Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

DSA e social

Sextortion e responsabilità delle piattaforme: quando il danno diventa prevedibile

Home News, attualità e analisi Cyber sicurezza e privacy
Partecipa al dibattito
Indirizzo copiato

Meta e Match citate in giudizio in due casi diversi: il contenzioso punta a qualificare i danni come esito prevedibile di scelte di prodotto, procedure e priorità aziendali. Ecco perché si contesta la responsabilità delle piattaforme digitali sul tema della progettazione e gestione del servizio, anziché sul terreno tradizionale dei “contenuti”

Pubblicato il 23 dic 2025
Tania Orrù

Privacy Officer e Consulente Privacy

Sextortion la GUIDA COMPLETA; Sextortion e responsabilità delle piattaforme: quando il danno diventa prevedibile

Tra il 16 e il 17 dicembre 2025, il Guardian ha pubblicato i casi di Meta e Match, che, andando oltre la cronaca giudiziaria dei casi di sextortion e considerate congiuntamente, forniscono un’indicazione importante.

Si contesta la responsabilità delle piattaforme digitali in modo crescente sul tema della progettazione e gestione del servizio, anziché sul terreno tradizionale dei “contenuti”.

Ora il contenzioso tenta di qualificare tali danni come esito prevedibile di scelte di prodotto, procedure e priorità aziendali.

È un passaggio tecnico, in quanto si considera la piattaforma come un servizio organizzato con proprietà funzionali che incidono sulla probabilità degli abusi e sulla loro replicabilità, e non più un semplice luogo di incontro e scambio di messaggi.

Sextortion sempre più aggressiva con l’AI: ecco come limitare i rischi

I casi delle piattaforme Meta e Match

I genitori di Murray Dowey, sedicenne scozzese morto nel 2023 dopo essere stato vittima di sextortion su Instagram, hanno citato in giudizio Meta Platforms. L’azione, depositata negli Stati Uniti (Delaware) con il supporto del Social Media Victims Law Center, appare come un caso pionieristico nel contesto britannico per la materia e l’impostazione.

Invece sei donne hanno citato in giudizio Match Group, società che controlla Tinder e Hinge, entrambe app di dating online (dove la seconda si presenta come servizio orientato a relazioni più stabili e dichiaratamente “relationship-focused”).

Le donne dichiarano di essere state drogate, di aver subito violenza e aggressione sessuale da parte di un medico di Denver, già condannato a una pena detentiva molto elevata. Le vittime sostengono che l’uomo, attivo sulle piattaforme nonostante le segnalazioni, addirittura compariva tra le raccomandazioni di profili “di punta”, a causa di negligenze e carenze strutturali nei presìdi di sicurezza.

Si tratta dell’ennesima conferma dell’esistenza di comportamenti criminali online e offline, ma la novità è che si contesta la responsabilità delle piattaforme digitali sul tema progettazione e gestione del servizio.

Meta–Instagram: sextortion, morte di un minore e azione di responsabilità civile

Il caso Meta, come riportato dalla stampa, ricostruisce uno schema tipico della sextortion: contatto iniziale con un profilo che simula un coetaneo, induzione all’invio di immagini intime, minaccia di diffusione ai contatti sociali, richiesta di denaro e pressione psicologica.

La vicenda si conclude con il tragico suicidio del minore e con la decisione dei genitori di intraprendere un’azione civile per la morte del figlio, qualificandola come conseguenza imputabile anche alla modalità di progettazione e gestione di Instagram.

L’impostazione della domanda giudiziale è significativa, in quanto, oltre a lamentare una risposta tardiva a singoli episodi, si contesta la permanenza di funzionalità e prassi che faciliterebbero l’individuazione e l’avvicinamento dei minori, nonché la leva estorsiva fondata sulla rete sociale (follower/following).

La denuncia attribuisce rilievo, tra le altre cose, alla condivisione di dati di follower e alle raccomandazioni, sostenendo che tali meccanismi abbiano aumentato l’esposizione dei minori a soggetti predatori, e che l’azienda avrebbe mantenuto scelte orientate al coinvolgimento, nonostante segnali di rischio.

La risposta di Meta

Il Guardian riporta che Meta insiste sull’avvenuta introduzione di strumenti e misure di protezione nel tempo, come limitazioni per account sospetti, protezioni nei messaggi diretti, funzioni di blocco e segnalazione.

Ciononostante, la presenza di misure non risolve il punto giuridico controverso, dal momento che la contestazione mira a dimostrare che il rischio fosse conosciuto, che esistessero rimedi implementabili e che l’adozionev delle misure siano avvenute con un timing e una portata non proporzionati alla gravità del rischio per i minori.

Sul piano tecnico-giuridico, qui si colloca il nucleo della questione: il danno, anziché presentarsi come “effetto collaterale imprevedibile” di una tecnologia neutra, è visto come la conseguenza plausibile di un ambiente digitale costruito per massimizzare contatti e circolazione relazionale, con barriere e controlli non coerenti con l’utenza vulnerabile.

È un’impostazione che si avvicina, concettualmente, alle categorie della diligenza professionale e della responsabilità organizzativa per servizi complessi.

Tinder e Hinge: violenze sessuali, segnalazioni e difetti di gestione del rischio

Nel caso Match Group, le sei donne hanno citato la società sostenendo che le piattaforme del gruppo abbiano, nei fatti, tollerato la presenza di soggetti autori di gravi reati sessuali all’interno dei propri servizi. Inoltre, l’inadeguatezza dei presìdi di sicurezza e dalle modalità di gestione delle segnalazioni ricevute, avrebbero agevolato la condotta dell’autore delle violenze.

Il caso ruota attorno a Stephen Matthews, cardiologo di Denver, condannato nel 2024 per aver drogato e violentato almeno 11 donne tra 2019 e 2023.

Secondo il Guardian, l’uomo, nonostante le segnalazioni a Hinge già nel 2020, avrebbe continuato a rimanere attivo, fino a comparire anche tra le raccomandazioni di rilievo.

Il dato giuridicamente rilevante è la contestazione di un modello di gestione del rischio che, pur in presenza di segnalazioni, consentirebbe la permanenza o la ricomparsa dell’utente segnalato.

Altre criticità si rintraccerebbero nel design e nel flusso, tra cui la perdita della possibilità di segnalare dopo l’“unmatch”, descritta come un difetto strutturale che indebolisce l’effettività del sistema di reporting.

In questo secondo caso, si tratta il servizio digitale come strumento di “intermediazione relazionale” che ha un impatto diretto sull’incontro offline. Quando la piattaforma costruisce fiducia operativa (match, profili selezionati, raccomandazioni, percorsi semplificati di contatto), senza un livello adeguato di verifica, tracciabilità e reazione agli alert, la responsabilità non si può comprimere nella formula “la colpa è dell’utente”.

Tale formula diventa tecnicamente insufficiente, perché ignora l’effetto abilitante delle scelte di servizio.

Il punto comune: non “contenuti”, ma architetture di servizio

I due contenziosi convergono su un punto: la responsabilità viene costruita attorno alla struttura del servizio e non a un contenuto illecito.

Nel caso Meta, la denuncia attribuisce rilievo a funzioni che consentono di raggiungere minori, leggere e sfruttare relazioni sociali e trasformarle in leva estorsiva, e a meccanismi di raccomandazione che aumenterebbero l’esposizione.

Nel caso Match Group, la contestazione insiste sulla gestione delle segnalazioni, sulla possibilità di elusione dei divieti e su scelte di interfaccia che ridurrebbero l’effettività della segnalazione stessa.

Si tratta della medesima impostazione, tecnicamente coerente con una constatazione: i grandi servizi digitali, lungi dall’essere ambienti spontanei, sono sistemi governati da regole di accesso, di visibilità, di raccomandazione e di enforcement, cioè da decisioni ingegneristiche e organizzative.

In tali sistemi, la prevenzione del rischio è un requisito di affidabilità del servizio
quando gli utenti vulnerabili sono parte rilevante del mercato (minori per i social; persone esposte a rischi di violenza per le app di incontri).

Si tratta di un terreno che si avvicina al diritto dei servizi e alla responsabilità professionale: la piattaforma decide standard, tempi e priorità di intervento. Quando i danni gravi diventano ricorrenti e “industriali”, l’argomento della neutralità perde consistenza giuridica per ragioni di imputazione del rischio.

Prevedibilità, doveri di diligenza e nesso causale nell’ambiente digitale

Il fulcro probatorio di casi di questo tipo è triplice: prevedibilità del danno, doveri di diligenza e nesso causale:

  • Prevedibilità. Un rischio è prevedibile quando è conosciuto in modo ragionevole e documentato, o quando i segnali interni (segnalazioni, incident report, trend di abuso) lo rendono riconoscibile. Nel caso sextortion, oltre alla cronaca giudiziaria e alle iniziative legislative, vi sono report e comunicazioni pubbliche che indicano l’ampiezza del fenomeno. Anche fonti generaliste statunitensi riportano stime e trend legati alla sextortion e alla vulnerabilità dei minori, incluse indicazioni attribuite a FBI e NCMEC.
  • Diligenza. I doveri di diligenza, nel campo dei servizi digitali, si traducono in controlli di accesso proporzionati, presìdi sui contatti e sui messaggi, efficacia dei sistemi di segnalazione, e misure coerenti con la specifica esposizione al rischio. Il punto è la ragionevolezza e proporzionalità delle misure rispetto alla gravità dei danni prevenibili.
  • Nesso causale. Qui si gioca la parte più complessa: dimostrare che determinate scelte del servizio abbiano avuto un ruolo rilevante nell’evento dannoso. Le cause citate dal Guardian provano a costruire il nesso tramite la permanenza di funzioni sfruttabili (social graph e raccomandazioni nel caso Meta), l’assenza o l’inefficacia di barriere e procedure (reporting e ban enforcement nel caso Match Group), e la conoscibilità del rischio.

Molte piattaforme hanno trasformato la sicurezza in un insieme di “strumenti” comunicabili, mentre la contestazione giudiziale mossa riguarda la sicurezza come proprietà sistemica e misurabile.

Il salto di qualità sta nell’obbligo implicito di dimostrare l’effettività dei presìdi, anziché la loro mera esistenza.

Il quadro statunitense: Section 230 e il superamento tramite il “product design”

Nel contesto statunitense, qualsiasi contenzioso contro piattaforme incontra la Section 230 del Communications Decency Act, che, in sintesi, limita la possibilità di trattare un provider di “interactive computer service” come editore o speaker di informazioni fornite da terzi.

Diversi giudici statunitensi hanno utilizzato la Section 230 come causa di improcedibilità o di rigetto anticipato dell’azione quando la domanda presupponeva una valutazione del contenuto delle comunicazioni o della loro gestione da parte della piattaforma.

L’effetto pratico di tale disciplina, oltre ad escludere una responsabilità editoriale in senso stretto, si estende frequentemente anche alle azioni fondate su negligenza, omissione o mancata prevenzione, nella misura in cui il danno lamentato venga ricondotto, anche indirettamente, a contenuti generati dagli utenti o alle interazioni tra questi ultimi.

È proprio per aggirare questo ostacolo che le azioni richiamate dal Guardian cercano di collocarsi a monte del problema dei contenuti di terzi, spostando il focus su profili differenti, quali la progettazione del servizio, il funzionamento dei sistemi di raccomandazione, l’architettura dei flussi di interazione, nonché i processi interni di prevenzione e di gestione delle segnalazioni.

L’obiettivo è qualificare il danno come esito di un difetto strutturale del servizio o di una carenza organizzativa imputabile direttamente al fornitore della piattaforma.

Tuttavia, come emerge anche nel caso Match Group, questo spostamento non garantisce l’automatica esclusione dell’applicazione della Section 230.

Un quadro di incertezza applicativa

La stessa fonte segnala infatti che l’azione potrebbe incontrare difficoltà proprio perché la giurisprudenza statunitense non ha ancora tracciato un confine stabile e condiviso tra responsabilità derivante da contenuti di terzi (coperta dall’immunità) e responsabilità connessa al modo in cui il servizio è progettato e gestito.

In particolare, quando i profili di progettazione o di gestione delle segnalazioni risultano intrecciati con la circolazione di contenuti o con le interazioni tra utenti, il rischio è che l’immunità si estenda comunque anche a tali condotte.

Ne deriva un quadro di incertezza applicativa, nel quale la Section 230 continua a operare come fattore di forte compressione dell’accesso alla tutela giurisdizionale, rendendo complessa la qualificazione delle piattaforme come soggetti responsabili per danni gravi discendono direttamente dalla struttura e dal funzionamento complessivo del servizio e non dal singolo contenuto.

DSA, rischio sistemico e responsabilità organizzativa

In Unione europea, il quadro regolatorio è più esplicitamente orientato al rischio. Il Digital Services Act (Regolamento Ue 2022/2065 che stabilisce regole per i servizi digitali, per rendere l’online più sicuro ed equo, proteggere i diritti fondamentali degli utenti e contrastare la diffusione di contenuti illegali e dannosi) introduce obblighi centrati su rischi sistemici per le piattaforme di dimensioni molto grandi.

L’articolo 34 del DSA impone alle Very Large Online Platforms e ai Very Large Online Search Engines l’obbligo di condurre valutazioni dei rischi sistemici connessi al funzionamento dei loro servizi, considerando gravità e probabilità, e includendo rischi legati anche alla tutela dei minori e al benessere fisico e mentale delle persone.

Nel dicembre 2025 la Commissione europea ha pubblicato un report sul panorama dei rischi sistemici online, con l’obiettivo di creare una base di riferimento per trasparenza e accountability e di rafforzare la capacità di valutazione nel tempo.

In parallelo, la riflessione di centri di ricerca regolatoria come Cerre (Centre on Regulation in Europe) insiste sulla necessità di valutazioni iterative e inclusive della gestione dei rischi sistemici, dato il carattere interconnesso dell’ecosistema digitale e l’esposizione comune ad attori malevoli.

Il punto centrale, per il lettore europeo, è che i casi Meta e Match Group sono perfettamente interpretabili dentro la grammatica del DSA: segnalano rischi sistemici legati alla tutela dei minori, alla violenza di genere, al benessere fisico e mentale, alla capacità dei servizi di prevenire danni gravi.

L’attenzione si sposta su processi, controlli, accountability e misure verificabili.

Metriche, auditabilità e trasparenza come requisiti di accountability

Sotto il profilo di governance, i due casi sottolineano una fragilità ricorrente: la sicurezza viene spesso trattata come funzione ancillare, mentre i contenziosi e la regolazione la trattano come componente essenziale della gestione del rischio d’impresa.

La governance rilevante, in un’ottica tecnico-giuridica, riguarda almeno quattro livelli:

  • Gestione delle segnalazioni come rischio (non come customer care). Le segnalazioni in materia di minori, estorsioni, violenza e abuso sono eventi che aumentano la conoscibilità del rischio e, quindi, la prevedibilità del danno, non semplici richieste di intervento. Nei due casi riportati, le segnalazioni pregresse sono infatti uno dei pilastri della contestazione.
  • Effettività delle misure. Un divieto che non impedisce il rientro dell’utente o che consente migrazione rapida tra servizi correlati ha un valore di deterrenza limitato. Le contestazioni contro Match Group si concentrano proprio su infrastrutture e procedure che renderebbero i ban eludibili e i sistemi di sicurezza disomogenei tra app del gruppo.
  • Auditabilità e tracciabilità decisionale. La responsabilità, anche quando resta sul piano civile o amministrativo, richiede la ricostruzione di decisioni: quali rischi erano noti, quali misure erano disponibili, con quali priorità sono state implementate. Questo profilo diventa cruciale nell’impostazione del DSA, che pretende valutazioni e documentazioni, e nella pressione pubblica verso trasparenza e reportistica;
  • Trasparenza come condizione di accountability. Senza dati pubblici e accessibili sui volumi di segnalazioni, sulle azioni conseguenti, sui tempi medi e sui tassi di recidiva, la sicurezza resta un’affermazione indimostrabile. Nel caso Match Group, The Guardian menziona infatti anche la questione della trasparenza promessa e non realizzata in modo lineare, all’interno di un contesto di investigazioni giornalistiche e progetti di reporting.

La sicurezza delle piattaforme

In termini di policy, questi elementi convergono in una constatazione: la sicurezza delle piattaforme è ormai un tema di regolazione dei servizi essenziali dell’infrastruttura sociale digitale e non una questione di “buona volontà” aziendale.

La sicurezza, quando non governata, tende a diventare una variabile economica, con costi spostati sugli utenti vulnerabili e benefici internalizzati dall’impresa.

La responsabilità delle piattaforme: tema di diritto dei servizi, senza moralismi

I due contenziosi di dicembre 2025 hanno un valore che va oltre l’esito processuale poiché mostrano che la responsabilità delle piattaforme si formula sempre più come responsabilità per la modalità di progettazione, gestione e controllo di un servizio, e sempre meno come mera reazione a contenuti pubblicati da terzi.

Nel caso Meta, la contestazione ruota attorno all’esposizione di minori a estorsioni sessuali attraverso meccanismi di contatto e leve relazionali, in un contesto in cui la prevedibilità del rischio è al centro della domanda giudiziale.

Invece, nel caso Match Group, la contestazione riguarda la gestione delle segnalazioni e l’effettività dei divieti in un servizio che facilita incontri offline e costruisce fiducia operativa attraverso raccomandazioni e flussi di interazione.

Il quadro statunitense, con la Section 230, spinge i ricorrenti a strategie di qualificazione fondate sul “design del prodotto” e sull’organizzazione del servizio, in un tentativo di separare la responsabilità per architettura dalla responsabilità per contenuti di terzi.

Il quadro europeo, con il DSA, offre già un linguaggio normativo che riconosce la centralità del rischio sistemico e della tutela dei minori e del benessere delle persone come dimensioni direttamente rilevanti per gli obblighi delle piattaforme.

L’esito più rilevante di tutto ciò è la progressiva sostituzione di una narrativa difensiva con un criterio di valutazione: si giudica la piattaforma per la ragionevolezza e proporzionalità dei presìdi rispetto a rischi conosciuti, non certo per la qualità delle dichiarazioni pubbliche.

In questo senso, la responsabilità delle piattaforme non si presta più a essere ridotta a un conflitto tra libertà e censura. Tecnicamente, è una questione di diritto dei servizi digitali, cioè di doveri di diligenza, gestione del rischio, tracciabilità organizzativa, effettività delle misure, trasparenza e audit.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

O
Tania Orrù
Privacy Officer e Consulente Privacy
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • GDPR AI assicurazioni; Sanzione del Garante Privacy a Verisure Italia e Aimag: sette anni di GDPR, zero progressi

  • la riflessione

    GDPR e intelligenza artificiale: ecco una “bussola” per il mondo assicurativo

    07 Mar 2025

    di Stefano Petrussi

    Condividi
  • Meme4Cyber360: Il rischio delle analisi dei rischi

  • meme della settimana

    Il rischio delle analisi dei rischi

    14 Ago 2025

    di Redazione Cybersecurity360.it

    Condividi
  • GDPR AI assicurazioni; Sanzione del Garante Privacy a Verisure Italia e Aimag: sette anni di GDPR, zero progressi

  • provvedimenti

    Sette anni di GDPR e privacy ancora all'abc: la lezione dalla sanzione a Verisure e Aimag

    18 Dic 2025

    di Tania Orrù

    Condividi
  • cyber attacchi russi - Dal cyberspazio al territorio: come la Russia arruola volontari locali per sabotaggi in Europa (e ora in Italia)

  • l'analisi

    I cyber attacchi russi fanno un salto di qualità

    22 Set 2025

    di Marco Schiaffino

    Condividi
0
Lascia un commento, la tua opinione conta.x