Pare che Meta ha costruito un sistema di sorveglianza che parte dalle case degli europei e arriva agli occhi di lavoratori kenioti, a Nairobi. Infatti, secondo un’inchiesta pubblicata il 27 febbraio 2026 da Svenska Dagbladet e Göteborgs-Posten, i dati raccolti dagli occhiali smart Ray-Ban Meta — video, audio, immagini — vengono processati da lavoratori umani assunti da Sama, subappaltatrice di Meta con sede in Kenya.
Si tratta di quei famosi “dati usati per addestrare l’AI”, di cui si è parlato molto. Uno potrebbe pensare che se una macchina vede immagini personali non è poi un dramma; anche considerando il più ingenuo degli approcci, tuttavia, resta il fatto che le immagini vengono esaminate ed etichettate da esseri umani. Solo dopo questo passaggio sono utili per l’addestramento dell’AI.
I lavoratori in questione descrivono di aver visto persone che si spogliano, che usano il bagno, che hanno rapporti sessuali. Persone ignare di essere riprese.
La dichiarazione che Meta ci ha mandato prima della pubblicazione di questo articolo è la stessa già mandata ad Adafruit: "Gli occhiali Ray-Ban Meta consentono di utilizzare l’intelligenza artificiale, a mani libere, per rispondere a domande sul mondo che ti circonda. A meno che gli utenti non scelgano di condividere con Meta o con altri i contenuti media che hanno acquisito, tali contenuti restano sul device utilizzato dall'utente. Quando le persone condividono contenuti con Meta AI, possiamo talvolta avvalerci di collaboratori esterni per esaminare questi dati al fine di migliorare l’esperienza delle persone, come molte altre aziende fanno. Adottiamo misure per filtrare questi dati con l'obiettivo di proteggere la privacy delle persone e contribuire ad impedire che vengano esaminate informazioni identificative"
Un oggetto di grande successo
Gli occhiali Ray-Ban Meta sono sul mercato europeo, Italia compresa, e vengono venduti come un assistente AI indossabile, capace di rispondere a domande, scattare foto, tradurre in tempo reale. Hanno avuto un grande successo e sono molte le persone che li hanno comprati; non tutte, forse, hanno capito bene che cosa hanno comprato.
Prima di tutto è importante capire che si tratta di oggetti connessi, più o meno costantemente, ai sistemi della stessa Meta. Inoltre, l'infrastruttura che li fa funzionare coinvolge il trasferimento di dati verso il Kenya, paese che non può garantire il pieno rispetto del GDPR.
Un fatto che interessa sia i privati cittadini sia le aziende, e in quest’ultimo caso il tema è duplice: da una parte gli occhiali potrebbero diventare parte della dotazione professionale. Dall’altra bisogna vigilare sui dipendenti che li usano in orario di lavoro, perché potrebbero riprendere e trasmettere informazioni riservate.
L'inchiesta: cosa hanno scoperto i giornalisti svedesi
L'indagine di Svenska Dagbladet e Göteborgs-Posten è il risultato di mesi di lavoro sul campo. I giornalisti hanno intervistato oltre trenta dipendenti di Sama a Nairobi — tutti anonimi per timore di perdere il lavoro e, spesso, l'unica fonte di reddito. Sama è un'azienda certificata B Corp, parte della Clinton Global Initiative, specializzata in annotazione di dati per sistemi AI. Presso gli uffici, migliaia di persone disegnano riquadri attorno a oggetti, etichettano pixel, trascrivono audio.
C’è moltissimo lavoro manuale per far funzionare l’intelligenza artificiale, anche se per molti di noi è l’esempio perfetto di automazione.
In ogni caso, queste persone annotano materiale di ogni genere per Meta. E tra i materiali figurano anche video provenienti dagli occhiali Ray-Ban Meta. Le testimonianze raccolte dai giornalisti sono esplicite. Un dipendente ha dichiarato: "Vediamo tutto — dai salotti ai corpi nudi. Meta ha quel tipo di contenuto nei suoi database. Le persone possono registrare se stesse nel modo sbagliato senza neanche sapere cosa stanno registrando. Sono persone reali come me e te".
Un altro ha raccontato di aver visto un video in cui un uomo appoggia gli occhiali sul comodino e lascia la stanza: poco dopo entra la moglie e si cambia. "Non penso che lo sapesse, perché se lo avesse saputo non avrebbe registrato".
I dipendenti riferiscono di aver visto carte di credito inquadrate per sbaglio, scene di sesso riprese con gli occhiali, persone che escono dal bagno senza vestiti, utenti che guardano pornografia mentre indossano il dispositivo. Il materiale è considerato così delicato che in ufficio è vietato portare telefoni o qualsiasi dispositivo in grado di registrare. Una politica che vuole difendere la privacy delle persone e che non manca di ironia.
"Ci sono telecamere ovunque in ufficio, e non puoi portare il tuo telefono o un dispositivo che possa registrare", ha detto un annotatore. "Ecco perché tutto questo è così estremamente sensibile. Ci sono scene di sesso filmate con gli occhiali smart — qualcuno li indossa mentre ha un rapporto sessuale".
Gli annotatori lavorano anche su trascrizioni, verificando che l'assistente AI abbia risposto correttamente ai comandi vocali degli utenti. Il contenuto delle conversazioni trascritte spazia su ogni argomento: "Possono riguardare qualsiasi cosa. Vediamo chat in cui qualcuno parla di crimini o proteste. Non sono solo saluti, possono essere cose molto oscure", ha riferito un dipendente. Un altro ha descritto un testo in cui un uomo commentava il corpo di una donna con osservazioni esplicitamente sessuali.
I tuoi occhiali parlano con Meta
Per verificare le affermazioni dei rivenditori, i giornalisti hanno acquistato un paio di occhiali Ray-Ban Meta da Synsam a Göteborg e hanno analizzato il traffico di rete con l'aiuto di uno sviluppatore. Il risultato è stato netto: quando l'app è attiva, il telefono mantiene contatti frequenti con server Meta (in Svezia e Danimarca, in questo caso).
E se non c’è connessione a Internet? In questo caso gli occhiali sono inutilizzabili per le funzioni AI e chiedono esplicitamente di riattivare la rete. Una richiesta che tutto sommato è ragionevole, perché non parliamo di un prodotto con un LLM all’interno, ma solo di un dispositivo che si collega con un LLM in remoto. Non tutti, forse, hanno chiara la differenza.
Non è possibile interagire con l'AI solo localmente sul telefono. Sarebbe una cosa normale e comprensibile, ma è anche in contrasto con quanto dichiarato in più negozi visitati dai giornalisti durante l'autunno 2025, dove il personale aveva rassicurato i clienti con affermazioni come "tutto rimane nell'app" o "non condividono nulla con Meta".
Dati sensibili protetti e anonimizzati? Sì ma...
L'inchiesta affronta anche il tema dell'anonimizzazione. Meta sostiene di applicare procedure per oscurare i volti nei materiali destinati all'annotazione. Ex dipendenti di Meta negli Stati Uniti — che hanno parlato in forma anonima a causa di accordi di riservatezza e carriere ancora in corso nel settore tech — hanno confermato che i dati sensibili non sono destinati ad addestrare i modelli AI.
Ma hanno anche precisato che può accadere comunque: "Non appena il dispositivo finisce nelle mani degli utenti, loro fanno quello che vogliono". E sulla questione dell'oscuramento: "Gli algoritmi a volte mancano. Soprattutto in condizioni di luce difficile, certi volti e corpi diventano visibili". Gli annotatori keniani hanno confermato ai giornalisti che l'anonimizzazione non funziona sempre come previsto.
Dopo due mesi di richieste di intervista da parte di SvD e GP, Meta ha risposto con una email della portavoce Joyce Omope che non rispondeva alle domande specifiche ma rimandava all'informativa sulla privacy.
La dichiarazione recitava: "Quando l'AI in diretta viene usata, elaboriamo quel materiale secondo i Termini di Servizio e l'Informativa sulla Privacy di Meta AI". Sama non ha risposto ai giornalisti svedesi. Ha invece risposto brevemente ad Adafruit, affermando di operare in strutture ad accesso controllato, di rispettare GDPR e CCPA e di non commentare relazioni specifiche con i clienti. Sul contenuto esplicitamente privato visto dagli annotatori, nessuna spiegazione.
"Non commentiamo relazioni specifiche con clienti o progetti, ma Sama è un fornitore di servizi dati per diverse aziende tecnologiche, con l'obiettivo di aiutarle a migliorare l'accuratezza e l'affidabilità dei loro modelli di intelligenza artificiale — incluse attività di annotazione ed etichettatura dei dati. In tutto questo lavoro, manteniamo i più alti standard di sicurezza dei dati e privacy. Sama è conforme alle normative internazionali, inclusi GDPR e CCPA, e operiamo secondo politiche e procedure sottoposte a revisioni rigorose, progettate per proteggere tutte le informazioni dei clienti, incluse le informazioni di identificazione personale (PII). Questo lavoro viene svolto in strutture sicure con accesso controllato. I dispositivi personali non sono ammessi nelle aree di produzione, e tutti i membri del team sono sottoposti a controlli sui precedenti e ricevono formazione continua sulla protezione dei dati, sulla riservatezza e sulle pratiche di AI responsabile. I nostri team ricevono salari dignitosi e benefit completi, e hanno accesso a risorse complete per il benessere e supporto in loco."
Il confronto con i termini d'uso: copertura formale, lacune sostanziali
La difesa di Meta si potrebbe riassumere in un laconico “è scritto nei Termini di Servizio” per i servizi AI, che stabiliscono esplicitamente che "in alcuni casi Meta esaminerà le tue interazioni con le AI, incluso il contenuto delle conversazioni, e questa revisione può essere automatizzata o manuale (umana)".
La revisione umana dei dati è quindi tecnicamente prevista. L'avviso sulla privacy per i comandi vocali degli AI glasses, in vigore dal 22 luglio 2025 per il mercato italiano, specifica che Meta si avvale di "apprendimento automatico e persone qualificate addette al controllo" per elaborare i dati allo scopo di migliorare i prodotti. Il documento è disponibile sul sito di Meta Store Italia.
Tuttavia, tra quanto scritto nei termini e quanto accade nella pratica, emergono tre problemi distinti.
- Il primo è la disinformazione al punto vendita. I giornalisti hanno visitato dieci negozi in Svezia e in molti casi i commessi hanno dichiarato che i dati restano "localmente nell'app" o che nulla viene condiviso con Meta — affermazioni che i test sul traffico di rete hanno dimostrato essere false. Se l'utente non è informato correttamente al momento dell'acquisto, il consenso formale ai ToS è inficiato alla radice: non si può prestare un consenso consapevole a qualcosa che non si conosce.
- Il secondo problema è il consenso obbligatorio senza opt-out reale. Per far funzionare l'assistente AI, voce, testo, immagini e talvolta video devono essere elaborati e possono essere condivisi. Questa elaborazione avviene automaticamente e non può essere disattivata: l'utente non ha scelta, la partecipazione è obbligatoria. Meta ha aggiornato la propria informativa sulla privacy per i Ray-Ban nel aprile 2025, rimuovendo persino la possibilità di impedire la conservazione delle registrazioni vocali. Le registrazioni audio vengono ora conservate fino a un anno per migliorare i modelli AI. Se l'utente disabilita la memorizzazione, le registrazioni vengono eliminate dopo l'elaborazione; ma l'elaborazione stessa — e quindi il transito verso i server di Meta — rimane obbligatoria e non disattivabile.
- Il terzo problema riguarda la catena di subappalto. I termini di Meta non specificano dove vengono elaborati i dati né chi vi ha accesso. Rimandano al fatto che Meta opera globalmente e condivide dati con partner, terze parti e fornitori di servizi. Ma non identificano esplicitamente paesi terzi, aziende specifiche come Sama, né le condizioni di accesso degli annotatori ai contenuti privati. L'utente che acquista gli occhiali, legge i ToS e clicca "accetto" non ha modo di sapere che un lavoratore a Nairobi potrebbe vedere i video catturati nel suo bagno.
I rischi legali: GDPR, trasferimenti internazionali e base giuridica
Kleanthi Sardeli, avvocata specializzata in protezione dei dati presso NOYB (None of Your Business, l'associazione guidata da Max Schrems che ha già promosso numerose cause contro Meta), ha dichiarato ai giornalisti svedesi che la situazione presenta un problema di trasparenza evidente: gli utenti potrebbero non rendersi conto che la telecamera degli occhiali registra nel momento in cui iniziano a usare l'assistente vocale. "Se questo accade in Europa, mancano sia la trasparenza sia una base giuridica adeguata per il trattamento", ha affermato Sardeli, aggiungendo che il consenso esplicito dovrebbe essere richiesto quando i dati vengono usati per addestrare l'AI.
Il trasferimento di dati verso il Kenya aggrava la posizione di Meta sotto il profilo del GDPR. Non esiste attualmente una decisione di adeguatezza UE per il Kenya: questo significa che qualsiasi trasferimento di dati personali verso quel paese richiede meccanismi alternativi specificamente previsti dal Regolamento, come le clausole contrattuali standard (SCC), con garanzie che la protezione non si indebolisca una volta che i dati escono dall'UE.
Petra Wierup, avvocata dell'Autorità svedese per la protezione della privacy (IMY), ha precisato che per trasferire dati a un subappaltatore in un paese terzo servono accordi robusti e istruzioni dettagliate: "La protezione non deve diventare più debole quando i dati vengono elaborati dai subappaltatori".
Un dirigente europeo di Meta — che ha chiesto l'anonimato — ha dichiarato ai giornalisti che la posizione geografica del server è irrilevante ai fini del GDPR e che la responsabilità legale ricade su Meta Ireland, l'entità europea del gruppo. La tesi è tecnicamente parzialmente corretta: il GDPR regola i trasferimenti internazionali indipendentemente dalla sede fisica dei server. Ma omette la questione centrale: il Kenya non ha una decisione di adeguatezza, e il dialogo tra UE e Kenya avviato nel maggio 2024 non è prossimo a produrre un accordo. Nel frattempo, il trasferimento esiste e avviene.
Vi è poi la questione della base giuridica per il trattamento. Meta invoca il legittimo interesse per l'addestramento dei propri sistemi AI — la stessa base giuridica già contestata dal Garante italiano e da altre autorità europee in relazione all'uso dei dati dei social network per l'addestramento di Meta AI. Come abbiamo avuto modo di vedere recentemente, il Garante italiano ha avviato un'indagine sulla compatibilità tra queste finalità e i principi del GDPR. Il caso degli occhiali aggiunge un elemento ulteriore: non si tratta di post sui social network che l'utente ha pubblicato volontariamente, ma di video catturati nell'ambiente domestico, spesso senza che le persone riprese abbiano prestato alcun consenso.
C'è infine la questione dei terzi non consenzienti. Quando un utente indossa gli occhiali Ray-Ban Meta e attiva l'assistente AI in un ambiente condiviso, le persone presenti nella stanza vengono potenzialmente riprese e i loro dati processati. Questi soggetti non hanno accettato alcun termine di servizio, non hanno prestato alcun consenso, e non hanno modo di sapere che le loro immagini potrebbero finire su uno schermo a Nairobi.
Sardeli di NOYB sottolinea che, una volta che il materiale viene inserito nei modelli, "l'utente perde in pratica il controllo su come viene usato". Il problema vale a maggior ragione per chi non ha mai interagito con Meta in alcun modo.
Avviso agli utenti: cosa succede concretamente e come limitare l'esposizione
Petter Flink, specialista IT e sicurezza dell'IMY, ha osservato che i dati raccolti da Meta tramite gli occhiali sono "più preziosi degli occhiali stessi". Più dettagli vengono estratti dalla vita quotidiana dell'utente, più accuratamente possono essere targetizzate pubblicità e servizi. "Penso che poche persone vorrebbero condividere i dettagli della loro vita quotidiana in quella misura", ha detto Flink. "Ma quando viene presentato in modo divertente e accattivante, diventa più difficile vedere i rischi". L'IMY svedese non ha ancora avviato una revisione specifica degli occhiali Meta al momento della pubblicazione dell'inchiesta.
Per gli utenti che già possiedono gli occhiali Ray-Ban Meta, le opzioni per limitare la propria esposizione sono parziali ma esistono. Il primo passo è verificare le impostazioni nell'app Meta AI: è possibile disattivare la memorizzazione delle registrazioni vocali, il che impedisce la conservazione a lungo termine e l'uso per l'addestramento. Le registrazioni pregresse restano conservate fino a un anno, salvo eliminazione manuale dall'app. Disabilitare la memorizzazione non blocca il transito dei dati verso i server Meta durante l'uso: è solo una misura che limita la conservazione. Le registrazioni involontarie — attivazioni accidentali del wake word — vengono contrassegnate come "attivazioni non corrette" ed eliminate entro 90 giorni, ma solo se i sistemi automatici le riconoscono correttamente come tali.
Il secondo passo riguarda le funzioni della telecamera. La funzione "Meta AI con uso della fotocamera" è attiva per impostazione predefinita quando si usa il comando "Hey Meta". Disabilitare il wake word dalla app riduce significativamente il rischio di attivazioni involontarie, ma elimina anche le funzioni principali del dispositivo. Gli utenti che vogliono usare le funzioni vocali senza telecamera possono verificare se è possibile disabilitare l'uso dell'immagine per le richieste AI, anche se questa opzione non è prominente nell'interfaccia. In ambienti sensibili — uffici, ospedali, contesti con dati riservati — è consigliabile rimuovere gli occhiali prima di attivare qualsiasi funzione AI.
Per le aziende, il rischio è strutturale. In contesti lavorativi dove i dipendenti potrebbero indossare questi occhiali, o dove visitatori e clienti li portano, l'esposizione di informazioni riservate è concreta: conversazioni, documenti visibili sulle scrivanie, schermi di computer, persone non consenzienti. La catena di subappalto verso il Kenya, in assenza di adeguatezza GDPR, configura un trasferimento internazionale potenzialmente non conforme. Le organizzazioni che trattano dati personali ai sensi del GDPR potrebbero valutare di includere i wearable AI di terze parti tra i dispositivi soggetti a policy di utilizzo, analogamente a quanto già fanno per smartphone e laptop personali negli spazi aziendali.
Un modello che si ripete, una regolazione che arranca
Dunque, molti di noi non hanno (o non avevano, si spera) la minima idea di cosa significa veramente usare gli occhiali di Meta. Che poi è il punto fondamentale: se lo sai è decidi di usarli, va tutto bene (salvo il problema dei terzi). Ma è un problema raccogliere un consenso che non è veramente informato.
Il quadro che emerge dall'inchiesta svedese non è nuovo nella sostanza: è la stessa logica già documentata nel 2024 quando si scoprì che Meta, come altre big tech, aveva usato ogni strumento disponibile per raccogliere dati di addestramento, incluso l'impiego di appaltatori africani per aggregare contenuti.
Ciò che cambia con i Ray-Ban è la fisicità della raccolta: non si tratta più di post sui social network o testi su piattaforme web, ma di video e immagini registrati nell'intimità delle abitazioni private, spesso senza che le persone riprese lo sapessero. Il problema del consenso non è solo formale — è strutturale.
Come ha rilevato NOYB, la catena che va dal comando vocale dell'utente al monitor di un annotatore a Nairobi è opaca, non aggirabile e difficilmente riconciliabile con i principi del GDPR in materia di trasparenza e base giuridica. Le clausole nei Termini di Servizio coprono Meta sul piano formale, ma la disinformazione documentata nei negozi — dove commessi affermano che i dati "restano nell'app" — inficia il consenso alla radice: nessun consenso può dirsi veramente libero e informato se chi vende il prodotto non conosce o non comunica correttamente le condizioni di raccolta.
Il problema di fondo è lo stesso che ha caratterizzato la vicenda Cambridge Analytica, quella sui dati di WhatsApp, le contestazioni sull'uso dei post per addestrare Meta AI e così via: Meta ha bisogno dei dati per alimentare la propria versione del capitalismo della sorveglianza.
Raccogliere dati, abbonanti e dettagliti, è il modello di business. Non perché se li rivendono (succede anche quello ma non è ciò che ci interessa oggi) ma perché l’analisi dei dati permette di generare quel famoso surplus comportamentale che poi permette a Big Tech di prevedere i nostri comportamenti e, in un certo senso, il nostro stesso futuro.
Ed è un modello in diretto contrasto con la normativa europea. Le autorità di protezione dei dati, incluso il Garante italiano, hanno dimostrato di saper intervenire in casi analoghi.
La domanda è se lo faranno anche sui wearable AI, dove l'infrastruttura legale di riferimento — GDPR, AI Act — è formalmente applicabile ma dove la velocità di adozione del prodotto supera largamente la capacità di controllo delle autorità. Nel frattempo, su Mombasa Road a Nairobi, gli schermi continuano ad accendersi.
