Con comunicato stampa dell’8/01/2026, il Garante Privacy ha annunciato l’adozione di un provvedimento di avvertimento nei confronti degli utilizzatori di servizi basati sull’AI che consentono di generare contenuti elaborati a partire da immagini o voci di persone reali.
Con il provvedimento in commento, l’Autorità ha ricordato che l’uso di tali strumenti e la diffusione dei contenuti così generati possono determinare, in assenza del consenso degli interessati, possibili fattispecie di reato, oltre a configurare una violazione dei principi in materia di dati personali.
L’istruttoria svolta
L’attività istruttoria avviata dal Garante ha preso le mosse dalla crescente diffusione di servizi basati sull’AI che consentono di generare deepfake, ossia contenuti creati utilizzando immagini o voci di persone reali che, pur essendo artificiali, appaiono estremamente realistici.
Tra questi servizi rientrano piattaforme come Grok, ChatGPT e Clothoff, quest’ultima già colpita da un provvedimento di blocco nell’ottobre 2025.
Proprio il caso Clothoff è emblematico dei rischi legati all’uso di questi sistemi.
Tale piattaforma offre un servizio di AI generativa che consente a chiunque, inclusi i minorenni, di generare immagini di “deep nude”, ossia foto e video falsi che ritraggono persone reali in pose nude o sessualmente esplicite, in assenza di qualsiasi accorgimento che permetta di verificare il consenso della persona ritratta e senza apporre alcuna segnalazione circa il carattere artificiale di foto e video.
Più in generale, l’istruttoria ha rilevato come questi strumenti permettano di attribuire a soggetti reali parole, comportamenti e identità digitali non corrispondenti alla realtà, incidendo così sulla loro autodeterminazione informativa e libertà decisionale. Il Garante ha inoltre sottolineato che voce e immagine costituiscono dati personali – talvolta anche biometrici – e che il loro utilizzo, spesso effettuato senza informare gli interessati, rappresenta una violazione grave dei diritti e delle libertà delle persone coinvolte.
Il Garante ha rilevato altresì che i rischi connessi al trattamento di questa tipologia di dati sono ulteriormente amplificati in considerazione del loro potenziale utilizzo per scopi penalmente rilevanti, come l’uso ingannevole finalizzato alla frode, alla diffamazione o alla sostituzione di persona.
L’Autorità ha infine segnalato di aver già avviato interlocuzioni con l’Autorità irlandese competente per i servizi offerti dalla piattaforma X, riservandosi di adottare le opportune iniziative all’esito degli accertamenti in corso.
L’avvertimento del Garante
Alla luce delle evidenze emerse, il Garante ha adottato un formale avvertimento rivolto agli utenti e agli operatori che utilizzano questi strumenti, chiarendo che l’impiego di servizi di AI per generare contenuti a partire da dati di terzi, in assenza di una base giuridica e del consenso degli interessati, può costituire una violazione del GDPR e può comportare una responsabilità, anche penale, dell’autore del contenuto.
Con lo stesso provvedimento, il Garante si è rivolto ai fornitori di servizi AI, ricordando che i servizi da loro forniti devono essere progettati, sviluppati e resi disponibili in conformità alla normativa privacy, affinché anche gli utenti possano utilizzarli nel rispetto di tale disciplina.
Ilaria Feriti