DSA: Microsoft rischia miliardi per omissioni su rischi AI di Bing
L’indagine europea sui rischi dell’IA generativa in Bing, che include ‘allucinazioni’ e deepfake, si muove sul doppio binario del Digital Services Act e dell’AI Act.
La Commissione europea ha dato a Microsoft tempo fino al 27 maggio per rispondere a una richiesta legalmente vincolante di informazioni sui rischi legati all’intelligenza artificiale generativa in Bing. L’indagine, avviata formalmente a febbraio 2024, verte su una potenziale violazione del Digital Services Act (DSA) e dell’AI Act, i due pilastri normativi con cui l’UE cerca di governare il digitale.
Il caso non è una semplice schermaglia burocratica: per la multinazionale di Redmond, il mancato adempimento potrebbe tradursi in una multa fino all’1% del suo fatturato annuo globale, una cifra che, sulla base dei ricavi del 2023, supererebbe i due miliardi di dollari.
Ma al di là delle sanzioni, lo scontro evidenzia il conflitto tra la velocità dell’innovazione tecnologica e la lentezza, ma determinata, macchina regolatoria europea.
L’oggetto del contendere sono funzionalità specifiche di Bing, in particolare il “Copilot in Bing” e “Image Creator by Designer”. Bruxelles sospetta che questi strumenti possano aver violato il DSA a causa dei rischi sistemici legati all’IA generativa, tra cui le cosiddette “allucinazioni” (il fenomeno per cui l’AI fornisce informazioni false con sicurezza), la diffusione virale di deepfake e la manipolazione automatizzata di servizi che potrebbe trarre in inganno gli elettori.
Secondo il quadro normativo, Bing, in quanto motore di ricerca designato come “molto grande” (con oltre 45 milioni di utenti mensili nell’UE), è tenuto a condurre valutazioni dei rischi adeguate e ad adottare misure di mitigazione. La Commissione ritiene che Microsoft non abbia pienamente risposto a una richiesta iniziale del 14 marzo, da qui l’invio di un secondo sollecito vincolante.
Il doppio binario normativo dell’unione Europea
Per comprendere la posta in gioco, bisogna guardare al doppio binario su cui viaggia l’azione dell’UE. Da un lato c’è il Digital Services Act (DSA), operativo dal febbraio 2024, che impone alle grandi piattaforme obblighi di trasparenza, gestione dei contenuti illeciti e valutazione dei rischi sistemici per la società. Dall’altro, c’è l’AI Act, il primo regolamento completo al mondo sull’intelligenza artificiale, entrato in vigore ad agosto 2024 e che si applicherà pienamente a partire dal 2 agosto 2026.
I due strumenti si intersecano: il DSA chiede di valutare rischi come la disinformazione, di cui l’IA generativa è un potente vettore; l’AI Act classifica i sistemi di IA in base al rischio e impone obblighi specifici, soprattutto per i modelli di IA generativa ad alto impatto.
L’indagine su Microsoft sembra poggiare su entrambe le gambe. Da una parte, si valuta se Bing abbia violato gli articoli 34 e 35 del DSA sulla valutazione dei rischi sistemici. Dall’altra, si scrutano i possibili inadempimenti alle nuove regole basate sul rischio dell’AI Act per sviluppatori e utilizzatori di IA.
In particolare, per i modelli di IA generativa ad uso generale (GPAI) che presentano un rischio sistemico, il regolamento prevede l’obbligo di segnalare informazioni rilevanti su incidenti gravi all’Ufficio AI dell’UE. Inoltre, l’AI Act introduce obblighi di trasparenza per i fornitori di modelli di IA generativa, inclusa la documentazione tecnica e la divulgazione dei dati di addestramento. Per i modelli ad alto impatto, è prevista una valutazione approfondita e la segnalazione obbligatoria di qualsiasi incidente grave.
Microsoft, da parte sua, non è partita impreparata. L’azienda ha pubblicato il suo rapporto sulla valutazione del rischio sistemico di Bing per il DSA nell’agosto 2024 e, in un documento precedente, aveva già identificato rischi come la restituzione di contenuti illeciti o fuorvianti nei risultati di ricerca. Ha anche nominato figure dedicate, come un Vice CISO per l’Europa, responsabile della conformità alle normative cybersecurity europee, e ha sviluppato strumenti interni come Microsoft Purview Insider Risk Management per identificare usi rischiosi dell’IA generativa.
Nonostante ciò, la richiesta vincolante della Commissione suggerisce che questi sforzi siano stati giudicati insufficienti o poco trasparenti.
La complessità della conformità e il rischio di un “effetto faro”
Perché una compagnia con tali risorse fatica a soddisfare i regolatori? La risposta sta in parte nella complessità intrinseca della tecnologia e della normativa. In un documento interno, Microsoft ha ammesso che l’AI Act è un regolamento complesso che beneficerebbe di una semplificazione. La sfida tecnica è notevole: l’azienda sviluppa tecnologie di IA generativa ad uso generale, calibrate per impedire usi vietati senza limitare scenari legittimi, un equilibrio delicato e difficile da raggiungere.
Inoltre, l’implementazione graduale dell’AI Act, con le prime disposizioni efficaci dal febbraio 2025, presenta sfide per garantire una rendicontazione tempestiva e completa dei rischi.
Microsoft si è pubblicamente impegnata a costruire prodotti conformi all’AI Act e riconosce che garantire una trasparenza completa per tutti i sistemi di IA è uno sforzo continuo.
Ma il timing è cruciale. L’indagine arriva in un anno elettorale denso in Europa, e la Commissione ha chiaramente identificato l’IA generativa come una minaccia per l’integrità dei processi democratici. La richiesta di informazioni è un avvertimento non solo per Microsoft, ma per l’intero settore.
L’UE ha già dimostrato di non avere remore a colpire duramente: a dicembre 2025 ha multato X (ex Twitter) di 120 milioni di euro per violazioni degli obblighi di trasparenza del DSA, sanzionando pratiche come il design ingannevole del segno di spunta blu e la mancanza di trasparenza del repository pubblicitario.
L’Europa sta guidando la strada nel rendere l’IA più sicura e affidabile, e nell’affrontare i rischi derivanti dal suo uso improprio
— Ursula von der Leyen, Presidente della Commissione Europea
La posta in gioco per Microsoft, quindi, va ben oltre la multa immediata. C’è il rischio concreto di un danno reputazionale in un mercato, quello europeo, che l’azienda considera cruciale. Come sottolinea un’analisi esterna, scrutini e potenziali multe potrebbero danneggiare la fiducia degli stakeholder.
In un panorama in cui gli investitori iniziano a citare in giudizio le aziende per non aver adeguatamente divulgato i rischi legati all’IA, la pressione è massima.
Inoltre, le sanzioni previste dall’AI Act sono ancora più severe: fino a 35 milioni di euro o il 7% del fatturato annuo globale per le pratiche di IA vietate.
Un test per il futuro della regolamentazione tecnologica
Il caso Microsoft-Bing rappresenta un banco di prova fondamentale per l’architettura regolatoria europea. Sta funzionando il meccanismo che prevede obblighi di valutazione del rischio per i servizi online molto grandi? Le aziende tech, abituate a muoversi in territori normativi frammentati o volontari come il quadro di gestione del rischio AI del NIST negli Stati Uniti, sono in grado di adattarsi al rigido approccio prescrittivo dell’UE?
Microsoft sta cercando di costruire strumenti per gestire la complessità, come la Dashboard per la Sicurezza dell’AI, che fornisce visibilità in tempo reale sul rischio AI, ma è sufficiente?
La risposta della Commissione europea alla scadenza del 27 maggio definirà il tono per i prossimi anni.
Se l’esito sarà una sanzione pesante, l’UE manderà un messaggio inequivocabile sulla sua determinazione a far rispettare le regole, probabilmente accelerando gli adeguamenti in tutto il settore.
Se invece Microsoft riuscirà a fornire documentazione soddisfacente, dimostrerà che anche le tecnologie più complesse possono essere ingabbiate in un framework normativo stringente.
In gioco c’è più di qualche punto percentuale di fatturato: c’è la credibilità del modello di governance tecnologica europeo e la definizione di chi, tra innovatori e regolatori, detterà le regole del gioco nell’era dell’IA generativa.
La partita è aperta, e l’Europa ha appena sollevato il suo atto per compiere Microsoft a fornire informazioni sul rischio IA.
