Guida alle informazioni e alle caratteristiche dedicate ai minori
Il Garante per la protezione dei dati personali ha inflitto una sanzione di 158.000 euro a Character Technologies Inc., la società statunitense che gestisce Character.AI, piattaforma basata sull'intelligenza artificiale generativa attraverso la quale gli utenti possono creare personaggi virtuali e conversare con chatbot dotati di identità, tono e personalità differenti.Il provvedimento, adottato il 3 luglio 2026 e reso pubblico il 9 luglio, non riguarda soltanto i controlli sull'età degli utenti. L'Autorità ha accertato cinque gruppi di violazioni del Regolamento europeo sulla protezione dei dati, comprendenti carenze nell'informativa, insufficiente trasparenza su alcune attività legate ai modelli linguistici, tardiva valutazione d'impatto e ritardata designazione di un rappresentante nell'Unione europea.La tutela dei minori resta tuttavia uno degli aspetti più rilevanti. Secondo il Garante, per determinati periodi la società non avrebbe adottato misure tecniche e organizzative adeguate per verificare l'età e impedire che utenti inferiori alla soglia prevista per lo Spazio economico europeo accedessero o tentassero ripetutamente di registrarsi.Character Technologies dovrà ora completare una serie di interventi entro 120 giorni dalla notifica del provvedimento. Tra le prescrizioni figurano il corretto funzionamento dell'age gate, l'efficacia del periodo di blocco per chi tenta di registrarsi dichiarando un'età insufficiente e l'impostazione privata, come configurazione predefinita, dei profili appartenenti agli utenti minorenni.
Che cos'è Character.AI
Character.AI è un servizio di intrattenimento conversazionale nel quale gli utenti possono interagire con personaggi virtuali già disponibili oppure crearne di nuovi, definendone caratteristiche, stile comunicativo e ruolo narrativo.I personaggi possono imitare figure immaginarie, archetipi, assistenti, compagni di gioco o interlocutori costruiti intorno a specifici interessi. Le risposte non vengono selezionate da un archivio fisso: sono generate attraverso modelli linguistici di grandi dimensioni, capaci di prevedere e produrre sequenze testuali sulla base dei messaggi inseriti dall'utente e del contesto della conversazione.La prima versione beta del servizio fu lanciata sul web nel settembre 2022, mentre l'applicazione mobile arrivò nel maggio 2023. Nell'aprile 2024 la versione definitiva venne resa disponibile attraverso il dominio principale della piattaforma e proposta anche in lingua italiana.Nel novembre 2024 la società introdusse inoltre una versione del servizio specificamente progettata per gli utenti minorenni ammessi secondo le regole applicabili, con funzionalità e protezioni differenti rispetto all'esperienza destinata agli adulti.
Un servizio nel quale le conversazioni diventano dati personali
Quando un utente conversa con un personaggio virtuale può inserire volontariamente informazioni su interessi, emozioni, relazioni, problemi personali, abitudini e preferenze. Anche quando il chatbot viene utilizzato soltanto per svago, il contenuto delle chat può quindi rivelare aspetti significativi della persona.A questi dati si aggiungono le informazioni necessarie per creare e gestire l'account, quelle ricavate dal dispositivo, gli identificativi tecnici, i dati relativi all'utilizzo del servizio e i segnali impiegati per personalizzare l'esperienza o verificare l'età dichiarata.La natura conversazionale del sistema può indurre l'utente a percepire il chatbot come un interlocutore stabile e confidenziale. Questa sensazione non modifica però la realtà tecnica: i messaggi vengono elaborati all'interno di un servizio digitale gestito da una società privata e devono essere trattati secondo le regole europee sulla protezione dei dati.La questione diventa ancora più delicata quando l'utilizzatore è un minore, perché bambini e adolescenti possono avere una minore consapevolezza delle conseguenze derivanti dalla condivisione di informazioni intime o dalla creazione di un'identità digitale persistente.
L'istruttoria avviata d'ufficio
Il procedimento non è nato da una singola denuncia pubblicamente indicata nel provvedimento. Il Garante ha avviato nel novembre 2024 una istruttoria d'ufficio, dopo aver verificato che Character.AI era accessibile in Italia attraverso il sito e l'applicazione mobile.L'Autorità ha richiesto alla società informazioni sul trattamento dei dati, sulle misure di sicurezza, sulla verifica dell'età, sulle attività di addestramento dei modelli e sull'applicazione delle regole europee agli utenti italiani.Nel corso del procedimento, Character Technologies ha trasmesso documentazione, aggiornato più volte le proprie politiche e partecipato a un'audizione. Il Garante ha riconosciuto la collaborazione della società e gli interventi adottati durante l'istruttoria, ma ha ritenuto che alcune violazioni fossero comunque avvenute e che diverse criticità non fossero state completamente eliminate.
Perché il GDPR si applica a una società statunitense
Character Technologies ha sede negli Stati Uniti e non dispone di uno stabilimento principale nell'Unione europea. Questo elemento non esclude però l'applicazione del Regolamento generale sulla protezione dei dati.Il GDPR si applica anche alle imprese non europee quando offrono beni o servizi a persone che si trovano nell'Unione oppure ne monitorano il comportamento. Character.AI era liberamente accessibile dagli utenti europei, disponeva di documenti dedicati allo Spazio economico europeo e, dall'aprile 2024, veniva offerto esplicitamente anche in italiano.Il Garante ha quindi ritenuto pienamente applicabile la giurisdizione europea e ha esercitato direttamente i propri poteri nei confronti dei trattamenti riguardanti gli utenti presenti in Italia.Poiché la società non aveva uno stabilimento principale europeo dal quale gestire in modo unitario il trattamento, non operava il normale meccanismo dello "sportello unico". Le autorità nazionali interessate possono pertanto intervenire autonomamente nei rispettivi territori.
La multa non riguarda una sola violazione
La sanzione di 158.000 euro non è stata applicata esclusivamente perché alcuni minori avrebbero potuto superare il controllo anagrafico. Il Garante ha ricondotto il provvedimento a cinque distinti profili di non conformità, collegati tra loro dal funzionamento complessivo del servizio.Il primo riguarda le informazioni fornite agli utenti, considerate per alcuni periodi incomplete, poco chiare o non sufficientemente collegate alle diverse attività svolte sui dati.Il secondo concerne la trasparenza sulle precedenti operazioni di pre-addestramento dei modelli linguistici proprietari. Il terzo riguarda le misure predisposte per distinguere adulti e minorenni e applicare le corrette soglie di accesso.Le altre due violazioni consistono nella redazione tardiva della valutazione d'impatto sulla protezione dei dati e nella ritardata nomina di un rappresentante della società nell'Unione europea.
Informativa disponibile inizialmente soltanto in inglese
Uno dei primi problemi rilevati riguarda la lingua della privacy policy. Character.AI era disponibile in italiano dall'8 aprile 2024, ma l'informativa rimase accessibile soltanto in inglese fino al 27 agosto 2025.La società aveva sostenuto che gli utenti medi del servizio fossero abituati a consultare materiali digitali in inglese. Il Garante non ha accolto questa giustificazione, osservando che chi offre un servizio in una determinata lingua deve rendere comprensibili nella stessa lingua anche le informazioni essenziali sul trattamento dei dati.Una traduzione non rappresenta un adempimento puramente formale. Gli utenti devono comprendere quali dati vengono raccolti, perché vengono utilizzati, per quanto tempo vengono conservati e quali diritti possono esercitare.Il requisito assume un'importanza ancora maggiore quando il servizio può essere frequentato da adolescenti, per i quali un testo esclusivamente in lingua straniera e caratterizzato da formule giuridiche complesse può diventare concretamente inaccessibile.
Finalità e basi giuridiche non sufficientemente chiare
Il GDPR impone al titolare di indicare per ciascuna attività la finalità del trattamento e la corrispondente base giuridica. Quest'ultima può essere, a seconda dei casi, il consenso, l'esecuzione di un contratto, un obbligo legale, la tutela di interessi vitali o il legittimo interesse.Secondo il Garante, alcune versioni dell'informativa di Character.AI presentavano associazioni non sufficientemente precise tra categorie di dati, obiettivi perseguiti e condizioni giuridiche utilizzate.In alcuni passaggi uno stesso trattamento sembrava ricondotto contemporaneamente al consenso e al legittimo interesse. Questa sovrapposizione può confondere l'utente, perché i diritti esercitabili cambiano in base al fondamento adottato.Quando un trattamento si basa sul consenso, la persona deve poterlo revocare. Quando si fonda sul legittimo interesse, deve essere possibile opporsi nei casi previsti e comprendere quale bilanciamento sia stato effettuato tra le esigenze della società e i diritti individuali.
Perché una base giuridica incerta danneggia l'utente
La base giuridica non è una formula tecnica priva di conseguenze. Stabilire correttamente il presupposto di un trattamento determina il livello di controllo riconosciuto alla persona.Un'impresa non può scegliere successivamente il fondamento più conveniente né presentare alternative indistinte per la stessa operazione. Deve individuare anticipatamente la base applicabile e spiegarla in maniera comprensibile.Nel caso di un servizio conversazionale, questa chiarezza è fondamentale perché i dati possono essere impiegati per gestire l'account, personalizzare le risposte, proteggere la piattaforma, analizzare l'utilizzo e sviluppare i sistemi tecnologici.L'utente deve poter distinguere le funzioni necessarie alla fornitura del servizio da quelle ulteriori, come la personalizzazione commerciale o il miglioramento dei modelli, che possono richiedere valutazioni e garanzie differenti.
I tempi di conservazione delle chat
Tra le criticità figurava anche l'insufficiente descrizione dei periodi di conservazione dei dati. Non basta affermare genericamente che le informazioni vengono conservate finché necessario o finché previsto dalla legge.Quando non è possibile indicare una durata esatta, il titolare deve almeno spiegare i criteri utilizzati per determinarla. L'utente dovrebbe sapere per quanto tempo possono restare disponibili le chat, i dati tecnici, le informazioni dell'account e gli elementi raccolti per la verifica dell'età.Occorre inoltre chiarire che cosa avviene dopo la cancellazione richiesta dall'utente: se esistano copie tecniche temporanee, tempi necessari per l'eliminazione dai backup oppure procedure di anonimizzazione e aggregazione.Il Garante ha riconosciuto che l'informativa più recente era stata migliorata, ma ha ritenuto ancora insufficienti alcuni dettagli sui criteri di conservazione e sulle conseguenze della cessazione del trattamento.
Il trasferimento dei dati fuori dall'Europa
Una società statunitense che offre servizi in Europa deve spiegare se i dati vengono trasferiti negli Stati Uniti o in altri Paesi non appartenenti all'Unione e quali garanzie giuridiche vengono utilizzate.Secondo l'Autorità, l'informativa non descriveva ancora con sufficiente precisione i Paesi destinatari e i meccanismi applicabili ai trasferimenti internazionali.Gli utenti devono poter conoscere se il trasferimento si basa su una decisione di adeguatezza, su clausole contrattuali standard o su altre garanzie riconosciute dalla normativa europea.La localizzazione dei server non è l'unico elemento da considerare. Un trasferimento può verificarsi anche quando personale, fornitori o società collegate situati all'estero accedono ai dati degli utenti europei.
La trasparenza sull'addestramento dei modelli
Un ulteriore profilo ha riguardato le attività con cui i dati erano stati utilizzati per il pre-addestramento dei modelli proprietari. Il Garante ha ritenuto che agli interessati italiani non fossero state fornite informazioni adeguate su queste operazioni.Il provvedimento non afferma che ogni conversazione italiana venga attualmente utilizzata per addestrare i modelli. La società ha dichiarato la cessazione delle specifiche attività di pre-addestramento esaminate e ha indicato che, alla fine di aprile 2026, gli utenti dello Spazio economico europeo non erano compresi nel perfezionamento dei modelli attraverso le interazioni.La contestazione riguarda soprattutto la mancanza di trasparenza nel periodo precedente. Una persona deve sapere se informazioni che la riguardano vengono impiegate per sviluppare un modello, quale fondamento viene utilizzato e come può esercitare i propri diritti.Il Garante ha ordinato alla società di valutare se esista una finalità diversa ma compatibile che giustifichi la conservazione dei dati precedentemente raccolti per il pre-addestramento. In assenza di tale presupposto, dovrà procedere alla loro integrale cancellazione.
Ciò che il Garante non ha contestato
Il provvedimento ha escluso alcune violazioni inizialmente ipotizzate. In particolare, non è stata confermata la violazione del diritto di opposizione collegata alle modalità richieste da un successivo orientamento europeo, perché quelle indicazioni non potevano essere applicate retroattivamente alle attività svolte prima della loro adozione.Gli utenti e i non utenti potevano inoltre inoltrare richieste attraverso un sistema di assistenza o un indirizzo di posta elettronica, anche se il sistema non offriva necessariamente il meccanismo preventivo e immediato oggi considerato preferibile per alcuni trattamenti di sviluppo dell'intelligenza artificiale.L'Autorità non ha neppure confermato una violazione sostanziale relativa a un collegamento errato per contattare il rappresentante europeo. Il link risultava non funzionante, ma erano disponibili un indirizzo fisico e un numero telefonico, e l'errore venne corretto rapidamente.Queste esclusioni mostrano che il Garante ha distinto tra violazioni effettivamente dimostrate, carenze materiali e aspetti non sanzionabili, anziché accogliere automaticamente ogni contestazione formulata durante l'istruttoria.
Il nodo della verifica dell'età
Il tema più immediatamente collegato alla tutela dei minori riguarda i sistemi usati per stabilire se l'utente possieda l'età richiesta per accedere al servizio. Il semplice inserimento della data di nascita viene normalmente definito age gate dichiarativo.Questo sistema è poco invasivo perché non richiede documenti, fotografie o identificazioni biometriche. È però facilmente aggirabile: un minorenne può indicare una data falsa e presentarsi come adulto.Un meccanismo più avanzato di age assurance utilizza diversi segnali per stimare se l'età dichiarata sia plausibile. Soltanto nei casi dubbi può richiedere una verifica ulteriore, per esempio attraverso una stima basata sul volto o l'esibizione di un documento.Ogni soluzione crea un equilibrio delicato. Controlli troppo deboli espongono i minori a servizi non adeguati; controlli eccessivamente invasivi possono costringere tutti gli utenti a consegnare nuovi dati sensibili o identificativi.
La cronologia dei controlli adottati
Character Technologies ha dichiarato di aver introdotto nell'autunno 2023 un primo sistema basato sulla richiesta della data di nascita e di aver successivamente esteso il controllo agli utenti registrati in precedenza.Nel novembre 2024 venne avviata una versione dedicata ai minorenni, mentre nel corso del 2025 il sistema fu progressivamente rafforzato attraverso nuovi strumenti di stima e verifica.Il Garante ha comunque ritenuto inadeguate le misure applicate agli utenti italiani tra l'8 aprile e il novembre 2024. La contestazione comprende inoltre gli utenti italiani di età inferiore ai sedici anni nel periodo tra l'8 aprile 2024 e l'8 aprile 2025.La valutazione non significa che nessun controllo fosse tecnicamente presente. L'Autorità ha ritenuto che l'insieme delle misure non fosse adeguato al rischio concreto rappresentato da un servizio generativo accessibile anche a utenti vulnerabili.
La soglia dei sedici anni indicata dal provvedimento
Il Garante ha ordinato di garantire il corretto funzionamento dell'age gate alla soglia di sedici anni per gli utenti italiani, coerentemente con quella prevista dal servizio per l'area dello Spazio economico europeo.Questa indicazione non deve essere trasformata nell'affermazione secondo cui qualsiasi servizio digitale in Italia sarebbe sempre vietato a chi non ha sedici anni. Il quadro giuridico varia in base al tipo di trattamento, al fondamento utilizzato e alle condizioni previste dal singolo operatore.Nel caso specifico, la società aveva adottato la soglia dei sedici anni per il servizio nello Spazio economico europeo. Il problema era quindi anche garantire che la regola dichiarata fosse applicata realmente e senza malfunzionamenti agli utenti italiani.Una piattaforma non può presentare una soglia anagrafica nei propri documenti e contemporaneamente utilizzare procedure che consentano di superarla con estrema facilità o che funzionino in modo diverso secondo la localizzazione dell'utente.
Il Garante non impone un unico metodo tecnico
Character Technologies aveva sostenuto che il GDPR non prevede un obbligo generale di verificare l'identità di ogni utilizzatore mediante documenti o sistemi rigorosi e che non esiste ancora uno standard europeo unico di age verification.Il Garante ha condiviso in parte questa considerazione: le norme sulla responsabilità e sulla protezione fin dalla progettazione non impongono automaticamente un metodo tecnico specifico a ogni piattaforma.L'assenza di uno standard, tuttavia, non libera il titolare dall'obbligo di scegliere misure adeguate. Il livello di controllo deve dipendere dalla natura del servizio, dalla quantità e qualità dei dati trattati, dalle possibili conseguenze e dalla presenza di utenti minorenni o vulnerabili.Un forum informativo, una piattaforma di pagamento e un chatbot relazionale possono richiedere livelli di verifica differenti. La responsabilità dell'impresa consiste nel motivare la scelta e dimostrarne l'effettiva efficacia.
Il sistema avanzato introdotto nel 2025
Nel novembre 2025 Character Technologies ha introdotto un sistema più articolato, combinando un proprio modello di previsione dell'età con la verifica offerta da un fornitore esterno.Il modello interno analizza una combinazione di segnali collegati alle interazioni dell'utente. Quando il sistema ritiene che una persona dichiaratasi adulta possa essere minorenne, l'account viene trasferito nell'esperienza dedicata ai più giovani.L'utente può contestare la classificazione e richiedere una verifica aggiuntiva. La procedura prevede inizialmente l'invio di un selfie e, quando l'età non può essere stimata con attendibilità sufficiente, la possibile richiesta di un documento di identità.La società ha dichiarato che i dati utilizzati dal soggetto esterno per questo controllo vengono conservati per sette giorni. Il Garante ha tenuto conto del rafforzamento del sistema come elemento attenuante, senza considerarlo sufficiente a cancellare le precedenti violazioni.
I rischi di un controllo dell'età troppo invasivo
Proteggere i minori non significa raccogliere indiscriminatamente documenti, immagini biometriche o fotografie di ogni utente. Un sistema di verifica anagrafica proporzionato deve ridurre al minimo le informazioni acquisite.Chiedere un documento a milioni di persone per impedire l'accesso a una parte dei minorenni può creare un nuovo archivio estremamente sensibile e aumentare le conseguenze di un'eventuale violazione informatica.Le procedure a più livelli cercano di limitare questo problema: prima viene applicato un controllo meno invasivo e soltanto nei casi dubbi viene richiesta una prova ulteriore.La qualità di un sistema non dipende però soltanto dalla precisione. Devono essere valutati errori, discriminazioni, sicurezza dei dati, tempi di conservazione e possibilità di contestare la decisione.
Il periodo di raffreddamento contro i tentativi ripetuti
Una delle prescrizioni più concrete riguarda il cosiddetto periodo di raffreddamento. Quando un utente dichiara al primo accesso di avere un'età inferiore alla soglia richiesta e viene bloccato, non dovrebbe poter ripetere immediatamente la registrazione inserendo una data diversa.Senza un meccanismo di questo tipo, l'age gate dichiarativo può essere superato in pochi secondi: basta riaprire la procedura, modificare l'anno di nascita e completare l'iscrizione.Il Garante ha ordinato alla società di garantire l'efficacia del sistema destinato a impedire nuovi tentativi da parte di chi è stato inizialmente identificato come utente troppo giovane.La durata esatta del periodo è stata omessa nella versione pubblica del provvedimento, ma il principio è chiaro: il rifiuto iniziale deve produrre una conseguenza tecnica reale e non limitarsi a una schermata facilmente aggirabile.
Profili dei minorenni privati per impostazione predefinita
Character Technologies dovrà inoltre impostare i profili dei minorenni in modalità privata come configurazione predefinita.Il principio applicato è quello della privacy by default: un minorenne non dovrebbe essere tenuto a conoscere e modificare manualmente impostazioni complesse per ottenere il livello di protezione più elevato.La configurazione iniziale deve ridurre la visibilità delle informazioni e delle attività del profilo, lasciando eventuali aperture a una scelta successiva compiuta nel rispetto delle regole e delle garanzie applicabili.Per i giovani utenti, la protezione predefinita è particolarmente importante perché la costruzione di personaggi, interessi e conversazioni può contribuire a creare una traccia digitale personale anche quando l'attività viene percepita come semplice gioco.
Perché i minori ricevono una tutela rafforzata
Il diritto europeo considera bambini e adolescenti soggetti meritevoli di protezione specifica nel trattamento dei dati, perché possono comprendere meno chiaramente rischi, conseguenze e strumenti disponibili per difendersi.Un giovane può condividere informazioni intime senza valutare la durata della conservazione, la possibilità di riutilizzo o la capacità della piattaforma di ricavare interessi e caratteristiche dalle conversazioni.Nei chatbot che simulano rapporti personali può inoltre svilupparsi un coinvolgimento più intenso rispetto a quello creato da una normale pagina web. Il sistema risponde immediatamente, ricorda il contesto e può utilizzare un linguaggio che produce una sensazione di continuità e attenzione.Il provvedimento esaminato riguarda la protezione dei dati e non stabilisce direttamente quali effetti psicologici producano i chatbot. La natura relazionale del servizio contribuisce però a rendere più elevato il rischio associato ai dati dei minorenni.
Una valutazione d'impatto arrivata troppo tardi
La società predispose una prima valutazione d'impatto sulla protezione dei dati il 14 novembre 2024, aggiornandola successivamente nel settembre 2025.Secondo il Garante, il documento avrebbe dovuto essere elaborato prima del lancio del servizio, già nel settembre 2022. L'utilizzo di una tecnologia innovativa, il trattamento su larga scala e il coinvolgimento di utenti vulnerabili rendevano prevedibile un rischio elevato.La valutazione d'impatto non è un'autorizzazione rilasciata dall'Autorità. È un processo interno con cui l'impresa descrive il trattamento, individua i pericoli, valuta probabilità e gravità delle conseguenze e stabilisce quali misure preventive adottare.Redigerla dopo l'avvio significa perdere la funzione principale dello strumento: prevenire i problemi durante la progettazione, prima che milioni di interazioni e informazioni siano già state trattate.
Le lacune della prima valutazione
Nella versione del novembre 2024, la società non aveva incluso una valutazione specifica del rischio collegato all'offerta del servizio ai minorenni. Questo profilo venne inserito nell'aggiornamento del settembre 2025.Entrambe le versioni esaminate risultavano inoltre prive di una valutazione completa sulle precedenti attività di trattamento destinate al pre-addestramento dei modelli proprietari.Una DPIA efficace non può limitarsi a descrivere le funzioni tecniche o a confermare che esistono strumenti di sicurezza. Deve verificare come le diverse operazioni possano incidere su libertà, autonomia, riservatezza e possibilità di esercitare i diritti.Per un chatbot generativo, la valutazione deve comprendere almeno dati delle conversazioni, utenti vulnerabili, personalizzazione, conservazione, fornitori esterni, trasferimenti internazionali e possibili utilizzi per lo sviluppo dei modelli.
La nomina tardiva del rappresentante europeo
Le aziende non stabilite nell'Unione ma soggette al GDPR devono, salvo limitate eccezioni, designare un rappresentante europeo che possa dialogare con utenti e autorità.Character Technologies nominò formalmente VeraSafe Ireland il 31 maggio 2025. Il Garante ha considerato tardiva la designazione, poiché la società offriva già il servizio agli interessati europei e, dall'aprile 2024, direttamente agli utenti italiani.La società aveva sostenuto che il trattamento potesse rientrare nell'eccezione prevista per attività occasionali. L'Autorità ha respinto l'argomento, osservando che un servizio continuativo, disponibile in italiano e collegato a un trattamento su larga scala non può essere definito occasionale.La figura del rappresentante non sostituisce la responsabilità della società statunitense, ma offre un punto di contatto europeo per richieste, reclami e attività di controllo.
Gli adeguamenti richiesti entro 120 giorni
Character Technologies dovrà correggere la propria informativa privacy, chiarendo basi giuridiche, tempi di conservazione, trasferimenti internazionali e attività collegate allo sviluppo dei modelli.Dovrà valutare la legittimità della conservazione dei dati italiani precedentemente utilizzati per il pre-addestramento e cancellarli integralmente quando non esista una finalità diversa e compatibile conforme al GDPR.La società dovrà inoltre assicurare il corretto funzionamento dell'age gate a sedici anni, impedire tentativi ripetuti dopo il blocco e impostare come privati i profili degli utenti minorenni.Entro lo stesso termine dovrà comunicare al Garante le iniziative adottate. La mancata esecuzione degli ordini può comportare ulteriori provvedimenti e nuove sanzioni.
Perché la sanzione è stata fissata a 158.000 euro
Il GDPR richiede che ogni sanzione sia effettiva, proporzionata e dissuasiva. L'importo non viene determinato soltanto osservando il massimo teorico previsto dalla legge, ma considerando gravità, durata, intenzionalità, numero di persone coinvolte e condizioni economiche dell'impresa.Il Garante ha classificato la gravità concreta delle violazioni come media. Ha rilevato che il servizio utilizza una tecnologia innovativa, opera su scala globale, tratta dati nell'ambito dell'attività centrale dell'azienda ed è accessibile a utenti vulnerabili.L'Autorità ha però qualificato le condotte come colpose e non intenzionali. Non è stato cioè accertato un progetto consapevole diretto a violare i diritti degli utenti, ma una mancanza di diligenza nell'adeguamento alle regole europee.L'importo tiene conto anche delle dimensioni e delle condizioni economiche della società, descritta nel provvedimento come una start-up operante in un mercato particolarmente competitivo.
Gli elementi attenuanti riconosciuti alla società
Il Garante ha considerato favorevolmente il progressivo rafforzamento delle misure di verifica dell'età, l'introduzione dell'esperienza dedicata ai minori e il ricorso a un fornitore esterno per i controlli di secondo livello.La società non aveva precedenti violazioni pertinenti e ha collaborato durante l'intera istruttoria, inviando documenti, comunicazioni spontanee e versioni aggiornate delle proprie politiche.Sono state valutate positivamente anche le modifiche apportate all'informativa e la predisposizione di meccanismi per consentire agli utenti europei di opporsi preventivamente ad alcune future attività di sviluppo dei modelli.Questi interventi non hanno eliminato la responsabilità per i periodi precedenti, ma hanno contribuito a contenere la sanzione amministrativa.
Nessun danno concreto provato per alcune violazioni
Il provvedimento non indica un numero di minori italiani che abbiano subito un danno specifico e direttamente documentato. Per alcune delle contestazioni, il Garante ha esplicitamente rilevato l'assenza di una prova di pregiudizio concreto agli utenti italiani.La violazione del GDPR non richiede sempre che si sia già verificato un danno economico, psicologico o materiale. Alcuni obblighi hanno natura preventiva: informativa, valutazione d'impatto e protezione fin dalla progettazione servono proprio a impedire che il rischio si trasformi in un evento lesivo.Una società può quindi essere sanzionata perché non ha predisposto le garanzie richieste, anche se non è possibile individuare una persona che abbia già subito una conseguenza misurabile.Nel caso dei minori, attendere la dimostrazione di un danno individuale prima di intervenire svuoterebbe di significato il principio di prevenzione del rischio.
La decisione non riguarda la moderazione delle risposte
La sanzione non costituisce una valutazione generale sulla qualità, appropriatezza o sicurezza di ogni risposta prodotta dai personaggi virtuali di Character.AI.Il Garante italiano è intervenuto come autorità per la protezione dei dati e ha valutato informativa, basi giuridiche, età, progettazione, addestramento e organizzazione privacy.Questioni come contenuti autolesionistici, consigli medici, linguaggio sessuale, manipolazione emotiva o imitazione di persone reali possono coinvolgere altre norme, autorità e responsabilità. Non sono automaticamente comprese nell'accertamento che ha prodotto la multa di 158.000 euro.Presentare il provvedimento come una sanzione per ciò che i chatbot "dicono" sarebbe quindi impreciso. Il fulcro è il modo in cui la piattaforma raccoglie, utilizza e protegge i dati personali.
Character.AI non è stata vietata in Italia
L'Autorità non ha disposto il blocco generale della piattaforma né ordinato l'interruzione completa del servizio per gli utenti italiani.Character Technologies può continuare a operare, ma deve conformare i trattamenti alle prescrizioni ricevute entro i termini indicati.Il provvedimento può inoltre essere impugnato davanti all'autorità giudiziaria ordinaria. La possibilità di opposizione è prevista dalla normativa e non sospende automaticamente ogni obbligo, salvo differenti decisioni adottate nelle sedi competenti.La distinzione tra multa, ordine di adeguamento e divieto operativo è essenziale: nel caso Character.AI, il Garante ha scelto una combinazione di sanzione economica e misure correttive.
Un precedente importante per l'intelligenza artificiale relazionale
Il caso rappresenta un passaggio significativo per i servizi di intelligenza artificiale relazionale, nei quali il chatbot non viene utilizzato soltanto per ottenere informazioni, ma come personaggio con cui costruire conversazioni continuative.Più il sistema invita l'utente a esprimersi liberamente, più aumenta la probabilità che emergano informazioni personali, confidenziali o riferite a terzi.Le piattaforme non possono considerare i messaggi semplici dati tecnici. Devono valutare il contesto, la vulnerabilità delle persone, il grado di personalizzazione e le aspettative create dall'interfaccia.Il fatto che un servizio venga presentato come intrattenimento non riduce automaticamente il livello di responsabilità privacy. In alcuni casi, proprio la dimensione ludica può abbassare la prudenza degli utenti e aumentare la quantità di informazioni condivise.
Privacy by design prima del lancio
Uno dei messaggi più rilevanti del provvedimento riguarda il momento in cui le garanzie devono essere progettate. La protezione dei dati fin dalla progettazione impone di valutare i rischi prima che un servizio venga messo a disposizione del pubblico.Non è sufficiente intervenire soltanto dopo l'avvio di un'istruttoria, una segnalazione o un problema reputazionale. Age gate, impostazioni private, informative, tempi di cancellazione e meccanismi di opposizione devono essere integrati nell'architettura iniziale.Le imprese possono aggiornare i sistemi mentre la tecnologia evolve, ma l'innovazione non sospende il GDPR. Un settore nuovo e privo di standard perfettamente consolidati richiede una maggiore capacità di analisi preventiva, non una riduzione delle responsabilità.Il caso Character.AI mostra inoltre che l'adeguamento progressivo può essere considerato un'attenuante, ma non cancella le violazioni compiute durante i periodi nei quali le garanzie erano insufficienti.
Un'informativa per minori deve essere realmente comprensibile
Rendere disponibile una privacy policy in italiano è soltanto il primo passaggio. Quando il servizio coinvolge adolescenti, il testo deve utilizzare un linguaggio adatto all'età, evitando formule eccessivamente tecniche o ambigue.Un giovane dovrebbe poter capire quali conversazioni vengono conservate, chi può visualizzarle, come cancellare l'account, quando i dati vengono trasmessi a fornitori esterni e se possono essere utilizzati per migliorare il sistema.Le informazioni essenziali possono essere organizzate su più livelli: una spiegazione iniziale breve e accessibile, accompagnata da sezioni più dettagliate per chi desidera approfondire.Nascondere gli aspetti fondamentali in testi lunghi e complessi non produce una vera trasparenza digitale, anche quando tutte le informazioni risultano formalmente presenti.
Il ruolo dei genitori non sostituisce quello della piattaforma
Genitori e tutori possono aiutare i ragazzi a comprendere il funzionamento dei chatbot, ma non possono controllare ogni conversazione o correggere da soli le debolezze tecniche di un servizio.La responsabilità di predisporre misure adeguate e configurazioni protettive appartiene innanzitutto alla società che decide finalità e modalità del trattamento.Affidare l'intera tutela alla supervisione familiare creerebbe inoltre forti disuguaglianze. Non tutti i genitori possiedono le stesse competenze digitali, il medesimo tempo o la capacità di analizzare informative e impostazioni complesse.La protezione deve quindi essere incorporata nel prodotto, mentre famiglie e scuole possono contribuire attraverso educazione, dialogo e sviluppo della consapevolezza.
Che cosa dovrebbero sapere gli utenti
Chi utilizza un chatbot dovrebbe evitare di inserire senza necessità nomi completi, indirizzi, numeri di telefono, documenti, credenziali, dati sanitari o informazioni intime riferite a sé o ad altre persone.È utile controllare le impostazioni del profilo, verificare se le conversazioni possono essere cancellate e consultare le sezioni dedicate ai diritti degli utenti europei.Quando viene richiesto un selfie o un documento per verificare l'età, occorre controllare chi effettua la procedura, per quanto tempo conserva i dati e quali alternative sono disponibili.Un personaggio virtuale può rispondere in modo empatico e coerente, ma non è una persona legata da un rapporto di segretezza professionale. La conversazione resta parte di un processo informatico governato dalle condizioni e dalle misure predisposte dalla piattaforma.
La tutela dei minori diventa un requisito industriale
La decisione italiana dimostra che i controlli sull'età non possono essere considerati semplici schermate aggiunte per ragioni d'immagine. Devono essere sottoposti a test, verifiche e valutazioni periodiche.Le piattaforme dovranno dimostrare che l'age assurance funziona nella pratica, non soltanto che un campo relativo alla data di nascita compare durante la registrazione.Sarà necessario trovare soluzioni capaci di distinguere le fasce di età senza creare archivi sproporzionati di documenti e immagini. Interoperabilità, minimizzazione e certificazione dei fornitori diventeranno elementi centrali.La protezione dei minori si sta trasformando da argomento accessorio a componente strutturale dello sviluppo dei servizi digitali, insieme a sicurezza informatica, accessibilità e affidabilità.
Il vero peso del provvedimento supera l'importo della multa
I 158.000 euro rappresentano l'aspetto più immediato della decisione, ma le conseguenze operative possono essere più importanti della cifra.Adeguare informative, sistemi di età, profili, conservazione e trattamento dei dati destinati ai modelli richiede interventi tecnici, legali e organizzativi che incidono direttamente sul funzionamento del servizio.La società dovrà dimostrare entro 120 giorni di aver attuato le prescrizioni. Il Garante potrà verificare la conformità e intervenire nuovamente in caso di mancata esecuzione.Per l'intero settore, il messaggio è che un chatbot generativo offerto agli adolescenti deve essere progettato come un servizio ad alto impatto sui diritti e sulle libertà personali, anche quando viene commercializzato principalmente come intrattenimento.
Una protezione efficace deve precedere la fiducia
Character.AI costruisce il proprio funzionamento sulla disponibilità degli utenti a conversare, creare personaggi e affidare al sistema frammenti della propria esperienza. Questa fiducia non può essere richiesta senza offrire informazioni comprensibili e garanzie verificabili.La sanzione italiana non stabilisce che ogni utilizzo della piattaforma sia pericoloso, né dimostra che tutti i minori abbiano subito un danno. Accerta però che, per periodi determinati, la società non ha soddisfatto pienamente alcuni obblighi fondamentali previsti dal GDPR.Gli interventi successivi mostrano che i sistemi possono essere migliorati, ma confermano anche che la protezione non dovrebbe arrivare soltanto dopo il controllo dell'autorità.Per i chatbot destinati a instaurare interazioni continuative, verifica dell'età, riservatezza predefinita e trasparenza non rappresentano funzioni secondarie: sono le condizioni minime per rendere credibile la promessa di un'esperienza digitale sicura.E voi ritenete sufficienti un age gate rafforzato e profili privati per i minorenni, oppure pensate che i chatbot relazionali dovrebbero adottare limiti ancora più severi? Lasciate un commento e condividete la vostra opinione sulla tutela dei giovani utenti.

