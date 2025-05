Nella giornata di ieri, lunedì 19 maggio, il Garante per la protezione dei dati personali (GPDP) ha comunicato di aver sanzionato per 5 milioni di euro la società statunitense che gestisce Replika. Si tratta di un software basato sull’intelligenza artificiale che permette di interagire testualmente e vocalmente con una sorta di amico virtuale sotto forma di chatbot, un software nel mirino dell’Autorità da più di due anni per il sistema di verifica dell’età e perché non rispettava e non rispetta ancora alcune disposizioni previste dal GDPR, il regolamento europeo sulla protezione dei dati.

Verifica dell’età e trattamento dei dati al centro dell’indagine del Garante della privacy

Replika, come dicevamo, è uno dei più famosi AI companion, quel tipo di software che utilizza l’intelligenza artificiale per fare compagnia alle persone simulando vari tipi di conversazioni che si farebbero con amici e/o compagni, una sorta di amico virtuale a cui attribuire il ruolo di partner, mentore, confidente o terapista. Una volta di nicchia, è soprattutto in seguito al successo di ChatGPT che sono diventati via via più popolari: lo scorso gennaio alcune stime parlavano di circa 25 milioni di utenti di Replika, 150 milioni di My AI di Snapchat e 660 milioni di Xiaoice, popolarità che sarebbe destinata ad aumentare, anche grazie alle loro crescenti capacità in senso lato.

Proporzionalmente alla popolarità di questi software, crescono anche le preoccupazioni legate ai possibili rischi cui possono andare incontro le persone che li utilizzano, soprattutto quelle più fragili e giovani che sono più facilmente condizionabili e per questo potenzialmente in pericolo in mancanza di determinate misure di tutela. Per esempio, utilizzava proprio Replika il giovane che nell’autunno del 2023 fu arrestato per aver provato a uccidere la regina Elisabetta II, chatbot che lo avrebbe convinto a provare ad attaccare il castello di Windsor. Alcuni mesi prima emerse che lo stesso Replika iniziò a molestare sessualmente gli utenti, situazione che spinse il Garante della privacy italiano a intervenire bloccandolo in Italia in quanto rischioso per i minori e non aderente ad alcune disposizioni del GDPR.

Più di due anni dopo la sanzione di 5 milioni di euro a Luka Inc., la società che gestisce il chatbot, multa arrivata in seguito alle indagini dell’Autorità, che ha accertato che Replika “non prevedeva alcun meccanismo per la verifica dell’età degli utenti né all’atto della registrazione al servizio, né durante il suo utilizzo, benché la società dichiarasse di escludere i minorenni tra i potenziali utenti. Dagli accertamenti tecnici effettuati è emerso che il sistema di verifica dell’età attualmente implementato dal titolare continua ad essere carente sotto molteplici aspetti”.

Oltre alla verifica dell’età, questione su cui anche l’AGCOM è di recente intervenuta con l’introduzione di un nuovo sistema dedicato ma (per ora) limitato ai contenuti pornografici, il Garante della privacy ha anche avviato un’istruttoria per verificare il corretto trattamento dei dati personali degli utenti di Replika, in particolare riguardo al tipo di dati usati, all’implementazione di misure di anonimizzazione o pseudonimizzazione e alla valutazione dei rischi e alle misure adottate dalla società per la tutela dei dati degli utenti nelle fasi di sviluppo e addestramento del modello di base di tale software.