Il 14 aprile 2026 il Tribunale di Milano ha ammesso la class action promossa dall'associazione consumatori CTCU contro Meta Platforms. Si tratta del più ampio procedimento collettivo in materia di protezione dei dati personali mai ammesso in Italia. L'azione riguarda un episodio di data scraping che tra gennaio 2018 e settembre 2019 ha colpito circa 533 milioni di utenti Facebook a livello globale, di cui una stima di 35 milioni in Italia.
Il data scraping consiste nella raccolta automatizzata e massiva di informazioni pubblicate dagli utenti su una piattaforma. Nel caso di Facebook, i dati sottratti comprendevano numeri di telefono, nomi completi, date di nascita, indirizzi email e, in alcuni casi, informazioni sulla posizione geografica e sullo stato sentimentale. L'intero dataset è comparso pubblicamente nel 2021 su un forum di hacking, due anni dopo che Meta aveva dichiarato di aver corretto la vulnerabilità sfruttata per l'estrazione.
📋 Cosa chiede la CTCU e su quale base giuridica
L'associazione CTCU chiede un risarcimento per conto di tutti gli utenti Facebook italiani che hanno subito una perdita di controllo, anche solo temuta, sui propri dati personali. Il fondamento dell'azione è il Regolamento UE 2016/679 (GDPR), in particolare l'articolo 82, che riconosce il diritto al risarcimento del danno materiale o non materiale derivante da una violazione del regolamento.
La CTCU contesta a Meta la violazione di diversi obblighi previsti dal GDPR:
- la mancata adozione di misure tecniche e organizzative adeguate a prevenire l'accesso non autorizzato ai dati, in violazione dell'articolo 32 sulla sicurezza del trattamento
- il difetto di protezione dei dati fin dalla progettazione e per impostazione predefinita, prevista dall'articolo 25 (data protection by design e by default)
- la comunicazione tardiva dell'incidente, avvenuta solo nel 2021 a fronte di un evento risalente al 2018-2019, con possibili profili di violazione degli articoli 33 e 34 in materia di notifica dei data breach
La decisione del Tribunale di Milano è di natura procedurale: non accerta una violazione da parte di Meta, ma consente all'azione collettiva di proseguire nel merito. Meta, difesa dallo studio Freshfields, ha dichiarato di non condividere la decisione e di ritenere l'azione infondata.
🔍 I precedenti europei: dalla sanzione irlandese al risarcimento tedesco
Lo stesso episodio di data scraping ha già dato origine a interventi regolatori e giurisprudenziali in altri paesi europei. Nel novembre 2022 la Data Protection Commission irlandese ha sanzionato Meta con una multa di 265 milioni di euro, accertando che la piattaforma non aveva adottato misure adeguate a impedire lo scraping massivo. La violazione contestata riguardava specificamente gli obblighi di data protection by design e by default previsti dall'articolo 25 del GDPR.
Nel novembre 2024 la Corte Federale di Giustizia tedesca (BGH) ha stabilito un principio destinato a pesare su tutti i contenziosi europei legati a questo episodio: la mera perdita di controllo sui dati personali è sufficiente per fondare un diritto al risarcimento del danno non materiale ai sensi dell'articolo 82 del GDPR. L'utente non deve dimostrare conseguenze ulteriori come un furto di identità o un uso fraudolento dei dati: basta la perdita di controllo. L'importo indicativo riconosciuto dalla corte tedesca è stato di circa 100 euro per utente.
📊 Il contenzioso collettivo privacy in Europa: numeri in crescita
La class action milanese si inserisce in un'ondata di contenzioso collettivo in materia di protezione dei dati che sta attraversando l'Europa. Secondo il Data Breach Class Action Review 2026 pubblicato da Duane Morris, nel 2025 le class action privacy hanno superato quota 1.800 a livello globale, con una media di oltre 150 azioni al mese e un incremento del 25% rispetto al 2024.
L'ammissione della class action italiana consolida il ruolo delle associazioni dei consumatori come attori dell'enforcement GDPR dal basso, accanto all'azione delle autorità di controllo. Se il principio della perdita di controllo come danno risarcibile venisse recepito anche dai giudici italiani, il potenziale risarcimento complessivo per 35 milioni di utenti potrebbe raggiungere cifre considerevoli, ridefinendo il peso economico del contenzioso privacy per le piattaforme digitali che operano in Europa.
⚙️ Le conseguenze per Meta e per le piattaforme digitali
Il procedimento milanese si aggiunge a un quadro già gravoso per Meta sul fronte europeo. Oltre alla sanzione irlandese da 265 milioni, la società ha ricevuto nel 2023 una multa da 1,2 miliardi di euro per il trasferimento illecito di dati verso gli Stati Uniti e, ad aprile 2025, una sanzione da 200 milioni di euro sotto il Digital Markets Act per il modello pay or consent. Il contenzioso collettivo aggiunge un ulteriore livello di esposizione economica: non più solo sanzioni amministrative, ma risarcimenti diretti ai singoli utenti.
Per tutte le piattaforme che trattano dati su larga scala, il messaggio è che la protezione contro lo scraping e l'accesso non autorizzato non è un aspetto secondario. Gli obblighi di sicurezza e di protezione dei dati by design previsti dal GDPR si traducono in responsabilità concrete, misurabili in centinaia di milioni di euro sia sul versante regolatorio sia su quello risarcitorio.
#classaction #datascraping #metaplatforms
