Intelligenza artificiale e tutela dei minori: il Garante privacy multa Character.AI per 158mila euro
Il Garante per la protezione dei dati personali ha ufficializzato una sanzione pecuniaria di 158.000 euro nei confronti della società statunitense Character Technologies Inc., gestore della nota piattaforma Character.AI. Il provvedimento, reso pubblico il 9 luglio 2026, colpisce un servizio di intelligenza artificiale generativa che permette agli utenti di creare e interagire con personaggi virtuali tramite chat, sollevando gravi preoccupazioni riguardo alla tutela dei minori e alla sicurezza dei dati personali.
L'Autorità italiana ha rilevato criticità strutturali e sistematiche che rendono la piattaforma particolarmente vulnerabile. Tra le violazioni più gravi figurano i sistemi di verifica dell'età, considerati inadeguati, e l'esposizione dei profili dei minori, che risultavano pubblici per impostazione predefinita. Inoltre, il Garante ha evidenziato modalità di addestramento dei modelli basate sullo scraping di dati web effettuato senza fornire informative chiare o opzioni di opt-out agli interessati.
Questa decisione non rappresenta un episodio isolato, ma si inserisce in un filone di controlli sempre più rigorosi sull'uso dell'IA generativa in Italia. Il Garante ha sottolineato come le barriere difensive iniziali della piattaforma fossero "fragili", specialmente in servizi di intrattenimento accessibili ai più giovani. Il provvedimento richiama alla responsabilità delle aziende tecnologiche nel garantire l'autodeterminazione informativa, un principio cardine del Regolamento (UE) 2016/679 (GDPR), che protegge la libertà decisionale degli individui contro manipolazioni digitali come i deepfake.
Le violazioni normative e le criticità tecniche rilevate dall'Autorità
L'istruttoria condotta dal Garante ha messo in luce una serie di mancanze che vanno oltre la semplice mancanza di filtri tecnici. Uno dei punti più critici riguarda il ritardo superiore a due anni nella redazione della Valutazione d'Impatto sulla Protezione dei Dati (DPIA), documento obbligatorio per trattamenti ad alto rischio. Inoltre, la società ha omesso per lungo tempo di nominare un rappresentante legale per l'Unione Europea, delegando tale funzione alla società VeraSafe Ireland Ltd. solo in una fase tardiva del processo.
Dal punto di vista operativo, i test effettuati dall'Autorità hanno confermato l'inefficacia dei controlli anagrafici. In particolare, è stato possibile bypassare il limite d'età impostato dalla piattaforma utilizzando un profilo dichiarato appartenente a un utente di soli quindicenne. A questo si aggiunge il problema della trasparenza linguistica: l'informativa destinata agli utenti italiani presentava errori di traduzione significativi, come l'uso improprio del termine "lamentela", che ne comprometteva la comprensibilità e la validità legale.
Il contesto normativo di riferimento è duplice e rigoroso. Il provvedimento si fonda sul Regolamento GDPR e sul Codice Privacy italiano (D.lgs. 196/2003 come modificato dal D.lgs. 101/2018). L'Autorità ha ribadito che la voce e le immagini di una persona sono identificatori diretti che rientrano nella definizione di dato personale, poiché permettono di identificare univocamente il soggetto, sia direttamente che indirettamente, attraverso elementi caratteristici della sua identità fisica, psichica o sociale.
Precedenti e rischi legati ai servizi di intrattenimento virtuale
Per comprendere la portata della sanzione a Character.AI, è necessario guardare ai precedenti recenti. Un caso emblematico è quello della società Luka Inc., gestore del chatbot Replika, che è stata sanzionata con una cifra record di 5 milioni di euro. In quel caso, il Garante aveva identificato rischi elevati legati alla simulazione di relazioni affettive o di confidenze tra l'utente e l'IA, definendo tali servizi potenzialmente dannosi per la stabilità psicologica e la privacy degli utenti.
Il rischio principale identificato dal Garante riguarda la capacità dell'IA generativa di manipolare la realtà attraverso la creazione di contenuti multimediali digitali (audio, video o foto) che possono attribuire a terzi idee e pensieri non loro. Tali tecnologie, se non correttamente governate, possono privare le persone della propria autodeterminazione informativa, ovvero il diritto di decidere autonomamente quali informazioni condividere e come queste debbano essere utilizzate nel mondo digitale.
Cosa cambia concretamente per utenti, genitori e piattaforme
A seguito del provvedimento, la piattaforma Character.AI è chiamata a un adeguamento immediato e strutturale. L'azienda ha 120 giorni dalla data del provvedimento per comunicare agli uffici di Roma l'avvenuto recepimento di tutte le direttive. Le modifiche operative includono:
- Per i genitori: Introduzione della funzione Parental Insight, uno strumento dedicato al monitoraggio del tempo di utilizzo e dei personaggi virtuali più frequenti con cui i figli interagiscono.
- Per i minori: I profili saranno impostati come privati di default. Inoltre, verrà attivato un "periodo di raffreddamento" che impedirà nuove iscrizioni immediate in caso di rifiuto dei termini di servizio.
- Per la piattaforma: Obbligo di verifica dell'età a 16 anni tramite sistemi di blocco efficaci, con richiesta di selfie o documento d'identità per i casi sospetti.
- Per la trasparenza: Correzione definitiva delle informative in lingua italiana e cessazione del pre-addestramento non autorizzato tramite scraping di dati web.
| Aspetto | Dettaglio |
|---|---|
| Sanzione Pecuniaria | 158.000 euro |
| Base Normativa | GDPR (UE 2016/679) e Codice Privacy (D.lgs. 196/2003) |
| Violazioni Principali | Bypass limiti età, profili pubblici di default, scraping dati senza opt-out, DPIA tardiva |
| Scadenza Adeguamento | 120 giorni dalla pubblicazione del provvedimento |
| Nuove Funzionalità | Parental Insight, blocco anagrafico a 16 anni, profili privati di default |
Impatto sulla sicurezza digitale e responsabilità dei fornitori
L'azione del Garante invia un segnale forte a tutti i fornitori di servizi di intelligenza artificiale generativa operanti nel mercato europeo. Non è più sufficiente dichiarare la conformità tramite semplici dichiarazioni di intenti; è necessaria una privacy by design che preveda barriere tecniche reali e verificabili. La sanzione a Character.AI dimostra che l'Autorità è pronta a intervenire non solo per la mancata trasparenza, ma soprattutto per la mancanza di misure protettive efficaci verso le categorie più vulnerabili, come i minori.
Per le famiglie, la novità più rilevante è il passaggio da una gestione passiva a una sorveglianza attiva attraverso strumenti come Parental Insight. Questo permette ai genitori di avere una visione chiara sulle interazioni dei figli con gli "amici virtuali", riducendo il rischio di esposizione a contenuti inappropriati o a dinamiche di dipendenza psicologica generate dall'IA. La piattaforma dovrà inoltre garantire che il pre-addestramento dei modelli non avvenga più su dati personali senza il dovuto consenso, eliminando una delle zone d'ombra più critiche della tecnologia attuale.
In sintesi, il provvedimento segna la fine di un'era di "libertà selvaggia" per le piattaforme di IA generativa nel settore dell'intrattenimento. La correzione delle informative e l'implementazione dei meccanismi di blocco anagrafico sono passi necessari per allineare l'innovazione tecnologica ai diritti fondamentali dei cittadini, garantendo che il progresso non avvenga a scapito della privacy dei minori.
FAQs
Intelligenza artificiale e tutela dei minori: il Garante privacy multa Character.AI per 158mila euro
La sanzione di 158.000 euro è stata inflitta a causa di gravi violazioni del GDPR e del Codice Privacy italiano, con particolare riferimento alla scarsa tutela dei minori. L'Autorità ha rilevato sistemi di verifica dell'età facilmente aggirabili, profili dei minori pubblici per impostazione predefinita e l'addestramento dei modelli tramite scraping di dati web senza adeguata informativa.
La piattaforma dovrà implementare sistemi di verifica dell'età efficaci, richiedendo selfie o documenti d'identità in casi sospetti. Inoltre, i profili dei minori saranno privati di default e verrà introdotto un "periodo di raffreddamento" per impedire nuove iscrizioni immediate dopo un rifiuto.
Character.AI ha introdotto lo strumento "Parental Insight", che permette ai genitori di monitorare il tempo di utilizzo della piattaforma e identificare i personaggi con cui il minore interagisce più frequentemente. Queste misure mirano a mitigare i rischi legati ai servizi di intrattenimento virtuale che simulano relazioni affettive.
L'azienda ha 120 giorni dalla data del provvedimento per comunicare agli uffici del Garante l'avvenuto adeguamento a tutte le direttive. Alcuni meccanismi, come la privacy dei profili per default e i blocchi anagrafici, devono essere invece implementati in modo immediato.