“Promuovere un confronto quanto più possibile ampio su temi importanti e fondarvi una regolazione il più possibile aderente alle istanze sociali è, il modo migliore per interpretare la protezione dei dati come cultura”. Una cultura che è un viatico necessario, per fondare una “responsabilità che deve necessariamente bilanciare un potere, quale quello digitale, che la protezione dei dati ha il compito di porre al servizio della persona e della sua dignità”.
Le parole del presidente del Garante Privacy Pasquale Stanzione, nel presentare oggi (15 luglio) la relazione sull’attività dell’Autorità Garante per la protezione dei dati personali per l’anno 2024, fanno ben capire la portata della sfida. Che riguarda il Garante – e i garanti europei – ma in fondo riguarda anche noi tutti. Tutelare il “lato umano” della rivoluzione digitale non è solo un affare di protezione regolatoria dei dati, ma passa anche dallo sviluppo di una “consapevolezza digitale”, dice Stanzione.
Indice degli argomenti
Relazione annuale 2024 del Garante Privacy: la sfida Intelligenza artificiale
Il Presidente dell’Autorità, Pasquale Stanzione, ha ricalcato svariati temi, primo tra tutti l’utilizzo di strumenti sempre più sofisticati di Intelligenza Artificiale e dei temi etici (e non solo) che ne conseguono.
Dalla relazione si evincono diverse tematiche sulle quali il Garante privacy è stato particolarmente coinvolto durante il 2024, nell’ottica della costante ricerca di un contemperamento di interessi.
Non v’è dubbio, infatti, che il 2024 sia stato un anno caratterizzato da diverse sfide, come il sempre più rapido sviluppo delle tecnologie dell’Intelligenza Artificiale e i relativi rischi (come i bias degli algoritmi e gli svariati pericoli per i minori), il fenomeno del controllo sui dati, con l’importanza del fact checking nelle piattaforme digitali, l’avanzata degli attacchi cyber e la necessaria tutela dei dati (si pensi ai dati sanitari e non solo).
Sintesi degli elementi principali della relazione annuale 2024
I punti principali che sono stati toccati dal Presidente Stazione durante la presentazione della relazione annuale per l’anno 2024 sono i seguenti.
Intelligenza Artificiale e minori per il Garante privacy
Sicuramente l’intelligenza artificiale comporta svariati benefici dal punto di vista produttivo poiché, si sa, tali tecnologie stanno ormai diventando sempre più utili a garantire una maggiore efficienza, soprattutto con riguardo a quei compiti dal carattere ripetitivo, come fossero dei veri e propri assistenti.
Tuttavia, è molto importante evidenziare alcune criticità che tali tecnologie possono comportare. Ad esempio, in un contesto del genere è fondamentale i minori siano adeguatamente protetti dai pericoli che queste tecnologie celano, se non adeguatamente utilizzate.
Si pensi al caso del chatbot Replika (dotato di un’interfaccia scritta e vocale, capace di consentire all’utente di “generare” un “amico virtuale” a cui attribuire il ruolo di confidente, terapista, partner romantico o mentore) e all’impatto negativo di questa tecnologia nei confronti dei soggetti più vulnerabili. Con un recente provvedimento (Provvedimento del 10 aprile 2025 [10130115]), il Garante privacy ha sanzionato per 5milioni di euro la società statunitense Luka Inc. che gestisce il chatbot “Replika” a causa delle innumerevoli violazioni riscontrate e ha avviato una autonoma istruttoria per verificare il corretto trattamento dei dati personali effettuato dal sistema di intelligenza artificiale generativa alla base del servizio.
Nel corso della presentazione della relazione annuale, il Presidente Stanzione si è soffermato su alcuni dati che destano non poche preoccupazioni: in soli due anni sono cresciuti del 380% i casi di uso di IA per creare materiale pedopornografico, generate partendo da immagini vere, cedute dagli stessi minori dietro ricatto, con un’esposizione di adolescenti cresciuta del 35% per i ragazzi e del 67% per le ragazze.
Social e minori
Il Garante ha infatti espresso un monito ai genitori sui pericoli dello sharenting (la condivisione sui social, costante e ossessiva, da parte dei genitori di foto e video dei propri figli). Nel marzo 2025, l’Autorità ha lanciato una campagna informativa intitolata “La sua privacy vale più di un like”, volta a sensibilizzare alcuni adulti sui rischi che i minori possono correre se postati sistematicamente sui social. Attraverso tale campagna, il Garante dà alcuni consigli su come tutelare adeguatamente la privacy dei propri figli ai genitori che, comunque, decidono di postare sui social le immagini dei propri figli.
Considerando gli altri aspetti negativi della tecnologia, il Presidente Stanzione ha sottolineato come il cyberbullismo, secondo le stime ISTAT, risultava incidere, già nel 2023, sul 34% degli adolescenti (in particolare stranieri). Il Presidente Stanzione, nella relazione, ha inoltre evidenziato che “per arginare tali pericoli è indispensabile un’educazione dei giovani alle relazioni (anche online) e al rispetto”.
Inoltre, per dare un freno a questi svariati fenomeni negativi, il Presidente Stanzione ha osservato come l’Autorità abbia osservato il massimo rigore nel controllo dei meccanismi di verifica dell’età (age verification) adottati online e, da ultimo, anche dai sistemi dell’IA generativa, proprio allo scopo di impedire che i minori vengano a contatto con contenuti inappropriati per il loro grado di sviluppo cognitivo e personologico. Un’altra soluzione prospettata dal Garante è la creazione di una comune alleanza delle istituzioni e delle comunità educanti per la promozione della consapevolezza digitale dei minori.
Algoritmi e bias
L’intelligenza artificiale è caratterizzata da una selezione non neutra dei contenuti. Ciò può avere implicazioni importanti, ha sottolineato il Presidente Stanzione, “sulla formazione dell’opinione pubblica, della coscienza sociale, persino della memoria storica e dell’identità collettiva, con il rischio di eludere le garanzie fondative della costruzione democratica”.
Un uso scorretto delle tecnologie di Intelligenza Artificiale potrebbe portare a delle discriminazioni nei confronti, soprattutto, dei soggetti più vulnerabili della società (minori, donne, categorie sottorappresentate). Per questo motivo è fondamentale ridurre il rischio di bias degli algoritmi e l’adozione di un approccio etico all’uso delle tecnologie di IA è sicuramente uno strumento fondamentale.
Ma come nasce il problema delle discriminazioni degli algoritmi? In generale, gli algoritmi imparano da grandi set di dati, per cui se gli algoritmi si basano su un insieme di dati contenente pregiudizi socioculturali, di conseguenza gli algoritmi faranno propri questi bias e prenderanno delle decisioni discriminatorie e dannose per la società.
Si pensi ad esempio al caso Amazon. Nel 2015, Amazon aveva implementato un algoritmo per automatizzare il processo di reclutamento del personale. Tuttavia, ci si accorse che tale sistema era discriminatorio nei confronti delle donne perché tendeva a preferire i candidati di sesso maschile. L’algoritmo era stato addestrato sulla base di curricula ricevuti nei dieci anni precedenti, provenienti perlopiù da uomini. Appurata la discriminazione di genere perpetrata dall’algoritmo, Amazon ne ha sospeso l’utilizzo.
Come ha evidenziato i Presidente Stanzione nella sua relazione, “l’algoritmo non riflette imparzialmente tutto il sapere del mondo, ma può ben riprodurre gli stereotipi e i pregiudizi sottesi, più o meno implicitamente e consapevolmente, al nostro pensiero”. Ciò, tuttavia, risulta essere un enorme problema per le categorie sottorappresentate (donne, anziani, minoranze in generale). Per questo motivo il rispetto delle normative (in primo luogo l’AI Act) è essenziale per cercare di arginare tali fenomeni.
Dati e potere
Il Presidente Stanzione si è soffermato sul tema del potere rapportato all’uso delle piattaforme digitali. Durante la presentazione della relazione, il Presidente ha affermato che “i dati ridefiniscono l’idea di sovranità e il confine tra pubblico e privato, potere e supremazia, mentre l’IA diviene il fulcro della competizione geopolitica”. In questo senso, è doveroso soffermarsi sul potere che detiene chi controlla un gran numero di dati e, dunque, della enorme influenza delle piattaforme digitali.
Il Digital Services Act (DSA), in UE, cerca di porre un freno attraverso una maggiore responsabilizzazione dei fornitori di servizi intermediari (tra cui rientrano anche le piattaforme online di dimensioni molto grandi come TikTok, Facebook, Instagram eccetera) e una più stringente regolamentazione di ciò che viene pubblicato online.
In proposito, è necessario considerare con attenzione le dichiarazioni di Mark Zuckerberg sulla possibilità di eliminare i meccanismi di fact checking su Facebook e Instagram e introdurre, al loro posto, il sistema delle community notes già implementato su X (ex Twitter), attraverso cui sono gli stessi utenti (selezionati sulla base di specifici criteri) a contestualizzare o specificare dei post considerati “ambigui”.
Dati e sicurezza
L’enorme mole di dati rende sempre più rilevante l’esigenza di sicurezza degli stessi e dei sistemi che li ospitano, ha osservato il Presidente Stanzione, nel corso della relazione. Il Presidente si è soffermato sulle sempre più frequenti vulnerabilità dei sistemi informativi che sono “tanto di natura tecnologica, quanto imputabili al fattore umano”.
Gli ultimi dati del Rapporto Clusit 2025, ancora una volta, non sono affatto incoraggianti: gli attacchi cyber non accennano a diminuire. Anzi, il rapporto illustra come dal punto di vista quantitativo, negli ultimi 5 anni il numero degli incidenti rilevati sia cresciuto sensibilmente, mostrando una tendenza inequivocabile, tanto che la media mensile a livello globale è passata dai 156 del 2020 ai 295 del 20241.
Fin dal 2022, inoltre, il Clusit evidenziava una verità allarmante: “l’Italia è nel mirino”, situazione poi confermata anche nel 2023, e con l’osservazione dei dati del 2024 si può concludere che il nostro Paese rappresenta ormai un bersaglio preferenziale per i cybercriminali.
In particolare, il rapporto Clusit evidenzia i seguenti dati:
- dal 2023 al 2024 si registra una crescita del 27% degli incidenti nel mondo;
- dal 2023 al 2024 si registra un aumento del 15% degli incidenti in Italia;
- il cybercrime si conferma ancora una volta la motivazione principale degli incidenti, con una crescita che non accenna a diminuire. Infatti, 9 su 10 degli incidenti cyber nel mondo sono di matrice criminale;
- inoltre, 2 su 3 incidenti avvengono nel continente americano ed europeo;
- nel 2024, i cybercriminali continuano a puntare su tecniche consolidate e industrializzabili: i malware sono infatti responsabili di oltre un terzo degli incidenti: un incidente su tre è basato su malware
Tali attacchi, se non gestiti adeguatamente, possono comportare delle conseguenze anche disastrose, soprattutto con riguardo ai settori più delicati come quello sanitario.
In tal senso, il rapporto Clusit 2025 evidenzia come il settore sanitario risulta uno di quelli maggiormente colpiti e con un andamento degli incidenti in crescita. Le ragioni sono diverse e concomitanti. Prima di tutto c’è da sottolineare il fatto che i dati sanitari sono facilmente rivendibili nel dark web con ampi guadagni. Inoltre, non è infrequente che nei sistemi siano presenti vulnerabilità note e non sistemate, che consentono un facile accesso agli attaccanti.
Nella presentazione della relazione, il Presidente ha affermato che “la diffusione della cultura della protezione dei dati è, del resto, tanto più necessaria in un ambito, quale quello sanitario, in cui massima è l’esigenza di coniugare condivisione delle informazioni a fini di ricerca, governance sanitaria ed efficienza diagnostica e protezione di dati espressivi di una fragilità del corpo o della psiche. Questa tensione riflette, del resto, la natura complessa del diritto alla salute, nell’art. 32 della Carta non a caso descritto come diritto fondamentale, tanto quanto interesse della collettività”.
Il Presidente ha, infine, sottolineato che “il Garante ha, sinora, svolto un’azione importante di prevenzione delle vulnerabilità informatiche e contribuito alla messa in sicurezza di moltissime banche dati anche strategiche, pubbliche e private, anche grazie all’istituto della notifica dei data breach (2.204 nel 2024)”.
Stante queste considerazioni, è necessaria la conoscenza dell’ormai sempre più stratificato e complesso panorama normativo in ambito cyber, di modo da garantire la piena conformità alle disposizioni, create proprio allo scopo di rendere il paese più cyber resiliente e arginare così le minacce cyber.
Nel corso della presentazione della relazione annuale, il Presidente Stanzione si è, inoltre, soffermato sul rapporto tra giurisdizione e informazione, ponendo l’accento sul recente intervento dell’Autorità, la quale ha richiamato gli organi d’informazione al rispetto del criterio di essenzialità dell’informazione, a fronte di eccessi riscontrati nei modi di trattare alcuni casi di cronaca nera.
Inoltre, il Presidente ha espresso alcune riflessioni sul tema del modello pay or ok. In tal senso, si ricorda che il Garante privacy ha avviato una consultazione pubblica volta a valutare la liceità del consenso per trattamenti di profilazione raccolto da diversi titolari, e dagli editori di giornali, attraverso l’adozione del cosiddetto modello pay or ok. Tale modello impone agli utenti, per accedere ai contenuti, ai servizi o alle funzionalità offerte online, di scegliere se sottoscrivere un abbonamento a pagamento oppure acconsentire al trattamento dei propri dati personali, attraverso cookie e strumenti di tracciamento, ai fini di profilazione commerciale. In mancanza di una delle due opzioni, l’accesso ai siti è bloccato.
Le sfide che riguardano tutti nella relazione 2024 del garante privacy
La relazione del Garante privacy per l’anno 2024 si sofferma, dunque, su una vasta serie di sfide che influiscono su tutti i soggetti facenti parte del tessuto sociale (adulti, minori, soggetti vulnerabili in generali), come: l’avanzata degli strumenti di IA e i suoi pericoli (cyberbullismo, deepfake…), la condivisione spasmodica di informazioni online, come lo sharenting, il controllo sui dati e lo strapotere delle big tech nel mercato digitale, l’aumento degli episodi di data breach, soprattutto nei settori più delicati (come quello sanitario).
Tali fenomeni, frutto dell’innovazione e di una società sempre più digitale, rendono sicuramente più complicato tutelare adeguatamente i diritti e le libertà delle persone fisiche, primo tra tutti il diritto (fondamentale) alla protezione dei dati personali.
Riprendendo le parole del Presidente Stanzione: “In fondo, la vera caratteristica distintiva di questo diritto rispetto al corrispondente americano del right to be let alone risiede nelle radici della storia europea e nel valore che la dignità vi ha assunto, quale reazione alla tragica esperienza dei totalitarismi”.
