Violazioni sulla privacy: il Garante commina una multa salata alla società Replika e apre una nuova inchiesta sui chatbot come viene addestrata l’AI.
Il Garante per la protezione dei dati personali ha inflitto una multa da 5 milioni di euro alla società americana Luka Inc., responsabile dello sviluppo e della gestione di Replika, un chatbot basato sull’intelligenza artificiale generativa. Parallelamente, è stata avviata una nuova istruttoria per approfondire le modalità con cui vengono trattati i dati durante l’intero ciclo di vita del modello di AI sottostante.
Un amico virtuale che solleva interrogativi
Replika è un assistente virtuale che comunica via testo o voce e permette all’utente di creare una figura digitale su misura, da usare come confidente, consulente, partner o guida emotiva. Promosso come strumento per migliorare il benessere psicologico, aiutare nella gestione dell’ansia o sviluppare relazioni affettive simulate, il servizio utilizza un modello linguistico avanzato che si evolve attraverso l’interazione con gli utenti.
Ma dietro l’apparente innocuità dell’app si nascondono una serie di criticità in materia di privacy. Già nel febbraio 2023, il Garante aveva disposto un blocco temporaneo del servizio per l’Italia, rilevando che Luka non aveva fornito basi giuridiche adeguate per il trattamento dei dati personali né una privacy policy conforme agli standard europei.
Criticità nella tutela dei minori
Uno degli aspetti più gravi evidenziati dall’Autorità riguarda la mancanza di sistemi efficaci per impedire l’accesso ai minori. Nonostante Luka affermasse di escludere i soggetti sotto i 18 anni, all’epoca del blocco non esisteva alcun meccanismo concreto per verificarne l’età, né al momento dell’iscrizione né durante l’uso. Secondo gli accertamenti tecnici, le misure implementate successivamente risultano tuttora insufficienti.
Per queste ragioni, oltre alla sanzione economica, il Garante ha ordinato alla società di adeguare definitivamente il trattamento dei dati alle normative europee, imponendo una serie di interventi correttivi.
L’intervento dell’Autorità e le prescrizioni
Il procedimento ha preso avvio d’ufficio, dopo che alcune segnalazioni e articoli di stampa avevano sollevato dubbi sulla gestione del servizio. L’analisi ha confermato che Replika operava in violazione di diversi articoli del Regolamento europeo sulla protezione dei dati, in particolare per quanto riguarda la trasparenza, la sicurezza e la protezione degli utenti più vulnerabili.
Nel giugno 2023, il Garante ha sospeso il blocco del servizio a condizione che Luka adottasse una serie di misure, tra cui:
-
l’adozione di una privacy policy aggiornata e facilmente accessibile per gli utenti italiani;
-
l’introduzione di un sistema per verificare l’età all’ingresso e durante l’utilizzo;
-
la creazione di un meccanismo per bloccare l’accesso in caso di età non conforme;
-
strumenti semplici per consentire agli utenti di esercitare i propri diritti (come la cancellazione o la modifica dei dati);
-
piani per impedire l’interazione dei minori con il servizio e per segnalare contenuti inappropriati.
Queste prescrizioni dovevano essere attuate in tempi precisi: alcune entro luglio 2023, altre entro due settimane dalla riapertura del servizio per il pubblico italiano.
Un nuovo fronte di indagine: l’addestramento dell’AI
Oltre alle problematiche già emerse, l’Autorità ha aperto una nuova indagine autonoma per esaminare le modalità di addestramento dell’intelligenza artificiale alla base di Replika. Il Garante ha richiesto a Luka informazioni dettagliate sul tipo di dati utilizzati, sulle misure di sicurezza adottate durante le fasi di sviluppo, nonché sull’eventuale uso di tecniche per proteggere l’identità degli utenti, come l’anonimizzazione o la pseudonimizzazione.
Particolare attenzione è rivolta alla gestione del cosiddetto Large Language Model (LLM), ovvero il modello linguistico di grandi dimensioni che consente al chatbot di generare risposte personalizzate, simulando interazioni realistiche. Si tratta di un sistema che apprende dai dati forniti dagli utenti, sollevando interrogativi sulla sua sicurezza e sul rispetto delle garanzie previste per la protezione delle informazioni personali.
Un precedente rilevante nel panorama europeo
Il caso Replika rappresenta uno dei primi interventi significativi in Europa su un’applicazione commerciale di intelligenza artificiale generativa rivolta al grande pubblico. La vicenda mostra come i modelli di AI debbano essere sottoposti a rigorose verifiche non solo per la qualità delle risposte che generano, ma anche per l’impatto potenziale sulla privacy, soprattutto quando coinvolgono minori o utenti vulnerabili.
La decisione del Garante italiano conferma la linea rigorosa adottata in ambito europeo nel bilanciare l’innovazione tecnologica con la tutela dei diritti fondamentali, in particolare nel delicato campo dell’intelligenza artificiale. Le prossime mosse della società Luka, e gli esiti dell’istruttoria appena avviata, saranno determinanti per capire se Replika potrà continuare a operare in Italia nel rispetto delle regole.
