NIS2: aggiornamento annuale dati prorogato al 31 luglio 2025 per i soggetti NIS
Maggio 29, 2025NIS2: cosa rischia un azienda non conforme? Sanzioni responsabilità e impatti commerciali
Giugno 26, 2025
𝗜𝗹 𝗹𝗮𝘁𝗼 𝗼𝘀𝗰𝘂𝗿𝗼 𝗱𝗲𝗹𝗹’𝗔𝗜: 𝟱 𝗺𝗶𝗹𝗶𝗼𝗻𝗶 𝗱𝗶 𝗲𝘂𝗿𝗼 𝗱𝗶 𝗺𝘂𝗹𝘁𝗮 𝗽𝗲𝗿 𝗥𝗲𝗽𝗹𝗶𝗸𝗮
Il 13 marzo 2024 il Garante per la protezione dei dati personali ha sanzionato la società statunitense Luka Inc., sviluppatrice del chatbot 𝗥𝗲𝗽𝗹𝗶𝗸𝗮, con una multa da 5 milioni di euro per gravi violazioni del Regolamento UE 2016/679 (GDPR). In parallelo è stata avviata un’istruttoria sul ciclo di vita del sistema di intelligenza artificiale alla base del servizio. Sono stati analizzati aspetti come la sua progettazione, formazione e utilizzo. La vicenda 𝗥𝗲𝗽𝗹𝗶𝗸𝗮 evidenzia le preoccupazioni sulla privacy. Tuttavia, 𝗥𝗲𝗽𝗹𝗶𝗸𝗮 resta un caso emblematico per il dibattito sull’uso etico dell’AI. Infine, è fondamentale monitorare l’evoluzione delle norme che riguardano 𝗥𝗲𝗽𝗹𝗶𝗸𝗮 e servizi simili.
Replika, lanciato nel 2017 e basato su modelli generativi di linguaggio (LLM), consente agli utenti di creare un “compagno virtuale” con cui dialogare in modo personalizzato e continuativo. Promosso come strumento per il benessere emotivo e la gestione dell’ansia, il servizio ha attirato milioni di persone in cerca di ascolto e supporto. Tuttavia, secondo l’Autorità italiana, l’applicazione presenta numerose criticità rispetto alla normativa europea sulla privacy.
Il Garante ha rilevato, tra le principali violazioni, la mancata indicazione specifica delle basi giuridiche per ciascuna finalità del trattamento, come richiesto dall’art. 6 GDPR. Luka si è limitata a riferimenti generici, come il “legittimo interesse”. Non è stata documentata l’esecuzione del relativo bilanciamento. Questa prassi contrasta con il principio di accountability e granularità del consenso.
Gravi anche le mancanze sul fronte della trasparenza: la privacy policy era redatta esclusivamente in inglese, non riportava chiaramente i tempi di conservazione dei dati né le modalità di eventuale trasferimento extra-UE. Inoltre, non specificava che il servizio fosse destinato esclusivamente agli adulti. Questo lasciava ambiguità sul target di riferimento. Alcune formulazioni lasciavano persino intendere l’esistenza di processi decisionali automatizzati. In realtà, però, tali processi non erano presenti.
Particolarmente allarmanti le carenze nella verifica dell’età degli utenti. Fino al 2 febbraio 2023, chiunque poteva registrarsi fornendo semplicemente un nome e una email. Questo consentiva l’accesso a contenuti anche a sfondo sessuale. Solo dopo un provvedimento di blocco urgente del Garante, adottato lo stesso mese, Luka ha introdotto misure minime come un age gate e un filtro linguistico. Tuttavia, queste sono state giudicate facilmente aggirabili.
Il caso Replika mette in evidenza la necessità di una regolazione proattiva dell’intelligenza artificiale, che includa la protezione dei minori, l’adozione di misure di sicurezza fin dalla progettazione (privacy by design) e valutazioni di impatto specifiche per sistemi ad alto rischio.
Infine, il provvedimento del Garante conferma la portata extraterritoriale del GDPR e la volontà dell’Unione Europea di esercitare una sovranità digitale effettiva, anche nei confronti di operatori con sede fuori dal continente. Una lezione per tutte le aziende che sviluppano strumenti basati su IA: la conformità non è un optional, ma un requisito essenziale per operare in Europa.