🛡️ Executive Summary
- Il Garante per la protezione dei dati personali ha sanzionato Character Technologies Inc. con 158mila euro per violazioni del GDPR.
- L’Autorità ha rilevato criticità nell’informativa privacy, nella DPIA e nei sistemi di verifica dell’età destinati a proteggere gli utenti minorenni.
- La società dovrà adottare misure correttive entro 120 giorni, rafforzando i controlli e la protezione predefinita dei profili dei minori.
Il Garante per la protezione dei dati personali ha concluso un’istruttoria nei confronti di Character Technologies Inc., società che sviluppa il servizio di intelligenza artificiale generativa Character.AI, disponendo una sanzione amministrativa pari a 158mila euro per una serie di violazioni della normativa europea sulla protezione dei dati personali. Il provvedimento, adottato il 9 luglio 2026, riguarda soprattutto le misure destinate a tutelare gli utenti minorenni che utilizzano la piattaforma, oltre a carenze nell’informativa privacy e negli adempimenti previsti dal Regolamento generale sulla protezione dei dati (GDPR). L’Autorità italiana ha evidenziato come servizi basati su chatbot e personaggi virtuali, capaci di instaurare conversazioni prolungate con gli utenti, richiedano particolari garanzie quando risultano accessibili anche ai minori, imponendo ai gestori standard più elevati di trasparenza, sicurezza e protezione dei dati personali.
Cosa leggere
L’istruttoria ha evidenziato carenze nell’informativa e negli adempimenti GDPR
Nel corso dell’indagine il Garante privacy ha rilevato che gli utenti di Character.AI non ricevevano informazioni sufficientemente chiare sulle modalità con cui i dati personali venivano raccolti e trattati. Secondo l’Autorità, l’informativa non descriveva in maniera adeguata il funzionamento dei sistemi di intelligenza artificiale generativa, né spiegava con sufficiente trasparenza come le conversazioni e le interazioni con i personaggi virtuali potessero essere elaborate dal servizio. Oltre alle criticità informative, il provvedimento contesta il ritardo con cui la società ha predisposto la Valutazione d’impatto sulla protezione dei dati (DPIA), documento considerato fondamentale quando un trattamento presenta rischi elevati per i diritti e le libertà delle persone. Analogamente, il Garante ha rilevato ritardi nella designazione del rappresentante della società all’interno dell’Unione europea, altro obbligo previsto dal GDPR per i soggetti stabiliti al di fuori dello Spazio economico europeo che offrono servizi ai cittadini europei.
La tutela dei minori rappresenta il punto più critico del provvedimento
L’aspetto che ha inciso maggiormente sulla decisione riguarda però la protezione degli utenti minorenni. Secondo l’Autorità, i sistemi predisposti da Character.AI per verificare l’età degli utenti non garantivano un livello di efficacia adeguato, consentendo potenzialmente l’accesso al servizio anche a soggetti che avrebbero dovuto essere esclusi. Il Garante ha inoltre evidenziato che i meccanismi destinati a impedire nuovi tentativi di registrazione da parte di utenti già bloccati risultavano insufficienti, poiché mancava un efficace periodo di raffreddamento capace di ostacolare registrazioni ripetute. A ciò si aggiungeva l’assenza di impostazioni di privacy particolarmente restrittive per gli account appartenenti ai minori. Considerata la natura del servizio, che permette conversazioni estese con personaggi virtuali generati dall’intelligenza artificiale, l’Autorità ha ritenuto tali carenze particolarmente rilevanti ai fini della protezione dei dati personali e della sicurezza dei soggetti più vulnerabili.
Le misure correttive imposte a Character Technologies
Oltre al pagamento della sanzione economica, Character Technologies Inc. dovrà adottare una serie di interventi tecnici e organizzativi per adeguarsi alle prescrizioni dell’Autorità. Il provvedimento impone innanzitutto il rafforzamento dei sistemi di verifica dell’età, affinché risultino realmente efficaci nell’identificare gli utenti minorenni e nel limitarne l’accesso quando necessario. La società dovrà inoltre introdurre meccanismi più robusti per impedire registrazioni ripetute da parte di utenti già esclusi, prevedendo un adeguato periodo di blocco prima di consentire nuovi tentativi. Un ulteriore obbligo riguarda la configurazione predefinita dei profili appartenenti ai minori, che dovranno essere impostati automaticamente in modalità privata, riducendo così il rischio di esposizione delle informazioni personali. La società dovrà comunicare al Garante tutte le misure adottate entro 120 giorni dalla notifica del provvedimento, dimostrando il pieno adeguamento alle prescrizioni contenute nella decisione.
L’intelligenza artificiale aumenta le responsabilità dei fornitori di servizi
La decisione dell’Autorità italiana si inserisce in un contesto europeo caratterizzato da una crescente attenzione verso le piattaforme di intelligenza artificiale generativa rivolte al grande pubblico. Servizi come Character.AI, che consentono agli utenti di creare personaggi virtuali e interagire con essi attraverso conversazioni molto realistiche, raccolgono infatti una quantità significativa di dati personali e possono influenzare direttamente il comportamento degli utilizzatori, soprattutto quando questi appartengono a fasce di età più giovani. In tale scenario, il principio di privacy by design e quello di privacy by default assumono un ruolo ancora più importante, imponendo che la protezione dei dati venga incorporata fin dalla progettazione dell’applicazione e che le impostazioni più restrittive siano attive automaticamente per gli utenti maggiormente esposti ai rischi.
Un precedente destinato a influenzare il settore dell’IA generativa
Il provvedimento rappresenta uno dei primi interventi organici in Italia rivolti specificamente a una piattaforma di IA generativa accessibile anche ai minori e conferma la crescente attenzione delle autorità di controllo nei confronti di questi servizi. Il richiamo al precedente pronunciamento del 3 luglio 2026 dimostra inoltre la volontà del Garante di costruire un orientamento stabile sull’applicazione del GDPR ai sistemi basati sull’intelligenza artificiale. Per gli sviluppatori di chatbot, assistenti virtuali e piattaforme conversazionali il messaggio è chiaro: trasparenza nel trattamento dei dati, verifiche efficaci dell’età, valutazioni preventive dei rischi e adeguate misure di protezione non rappresentano elementi opzionali, ma requisiti fondamentali per poter offrire servizi conformi alla normativa europea. Con la diffusione sempre più ampia dell’IA generativa, è probabile che provvedimenti di questo tipo diventino sempre più frequenti, contribuendo a definire nuovi standard di responsabilità per tutto il settore.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.









