Lo scorso 20 ottobre la Commissione Europea ha pubblicato il Regolamento Delegato, emanato ai sensi dell’art. 37 del Digital Services Act (DSA – Regolamento (UE) 2022/2065), che disciplina l’effettuazione degli audit indipendenti previsti dalla normativa.
Il Regolamento Delegato (di cui è attesa la pubblicazione in Gazzetta Ufficiale) disciplina quindi le attività di audit che dovranno essere condotte dai fornitori di servizi qualificati come Very Large Online Platforms and Search Engines (VLOP e VLOSE) entro 16 mesi dalla loro designazione. Considerando che le prime designazioni sono avvenute lo scorso aprile, queste grandi piattaforme saranno tenute ad effettuare il loro primo audit entro agosto 2024 e di lì in avanti a darvi corso annualmente (o più di frequente ove ciò sia opportuno).
Il Regolamento Delegato, che si compone di 36 considerando e 18 articoli, dettaglia i requisiti che pone l’articolo 37 del DSA in capo all’attività di revisione ed ai revisori, che devono essere indipendenti, competenti e obiettivi.
É altresì presente un interessante allegato che costituisce un vero e proprio modello di report dell’audit, comprensivo delle misure raccomandate per risolvere le criticità rilevate dal revisore e di un modulo che il soggetto sottoposto ad audit potrà utilizzare per dar conto di aver risolto le criticità riportate dal revisore, nel modo da questi proposto ovvero in altro modo ugualmente efficace.
Il contenuto del Regolamento Delegato
L’atto appena emanato dalla Commissione UE precisa innanzitutto l’oggetto dell’attività di audit, che deve riguardare l’intera piattaforma o motore di ricerca in ogni sua declinazione e coprire una fascia temporale che inizia dal giorno successivo all’ultimo giorno esaminato dal precedente audit e si chiude durante l’audit stesso (e dovrà essere chiaramente individuata per consentire al successivo auditor di riprendere da dove il precedente si era interrotto). Il primo audit coprirà invece il periodo da agosto 2023 ad agosto 2024 per le VLOP e i VLOSE già nominati, ed il periodo di un anno decorrente dallo spirare del quarto mese dopo la designazione quale VLOP o VLOSE.
Quindi il Regolamento precisa quali sono gli obblighi di cooperazione del gestore della piattaforma o del motore di ricerca, che deve collaborare fornendo ogni informazione necessaria al revisore, inclusi almeno:
- Una descrizione dei controlli interni ed i dati rilevati da tali presidi nel periodo soggetto ad audit;
- L’analisi preliminare effettuata dal gestore della piattaforma o del motore di ricerca relativamente al controllo dei rischi (sempre che il gestore vi abbia dato corso);
- Informazioni su tutte le strutture decisionali del gestore pertinenti alla piattaforma o motore di ricerca, su tutte le competenze dei vari dipartimenti del fornitore, inclusa la funzione di controllo della conformità prevista dall’art. 41 del DSA, tutti i sistemi informatici rilevanti per l’indagine, le fonti dei dati e informazioni sul loro trattamento e conservazione, nonché una spiegazione in merito ai sistemi algoritmici pertinenti e alle loro interazioni.
Il Regolamento Delegato prescrive che le parti (auditor e audited) sottoscrivano un contratto in cui chiariscono nel dettaglio cosa sarà sottoposto ad audit (ovvero il rispetto degli obblighi di cui al DSA, previsti dal capo II del Regolamento “in materia di dovere di diligenza per un ambiente online trasparente e sicuro” calati nello specifico contesto della piattaforma o motore di ricerca gestito dal soggetto sottoposto ad audit. La norma prosegue poi con un singolare elenco di prescrizioni circa il contenuto del contratto che dovrebbero invece essere lasciate all’autonomia delle parti e che sembra davvero anomalo trovare in un testo normativo (addirittura la Commissione pretende che nel contratto fra il gestore VLOP o VLOSE e il revisore sia prevista una procedura per la risoluzione delle controversie fra le parti!).
Quindi si passa ad un esame dei possibili esiti dell’attività di auditing, abbiamo in particolare un esito, da suddividere per i singoli obblighi previsti dalla normativa, che può essere:
- “positivo” laddove il revisore concluda con un livello ragionevole di sicurezza che il gestore VLOP o VLOSE ha rispettato una prescrizione sottoposta ad audit;
- “positivo con commenti” quando il revisore conclude con un livello ragionevole di sicurezza che il gestore controllato ha rispettato una prescrizione sottoposta ad audit, ma:
(i) il revisore include osservazioni sui parametri di riferimento forniti dal gestore controllato, o
(ii) il revisore raccomanda miglioramenti che non hanno un effetto sostanziale sulla sua conclusione.
- “negativo” quando il revisore conclude con un livello ragionevole di sicurezza che il gestore sottoposto ad audit non ha rispettato una prescrizione sottoposta ad audit.
La somma di questi esiti relativi ai singoli obblighi previsti dal DSA dà luogo ad una complessiva “audit opinion” in relazione alla conformità della piattaforma o motore di ricerca preso in esame, ed anch’essa può essere positiva, positiva con commenti o negativa (di fatto basta che l’esame di una delle prescrizioni abbia dato esito “positivo con commenti” per “trascinare” tutta l’opinion a quel livello, ed identico discorso vale nel caso in cui l’esame di una delle prescrizioni abbia dato esito negativo: l’opinion sarà giocoforza negativa).
Il gestore che abbia ricevuto una valutazione “negativa” deve “tenerne debitamente conto” e adottare entro un mese una relazione di attuazione della revisione (di cui è presente un modello nel Regolamento Delegato) in cui dà atto di aver introdotto i correttivi proposti dal revisore o giustificano perché non vi hanno dato corso o hanno dato corso ad altre misure alternative.
Il Regolamento Delegato apre quindi una sezione dedicata alle metodologie di audit, dove è prescritto di indagare rischi intrinseci, rischi di controllo e rischi di individuazione utilizzando metodologie appropriate alla situazione specifica esaminata.
Gli ultimi articoli della normativa si dedicano all’esame di alcuni rischi specifici in relazione ad alcune prescrizioni del DSA di cui verificare il rispetto in sede di audit (tra cui l’art. 37, con il revisore che sarà chiamato a valutare se il fornitore ha rispettato o meno i propri obblighi in tema di auditing), anche se il legislatore europeo non va mai al di là di generiche prescrizioni di adeguatezza, raccomandando test (anche sugli algoritmi) e attività di campionamento (avendo cura di selezionare dati che siano sufficientemente estesi da risultare significativi per l’attività di analisi).
Un’occasione mancata
L’esame del Regolamento Delegato lascia l’impressione di un’occasione mancata, in quanto si tratta di un testo normativo troppo generico e non ritagliato sulla specificità dei soggetti che va a normare.
I soggetti sottoposti ad audit saranno solo poche (anzi pochissime) realtà enormi con decine (in certi casi centinaia) di milioni di utenti ciascuna (ad oggi Alibaba AliExpress, Amazon Store, Apple AppStore, Bing, Booking.com, Facebook, Google Play, Google Maps, Google Shopping, Google Search, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, Wikipedia, YouTube, Zalando) che peraltro in alcune occasioni fanno capo ad un unico soggetto (Google, su tutti, compare nell’elenco con 5 diverse realtà), è quindi evidente che ci sono specificità e rischi inediti da affrontare per garantire l’effettività dell’attività di audit, specie per assicurare l’indipendenza del revisore (che non appare garantita dall’obbligo di non avere rapporti relativi alle attività oggetto di audit per un anno prima e un anno dopo la revisione) ed evitare che questa attività di audit si trasformi in una costosa “pacca sulla spalla” ai colossi tech che si faranno carico dei relativi costi.
Il Regolamento si limita in alcuni punti chiave a timidi “suggerimenti”, ad esempio proponendo che l’attività di audit sia svolta da più professionisti (essendo impensabile che un solo soggetto possegga tutte le competenze per un’attività di questo tipo).
Sibillina è anche la formulazione relativa alle informazioni da fornire al revisore. Se da un lato l’art. 4 del Regolamento Delegato prescrive l’ostensione di tutte le informazioni necessarie a tale attività, lo stesso articolo indica una serie di informazioni “minime” da fornire, sulle quali è evidente che potrebbero appoggiarsi pigramente dei revisori compiacenti.
Nemmeno è chiarito fino a dove potranno spingersi le richieste dei revisori in relazione agli algoritmi utilizzati dalle big tech, tema centrale in quanto l’obiettivo della trasparenza dell’algoritmo si scontra, anche in sede di audit con proprietà e segreti industriali.
La carenza di indicazioni metodologiche precise potrebbe quindi portare i revisori ad utilizzare metodiche poco incisive specie sulle aree più sensibili, purché all’apparenza “appropriate” (criterio questo, dell’appropriatezza delle misure e metodologie, che fa da cardine al Regolamento Delegato, ma che non appare sufficiente quando si sta cercando di garantire uno standard nell’esaminare uniformemente realtà così grandi).
Nessuna indicazione e specificazione è contenuta, invece, sui requisiti di indipendenza del revisore, che secondo l’articolo 37 DSA non può effettuare altri audit all’azienda per altri 10 anni e non può fornire altri servizi “relativi alle questioni sottoposte a revisione” nell’anno precedente e successivo all’audit, indicazione che lascia spazio a interpretazioni non in linea con lo spirito della norma, non corretta dal Regolamento Delegato, che si limita ad una minima (e peraltro già implicita) indicazione relativa alla necessaria estensione del rispetto dei requisiti di indipendenza anche in capo a società connesse al revisore o comunque da questo incaricate di seguire alcune fasi dell’audit.
Prospettive
Quello dell’attività di audit non sarà quindi, verosimilmente, lo strumento che garantirà l’efficacia ed il rispetto del Digital Services Act.
Tra le varie disposizioni del DSA sul punto, quella che forse è di maggior interesse è quella relativa alla pubblicazione online dei risultati di audit (pur con la possibilità di eliminare parti che il fornitore della piattaforma o motore di ricerca ritenga confidenziali, o che potrebbero condurre a vulnerabilità o compromettere la sicurezza pubblica o danneggiare terzi).
C’è anche da ricordare che il Regolamento DSA ha introdotto una interessante ed inedita disposizione con cui si obbligano le big tech (VLOP e VLOSE) a sovvenzionare le attività di vigilanza sul loro operato.
Vista la natura dei destinatari del regolamento e la intrinseca difficoltà per i soggetti che si occuperanno di audit ad essere incisivi nei confronti di questi colossi, forse la strada da percorrere con maggior decisione è quindi quella della “tassa sui controlli” prevista dall’art. 43 DSA e non invece quella degli audit propugnata dall’art. 37 DSA.
