosting, piattaforma, marketplace B2C) per identificare il perimetro degli obblighi applicabili
- Implementare il meccanismo di Notice & Action con form di segnalazione accessibile e flusso di gestione documentato
- Per i marketplace B2C: attivare il processo di verifica KYBC sui venditori professionali esistenti e sui nuovi richiedenti
- Aggiornare i Termini e Condizioni con le clausole richieste dal DSA (informativa sui sistemi di raccomandazione, politica di moderazione, procedura di reclamo)
- Designare un punto di contatto unico per le autorità e un punto di contatto per i destinatari del servizio (Art. 11-12 DSA)
Per una consulenza specifica sugli obblighi DSA per la propria piattaforma, si rimanda alla consulenza su contratti ICT e piattaforme.
Domande Frequenti (FAQ)
Il DSA si applica alle piattaforme SaaS B2B che non hanno contenuti pubblici? Dipende. Se la piattaforma SaaS consente ai propri utenti business di caricare, pubblicare o diffondere informazioni al pubblico (es. recensioni di prodotto visibili a terzi, marketplace API, sezioni community), allora ricade nella definizione di piattaforma online. Se il servizio è invece un mero strumento di elaborazione dati interni senza diffusione al pubblico (es. CRM, ERP cloud, strumenti di project management privati), si applicano solo gli obblighi generali dei servizi di hosting.
Chi vigila sul rispetto del DSA in Italia? AGCOM è il Coordinatore dei Servizi Digitali (DSC) per l'Italia, con poteri di indagine, ispezione e sanzione sulle piattaforme italiane. Le piattaforme molto grandi (VLOP/VLOSE) sono vigilate direttamente dalla Commissione europea, che può avviare procedimenti d'ufficio.
Qual è la differenza tra DSA e DMA? Il DSA regola la responsabilità delle piattaforme per i contenuti e i prodotti degli utenti, la trasparenza algoritmica e la protezione dei diritti fondamentali online. Il DMA (Digital Markets Act) disciplina invece le pratiche commerciali delle piattaforme che fungono da gatekeeper in specifici servizi di piattaforma di base (mercati online, motori di ricerca, social network, ecc.). Le due normative si applicano cumulativamente.
Un marketplace di prodotti digitali (es. template, asset grafici) è soggetto al DSA? Sì, se opera come mercato online B2C che consente a venditori terzi di offrire beni o servizi digitali a consumatori nell'UE. In tal caso si applicano gli obblighi KYBC (Art. 30), l'obbligo di informativa sulla conformità dei prodotti e il meccanismo di Notice & Action.
Approfondimenti consigliati:
- Termini e Condizioni per Marketplace: DSA e P2B
- Termini e Condizioni per Siti Web, App e SaaS
- NIS2 e DORA: Obblighi per le Aziende Italiane
Fonti: Reg. UE 2022/2065, EUR-Lex; AGCOM, Delibera 283/24/CONS; EU DSA Enforcement Framework.
Autore
Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.
Profilo completo e competenze