Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

intelligenza artificiale

Il chatbot ci può denunciare alle autorità: perché è gravissimo

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

Mentre il Consiglio dell’Unione Europea continua a dibattere la controversa proposta Chat Control – che vorrebbe sottoporre a scansione automatica tutti i nostri messaggi privati – le multinazionali dell’intelligenza artificiale hanno già dispiegato sistemi di monitoraggio che superano le capacità di sorveglianza tradizionali.Un problema grave per i diritti e gli equilibri geopolitici. Come affrontarlo?

Pubblicato il 26 set 2025
Agostino Ghiglia

Componente del Garante per la protezione dei dati personali

chatbot denuncia autorità

Siamo entrati nell’era del controllo digitale automatizzato. Quella in cui l’Intelligenza Artificiale monitora reati – potenziali – prima dello Stato.

Già: mentre il Consiglio dell’Unione Europea continua a dibattere la controversa proposta Chat Control – che vorrebbe sottoporre a scansione automatica tutti i nostri messaggi privati – le multinazionali dell’intelligenza artificiale hanno già dispiegato sistemi di monitoraggio che superano le capacità di sorveglianza tradizionali.

E lo hanno fatto aggirando completamente il processo di approvazione democratica europeo.

Il chatbot ci denuncia alle autorità

Chatgpt

Nell’agosto 2025, OpenAI ha confermato pubblicamente che Chatgpt “quando rileva utenti che pianificano di danneggiare altri, instrada le loro conversazioni verso pipeline specializzate dove vengono revisionate da un piccolo team addestrato sulle nostre policy di utilizzo e autorizzato ad agire, incluso bannare account.”

Il meccanismo operativo è perfettamente strutturato: un sistema algoritmico rileva contenuti potenzialmente pericolosi, che vengono poi fatti scalare su revisori umani che possono determinare se coinvolgere le autorità di polizia quando identificano “una minaccia imminente di grave danno fisico ad altri”. Tutto questo invocando interpretazioni estensive delle normative sulla protezione dei dati per giustificare il trattamento di informazioni particolarmente sensibili – i nostri pensieri, le nostre preoccupazioni, i nostri dubbi privati.

La recente ammissione di OpenAI rappresenta un caso paradigmatico di come si possa implementare il controllo sistematico delle comunicazioni private aggirando il dibattito democratico sui diritti fondamentali.

Ma OpenAI non opera in isolamento.

Anche Claude, Gemini e Copilot ci denunciano

Claude di Anthropic mantiene nelle sue policy la collaborazione con le autorità “in caso di pericolo imminente” – una formulazione che lascia ampi margini interpretativi.

Microsoft Copilot estende il monitoraggio oltre i testi al codice informatico, creando potenziali implicazioni per sviluppatori.

Google Gemini, integrato nell’ecosistema di Mountain View, può accedere a dati di profilazione particolarmente estesi attraverso i servizi interconnessi dell’azienda.

Il digital services act richiede il monitoraggio

La situazione si complica ulteriormente considerando che molte di queste pratiche trovano oggi giustificazione nel Digital Services Act (UE) 2022/2065, quella normativa che avrebbe dovuto regolamentare l’ambiente digitale ma che ha finito per legittimare forme di controllo preventivo di portata considerevole.

Le disposizioni del DSA richiedono ai “Very Large Online Platforms” di rimuovere contenuti illegali con tempestività e impongono la collaborazione con le autorità giudiziarie. Tuttavia, la determinazione di cosa costituisca “contenuto illegale” in una conversazione privata tra utente e sistema di intelligenza artificiale presenta significative zone grigie. Inoltre, rimane aperta la questione del controllo sulla correttezza di questi filtri automatici e del rischio che trasformino espressioni di disagio, comunicazioni informali o ricerche di informazioni in potenziali segnalazioni alle autorità competenti.

L’AI Act: le lacune importanti

Il Regolamento (UE) 2024/1689 AI ACt sull’intelligenza artificiale, entrato in vigore il 1° agosto 2024, classifica i sistemi di intelligenza artificiale in base al rischio, ma presenta lacune importanti riguardo al rischio rappresentato da sistemi di IA che operano come sistemi di segnalazione automatica.

Le disposizioni sulla trasparenza e supervisione umana per i sistemi ad alto rischio non affrontano adeguatamente la questione dei sistemi che operano nell’area grigia del monitoraggio delle comunicazioni private, dove la “supervisione umana” spesso si limita alla validazione di alert algoritmici.

Il risultato è un framework normativo che regola l’IA nel riconoscimento biometrico ma non fornisce linee guida chiare per l’IA che valuta se le comunicazioni private richiedano segnalazioni alle autorità.

Anche il Gpdr tutela poco sul tema

Il Regolamento Generale sulla Protezione dei Dati (Gdpr) rappresenta il principale strumento di tutela, tuttavia i suoi articoli 6 e 9 sull’interesse vitale vengono interpretati in modo che merita un approfondimento critico. Secondo il Recitale 46 del GDPR, gli interessi vitali sono definiti come “essenziali per la vita” del soggetto interessato, e ciò comporta che il trattamento dei dati su questa base “richiede che esista una situazione di pericolo concreto e imminente per il soggetto interessato o per una terza persona fisica”.

Il nodo dell’interesse legittimo

La giurisprudenza europea ha stabilito criteri restrittivi per l’applicazione di questa base giuridica. Le recenti Linee Guida 1/2024 del Comitato Europeo per la Protezione dei Dati (EDPB) enfatizzano che l’interesse legittimo deve essere “legale, precisamente articolato e attuale” e non può basarsi su vaghi obiettivi commerciali come “migliorare i servizi” o “aumentare l’efficienza”.

La questione fondamentale riguarda i criteri di determinazione di questo interesse vitale: come si stabilisce quando sussiste una “minaccia imminente di grave danno fisico”? Attraverso algoritmi che rilevano specifiche parole chiave? Sistemi che interpretano metafore o espressioni colloquiali come minacce concrete? Una recente decisione dell’Autorità Svedese per la Protezione della Privacy (IMY) del 28 aprile 2025 ha ribadito che “la responsabilità di garantire la conformità all’Articolo 6(1)(f) rimane del titolare del trattamento e non può essere delegata” e che l’assenza di una valutazione documentata dell’interesse legittimo comporta che “il trattamento possa essere considerato illecito”.

Le ricadute geopolitiche

Un aspetto cruciale spesso trascurato è la dimensione geopolitica di questi sistemi. Le multinazionali tecnologiche che implementano questi sistemi di monitoraggio operano principalmente secondo normative e standard statunitensi, dove la tradizione giuridica sulla privacy è significativamente diversa da quella europea.

Questo crea una situazione paradossale in cui sistemi progettati secondo standard americani diventano de facto strumenti di controllo delle comunicazioni europee, bypassando non solo le normative specifiche ma anche i principi costituzionali e i valori democratici dell’Unione Europea.

La questione assume particolare rilevanza considerando che questi sistemi possono influenzare discorsi politici, ricerca accademica, e libertà di espressione in modi che vanno oltre l’intenzione originaria di proteggere gli utenti da contenuti dannosi.

Il caso Chat Control

La situazione del Chat Control è particolarmente rilevante in questo contesto. Il 12 settembre 2025, gli Stati membri dell’UE avrebbero dovuto finalizzare le loro posizioni sulla proposta di regolamento che imporrebbe la scansione lato client del materiale di abuso sessuale su minori (CSAM) nelle app di messaggistica. Diciannove Stati membri dell’UE attualmente supportano una proposta per scansionare tutti i messaggi privati sulle app crittografate prima della crittografia.

La Germania, sotto un nuovo governo dal maggio 2025, non si oppone più chiaramente al Chat Control, rappresentando un segnale d’allarme per tutti i sostenitori della privacy. Questa evoluzione politica dimostra quanto il consenso europeo su questi temi sia fragile e influenzabile da cambiamenti di governo e pressioni politiche.

La proposta attuale va oltre le versioni precedenti: prevede che le forze dell’ordine in tutta Europa possano costringere i fornitori di comunicazioni online a scansionare contenuti “sconosciuti” utilizzando IA inaffidabile, non solo materiale illegale noto. Questo rappresenta un’estensione significativa del controllo preventivo delle comunicazioni private.

La gigantesca violazione dei diritti fondamentali

Le implicazioni per la privacy e la riservatezza sono considerevoli. Non si tratta solo della potenziale violazione dell’articolo 8 della Carta dei Diritti Fondamentali UE sulla protezione dei dati personali, ma della creazione di un ambiente che può limitare il diritto alla libertà di espressione (articolo 11 della stessa Carta).

La consapevolezza che “ogni interazione viene analizzata, archiviata e potenzialmente segnalata alla polizia” può influenzare significativamente il modo in cui le persone si esprimono. Questo fenomeno, noto come “chilling effect”, può portare a una riduzione delle richieste di informazioni su argomenti sensibili, all’autocensura nell’espressione di dubbi o preoccupazioni, e alla cautela nell’uso di linguaggio figurato che potrebbe essere interpretato erroneamente da sistemi algoritmici.

L’effetto potrebbe essere particolarmente problematico per categorie professionali che richiedono riservatezza. Ma se c’è il rischio che le IA (di fatto delle blackbox) possano iniziare a segnalare query alle forze dell’ordine, la mancanza di riservatezza potrebbe essere un problema per gli avvocati, specialmente per i penalisti.

Come affrontare il problema dello spionaggio di massa via chatbot

Paradossalmente, abbiamo già tutti gli strumenti normativi per contrastare questi abusi. L’articolo 22 del GDPR vieta le decisioni automatizzate che producano effetti giuridici significativi. Il Codice del Consumo (art. 33-bis) tutela contro le pratiche commerciali scorrette che sfruttano la vulnerabilità psicologica. La Legge 20 maggio 1970, n. 300 (Statuto dei Lavoratori) protegge dalla sorveglianza sistematica sui luoghi di lavoro – principio estendibile al controllo delle comunicazioni digitali.

La sfida è applicare con efficacia questi strumenti normativi di fronte a tecnologie che evolvono più velocemente della capacità di regolamentazione tradizionale e che spesso operano secondo standard sviluppati in giurisdizioni con approcci alla privacy significativamente diversi da quelli europei.

La posta in gioco

La questione centrale non è più se esistano sistemi di monitoraggio – questi sono già operativi e perfezionati attraverso l’analisi di miliardi di conversazioni. Il punto è comprendere i meccanismi di controllo e supervisione di questi sistemi e se esistano ancora spazi per la tutela democratica dei diritti fondamentali di fronte a questa evoluzione tecnologica.

Il Chat Control europeo potrebbe non essere mai approvato, a causa delle sue contraddizioni con i principi democratici e delle crescenti opposizioni parlamentari. Tuttavia, i sistemi di monitoraggio delle multinazionali tecnologiche sono già operativi e si evolvono continuamente. Questi sistemi combinano l’efficienza del monitoraggio automatizzato con la deresponsabilizzazione dell’automazione: quando il sistema genera falsi positivi, l’errore viene giustificato come misura precauzionale di sicurezza.

L’Europa ha l’opportunità di sviluppare una risposta normativa che vada oltre la regolamentazione reattiva. Questo richiede il riconoscimento che la privacy non è semplicemente un diritto individuale, ma un elemento fondamentale del funzionamento democratico. E che nessun sistema di intelligenza artificiale, indipendentemente dai suoi principi dichiarati, dovrebbe avere l’autorità unilaterale di trasformare le comunicazioni private in elementi di indagine.

La tutela della libertà individuale e la protezione dei dati personali dipendono dalla nostra capacità di mantenere un controllo democratico su questi sistemi. Prima che l’automazione del sospetto diventi la norma accettata della comunicazione digitale.

La sfida non è tecnologica ma politica: come garantire che lo sviluppo di tecnologie di controllo delle comunicazioni rimanga sotto controllo democratico e rispetti i diritti fondamentali che sono alla base della costruzione europea.

Questo richiede un impegno attivo da parte di cittadini, rappresentanti politici e società civile per monitorare, questionare e regolamentare l’implementazione di questi sistemi prima che diventino così radicati da risultare irreversibili.

La posta in gioco non è solo la privacy individuale, ma il mantenimento di spazi democratici di discussione e confronto che sono essenziali per il funzionamento delle nostre società.

Questo articolo è stato scritto nella consapevolezza che le sue parole saranno probabilmente elaborate da sistemi algoritmici prima di essere lette da persone. Tale circostanza rappresenta essa stessa un elemento significativo del problema analizzato.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

G
Agostino Ghiglia
Componente del Garante per la protezione dei dati personali
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • tutela dei dati oltre il gdpr Guida alla conservazione dati personali titolare del trattamento dei dati protezione dei dati sanitari compliance dsa-gdpr

  • tutela dei dati

    Pizzetti: “Il Gdpr nell'era dell'IA non basta più, servono nuovi strumenti”

    31 Gen 2025

    di Franco Pizzetti

    Condividi
  • data breach aws puglia

  • l'opinione

    Due data breach gravi e nessuno ne parla: Regione Puglia, Aws

    27 Ott 2025

    di Andrea Lisi

    Condividi
  • data protection officer

  • la guida

    DPO, chi è il data protection officer e perché è una figura controversa

    07 Apr 2025

    di Antonino Polimeni

    Condividi