Sanzione del Garante Privacy per Character.AI: i rischi dell'intelligenza artificiale generativa per i minori
Il Garante per la protezione dei dati personali ha colpito duramente la società statunitense Character Technologies Inc., gestore della nota piattaforma di intelligenza artificiale generativa Character.AI, imponendo una sanzione pecuniaria di 158.000 euro. Il provvedimento, emesso ufficialmente il 3 luglio 2026, evidenzia come i sistemi di verifica dell'età e le misure di sicurezza adottate dalla piattaforma fossero gravemente inadeguati per garantire la tutela dei dati dei soggetti più vulnerabili, in particolare i minori.
L'intervento dell'Autorità italiana si inserisce in un contesto di crescente preoccupazione per l'uso di chatbot e personaggi virtuali da parte di bambini e adolescenti. Il servizio in questione permette agli utenti di interagire tramite chat con personaggi creati ad hoc o esistenti, un'attività che, pur stimolando la creatività, espone i giovani a rischi significativi di interazione con contenuti inappropriati o manipolatori. La mancanza di una corretta Privacy by Design ha reso la piattaforma un terreno fertile per violazioni dei diritti fondamentali dei più piccoli.
L'istruttoria d'ufficio è partita nel novembre 2024, dopo che il Garante ha rilevato la disponibilità del servizio in lingua italiana sia su web che tramite app mobile. Nonostante la società abbia tentato di collaborare fornendo documenti come la DPIA (Valutazione d'Impatto) e la LIA (Valutazione del Legittimo Interesse) solo in fase avanzata, l'Autorità ha constatato una serie di inadempienze strutturali. Tra queste, spiccano la tardività nella nomina di un rappresentante UE e le lacune informative riguardanti l'utilizzo dei dati per l'addestramento dei modelli linguistici di grandi dimensioni, i cosiddetti LLM.
Le violazioni normative e le prescrizioni del Garante
Il provvedimento [10269571] del Garante Privacy non si limita alla sanzione economica, ma impone una serie di prescrizioni correttive stringenti che la società deve adottare per sanare le criticità rilevate. Una delle violazioni più gravi riguarda l'inosservanza degli articoli 27 e 35 del GDPR, relativi rispettivamente alla nomina di un rappresentante nell'Unione Europea e alla necessità di effettuare una valutazione d'impatto preventiva sul trattamento dei dati.
L'Autorità ha inoltre ribadito che la mancanza di standard tecnici univoci per la verifica dell'età nell'ambito dell'IA generativa non può essere utilizzata come scusa per non adottare misure di protezione efficaci. Il Garante ha richiesto l'introduzione di un "cooling-off period", ovvero un periodo di raffreddamento che impedisca ai minori, una volta bloccati dal sistema di verifica, di tentare immediatamente nuove registrazioni per aggirare i controlli. Questo meccanismo è fondamentale per contrastare la creazione di account multipli da parte di utenti che non soddisfano i requisiti di età.
Un altro punto cardine del provvedimento riguarda l'impostazione Privacy by Default. Per i profili creati dai minori, la piattaforma dovrà garantire che la visibilità sia impostata automaticamente su "privata". Questo significa che l'utente non dovrà compiere alcuna azione volontaria per proteggere i propri dati; la protezione deve essere la configurazione predefinita, eliminando il rischio che le conversazioni o i profili dei bambini diventino accessibili a terzi senza il loro consenso esplicito.
Il contesto dei rischi e il caso Sewell Setzer
La severità del provvedimento è alimentata da casi reali di grave preoccupazione sociale. Tra questi, il caso del quattordicenne Sewell Setzer, che ha interagito con un personaggio virtuale ispirato a "Il Trono di Spade", ha portato a conseguenze tragiche legate all'autolesionismo. Tali episodi hanno accelerato la necessità per le aziende tecnologiche di limitare l'accesso ai minori, ma il Garante ha chiarito che le misure introdotte dalla società (come il Parental Insight o un LLM dedicato ai minori) sono state giudicate insufficienti per garantire una piena conformità normativa.
Per il settore dell'educazione e della scuola, questo provvedimento rappresenta un segnale forte. Rafforza il divieto di utilizzare strumenti di IA generativa non certificati o non conformi per scopi educativi o di supporto emotivo. Le istituzioni scolastiche e i docenti devono prestare massima attenzione alla tracciabilità dei dati e alla natura dei contenuti generati da questi sistemi, specialmente quando coinvolgono studenti minorenni.
| Aspetto | Dettaglio del Provvedimento |
|---|---|
| Sanzione Pecuniaria | 158.000 euro |
| Violazioni Principali | Mancata DPIA, assenza di rappresentante UE, informativa inadeguata sul training dei modelli |
| Prescrizioni Tecniche | Introduzione del cooling-off period e Privacy by Default per i minori |
| Scadenza Correttiva | 120 giorni dalla ricezione del provvedimento (circa novembre 2026) |
Cosa cambia concretamente per docenti, famiglie e utenti
Per le famiglie, il cambiamento più immediato riguarderà la difficoltà di accesso ai servizi di chat con personaggi virtuali. I minori non potranno più creare profili pubblici senza una verifica d'età robusta e i loro dati saranno protetti da impostazioni di privacy automatiche. Questo riduce il rischio di esposizione involontaria e di interazioni con contenuti non filtrati.
Per il personale scolastico e i dirigenti, il provvedimento chiarisce che l'uso di strumenti di IA generativa non certificati per scopi didattici o di supporto emotivo è estremamente rischioso. È necessario verificare che qualsiasi piattaforma utilizzata in ambito educativo rispetti i criteri di Privacy by Design e disponga di garanzie solide per la protezione dei dati degli studenti, evitando strumenti che non hanno ancora superato i controlli delle autorità competenti.
La società Character Technologies ha ora l'obbligo di comunicare formalmente al Garante tutte le misure tecniche e organizzative adottate per sanare le violazioni entro la scadenza prevista. Fino a quel momento, la piattaforma dovrà operare con le restrizioni imposte, cercando di bilanciare l'offerta di intrattenimento con i requisiti di sicurezza richiesti dal Regolamento UE 2016/679.
In sintesi, il Garante ha tracciato una linea netta: l'innovazione tecnologica non può prescindere dalla tutela dei diritti fondamentali. La vulnerabilità dei minori richiede standard di protezione che vadano oltre la semplice dichiarazione di intenti, imponendo controlli tecnici reali e trasparenti.
Per approfondire i dettagli tecnici del provvedimento, è possibile consultare il documento ufficiale sul sito del portale del Garante per la protezione dei dati personali.
FAQs
Sanzione del Garante Privacy per Character.AI: i rischi dell'intelligenza artificiale generativa per i minori
La società è stata multata di 158.000 euro a causa di gravi carenze nei sistemi di verifica dell'età e nella trasparenza delle informative sui dati personali. L'Autorità ha rilevato inoltre la mancata predisposizione tempestiva di misure di sicurezza fondamentali per proteggere i minori dai rischi derivanti dall'interazione con l'IA generativa.
La piattaforma deve adottare il principio della "Privacy by Default", rendendo i profili dei minorenni automaticamente privati senza necessità di intervento dell'utente. Inoltre, è stato introdotto l'obbligo di un "periodo di raffreddamento" per impedire ai minori di creare account multipli per aggirare i blocchi di accesso.
Si tratta di una misura tecnica che impedisce a un utente bloccato per motivi di età di tentare immediatamente una nuova registrazione. Questa barriera serve a contrastare i tentativi sistematici di aggirare i controlli di sicurezza tramite la creazione di profili ripetuti.
Character Technologies ha 120 giorni dalla ricezione del provvedimento (prevista entro novembre 2026) per comunicare formalmente al Garante tutte le misure tecniche e organizzative adottate. Entro questo termine, la società deve sanare le violazioni relative alla DPIA, alla nomina del rappresentante UE e ai sistemi di verifica dell'età.