Il Garante impone nuove regole sulla verifica dell’età
Il Garante per la protezione dei dati personali è intervenuto nei confronti di Character.AI, una piattaforma di intelligenza artificiale generativa che consente agli utenti di conversare con personaggi virtuali, già esistenti oppure creati direttamente dagli iscritti.
Il provvedimento, adottato il 3 luglio 2026, riguarda soprattutto la protezione dei minori, la trasparenza nel trattamento dei dati personali, l’efficacia dei sistemi di verifica dell’età e l’utilizzo dei dati per l’addestramento dei modelli di intelligenza artificiale.
Alla società che gestisce il servizio è stata applicata una sanzione amministrativa di 158.000 euro. Sono state inoltre imposte diverse misure correttive da adottare entro 120 giorni.
Perché il Garante è intervenuto su Character.AI
L’istruttoria era stata avviata nel novembre 2024 e aveva come obiettivo verificare se la piattaforma rispettasse gli obblighi previsti dal Regolamento europeo sulla protezione dei dati personali.
Character.AI era infatti accessibile anche agli utenti italiani, tramite sito web e applicazione, e offriva contenuti in lingua italiana.
L’attenzione dell’Autorità si è concentrata in particolare su quattro aspetti:
la chiarezza dell’informativa privacy;
la tutela degli utenti minorenni;
la verifica dell’età;
l’utilizzo dei dati per lo sviluppo dei modelli di intelligenza artificiale.
Informativa privacy poco chiara e difficile da comprendere
Secondo il Garante, le informative privacy adottate dalla società non permettevano agli utenti di comprendere in modo sufficientemente chiaro come venissero utilizzati i loro dati personali.
Le criticità riguardavano soprattutto:
le finalità del trattamento;
le basi giuridiche utilizzate;
i tempi di conservazione dei dati;
i trasferimenti di dati al di fuori dell’Unione europea;
il rapporto tra categorie di dati raccolti e finalità perseguite.
La prima versione dell’informativa era inoltre disponibile soltanto in lingua inglese, nonostante il servizio fosse rivolto anche al pubblico italiano.
La successiva versione in italiano presentava, secondo l’Autorità, traduzioni imprecise e formulazioni ambigue.
Per una piattaforma basata sull’intelligenza artificiale, la trasparenza è un requisito essenziale. L’utente deve poter capire quali informazioni vengono raccolte, per quale motivo e per quanto tempo saranno conservate.
Dati online utilizzati per addestrare l’intelligenza artificiale
Un’altra questione rilevante riguarda i dati utilizzati per il pre-addestramento dei modelli linguistici proprietari.
Il Garante ha rilevato che gli utenti italiani non sarebbero stati informati in maniera adeguata della possibilità che dati reperiti online potessero essere utilizzati per sviluppare i sistemi di intelligenza artificiale.
La questione non riguarda soltanto gli utenti registrati alla piattaforma.
Potenzialmente, infatti, possono essere coinvolte anche persone che non hanno mai utilizzato Character.AI, ma i cui dati personali erano pubblicamente disponibili online.
Questo tema è particolarmente importante perché l’accessibilità pubblica di un dato non significa automaticamente che quel dato possa essere utilizzato liberamente per qualsiasi finalità.
Anche nello sviluppo dei modelli di intelligenza artificiale devono quindi essere rispettati i principi di liceità, correttezza, trasparenza e minimizzazione previsti dal GDPR.
Il sistema di verifica dell’età era facilmente aggirabile
Il punto centrale del provvedimento riguarda la tutela dei minori.
Character.AI utilizzava un sistema di verifica dell’età basato sull’inserimento della data di nascita da parte dell’utente.
Durante le verifiche tecniche, però, il Garante è riuscito a creare un account dichiarando un’età di 15 anni, nonostante per gli utenti europei fosse previsto un limite minimo di 16 anni.
Questo ha dimostrato che il sistema adottato non era sufficientemente efficace.
Il problema non riguarda soltanto Character.AI. Molte piattaforme digitali utilizzano ancora sistemi di verifica basati sulla semplice autodichiarazione dell’età, facilmente aggirabili da un minore.
Il Garante ha chiarito che il GDPR non impone un unico metodo tecnico di verifica. Le piattaforme devono però adottare soluzioni realmente adeguate rispetto al rischio e alla tipologia di servizio offerto.
I profili dei minori erano pubblici per impostazione predefinita
Nel corso delle verifiche, l’Autorità ha inoltre accertato che il profilo creato come utente minorenne risultava pubblico fin dal momento della registrazione.
Questa impostazione è stata ritenuta incompatibile con i principi di protezione dei dati fin dalla progettazione e per impostazione predefinita, conosciuti come privacy by design e privacy by default.
Quando il servizio è utilizzato anche da minorenni, le impostazioni iniziali dovrebbero garantire il livello più elevato possibile di riservatezza.
In altre parole, il profilo di un minore dovrebbe essere privato per impostazione predefinita. Un’eventuale maggiore visibilità dovrebbe essere il risultato di una scelta consapevole e adeguatamente informata.
La valutazione d’impatto è stata predisposta in ritardo
Il Garante ha contestato anche la tardiva predisposizione della Valutazione d’impatto sulla protezione dei dati, comunemente indicata come DPIA.
La DPIA serve a individuare preventivamente i rischi derivanti da trattamenti particolarmente delicati o innovativi e a definire le misure necessarie per ridurli.
Secondo l’Autorità, Character.AI avrebbe dovuto effettuare questa valutazione prima di rendere operativo il servizio, considerando:
l’utilizzo di tecnologie innovative;
il trattamento di dati su larga scala;
il possibile coinvolgimento di utenti minorenni;
l’uso di dati per addestrare modelli di intelligenza artificiale.
La prima DPIA risulta invece predisposta soltanto nel novembre 2024.
Inoltre, nella versione iniziale, non sarebbero stati valutati in maniera adeguata né i rischi per i minori né quelli relativi all’utilizzo dei dati per il pre-addestramento dei modelli.
Nomina tardiva del rappresentante nell’Unione europea
Il provvedimento riguarda anche la nomina del rappresentante della società nell’Unione europea.
Le imprese stabilite al di fuori dell’Unione che offrono servizi a persone presenti nel territorio europeo possono essere obbligate a nominare un proprio rappresentante nell’UE.
Nel caso di Character.AI, la nomina sarebbe avvenuta soltanto il 31 maggio 2025, nonostante il servizio fosse già rivolto agli utenti europei e disponibile in Italia dall’aprile 2024.
La sanzione e gli obblighi imposti a Character.AI
Il Garante ha applicato una sanzione amministrativa di 158.000 euro e ha ordinato alla società di adeguarsi entro 120 giorni.
Character.AI dovrà:
correggere e rendere più trasparente l’informativa privacy;
indicare con maggiore precisione i tempi di conservazione dei dati;
chiarire le modalità di trasferimento dei dati verso Paesi extra UE;
verificare la liceità dei dati utilizzati per l’addestramento dei modelli;
cancellare i dati eventualmente trattati senza una valida finalità o base giuridica;
migliorare il sistema di verifica dell’età;
impedire nuovi tentativi di registrazione da parte di minori già bloccati;
impostare come privati, per default, i profili degli utenti minorenni.
La società dovrà inoltre comunicare al Garante le iniziative adottate entro il termine stabilito.
Cosa insegna il caso Character.AI
Il provvedimento rappresenta un segnale importante per tutte le piattaforme che utilizzano sistemi di intelligenza artificiale e si rivolgono anche a utenti minorenni.
La tutela dei minori non può essere affidata a semplici dichiarazioni formali o a sistemi facilmente eludibili.
Le piattaforme devono dimostrare di aver valutato concretamente i rischi e di aver adottato misure adeguate fin dalla fase di progettazione del servizio.
In particolare, le organizzazioni che sviluppano o utilizzano sistemi di intelligenza artificiale dovrebbero verificare:
se il servizio può essere utilizzato da minori;
se il sistema di verifica dell’età è realmente efficace;
se le impostazioni iniziali garantiscono la massima riservatezza;
se l’informativa privacy è comprensibile anche per un pubblico giovane;
se è necessaria una valutazione d’impatto;
se i dati utilizzati per addestrare l’IA sono stati raccolti e trattati lecitamente.
Intelligenza artificiale e minori: la protezione deve iniziare dalla progettazione
Il caso Character.AI conferma che le piattaforme di intelligenza artificiale non possono limitarsi a introdurre avvertenze generiche o semplici barriere anagrafiche.
Quando vengono coinvolti utenti minorenni, occorre adottare un livello di protezione più elevato, coerente con la loro maggiore vulnerabilità.
Privacy by design, privacy by default, trasparenza, verifica dell’età e valutazione preventiva dei rischi non sono semplici adempimenti formali.
Sono elementi fondamentali per costruire servizi digitali affidabili, sicuri e rispettosi dei diritti delle persone.
Domande frequenti
Perché Character.AI è stata sanzionata?
La società è stata sanzionata per diverse criticità, tra cui informative privacy poco chiare, verifica dell’età inadeguata, tutela insufficiente dei minori e ritardi nella predisposizione della DPIA.
A quanto ammonta la sanzione?
Il Garante ha applicato una sanzione amministrativa di 158.000 euro.
Character.AI può essere utilizzata dai minori?
Il servizio prevede limiti di età, ma il Garante ha ritenuto inadeguato il sistema utilizzato per verificarli. La società dovrà introdurre misure più efficaci.
I profili dei minori devono essere privati?
Secondo il principio di privacy by default, i profili dei minorenni devono essere configurati con il livello più elevato di riservatezza fin dall’iscrizione.
Perché è importante la DPIA?
La DPIA consente di valutare in anticipo i rischi per i diritti e le libertà degli interessati e di individuare le misure necessarie per ridurli, soprattutto quando vengono utilizzate tecnologie innovative o trattati dati di minori.