Il Garante sanziona Character.AI: 158mila euro e obbligo di vera verifica dell’età.

Le lezioni per imprese e PA che usano l’IA generativa

 

Il Garante per la protezione dei dati personali ha sanzionato per 158.000 euro Character Technologies Inc., la società statunitense che gestisce Character.AI, un servizio di intelligenza artificiale generativa che consente di creare personaggi virtuali e conversarci via chat. Un servizio di intrattenimento, ma con una particolarità che pesa: è utilizzato anche da minorenni, e proprio sulla tutela dei più giovani il provvedimento del 3 luglio 2026 (doc. web 10269571) concentra le prescrizioni più significative.

L’istruttoria, avviata d’ufficio dall’Autorità, ha accertato diverse violazioni della disciplina di protezione dei dati. L’informativa agli utenti è risultata carente: chi usava il servizio non riceveva informazioni chiare e complete su cosa accadesse ai propri dati. La valutazione d’impatto sulla protezione dei dati (DPIA), che per un trattamento di questa portata andava predisposta prima di avviare il servizio, è arrivata in ritardo. In ritardo anche la designazione del rappresentante nell’Unione europea, obbligatoria per le società extra-UE che offrono servizi a persone che si trovano in Europa. A tutto questo si aggiungono le criticità rilevate nelle garanzie a tutela dei minori e nei sistemi di verifica dell’età.

 

Violazione contestata Riferimento GDPR Lezione operativa
Informativa carente: informazioni non chiare, intelligibili e complete sui trattamenti Artt. 12, 13 e 14 [da verificare sul provvedimento] L’informativa di un servizio di IA deve spiegare davvero cosa accade ai dati (anche per l’addestramento dei modelli), non limitarsi a formule generiche
Valutazione d’impatto (DPIA) predisposta tardivamente Art. 35 La DPIA va fatta prima della messa in servizio: un trattamento su larga scala con IA generativa e possibili utenti minorenni è un caso tipico di alto rischio
Tardiva designazione del rappresentante nell’UE Art. 27 Il fornitore extra-UE che offre servizi a persone in Europa deve avere un rappresentante designato: verificarlo prima di contrattualizzare
Criticità nelle garanzie per i minori e nei sistemi di verifica dell’età Artt. 5, 8, 24 e 25 [inquadramento da confermare sul provvedimento] Se il servizio è accessibile a minorenni, l’age verification deve funzionare davvero e le impostazioni predefinite devono essere le più protettive
Fonte: Garante privacy, comunicato del 9 luglio 2026 e provvedimento del 3 luglio 2026, doc. web 10269571

 

La società è intervenuta nel corso dell’istruttoria, aggiornando tra l’altro la propria informativa, e il Garante ne ha preso atto. Ma non è bastato a chiudere la partita: considerati i rischi di un servizio di intrattenimento basato su IA generativa accessibile anche ai minorenni, l’Autorità ha prescritto misure ulteriori, con l’obbligo di riferire entro 120 giorni dalla ricezione del provvedimento.

 

Misura prescritta Contenuto Termine
Verifica dell’età Garantire il corretto funzionamento dei sistemi di age verification 120 giorni per riferire al Garante
“Periodo di raffreddamento” Assicurare l’efficacia dei meccanismi che impediscono nuovi tentativi di registrazione da parte dei minori bloccati 120 giorni per riferire al Garante
Profili privati per impostazione predefinita Predisporre di default in modalità privata i profili degli utenti minorenni 120 giorni per riferire al Garante
Fonte: Garante privacy, comunicato del 9 luglio 2026

 

Perché questo provvedimento riguarda anche imprese e Pubbliche Amministrazioni italiane? Perché i principi affermati non valgono solo per le grandi piattaforme. Chiunque offra al pubblico servizi digitali con componenti di IA generativa, o li integri nei propri – un chatbot di assistenza sul sito istituzionale, un assistente virtuale in un’app, uno strumento conversazionale in ambito educativo – è titolare del trattamento e risponde delle stesse regole: informativa effettiva e comprensibile, DPIA prima della messa in servizio e non dopo, verifica che il fornitore extra-UE abbia designato il rappresentante ex art. 27. E quando tra gli utenti possono esserci minorenni, la soglia si alza: servono meccanismi di verifica dell’età che funzionino davvero e impostazioni predefinite protettive, non semplici dichiarazioni.

Cosa fare adesso, in pratica. Il primo passo è censire i servizi di IA generativa già in uso o in corso di adozione nella propria organizzazione, compresi quelli integrati in prodotti di terzi. Su ciascuno vanno verificate l’informativa resa agli utenti e la presenza di una DPIA adeguata e anteriore all’avvio; ai fornitori vanno chieste evidenze documentali, inclusa – per i soggetti extra-UE – la designazione del rappresentante in Europa. Se il servizio è accessibile a minorenni, o non è possibile escluderlo, occorre valutare i sistemi di verifica dell’età e le impostazioni predefinite dei profili. Tutto va tracciato nel registro dei trattamenti e nelle valutazioni del DPO: il provvedimento su Character.AI mostra che il Garante considera questi presidi non formalità, ma condizioni di liceità del servizio.

Un’ultima notazione: il quadro si intreccia con l’AI Act, i cui divieti (art. 5) e obblighi di alfabetizzazione all’IA sono già applicabili dal 2 febbraio 2025. Il rinvio degli obblighi sui sistemi ad alto rischio, approvato in via definitiva dal Consiglio UE il 29 giugno 2026 e in attesa di pubblicazione in Gazzetta ufficiale, non tocca in alcun modo l’applicazione del GDPR: come dimostra questa sanzione, sulla protezione dei dati non c’è nessuna proroga.

 

Enrico Capirone – Presidente iSimply srl, DPO

Fonte: Garante privacy – Comunicato stampa del 9 luglio 2026 (doc. web 10269594) | Provvedimento del 3 luglio 2026 (doc. web 10269571)