Il Rapid Response System ha visto tutto ma non ha fermato niente
Il Rapid Response System ha rilevato oltre 450 annunci anonimi a Cipro, ma l'enforcement è stato debole per risorse insufficienti.
Il sistema ha identificato migliaia di annunci anonimi su tutte le principali piattaforme durante la campagna
Più di 450 annunci politici anonimi, cinque operazioni pubblicitarie oscure, una sola elezione. Non è un esercizio teorico ma il bilancio, contenuto nell’analisi ex-post di MedDMO, delle elezioni parlamentari cipriote del 2026, il primo vero banco di prova sul campo per il protocollo di emergenza previsto dal codice di condotta UE sulla disinformazione: il Rapid Response System. Il monitoraggio sistematico ha identificato migliaia di annunci politici su tutte le principali piattaforme durante la campagna elettorale, e dietro quei numeri si nasconde una storia che riguarda tanto la politica quanto l’ingegneria del software che regge le nostre democrazie digitali.
Il battito del Rapid Response System
Il precedente più solido di questo meccanismo risale già alle elezioni europee del giugno 2024, quando il RRS emise 18 notifiche prima del voto e tutte e 18 ricevettero risposta dalle piattaforme. Un tasso di risposta del 100% che, su carta, suona come un sistema che funziona. A Cipro, nel 2026, il meccanismo ha mostrato la stessa efficacia di rilevamento: il coinvolgimento diretto tra ricercatori, piattaforme e Commissione ha accelerato in modo significativo le risposte rispetto ai canali di segnalazione standard, quelli lenti, burocratici, spesso privi di un vero SLA (service level agreement). In pratica, il RRS ha funzionato come una corsia preferenziale, un fast-path nell’infrastruttura di enforcement che normalmente procede a velocità di crociera. Ma la rapidità della risposta apre una domanda che i numeri da soli non risolvono: chi controlla i controllori quando le piattaforme sono lasciate sole a decidere cosa rimuovere, cosa etichettare, cosa ignorare?
Il lato oscuro delle dashboard
Eppure, dietro i numeri rassicuranti delle notifiche risolte, si nasconde un’architettura di controllo che scricchiola. A Cipro sono state identificate cinque distinte operazioni di pubblicità anonima, condotte attraverso il monitoraggio sistematico dei contenuti politici a pagamento sui social network. Insieme, queste operazioni hanno prodotto più di 450 annunci politici anonimi — inserzioni pubblicate senza che fosse chiaro chi le pagasse, sfruttando esattamente le crepe nella trasparenza e nell’applicazione delle regole che il Digital Services Act (DSA) dovrebbe chiudere.
Il problema non è tecnico, è di risorse. Secondo il report dell’OSCE/ODIHR, l’autorità cipriota di regolamentazione per la supervisione del DSA — la RTDSA — operava con appena due membri dello staff, ed è stata descritta come gravemente sotto-risorse e priva della capacità sufficiente per svolgere le proprie funzioni. Due persone per sorvegliare l’intera pubblicità politica digitale di un Paese durante un’elezione nazionale: è come chiedere a un singolo sysadmin di monitorare i log di produzione di un data center senza alerting automatico. Il risultato è prevedibile, e non è isolato: secondo l’analisi di Liberties.eu, sotto gli stessi framework normativi (TTPA e DSA) le piattaforme in Ungheria non hanno fatto rispettare la trasparenza della pubblicità politica, con annunci che hanno aggirato i requisiti di etichettatura attraverso pagine proxy e contenuti non etichettati — un riscontro che rispecchia quasi esattamente i risultati emersi a Cipro. Non è un bug locale, è un pattern che si ripete ogni volta che l’enforcement dipende da regolatori nazionali sotto organico e da confini giurisdizionali che le piattaforme attraversano senza sforzo. Cosa significa tutto questo per chi progetta i sistemi di trasparenza?
Lo stack della trasparenza è ancora un prototipo
Se il Rapid Response System è un cerotto, la vera sfida è costruire un’infrastruttura di trasparenza nativa nello stack pubblicitario, non una toppa applicata a posteriori da ricercatori esterni. Le nuove regole di trasparenza per la pubblicità politica approvate dal Parlamento europeo prevedono che la pubblicità sponsorizzata da paesi extra-UE sia vietata nei tre mesi precedenti un’elezione o un referendum — una regola chiara, verificabile in teoria, ma che richiede API affidabili per l’identità dell’inserzionista, sistemi di etichettatura automatica lato piattaforma e accesso strutturato ai dati per i ricercatori indipendenti. Restano infatti sfide aperte e documentate su più fronti: la divulgazione dell’identità degli inserzionisti, l’applicazione delle regole a livello di account (non solo di singolo annuncio, che si può sostituire in pochi minuti), l’accesso dei ricercatori ai dati delle piattaforme, e più in generale l’efficacia complessiva delle garanzie di integrità elettorale. Senza un ad library con API aperte, senza hash verificabili sui disclaimer, senza enforcement automatico a livello di account, ogni ciclo elettorale ripartirà da zero, con due funzionari sottorisorse a rincorrere centinaia di annunci anonimi in tempo reale.
L’integrità elettorale non si compra con le notifiche. Si costruisce con API aperte, labeling automatico e un enforcement che non dipenda dalla buona volontà di due funzionari. Chi scrive codice oggi ha in mano il vero seggio elettorale di domani.