TIkTok
TikTok: dati, algoritmo e geopolitica
analisi documentata 2025–2026
Struttura proprietaria, raccolta dati confermata, accordo USA-Oracle, indagini europee e valutazione comparativa del rischio — aggiornato a marzo 2026.
1. Struttura proprietaria: la situazione attuale
TikTok è sviluppato da ByteDance, società registrata alle Isole Cayman con operazioni rilevanti in Cina. Come tale, è soggetta alla National Intelligence Law cinese del 2017 e alla Cybersecurity Law del 2017, entrambe le quali impongono alle società cinesi l’obbligo di cooperare con le autorità di intelligence nazionali. Il governo cinese detiene una «golden share» in Beijing ByteDance Technology Co., una delle entità cinesi del gruppo, con il diritto di nominare un membro del consiglio di amministrazione di quella controllata specifica — un’influenza strutturale su una singola entità cinese, non sul gruppo globale nella sua interezza.
La situazione proprietaria è radicalmente cambiata per le sole operazioni statunitensi. Il 22 gennaio 2026 ha chiuso la TikTok USDS Joint Venture LLC, una nuova entità a maggioranza americana formata da Oracle Corporation (15%), Silver Lake (15%), MGX — fondo degli Emirati Arabi Uniti (15%) e altri investitori (35%). ByteDance mantiene il 19,9% — appena sotto la soglia del 20% stabilita dalla legge americana. Il CDA è a maggioranza americana.
Per gli utenti statunitensi, i dati sono archiviati su infrastruttura Oracle Cloud negli USA. L’algoritmo sarà riaddestrasto esclusivamente su dati americani e Oracle potrà revisionare il codice sorgente in modo continuativo. Secondo i termini dichiarati dell’accordo, ByteDance non avrà accesso ai dati degli utenti USA né influenza sull’algoritmo per il mercato USA.
L’accordo USA non riguarda i 170 milioni di utenti europei. Per loro, la struttura rimane invariata: ByteDance e le sue entità cinesi continuano a essere la società responsabile del trattamento dei dati. La normativa cinese sull’esportazione di algoritmi impedisce la vendita del motore di raccomandazione — ByteDance lo concede in licenza alla joint venture americana, mantenendo il controllo tecnico sul codice originale. Inoltre, MGX è un fondo di Abu Dhabi (Emirati Arabi Uniti): questo aggiunge un livello geopolitico ulteriore che l’accordo non elimina. La «golden share» del governo cinese sulla controllata Beijing ByteDance Technology resta pienamente in vigore.
2. Raccolta dati: cosa è confermato e cosa è esagerato
La privacy policy ufficiale di TikTok per lo Spazio Economico Europeo, in vigore dal 13 settembre 2025, è la fonte primaria per determinare quali dati vengono raccolti. Alcune affermazioni circolanti sulla raccolta dati di TikTok sono documentate; altre sono esagerate o datate.
Dati confermati dalla privacy policy ufficiale (EEA)
- Dati comportamentali: tempi di visualizzazione, interazioni, pattern di utilizzo
- Dati tecnici del dispositivo: modello, sistema operativo, indirizzo IP, lingua, impostazioni
- Identificatori: IMEI, indirizzo MAC, Android ID — confermati dalla pagina Privacy Center di TikTok
- Geolocalizzazione approssimativa: basata su SIM e IP (non GPS preciso per utenti UE dal 2022)
- Contenuti caricati: video, audio, commenti, metadati associati
- Grafo sociale: chi segui, chi ti segue, interazioni
- Pattern di battitura (keystroke patterns): citati esplicitamente come informazione tecnica raccolta per finalità di sicurezza (anti-frode, bot detection). Pratica comune alla maggior parte dei servizi digitali.
Dati non confermati o rimossi
GPS preciso e cronologia spostamenti non sono raccolti sistematicamente sugli utenti europei: TikTok ha rimosso questa raccolta nel 2022. La privacy policy EEA vigente specifica esplicitamente che viene raccolta solo la posizione approssimativa (paese, stato, città) tramite SIM e indirizzo IP. La raccolta GPS precisa è possibile solo con consenso esplicito dell’utente nelle impostazioni.
Lista completa delle app installate: su Android, TikTok aveva in passato avuto accesso a questa lista (segnalato da ricercatori di sicurezza nel 2020–2021). La privacy policy attuale non la elenca tra i dati raccolti routinariamente. Non esiste evidenza documentata di raccolta sistematica attuale.
Nel maggio 2025, il DPC irlandese ha sanzionato TikTok con 530 milioni di euro per aver trasferito dati di utenti europei in Cina senza adeguata base giuridica, confermando che la questione del trasferimento verso server cinesi era un fatto reale e non un’esagerazione. I dati di backup precedenti al completamento della migrazione su Oracle rimangono su server cinesi senza garanzia di eliminazione certificata. — Fonte: Il Sole 24 Ore, maggio 2025.
3. Algoritmo e profilazione
L’algoritmo di TikTok («For You Page») è riconosciuto, anche dagli osservatori più critici, come tecnicamente più raffinato di quelli concorrenti nel mantenere l’attenzione degli utenti. Questo non è contestato. La Commissione Europea, nell’indagine DSA avviata il 19 febbraio 2024 e con accertamenti preliminari del febbraio 2026, ha confermato che il design della piattaforma — scroll infinito, autoplay, notifiche push, raccomandazione altamente personalizzata — viola il DSA per il suo carattere addictive. Non si tratta di un’ipotesi teorica, ma di un accertamento regolatorio in corso.
Cosa l’algoritmo fa e cosa non fa
L’algoritmo massimizza il tempo di utilizzo tramite personalizzazione estrema, e un effetto collaterale di questa ottimizzazione è l’amplificazione di stati emotivi. Non esistono però documenti interni di TikTok pubblicati che confermino che il targeting esplicito di «vulnerabilità emotive individuali» o di «momenti di maggiore suscettibilità durante la giornata» sia un obiettivo ingegnerizzato deliberato: la distinzione tra effetto sistemico non intenzionale (ma irresponsabilmente ignorato) e progettazione deliberatamente manipolativa è rilevante sia sul piano giuridico che su quello della comprensione pubblica.
Un settore che ha adottato la stessa architettura
La distinzione «feed algoritmico senza cronologia» non è più una peculiarità di TikTok: Meta ha introdotto la «Scheda per te» su Instagram e Facebook Reels con logica analoga, YouTube Shorts utilizza la stessa architettura. La tendenza verso algoritmi completamente personalizzati è diventata uno standard di settore, e le critiche al design addictive si applicano in misura variabile a tutte le principali piattaforme.
4. Il fronte legale: ban, Corte Suprema e accordo USA
La vicenda del ban americano e del successivo accordo è uno degli sviluppi più rilevanti nel panorama tecnologico e geopolitico del 2025–2026.
2024
2025
GEN
GEN
2025
2025
GEN
2026
- La normativa cinese sull’esportazione di algoritmi non consente la vendita dell’algoritmo: ByteDance lo concede in licenza alla joint venture, mantenendo il controllo tecnico sul codice originale.
- Il DOJ aveva dichiarato nel 2024 che Oracle non disponeva delle risorse per revisionare adeguatamente miliardi di righe di codice sorgente. La piena verifica richiederà anni.
- MGX, uno degli investitori «americani» della joint venture, è un fondo di Abu Dhabi (Emirati Arabi Uniti): introduce un livello geopolitico che l’accordo non elimina.
- TikTok è diventata un chip negoziale nelle relazioni commerciali USA-Cina: la Cina aveva bloccato l’intesa dopo i dazi di Trump, per sbloccarla solo quando il costo politico dell’accordo era diventato accettabile per Pechino.
- L’accordo riguarda solo le operazioni USA: per gli utenti europei nulla è cambiato strutturalmente.
5. Europa: GDPR, DSA e la multa da 530 milioni
Multa irlandese da 530 milioni di euro — maggio 2025
Nel maggio 2025, la Data Protection Commission (DPC) irlandese — autorità competente per TikTok nell’UE, essendo l’Irlanda la sede europea di TikTok — ha sanzionato la società con 530 milioni di euro per trasferimento illegale di dati di utenti europei verso la Cina, in violazione del GDPR. L’istruttoria ha accertato che i dati personali di 170 milioni di utenti europei venivano trattati su server cinesi senza un’adeguata base giuridica. L’enforcement GDPR contro TikTok è dunque avvenuto concretamente — anche se con ritardi inaccettabili (oltre 2.000 giorni dall’entrata in vigore del GDPR). — Fonte: Il Sole 24 Ore, maggio 2025.
Indagini DSA in corso (2024–2026)
- Febbraio 2024 — indagine DSA avviata: la Commissione Europea apre un’indagine formale sulla conformità di TikTok al Digital Services Act.
- Ottobre 2025 — violazione trasparenza: la Commissione accerta in via preliminare che TikTok ha violato gli obblighi di trasparenza del DSA, impedendo ai ricercatori un accesso adeguato ai dati pubblici. Rischio multa fino al 6% del fatturato annuo (~7,5 miliardi di euro).
- Febbraio 2026 — design addictive: la Commissione accerta in via preliminare che TikTok viola il DSA per progettazione che genera dipendenza (scroll infinito, autoplay, notifiche push). TikTok ha contestato le conclusioni.
- Dicembre 2025 — chiusura parziale: il filone sulla trasparenza pubblicitaria viene chiuso con impegni vincolanti assunti da TikTok.
Per gli utenti europei, non esiste un meccanismo effettivo per contestare eventuali accessi da parte delle autorità cinesi ai dati trattati prima della migrazione. I dati di backup su server cinesi non sono stati ancora eliminati. L’enforcement europeo esiste ed è operativo, ma la velocità delle sanzioni non ha eguagliato la velocità con cui i dati sono stati trasferiti illegalmente.
6. Rischi per i minori: dati documentati
Cosa è accertato dalla Commissione Europea
- I controlli del tempo di utilizzo sono «facili da ignorare e introducono un contrasto minimo» — accertamento preliminare CE.
- I controlli parentali «richiedono tempo e capacità aggiuntivi» e spesso non funzionano nella pratica — accertamento preliminare CE.
- Il sistema di verifica dell’età è facilmente aggirabile — accertamento CE.
- Contenuti non adeguati all’età raggiungono regolarmente utenti minorenni — incluso nelle indagini DSA.
Il rischio di contatti inappropriati tra adulti e minori esiste come effetto collaterale di una moderazione insufficiente, non come caratteristica progettuale intenzionale. Le indagini DSA della Commissione Europea si concentrano su elementi concreti e documentati: inefficacia dei controlli parentali, mancata verifica dell’età, raccomandazione di contenuti non appropriati.
Impatto cognitivo: un’area ancora aperta
La ricerca scientifica sull’impatto di TikTok sull’attenzione e sullo sviluppo cognitivo dei giovani è ancora in corso e i risultati sono contrastanti. Non esiste consenso scientifico stabilito su una relazione causale diretta tra uso di TikTok e riduzione dell’attenzione. È un’area di ricerca attiva che richiede prudenza interpretativa — né minimizzazione né allarme non fondato.
7. Rischi geopolitici
Cosa è documentato
Ricerche dell’Australian Strategic Policy Institute (2020) e di Citizen Lab hanno documentato che TikTok, nelle versioni per il mercato cinese (Douyin), applicava moderazione sistematica su temi sensibili per Pechino (Tibet, Xinjiang, Hong Kong, piazza Tiananmen). TikTok ha riconosciuto errori nella moderazione dei contenuti relativi a Hong Kong nel 2019, poi corretti. Evidenze di una moderazione analoga sistematica sulle versioni internazionali sono più limitate e contestate.
Il ban su TikTok dai dispositivi governativi è stato adottato da UE, USA, UK, Canada, Australia, Nuova Zelanda e diversi paesi UE: questa è una misura ufficiale, non solo una raccomandazione di sicurezza. Indica che i governi occidentali considerano il rischio reale e sufficientemente serio da giustificare una risposta normativa.
Il fattore geopolitico USA-Cina
Un elemento centrale del 2025 è il ruolo che TikTok ha assunto come chip negoziale nelle relazioni commerciali tra USA e Cina. Secondo il segretario al Tesoro americano Scott Bessent, i termini dell’accordo erano stati sostanzialmente finalizzati già in primavera 2025, ma la Cina aveva bloccato l’intesa come risposta ai dazi di Trump. La svolta è arrivata quando Trump ha reso il costo politico del blocco inaccettabile per Pechino. TikTok è diventata, in questa fase, uno strumento di diplomazia commerciale oltre che un tema di sicurezza nazionale — dimensione che complica qualsiasi valutazione esclusivamente tecnologica.
Le agenzie di sicurezza occidentali hanno citato il rischio di interferenza elettorale tramite TikTok come preoccupazione credibile. Tuttavia, non esiste a oggi un’indagine governativa o accademica pubblicata che dimostri campagne sistematiche di interferenza elettorale attraverso targeting micro-demografico condotte da TikTok. Il rischio teorico è reale; la sua materializzazione documentata non è stata ancora dimostrata pubblicamente.
8. Misure di protezione
- Disattivare la geolocalizzazione nelle impostazioni del dispositivo
- Limitare i permessi dell’app (microfono, fotocamera, contatti) al minimo necessario
- Non collegare l’account TikTok ad altri account social: riduce la cross-profilazione
- Evitare di pubblicare contenuti sensibili (politici, personali, professionali)
- Valutare l’utilizzo da browser anziché dall’app nativa: riduce i permessi di sistema disponibili all’app
- La «Modalità familiare» (Family Pairing) permette al genitore di collegare il proprio account a quello del figlio per impostare limiti di tempo e contenuti.
- La Commissione Europea ha accertato che questi strumenti sono insufficienti nella pratica: non sostituiscono la conversazione diretta e il monitoraggio attivo.
- Per i minori sotto i 13 anni: l’account è tecnicamente vietato ma la verifica dell’età è facilmente aggirabile. La sorveglianza attiva rimane l’unica misura realmente efficace.
- Contestualizzare l’uso: spiegare ai figli come funziona l’algoritmo e perché tende a mantenere l’attenzione.
- Il ban su dispositivi governativi è una misura ufficiale adottata da UE, USA, UK, Canada, Australia e Nuova Zelanda: nelle organizzazioni pubbliche non è una scelta ma un obbligo.
- Per i dipendenti con BYOD: policy chiara che escluda TikTok su dispositivi usati per accedere a reti e dati aziendali.
- Awareness training sui rischi specifici di raccolta dati da app di terze parti.
- Valutare policy di Mobile Device Management (MDM) che impediscano l’installazione di app non approvate su dispositivi aziendali.
9. Valutazione rischio comparativa
TikTok non è il solo attore con rischi significativi nel panorama dei social media. X (ex Twitter), dopo l’acquisizione da parte di Elon Musk nell’ottobre 2022, ha ridotto drasticamente i team di sicurezza, abolito il Transparency Report e centralizzato le decisioni editoriali — con un peggioramento misurabile su trasparenza e sicurezza. La valutazione del rischio deve quindi essere aggiornata rispetto a tutti gli attori.
| Aspetto | TikTok (UE) | TikTok (USA, post-deal) | Meta | Google/YouTube | X (ex Twitter) |
|---|---|---|---|---|---|
| Privacy dei dati | 🔴 Alto | 🟡 Medio | 🟡 Medio | 🟡 Medio | 🟡 Medio-Alto |
| Controllo democratico | 🔴 Limitato | 🟡 Parziale | 🟢 Alto | 🟢 Alto | 🔴 Ridotto post-2022 |
| Trasparenza | 🔴 Bassa | 🟡 Parziale | 🟢 Alta | 🟢 Alta | 🔴 Drasticamente ridotta |
| Design addictive | 🔴 Estremo (accertato CE) | 🔴 Estremo | 🟡 Alto | 🟡 Medio-Alto | 🟡 Medio |
| Sicurezza minori | 🔴 Critica (accertata CE) | 🔴 Critica | 🟡 Medio | 🟢 Buono | 🟡 Peggiorato post-2022 |
| Trasferimento dati verso autoritarismi | 🔴 Accertato (multa DPC 2025) | 🟡 Mitigato (Oracle) | 🟢 Non documentato | 🟢 Non documentato | 🟢 Non documentato |
Nota: le valutazioni si basano su evidenze documentate e accertamenti regolatori disponibili a marzo 2026. Le categorie «Non documentato» non equivalgono a «sicuro», ma indicano assenza di evidenze pubbliche di trasferimento illegale verso regimi autoritari.
Fonti verificate, pubbliche e accessibili
| # | Fonte | Data | URL |
|---|---|---|---|
| 1 | TikTok — Privacy Policy EEA (vigente) | 13 set. 2025 | tiktok.com/legal/…/privacy-policy |
| 2 | TikTok — Privacy Center: dati raccolti | 2025 | tiktok.com/privacy/learn-about-data |
| 3 | CBS News — TikTok finalizes deal Oracle | 23 gen. 2026 | cbsnews.com/news/tiktok-deal-ban-oracle |
| 4 | TechCrunch — What to know about the US TikTok deal | 23 gen. 2026 | techcrunch.com/2026/01/23/… |
| 5 | Variety — TikTok US Joint Venture deal close date | dic. 2025 | variety.com/2025/digital/… |
| 6 | ABC News — Deal TikTok US investors | dic. 2025 | abcnews.go.com/Business/… |
| 7 | ALM Corp — TikTok US Deal Finalizes: complete analysis | 26 gen. 2026 | almcorp.com/blog/… |
| 8 | Commissione Europea — Indagine DSA TikTok (design addictive) | feb. 2026 | leggo.it/tecnologia/… (sintesi) |
| 9 | Commissione Europea — Indagine DSA TikTok e Meta (trasparenza) | 24 ott. 2025 | lospecialegiornale.it/2025/… |
| 10 | Il Sole 24 Ore — TikTok, sanzioni GDPR e multa DPC 530M€ | mag. 2025 | econopoly.ilsole24ore.com/2025/… |
| 11 | LaMiaFinanza — Golden share governo cinese ByteDance | gen. 2025 | lamiafinanza.it/2025/01/… |
| 12 | Proofpoint — Privacy TikTok: dati raccolti (analisi tecnica) | apr. 2021 | proofpoint.com/it/blog/… |
| 13 | Cyber Security 360 — TikTok privacy policy aggiornata, geolocalizzazione UE | nov. 2022 | cybersecurity360.it/news/… |
| 14 | Corte Suprema USA — TikTok Inc. v. Garland (decisione unanime) | 17 gen. 2025 | supremecourt.gov/opinions/24pdf/… |
| 15 | Regolamento UE 2016/679 — GDPR, testo ufficiale | 2016 | eur-lex.europa.eu/… |
| 16 | Digital Services Act — Regolamento UE 2022/2065 | 2022 | eur-lex.europa.eu/… (DSA) |
| 17 | MilanoFinanza — Golden share Cina, ByteDance e Douyin | gen. 2025 | milanofinanza.it/news/… |
Potrebbe anche interessarti
Nearby Glass
