Avv. Giuseppe Croari – Dott. Francesco Zizzo
Il Garante per la protezione dei dati personali ha recentemente bloccato in Italia la piattaforma “Clothoff” sfruttando anche le nuove prescrizioni derivanti dal regolamento europeo sull’uso dell’intelligenza artificiale, l’AI Act (trovi maggiori informazioni qui).
Il servizio di Clothoff offre un servizio di AI generativa di c.d. “deep nude” (gratuito per alcune funzionalità e a pagamento per altre). In particolare, il servizio consente all’utente, di caricare una foto raffigurante una o più persone vestite e di ottenere una nuova immagine ritraente la o le medesime persone ma senza indumenti, nonché di ottenere ulteriori alterazioni dell’immagine, in base alle diverse funzionalità del servizio.
È opportuno precisare che Clothoff fa capo alla società “AI/Robotics Venture Strategy 3 Ltd.”, con sede nelle British Virgin Islands, un famoso paradiso fiscale. Il trattamento è fornito anche ai cittadini europei, il Garante ha comunque potuto agire per far valere il Regolamento (UE) 2016/679, avendo il GDPR efficacia extraterritoriale (può essere azionato anche contro soggetti al di fuori della comunità europea ma che offrono servizi in Europa).
Secondo l’autorità, la piattaforma non adotta delle reali e concrete misure per evitare che sul sito possano essere generate immagini di minori, a fronte di un impegno che viene esplicitato dalla società nei suoi Terms of Service o nel pop-up presente all’apertura del sito. L’assenza di un atteggiamento proattivo volto concretamente ad escludere che il servizio reso possa costituire il punto di partenza per attività illecite a danno degli utenti e dei soggetti ritrattati, in particolare se minori di età, risulta così essere in violazione dei principi di correttezza e accountability (art. 5, par. 1 lett. a) e par 2) del Regolamento).
D’altro canto, i minori possono accedere al servizio anche come utenti attivi, non essendoci una reale verifica dell’età dell’utente.
Un ultimo elemento che il garante ha valorizzato molto nel provvedimento è l’inadeguatezza del watermark posto sulle foto generate in quanto blando e facilmente rimovibile, ciò a dimostrazione della mancanza di un reale intento a segnalare che si tratta di un’immagine generata dll’IA. I considerando 133 e 134 dell’AI Act stabiliscono però che i fornitori di sistemi di intelligenza artificiale devono integrare soluzione tecniche che, attraverso strumenti affidabili, marchino gli output dell’IA in modo tale che si comprenda chiaramente che si tratta di contenuti generati o manipolati da un sistema di IA e non da esseri umani.
I provvedimenti del garante
Nell’ambito della sua attività di sorveglianza, ai sensi dell’art. 57, par. 1, lett. a), del Regolamento, il Garante ha avviato una specifica indagine mediante una richiesta di informazioni alla Società con cui si invitava il titolare a fornire riscontro entro 30 giorni, ma che non ha mai ricevuto riscontro.
In ragione dell’elevata gravità delle violazioni e della particolare natura dei dati personali trattati nel caso di specie, il Garante ha deciso di intervenire urgentemente, disponendo con effetto immediato, ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, la misura della limitazione provvisoria del trattamento di dati personali degli interessati italiani. Questo intervento è stato un passo necessario per attenuare il già gigantesco mercato nero della pedopornografia sintetica (sulle dimensioni del fenomeno ne abbiamo parlato qui).
Il nuovo reato di illecita diffusione di contenuti generati o alterati con sistemi di intelligenza artificiale
Con la legge 132/2025 il legislatore ha avuto l’occasione di fare alcuni adeguamenti a livello penalistico anche su questo tema (per il resto ne abbiamo parlato anche qui). Degno di nota è sicuramente l’introduzione del reato di diffusione illecita di deepfake.
“Art 612-quater c.p.
Chiunque cagiona un danno ingiusto ad una persona, cedendo, pubblicando o altrimenti diffondendo, senza il suo consenso, immagini, video o voci falsificati o alterati mediante l'impiego di sistemi di intelligenza artificiale e idonei a indurre in inganno sulla loro genuinità, è punito con la reclusione da uno a cinque anni. Il delitto è punibile a querela della persona offesa. Si procede tuttavia d'ufficio se il fatto è connesso con altro delitto per il quale si deve procedere d'ufficio ovvero se è commesso nei confronti di persona incapace, per età o per infermità, o di una pubblica autorità a causa delle funzioni esercitate”
Questa norma nasce dall’esigenza di tutela della libertà morale dell’individuo, l’autodeterminazione della persona è infatti un bene giuridico che trova fondamento, secondo larga parte della dottrina, nell’art 2 della Cost, anche se in realtà dipende dal contesto in cui è calato (ad es. in ambito medico trova fondamento nell’art 32 Cost.).
Il legislatore, pur adottando una tecnica normativa non convenzionale, ha optato per una struttura che configura un “reato di danno”, richiedendo per la configurazione del delitto la causazione di un danno ingiusto attraverso specifiche condotte. Questo consente di perseguire solo quelle condotte che sono concretamente offensive evitando di anticipare troppo la tutela penale, punendo anche condotte senza alcuna concreta lesione ma solo intenzioni.
Rilevante è anche il criterio della “idoneità ad ingannare” che deve avere il contenuto generato, ciò impone una valutazione oggettiva sulla capacità del materiale manipolato di trarre in errore circa la sua autenticità. È proprio questo il tratto distintivo dei deepfake generati con IA, ma una formulazione così generica consente un’applicazione della norma anche in contesti affini.
Le condotte considerate, dalla cessione alla pubblicazione, sino a ogni forma di diffusione, mirano a coprire l’intero spettro delle modalità di circolazione dei contenuti digitali, dai canali privati alle piattaforme aperte.
Elemento cardine del reato è l’assenza di consenso della persona ritratta o rappresentata, che segna la lesione dell’autodeterminazione individuale. Il fatto che il reato sia procedibile solo a querela di parte (solo con la denuncia da parte della persona offesa dal reato) conferma l’impostazione personalistica della tutela, fatta salva la possibilità di procedere d’ufficio (senza alcuna denuncia) nei casi in cui il reato è connesso con un altro delitto perseguibile d’ufficio o in altri casi di particolare vulnerabilità della persona offesa o di rilievo istituzionale della figura coinvolta. In tal modo, la legge delinea un sistema di protezione flessibile, calibrato.
Se sei un’azienda e necessiti di supporto in tema di intelligenza artificiale rivolgiti ai nostri partner dello Studio Legale FCLEX e chiedi dell’Avvocato Giuseppe Croari esperto di diritto dell’informatica e delle nuove tecnologie.
.jpg)
