⚖Guida Legale20 aprile 2026·blogPost.legalAspectsReviewsUsEu.readTime min read

Il Panorama Legale delle Recensioni Online: USA vs UE nel 2026

Un'analisi pratica delle norme FTC, degli obblighi GDPR, del Digital Services Act e di tutto ciò che ogni imprenditore deve sapere prima di gestire le proprie recensioni.

Due giurisdizioni. Un problema. Recensioni false, critiche soppresse, testimonianze estorte e le zone grigie legali intorno agli endorsement a pagamento hanno costretto i regolatori su entrambe le sponde dell'Atlantico ad agire — e lo hanno fatto in modi molto diversi. Se la tua azienda raccoglie, mostra o risponde a recensioni online, ora operi sotto un mosaico di leggi sovrapposte che possono esporti a sanzioni che vanno da 51.744 $ per violazione FTC negli Stati Uniti a multe GDPR fino a 20 milioni di euro o il 4% del fatturato annuo globale nell'UE. Questa guida mappa il terreno — senza iperboli, senza semplificazioni — affinché tu sappia esattamente dove sono i confini.

La legge americana sulle recensioni non è un singolo statuto. È un sistema stratificato di norme federali, una legge sui diritti dei consumatori del 2016 e una regolamentazione della FTC del 2024 che ha finalmente dato ai regolatori l'autorità sanzionatoria di cui erano privi da anni.

Il Consumer Review Fairness Act del 2016 è stato il primo grande intervento federale. Firmato dal Presidente Obama il 14 dicembre 2016, ha annullato qualsiasi clausola contrattuale standard non negoziabile che limiti, penalizzi o richieda ai consumatori di cedere i loro diritti di proprietà intellettuale sulle recensioni. In parole semplici: se i tuoi termini di servizio dicono "accetti di non lasciare recensioni negative", quella clausola è inapplicabile e la FTC può agire contro di te.

Ma il CRFA aveva una lacuna: proteggeva il diritto dei consumatori di lasciare recensioni, ma non dava alla FTC l'autorità di imporre sanzioni civili per le recensioni false. Questo è cambiato nell'agosto 2024.

La Norma del 2024 della FTC su Recensioni e Testimonianze dei Consumatori

In vigore dal 21 ottobre 2024, la norma finale della FTC su Recensioni e Testimonianze dei Consumatori (16 CFR Part 465) è la regolamentazione più completa sulle recensioni nella storia degli Stati Uniti. Stabilisce sei divieti fondamentali e associa a ciascuno una sanzione civile di 51.744 $ per violazione.

Le sei pratiche vietate sono: (1) creare o distribuire recensioni false da parte di persone inesistenti o persone senza una genuina esperienza del prodotto; (2) comprare o vendere recensioni condizionate all'espressione di un particolare sentimento; (3) pubblicare recensioni da parte di insider senza rivelare la connessione sostanziale; (4) sollecitare recensioni da familiari o dipendenti senza una divulgazione trasparente; (5) sopprimere le recensioni negative tramite minacce legali infondate, intimidazioni o false accuse; e (6) acquistare falso engagement sui social media per travisare l'influenza.

La norma copre esplicitamente le recensioni generate da IA. Non si è trattato di una clausola di stile: la FTC ha riconosciuto che il costo marginale per generare migliaia di recensioni false dall'aspetto plausibile tramite modelli linguistici di grandi dimensioni era sceso quasi a zero, e ha agito di conseguenza. Il 22 dicembre 2025, la FTC ha emesso lettere di avvertimento a 10 aziende come primo passo esecutivo, un segnale che il periodo di grazia è finito.

Il Precedente Sunday Riley

Prima dell'esistenza della norma del 2024, il caso più emblematico della FTC era Sunday Riley Modern Skincare. Tra il 2015 e il 2017, l'azienda — su esplicita direttiva della CEO — ha fatto creare ai dipendenti falsi account Sephora, usare VPN per mascherare le loro identità e lasciare recensioni a cinque stelle. Un informatore ha fatto trapelare email interne. La FTC ha raggiunto un accordo nel 2020, ma controversamente non ha imposto alcuna sanzione pecuniaria, suscitando il dissenso dei Commissari Chopra e Slaughter che l'hanno definita una "frode di recensioni false eclatante". La norma del 2024 ha colmato quella lacuna: la stessa condotta oggi comporterebbe sanzioni per milioni di dollari.

L'approccio dell'Unione Europea è strutturalmente diverso dal modello statunitense. Piuttosto che una singola norma per le recensioni, l'UE ha tre strumenti legali distinti che interagiscono: il GDPR regola come vengono gestiti i dati delle recensioni; la Direttiva Omnibus (implementata tramite la UCPD) regola come le recensioni vengono presentate e verificate; e il Digital Services Act regola ciò che le piattaforme devono fare riguardo alle recensioni false su larga scala.

Capire quale legge si applica a quale attore è il primo passo. Il GDPR si applica a qualsiasi organizzazione che gestisce dati personali di residenti nell'UE, il che include i dati contenuti nelle recensioni. La UCPD (Direttiva sulle Pratiche Commerciali Sleali) si applica agli operatori commerciali che operano nel mercato dell'UE. Il DSA si applica principalmente alle piattaforme online, con obblighi molto più severi per le Piattaforme Online di Grandissime Dimensioni (VLOP) con oltre 45 milioni di utenti nell'UE.

GDPR e il Diritto alla Cancellazione delle Recensioni

L'articolo 17 del GDPR — il "diritto all'oblio" — è uno dei diritti più frequentemente invocati contro le aziende che ospitano recensioni. Un recensore in Germania può chiedere a un'azienda o a una piattaforma di cancellare una recensione contenente i suoi dati personali. L'azienda ha un mese per rispondere. La mancata conformità può portare a reclami presso un'Autorità nazionale per la Protezione dei Dati.

Ecco la sfumatura critica che la maggior parte delle guide omette: il diritto alla cancellazione non è assoluto. Se una recensione contiene opinioni personali sulla qualità dei servizi professionali, i tribunali e le Autorità per la Protezione dei Dati (DPA) hanno ripetutamente stabilito che gli interessi della libertà di espressione e il legittimo interesse informativo dei futuri consumatori possono prevalere su una richiesta di cancellazione. L'Azione di Esecuzione Coordinata del Comitato Europeo per la Protezione dei Dati (EDPB) del 2025 ha specificamente preso di mira le procedure di cancellazione inadeguate, ma ha anche chiarito questi interessi concorrenti.

Cosa significa questo in pratica: se un idraulico di nome Hans Schmidt lascia una recensione a una stella che include il suo nome e indirizzo completo, può richiedere la cancellazione delle sue informazioni identificative. Ma l'azienda non può essere costretta a cancellare la sostanza di un reclamo legittimo solo perché il recensore ha cambiato idea.

La Direttiva Omnibus: la Verifica delle Recensioni è Ora un Obbligo di Trasparenza

La Direttiva Omnibus del 2019 — recepita nel diritto nazionale degli stati membri dell'UE entro maggio 2022 — ha aggiunto una regola specifica alla Direttiva sulle Pratiche Commerciali Sleali: gli operatori commerciali devono dichiarare se e come verificano che le recensioni provengano da acquirenti effettivi. Se affermi che le recensioni sono verificate e non lo sono, si tratta di una pratica commerciale sleale soggetta all'applicazione delle norme nazionali.

Sanzioni ai sensi della UCPD come modificata dalla Direttiva Omnibus: gli stati membri devono prevedere multe di almeno il 4% del fatturato annuo dell'operatore commerciale, o di almeno 2 milioni di euro quando il fatturato non può essere determinato. Italia, Francia, Germania e Paesi Bassi hanno tutti avviato indagini ai sensi di queste disposizioni.

Il Digital Services Act: Obblighi delle Piattaforme da Febbraio 2024

Il DSA (Regolamento UE 2022/2065) è entrato in pieno vigore il 17 febbraio 2024. Per le piattaforme di recensioni in particolare, ha introdotto requisiti di trasparenza e responsabilità che vanno ben oltre ciò che qualsiasi legge UE precedente richiedeva. Le VLOP come Google, Tripadvisor e Booking.com devono implementare valutazioni sistematiche del rischio per i contenuti falsi, pubblicare rapporti di trasparenza sulle azioni di moderazione e fornire ai ricercatori l'accesso ai dati.

La sanzione massima del DSA per la non conformità è del 6% del fatturato annuo globale — e per violazioni sistemiche ripetute, le piattaforme possono essere temporaneamente sospese dall'operare nell'UE. La Commissione Europea ha avviato i suoi primi procedimenti per non conformità ai sensi del DSA nel 2024, prendendo di mira X (ex Twitter) per fallimenti sistemici nella moderazione dei contenuti.

Una Azione Legale Strategica contro la Pubblica Partecipazione (SLAPP) è una causa intentata non per vincere, ma per intimidire. Il proprietario di un ristorante che fa causa a un critico per 50.000 $ per una recensione a una stella non sta realmente cercando di incassare 50.000 $ — sta cercando di costringere il recensore ad assumere un avvocato e a spendere tempo per difendersi, sapendo che la maggior parte delle persone semplicemente cancellerà la recensione e lascerà perdere.

Questa tattica è ben documentata in un database gestito dall'organizzazione per il Primo Emendamento FIRE: cinquecento casi SLAPP sono stati registrati solo nel 2024. Tribunali e legislatori hanno reagito duramente. A partire dal 2025, 33 stati degli Stati Uniti, il Distretto di Columbia e Guam hanno promulgato statuti anti-SLAPP. In California, Texas e Florida — tre degli stati economicamente più significativi per le piccole imprese — questi statuti sono solidi e includono disposizioni sul trasferimento delle spese legali: se la tua causa è ritenuta una SLAPP, paghi le spese legali del recensore.

Il calcolo strategico è cambiato. Un'azienda che fa causa a un recensore in California per diffamazione rischia: (a) di perdere la mozione anti-SLAPP, (b) di pagare le spese legali del recensore, e (c) di generare molta più pubblicità negativa di quanta ne avrebbe mai potuta generare la recensione originale. Gli avvocati per i diritti dei consumatori chiamano questo l'Effetto Streisand della litigiosità sulle recensioni.

Nell'UE, la preoccupazione equivalente è affrontata attraverso la Direttiva SLAPP (Direttiva 2024/1069), che il Parlamento Europeo ha approvato nell'aprile 2024. Essa si rivolge principalmente ai casi transfrontalieri e richiede ai tribunali di respingere i casi manifestamente infondati nelle prime fasi del procedimento, con l'addebito dei costi al ricorrente.

Offrire a un cliente uno sconto del 10% in cambio di una recensione non è automaticamente illegale. Ma diventa illegale — sia secondo le norme della FTC che secondo la legge dell'UE — nel momento in cui condizioni quel beneficio al fatto che la recensione sia positiva, o non riesci a divulgare la connessione sostanziale.

Secondo le norme della FTC, le recensioni incentivate richiedono una divulgazione "chiara e ben visibile" nella recensione stessa o immediatamente adiacente ad essa. La divulgazione deve essere "inevitabile" sulle piattaforme di social media e presentata con la stessa prominenza del contenuto della recensione. Un piccolo asterisco in fondo a una pagina non è sufficiente.

La Direttiva Omnibus dell'UE aggiunge un livello: se la tua piattaforma mostra valutazioni, devi dire agli utenti se tali valutazioni includono acquisti verificati, contributi non verificati o contenuti incentivati — e in quali proporzioni. Presentare una media di 4.8 stelle derivata in parte da recensioni incentivate senza divulgazione è una pratica commerciale sleale.

La distinzione importante che molte piccole imprese non colgono: puoi chiedere recensioni. Puoi inviare un'email post-acquisto. Puoi rendere il processo facile. Non puoi pagare per un sentimento positivo, sopprimere contenuti negativi o travisare la provenienza delle tue valutazioni.

Negli Stati Uniti, la conservazione dei dati per le recensioni è principalmente regolata dalla tua politica sulla privacy e dalle leggi statali applicabili (il CCPA della California è il più significativo). Non esiste un mandato federale su per quanto tempo devi conservare i dati delle recensioni. Ma c'è un obbligo di coerenza: se la tua politica sulla privacy dice che cancelli i dati degli utenti dopo due anni, non puoi conservare selettivamente le recensioni favorevoli.

Secondo il GDPR, il principio di limitazione della conservazione (Articolo 5(1)(e)) richiede che i dati personali non siano conservati più a lungo del necessario per lo scopo per cui sono stati raccolti. Per le recensioni, "necessario" è un concetto contestato — ma le linee guida dell'EDPB suggeriscono che le recensioni che servono a uno scopo commerciale continuo (aiutare i futuri clienti a prendere decisioni) possono essere conservate finché rimangono accurate e pertinenti.

L'implicazione pratica: una recensione del 2018 su uno chef che ha lasciato il tuo ristorante nel 2021 potrebbe non essere più accurata, e conservarla senza revisione potrebbe esporti sia a richieste di cancellazione GDPR sia a reclami per aver indotto in errore i consumatori. Le aziende dell'UE dovrebbero verificare i loro archivi di recensioni annualmente.

Sapere quale regolatore può agire contro di te — e per quanto — è essenziale per una gestione proporzionata del rischio. Il panorama dell'applicazione delle norme nel 2026 è più complesso di quanto la maggior parte delle guide sulla conformità riconosca.

La Sezione 230 del Communications Decency Act rimane il fondamento del diritto di internet americano. Piattaforme come Google, Yelp e Tripadvisor non sono responsabili come editori per le recensioni generate dagli utenti — sono trattate come intermediari passivi. Ecco perché un'azienda statunitense non può fare causa a Google per ospitare una recensione diffamatoria; la causa deve essere diretta contro il recensore originale.

Le decisioni della Corte Suprema del 2023 nei casi Gonzalez v. Google e Twitter v. Taamneh hanno rifiutato di restringere le protezioni della Sezione 230, lasciando intatto il quadro di base. Tuttavia, le piattaforme perdono questa protezione se creano attivamente o co-sviluppano il contenuto problematico — un fatto che i casi di amplificazione algoritmica stanno mettendo sempre più alla prova.

Nell'UE, il DSA ha sostituito il quadro di responsabilità della Direttiva sul commercio elettronico del 2000. Le piattaforme che hanno "conoscenza effettiva" di contenuti illegali (incluse le recensioni false) e non agiscono prontamente perdono la loro immunità. Questa è una differenza significativa rispetto alla Sezione 230: la legge dell'UE crea un dovere di "notifica e azione", mentre la Sezione 230 non contiene alcun requisito equivalente.

Per completezza, le aziende che servono clienti nel Regno Unito affrontano un terzo regime distinto. Il Digital Markets, Competition and Consumers Act 2024 è entrato in vigore con le sue disposizioni sulle recensioni false il 6 aprile 2025. Elenca esplicitamente le recensioni false e le recensioni incentivate non divulgate come pratiche vietate — automaticamente illegali, senza bisogno di dimostrare che fossero "sleali" caso per caso.

La Competition and Markets Authority (CMA) del Regno Unito può multare le aziende fino al 10% del fatturato annuo globale, o 300.000 £ — a seconda di quale sia l'importo maggiore. Multe giornaliere per non conformità fino al 5% del fatturato giornaliero globale o 15.000 £ si applicano alle violazioni persistenti. La CMA ha avviato cinque indagini nel 2025 prendendo di mira Autotrader, Feefo, Dignity, Just Eat e Pasta Evangelists.

Amministratori e manager possono affrontare una responsabilità personale per le violazioni che hanno consapevolmente permesso — una disposizione che non ha un parallelo diretto nell'attuale quadro federale statunitense, dove le protezioni del velo societario sono generalmente più forti.