L’Unione europea alza il tiro sulla governance delle piattaforme e, soprattutto, sulle funzionalità di intelligenza artificiale “innestate” nei social: il 26 gennaio 2026 la Commissione ha avviato un nuovo procedimento formale contro X per verificare se la società abbia valutato e mitigato in modo adeguato i rischi legati al dispiegamento di Grok nell’Ue, dopo le segnalazioni sull’emersione di immagini sessualizzate manipolate («deepfake») e di contenuti che potrebbero ricadere nell’area del materiale di abuso sessuale su minori. Il passaggio chiave, per la regolazione tech, è che Bruxelles non sta trattando la vicenda come un problema “solo” di moderazione ex post: la sta incardinando come questione di gestione preventiva del rischio sistemico, legata a una scelta di prodotto e al suo rollout.
Il procedimento si muove nel perimetro del Digital Services Act, il regolamento che impone obblighi rafforzati alle “very large online platforms” (VLOP). Nella nota della Commissione l’accusa è già impostata sul punto più sensibile per le aziende: non l’errore occasionale, ma la mancanza di una catena di controllo credibile quando si introduce una funzione capace di cambiare il profilo di rischio del servizio. In particolare, Bruxelles intende verificare se X abbia adempiuto al dovere di «valutare e mitigare diligentemente» i rischi sistemici, inclusi la diffusione di contenuti illegali, gli effetti negativi in relazione alla violenza di genere e le conseguenze gravi sul benessere fisico e mentale degli utenti; e se abbia predisposto e trasmesso un rapporto di valutazione del rischio “ad hoc” prima della messa in produzione di funzionalità di Grok con impatto critico sul rischio complessivo della piattaforma.
In controluce, è un cambio di paradigma: l’Europa sta passando dal “governare ciò che gli utenti pubblicano” al “governare ciò che le piattaforme distribuiscono come capacità tecnologica”. Non è un dettaglio semantico. Se una piattaforma integra un sistema generativo che rende più facile produrre “digital undressing”, pornografia non consensuale o materiali potenzialmente illegali, il punto non diventa soltanto quanto velocemente rimuove i contenuti segnalati. Diventa se abbia anticipato gli abusi prevedibili, se abbia progettato barriere e frizioni efficaci, se abbia messo in campo mitigazioni proporzionate e verificabili, e se sia in grado di dimostrarlo al regolatore.
La Commissione, inoltre, collega il caso Grok a un secondo filone già aperto su X: i sistemi di raccomandazione. Contestualmente al nuovo procedimento, Bruxelles ha esteso l’indagine avviata nel dicembre 2023 per verificare se la società abbia correttamente valutato e mitigato i rischi sistemici associati al funzionamento degli algoritmi che selezionano i contenuti, includendo l’impatto del recente annuncio di un passaggio a un recommender “basato su Grok”. In pratica: non solo “cosa” si può generare, ma anche “come” ciò che circola viene amplificato.
Il messaggio regolatorio è duplice. Primo: l’intelligenza artificiale non è una zona franca dentro una piattaforma, ma un acceleratore del rischio che ricade pienamente nelle responsabilità di una VLOP. Secondo: per l’Ue la compliance non è più (solo) un set di policy, ma un processo documentato di risk management. Non a caso, la Commissione esplicita i poteri istruttori e correttivi: può chiedere ulteriori informazioni, condurre interviste e ispezioni e, in assenza di «adeguamenti significativi», imporre misure cautelari. È un elemento che pesa in termini di deterrenza: nella logica DSA, la leva non è esclusivamente la sanzione finale, ma la possibilità di intervenire sul prodotto mentre è in esercizio.
C’è anche un tema di continuità nell’enforcement. Bruxelles ricorda che il procedimento su Grok “complementa ed estende” l’indagine del 18 dicembre 2023 e si innesta su un rapporto già conflittuale: il 5 dicembre 2025 la Commissione ha adottato una decisione di non conformità su altri profili (design ingannevole, trasparenza pubblicitaria e accesso ai dati per i ricercatori), con una multa da 120 milioni di euro. In altre parole, l’AI non arriva su un terreno neutro, ma su un dossier dove la Commissione sta costruendo un precedente di applicazione “muscolare” delle regole.
Infine, il caso X-Grok mostra come la regolazione europea si stia “stratificando”. Da un lato il DSA impone governance e mitigazione dei rischi sistemici delle piattaforme; dall’altro, sul versante specifico dei contenuti sintetici, la Commissione sta portando avanti strumenti attuativi dell’AI Act: l’AI Office ha avviato un Codice di condotta su marcatura ed etichettatura dei contenuti generati o manipolati (deepfake), pensato per supportare il rispetto degli obblighi di trasparenza che entreranno in vigore nell’agosto 2026. Il risultato, per le Big Tech, è un quadro in cui le scelte di prodotto su generazione e distribuzione dei contenuti non dovranno essere solo “legali”, ma anche auditabili: spiegabili, tracciate, e difendibili davanti al regolatore.
Se la Commissione riuscirà a dimostrare le violazioni ipotizzate, il precedente sarà chiaro: l’Europa sta spostando il baricentro della responsabilità verso la fase “prima” del lancio. Per chi sviluppa e integra GenAI in servizi su larga scala, la domanda non sarà più «rimuovi quando te lo segnalo?», ma «perché hai messo in mano questa capacità, con quali vincoli, e con quale prova di efficacia?».
Articoli Correlati
di Giampiero Gramaglia | 30 Gennaio 2026
Ucraina, ipotesi di “tregua del gelo”. Iran, Trump tra diplomazia e uso della forza
di Giampiero Cinelli | 30 Gennaio 2026
Sicilia, con crescita e conti in ordine il Ponte non spaventa
