Il Garante per la protezione dei dati personali ha inflitto una sanzione da 158mila euro a Character Technologies Inc., la società statunitense che gestisce Character.AI, uno dei servizi di intelligenza artificiale generativa più popolari al mondo tra i più giovani. Il provvedimento, reso noto all'inizio di luglio 2026, è il punto di arrivo di un'istruttoria avviata d'ufficio dall'Autorità italiana e rappresenta uno dei casi più significativi di applicazione del GDPR ai servizi di IA conversazionale rivolti anche ai minori.

Cos'è Character.AI e perché è finito sotto la lente del Garante

Character.AI è una piattaforma che consente agli utenti — inclusi i minorenni — di creare e conversare con personaggi virtuali generati dall'intelligenza artificiale: dai chatbot ispirati a celebrità e personaggi di fantasia fino ad "amici virtuali" personalizzabili. Il servizio, disponibile in Italia tramite app mobile e piattaforma web, ha conosciuto una crescita rapidissima proprio tra il pubblico più giovane, complice la natura immersiva e conversazionale dell'esperienza.

È stata proprio questa diffusione tra i minori, unita alla scarsità di garanzie adeguate, a far scattare l'indagine dell'Autorità, avviata già nel novembre 2024.

"Il servizio Character.AI presentava carenze nell'informativa, ritardi nella valutazione d'impatto sulla protezione dei dati e criticità significative nelle garanzie a tutela dei minori."

Le violazioni accertate dal Garante

L'istruttoria ha portato alla luce diverse violazioni della disciplina europea sulla protezione dei dati personali. Nello specifico, l'Autorità ha rilevato:

  • carenze nell'informativa fornita agli utenti sul trattamento dei loro dati personali;
  • ritardo nella predisposizione della valutazione d'impatto sulla protezione dei dati (DPIA), obbligatoria per trattamenti ad alto rischio come quelli effettuati da sistemi di IA generativa su larga scala;
  • designazione tardiva del rappresentante nell'Unione Europea, requisito previsto dal GDPR per le società extra-UE che trattano dati di cittadini europei;
  • criticità nelle procedure di verifica dell'età, che non garantivano un'identificazione affidabile degli utenti minorenni;
  • insufficienti garanzie a tutela dei minori nell'esperienza d'uso del servizio.

Il nodo della verifica dell'età

Il tema della verifica dell'età è probabilmente l'elemento più delicato dell'intero provvedimento. I sistemi di IA conversazionale, per loro natura, instaurano con l'utente un rapporto empatico e continuativo: se a interagire è un minore senza controlli efficaci, il rischio di esposizione a contenuti o dinamiche relazionali inappropriate cresce in modo significativo. Il Garante ha quindi imposto misure correttive puntuali, non limitandosi alla sola sanzione economica.

Adolescente che usa un'app di chatbot con intelligenza artificiale su smartphone, tema tutela dei minori online

Le misure correttive imposte a Character Technologies

Oltre alla multa, il provvedimento impone all'azienda una serie di interventi tecnici e organizzativi da attuare entro 120 giorni dalla notifica:

  1. garantire il corretto funzionamento dei sistemi di verifica dell'età, rendendoli effettivamente in grado di intercettare gli utenti minorenni;
  2. assicurare l'efficacia dei meccanismi di "periodo di raffreddamento", che impediscono a un minore già bloccato di registrare un nuovo account aggirando i controlli;
  3. predisporre per impostazione predefinita (privacy by default) i profili degli utenti minorenni in modalità privata, limitando l'esposizione dei loro dati e delle loro interazioni.

Al termine dei 120 giorni, la società dovrà comunicare formalmente al Garante le misure adottate, con la possibilità per l'Autorità di verificarne l'effettiva efficacia.

Un caso non isolato: l'IA generativa nella Relazione annuale del Garante

Il provvedimento su Character.AI si inserisce in un quadro più ampio, delineato dalla Relazione annuale 2025 del Garante Privacy, presentata al Parlamento il 2 luglio 2026. Nel documento, l'Autorità indica l'intelligenza artificiale come uno dei temi centrali per la tutela dei diritti fondamentali, del lavoro e della sovranità digitale del Paese.

Tra i punti chiave della relazione:

  • la diffusione crescente di sistemi di IA generativa, algoritmi decisionali, piattaforme cloud e strumenti di analisi dei dati richiede nuove valutazioni in termini di accountability, trasparenza, cybersicurezza e gestione del rischio;
  • le imprese devono accompagnare l'adozione dell'IA con una governance dei dati sempre più solida, capace di garantire trasparenza e conformità agli standard europei;
  • la protezione dei minori online resta una priorità trasversale, non limitata al solo caso Character.AI.
Simbolo del GDPR e scudo di protezione dati personali sovrapposto a un'interfaccia di chat con intelligenza artificiale generativa

Cosa significa per le aziende che sviluppano o utilizzano chatbot IA

Il caso Character.AI offre indicazioni operative concrete per qualunque azienda che sviluppi o integri sistemi di intelligenza artificiale conversazionale, specialmente se il pubblico potenziale include minori:

  • predisporre tempestivamente la DPIA prima del lancio del servizio, non a posteriori;
  • implementare sistemi di verifica dell'età robusti e verificabili, non solo dichiarativi;
  • nominare un rappresentante UE se la sede legale è extra-europea;
  • adottare impostazioni privacy-by-default per gli utenti più vulnerabili;
  • aggiornare le informative privacy in modo chiaro, specifico e comprensibile anche per un pubblico giovane.

Il messaggio del Garante è chiaro: l'innovazione nell'IA generativa non può prescindere dal rispetto dei principi cardine del GDPR, a maggior ragione quando il servizio si rivolge — anche solo potenzialmente — a un pubblico di minori.


Fonti