Ogginotizianews.com

Notizie internazionali, ORM, reputazione digitale e attualità globale

Multa record di 5 milioni di euro a Luka Inc. per violazioni al GDPR: il caso Replika scuote il settore dell’Intelligenza Artificiale in Italia.

Il Garante italiano per la protezione dei dati personali ha inflitto una sanzione di 5 milioni di euro a Luka Inc., sviluppatore del chatbot Replika, per gravi violazioni del GDPR legate a trasparenza, privacy e mancata verifica dell’età. Scopri i dettagli e le implicazioni di questo caso emblematico per il settore IA.

Multa record di 5 milioni di euro a Luka Inc. per violazioni al GDPR: il caso Replika scuote il settore dell’Intelligenza Artificiale in Italia.

Multa da 5 milioni di euro a Luka Inc.: il Garante italiano sanziona la società dietro il chatbot Replika per gravi violazioni del GDPR

Il 3 luglio 2025, il Garante per la protezione dei dati personali ha annunciato una sanzione amministrativa di 5 milioni di euro contro Luka Inc., la società statunitense sviluppatrice del chatbot di intelligenza artificiale Replika.

Questa decisione rappresenta uno dei provvedimenti più severi mai adottati in Italia nei confronti di una piattaforma basata su IA generativa, sottolineando l’urgenza di garantire il rispetto delle normative europee sulla privacy anche nel settore tecnologico più avanzato

Origine e natura delle violazioni

L’indagine del Garante è partita nel 2023, dopo la pubblicazione di numerose segnalazioni e un’analisi preliminare sul servizio Replika, un’applicazione che permette agli utenti di interagire con un “compagno virtuale” tramite testo e voce. Il chatbot, basato su un modello linguistico di grandi dimensioni (LLM), è stato promosso come strumento di supporto emotivo, amico o persino partner romantico, rivolgendosi in particolare a persone vulnerabili o in cerca di sostegno psicologico.

Durante l’inchiesta, sono emerse tre violazioni fondamentali:

  • Assenza di una base giuridica valida per il trattamento dei dati personali: Luka Inc. raccoglieva e processava dati sensibili degli utenti, inclusi stati emotivi e abitudini comportamentali, senza ottenere un consenso esplicito, informato e revocabile, né giustificando il trattamento con altre basi legali previste dal GDPR.
  • Mancanza di trasparenza e informazioni chiare: La privacy policy fornita era inadeguata, disponibile solo in inglese e priva di dettagli fondamentali come le modalità di raccolta, utilizzo, conservazione dei dati, trasferimenti extra-UE e diritti degli utenti. Questo ha impedito agli utenti, compresi i minori, di comprendere pienamente come venivano trattate le loro informazioni personali.
  • Assenza di meccanismi efficaci di verifica dell’età: Nonostante la dichiarazione di esclusione dei minori, Replika non implementava alcun sistema robusto per verificare l’età degli utenti, consentendo così l’accesso anche ai più giovani a contenuti potenzialmente inappropriati e rischiosi.

Implicazioni per la privacy e la protezione dei minori

  • Il caso Replika mette in luce rischi concreti per la privacy e la sicurezza degli utenti. Gli utenti spesso affidano al chatbot informazioni intime, pensieri personali e dettagli sensibili, senza sapere con precisione come questi dati vengano utilizzati o conservati.
  • L’assenza di controlli sull’età ha esposto milioni di minori a interazioni potenzialmente dannose, sia sul piano psicologico sia su quello della tutela dei dati personali.
  • La sanzione del Garante sottolinea inoltre l’importanza di proteggere le categorie vulnerabili, come i minori e le persone in condizioni di fragilità emotiva, richiedendo alle aziende IA di adottare misure tecniche e organizzative adeguate per prevenire abusi e garantire la conformità normativa.

Dettagli della sanzione e misure correttive richieste

Oltre alla multa di 5 milioni di euro, il Garante ha imposto a Luka Inc. una serie di obblighi correttivi:

  • Redazione di una privacy policy completa, chiara e disponibile in italiano, con informazioni dettagliate su finalità, modalità di trattamento, tempi di conservazione e trasferimenti internazionali dei dati.
  • Implementazione di un sistema di verifica dell’età realmente efficace, in grado di impedire l’accesso ai minori e garantire un utilizzo conforme alle normative.
  • Adozione di misure di “privacy by design” e “privacy by default”, secondo i principi del GDPR, per tutelare i diritti degli interessati fin dalla progettazione del servizio.

Il Garante si riserva inoltre di avviare ulteriori indagini sull’utilizzo dei dati personali per l’addestramento del modello di IA sottostante a Replika, con particolare attenzione alla liceità delle basi giuridiche adottate durante tutto il ciclo di vita del sistema.

Un precedente per il settore dell’Intelligenza Artificiale

La vicenda Replika rappresenta un precedente significativo per tutte le aziende che sviluppano e commercializzano sistemi di intelligenza artificiale in Europa.

Dimostra che le autorità di controllo sono pronte a intervenire con decisione contro chi non rispetta i principi fondamentali di trasparenza, liceità e tutela dei dati personali, soprattutto quando sono coinvolti soggetti vulnerabili come i minori.

Per le imprese del settore, il caso evidenzia la necessità di:

  • Garantire la conformità integrale al GDPR e alle normative nazionali.
  • Implementare sistemi di verifica dell’età e protezione dei minori.
  • Fornire informazioni trasparenti e facilmente comprensibili agli utenti.
  • Adottare strategie di privacy by design e by default fin dalla fase di sviluppo.

Il messaggio è chiaro: l’innovazione tecnologica non può prescindere dal rispetto dei diritti fondamentali delle persone e dalla protezione dei dati personali.

, , ,
, , , ,
Avatar di ogginotizianews

Posted by:

ogginotizianews

Scopri di più da Ogginotizianews.com

Abbonati ora per continuare a leggere e avere accesso all'archivio completo.

Continua a leggere