Il 26 gennaio 2026 la Commissione europea ha annunciato l’apertura di una nuova indagine formale contro X (ex Twitter) ai sensi del Digital Services Act.
Bruxelles intende verificare se l’integrazione di Grok, il sistema di intelligenza artificiale generativa sviluppato dal gruppo di Elon Musk, abbia rispettato gli obblighi europei di valutazione e mitigazione dei rischi sistemici.
L’indagine riguarda, in particolare, la possibile diffusione e amplificazione di contenuti illegali, inclusi deepfake sessualmente espliciti e materiali che possono coinvolgere minori, nonché l’impatto dei nuovi sistemi di raccomandazione sul benessere e sui diritti fondamentali degli utenti.
La Commissione sospetta, inoltre, che X non abbia trasmesso preventivamente le relazioni di rischio richieste dal DSA prima del rilascio delle nuove funzionalità.
Indice degli argomenti
L’indagine della Commissione Europea
L’apertura della nuova indagine formale della Commissione europea contro X rappresenta una nuova fase nell’applicazione del Digital Services Act (DSA).
Non si tratta più di trasparenza pubblicitaria, spunte blu o architetture opache dell’engagement, poiché ora l’oggetto del contendere è diventato più radicale e si concentra sulla produzione industriale del danno attraverso l’intelligenza artificiale generativa, inclusa la responsabilità strutturale delle piattaforme che la integrano su scala globale.
Per la prima volta, Bruxelles non contesta un singolo contenuto, bensì la scelta progettuale di distribuire un sistema capace di generare e amplificare deepfake e contenuti illegali senza un’adeguata governance del rischio.
È un passaggio che segna la fine della “fase diplomatica” del DSA e apre una partita istituzionale ben più ampia, dove ad essere coinvolto è il ruolo della Commissione europea e il tradizionale snodo irlandese dell’enforcement digitale.
I capi d’accusa: Grok e l’automazione del danno
Il comunicato della Commissione è insolitamente diretto e chiarisce che l’indagine mira a verificare se X abbia rispettato gli obblighi previsti dagli articoli 34 e 35 del DSA, che impongono alle Very Large Online Platforms (VLOP) di identificare, valutare e mitigare i rischi sistemici derivanti dal funzionamento dei propri servizi
Secondo Bruxelles, l’integrazione di Grok in X avrebbe infatti dato luogo a tre profili critici.
In primo luogo, c’è la diffusione di contenuti illegali, in quanto la Commissione ritiene che Grok abbia facilitato la creazione e la circolazione di immagini sessualmente esplicite non consensuali, comprese rappresentazioni che potrebbero integrare materiale di abuso sessuale su minori.
Il punto giuridico è centrale poiché riguarda una carenza strutturale nelle misure di prevenzione e moderazione, incompatibile con gli obblighi di diligenza rafforzata previsti dal DSA.
In secondo luogo, gli algoritmi di raccomandazione ritenuti tossici. L’indagine riguarda infatti anche il sistema di raccomandazione di X, ora ri-orientato attorno a Grok: il sospetto è che l’architettura algoritmica amplifichi contenuti dannosi per massimizzare l’engagement, incidendo negativamente su sicurezza, salute mentale e diritti fondamentali degli utenti.
È in effetti un punto coerente con le analisi e linee guida già sviluppate dalla Commissione sui rischi di amplificazione algoritmica.
Infine, c’è l’omissione di vigilanza preventiva, dal momento cheX non avrebbe trasmesso alla Commissione i report di valutazione del rischio prima del dispiegamento delle nuove funzionalità di IA, violando in questo modo un obbligo cardine del DSA, cioè quello di dimostrare ex ante la sostenibilità del sistema, anziché giustificarlo ex post.
Giova ricordare poi il contesto, dato che, nel dicembre 2025, X era già stata sanzionata per circa 120 milioni di euro per pratiche di design ingannevole e opacità pubblicitaria, in un procedimento distinto ma indicativo di una recidività regolatoria.
Dal contenuto illecito al rischio sistemico: il DSA cambia bersaglio
Il caso Grok è emblematico perché mostra la trasformazione del diritto digitale europeo, in cui il DSA per governare sistemi e non per censurare contenuti. Il suo fulcro normativo è infatti la prevedibilità del danno quando una piattaforma opera su scala sistemica.
Come chiarito dalla Commissione, i rischi sistemici includono la diffusione di contenuti illegali, la violenza di genere, la manipolazione dell’informazione e gli effetti negativi sul benessere psicofisico degli utenti.
In questo quadro, Grok è una componente funzionale dell’ecosistema di X, capace di generare contenuti e influenzarne la circolazione e, per questo, l’indagine riguarda ciò che Grok rende strutturalmente possibile.
Il ruolo della Commissione europea
Il DSA attribuisce alla Commissione europea un potere senza precedenti, ovverossia la supervisione diretta delle VLOP. Bruxelles può pertanto avviare indagini, imporre misure correttive, adottare decisioni di non conformità e comminare sanzioni fino al 6% del fatturato mondiale annuo.
Tuttavia, l’indagine su Grok evidenzia una tensione di fondo, che vede l’azione della Commissione inevitabilmente reattiva, mentre le piattaforme evolvono i propri sistemi in cicli di settimane, se non di giorni. In pratica, l’enforcement arriverebbe quando il rischio è già diventato sistemico.
L’indagine su X assume quindi un valore politico, poiché Bruxelles sta segnalando che non intende più limitarsi a un ruolo “notarile” e che tenta invece di esercitare una forma di governo algoritmico, pur con strumenti pensati per un diritto più lento.
Il “nodo” irlandese: arbitro o paravento strutturale?
Il comunicato della Commissione richiama cooperazione con la Coimisiún na Meán, l’autorità irlandese per i servizi digitali e il riferimento riapre una frattura mai sanata nella politica digitale europea.
Sotto il GDPR, l’Irlanda è stata a lungo il punto di frizione del sistema di enforcement, in virtù del meccanismo del One-Stop-Shop. Numerose autorità europee hanno accusato Dublino di lentezza e indulgenza nei confronti delle Big Tech, come emerso in modo emblematico nei procedimenti contro Meta, conclusi solo dopo gli interventi correttivi dell’European Data Protection Board.
L’indagine di Bruxelles come segnale politico
Da oltre un decennio le principali piattaforme globali (da Meta a Google, da Apple a X, appunto) hanno concentrato i propri quartier generali europei a Dublino, affidando di fatto la tutela dei diritti digitali di milioni di cittadini ad un’unica autorità nazionale.
L’esperienza del GDPR è istruttiva, in quanto i procedimenti contro Meta su trasferimenti illeciti di dati e pubblicità comportamentale hanno richiesto anni, interventi correttivi dell’European Data Protection Board (come quello citato sopra) e, in alcuni casi, l’iniziativa diretta della Commissione per superare l’inerzia irlandese.
Oggi, con il DSA, lo schema rischia di ripetersi su un terreno ancora più sensibile: l’automazione del danno tramite intelligenza artificiale e chiedere alla Coimisiún na Meán di intervenire con rapidità contro X significa chiederle di colpire un attore che contribuisce in modo rilevante al PIL, all’occupazione e all’attrattività fiscale del Paese.
È proprio questo il nodo che Bruxelles sembra voler recidere guidando direttamente l’indagine.
Pur non essendo l’Irlanda formalmente inadempiente, l’enforcement europeo non può più permettersi che la sicurezza dei minori, la violenza di genere online o la proliferazione industriale di deepfake dipendano dai tempi e dalle cautele politiche di un singolo Stato membro.
Il DSA nasce infatti anche per correggere questa asimmetria, perché, a differenza del GDPR, la Commissione non deve attendere l’autorità nazionale, ma può guidare direttamente l’indagine sulle VLOP, relegando il Digital Services Coordinator nazionale a un ruolo di supporto (art. 66 DSA).
La scelta di Bruxelles è un segnale politico chiaro: la sicurezza dei cittadini europei non può restare ostaggio degli interessi economici di un singolo Stato membro e la Coimisiún na Meán è ora chiamata a dimostrare di essere un’autorità di vigilanza effettiva, e non un semplice intermediario istituzionale.
Verso lo spegnimento di Grok in Europa?
L’indagine su X difficilmente si chiuderà con una multa simbolica, dato che gli strumenti del DSA consentono misure molto più incisive.
La Commissione potrà ad esempio adottare misure cautelari, inclusa la sospensione temporanea di specifiche funzionalità, se sussiste un rischio grave e immediato per i diritti fondamentali, in particolare dei minori.
La scelta più drastica, cioè lo “spegnimento” di Grok nell’UE. sarebbe un precedente storico in quanto costituirebbe la prima disattivazione forzata di un sistema di IA di massa per decisione regolatoria. Cadrebbe definitivamente l’argomento della neutralità tecnologica e le piattaforme verrebbero (finalmente) riconosciute come responsabili delle scelte algoritmiche, non più semplici contenitori di contenuti prodotti da terzi.
Un bivio importante
L’indagine di Bruxellese su Grok arriverà con tutta probabilità ad un bivio con due possibili strade: l’Europa potrebbe accettare che le piattaforme diventino laboratori incontrollati di sperimentazione sociale guidata dall’IA; oppure, potrebbe tentare (con tutti i limiti del diritto positivo) di riaffermare la sovranità del diritto sullo spazio digitale.
L’esito dell’indagine e la scelta del percorso dirà se il DSA è uno strumento di governo reale o un mero meccanismo di contenimento tardivo.
Ciò che è comunque già chiaro è che la stagione dell’indulgenza regolatoria è ormai giunta al capolinea e, con essa, (forse) anche l’illusione che l’innovazione algoritmica possa prosperare senza responsabilità.
