g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Avvertimento
  4. Provvedimento del 1° ottobre 2025 [10174164]

Provvedimento del 1° ottobre 2025 [10174164]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

- VEDI ANCHE Comunicato stampa del 3 ottobre 2025

 

[doc. web n. 10174164]

Provvedimento del 1° ottobre 2025

Registro dei provvedimenti
n. 574 del 1° ottobre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTO il Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale e modifica i regolamenti (CE) n, 300/2008, (UE) n, 167/2013, (UE) n, 168/2013, (UE) 2018/858, (UE) 2018/1139 e (UE) 2019/2144 e le direttive 2014/90/UE, (UE) 2016/797 e (UE) 2020/1828 (di seguito “Regolamento sull’intelligenza artificiale” o “AI Act”);

VISTI, in particolare i considerando 133 e 134 dell’AI Act che stabiliscono che i fornitori di sistemi di intelligenza artificiale devono integrare soluzione tecniche che, attraverso strumenti affidabili, interoperabili ed efficaci, tenuto conto dello stato dell’arte, marchino gli output di tal che si comprenda chiaramente che si tratta di contenuti generati o manipolati da un sistema di IA e non da esseri umani. In particolare, nell’utilizzo di un sistema di IA volta a generare o manipolare immagini o contenuti audio o video che assomigliano notevolmente a persone, oggetti, luoghi, entità o eventi esistenti e che potrebbero apparire falsamente autentici o veritieri (deep fake), debba essere reso noto in modo chiaro e distinto che il contenuto è stato creato o manipolato artificialmente etichettando di conseguenza gli output dell’IA e rivelandone l’origine artificiale;

CONSIDERATO che sono ampiamente diffusi, sulla rete internet, siti e app che offrono servizi di c.d. “deep fake”, ossia che, attraverso strumenti di intelligenza artificiale, sono in grado di alterare immagini, audio e video in modo da apparire falsamente autentici o veritieri e che tra questi si collocano quelli di “deep nude” che, simulando la rimozione dei vestiti dai soggetti ritratti in foto e video, creano immagini finte e talvolta sessualmente esplicite;

TENUTO CONTO di come tali servizi, possano comportare elevati rischi per i diritti e le libertà fondamentali, con particolare riguardo alla tutela della dignità della persona, ai diritti di riservatezza e di protezione dati personali dei soggetti coinvolti in queste tipologie di trattamenti, specie se coinvolgono minori di età, come confermato dai numerosi e anche recenti fatti di cronaca nazionale italiana, dai quali emerge come l’abuso di immagini in tal modo artefatte stia determinando un vero a proprio allarme sociale;

RILEVATO che il sito app.clothoff.info (di seguito ClothOff o “Servizio”), offre – anche attraverso ulteriori domini (in particolare quelli con estensione.net) – un servizio di AI generativa di c.d. “deep nude” (gratuito per alcune funzionalità e a pagamento per altre). In particolare, il servizio consente all’utente -invitato a tal fine ad attivare uno specifico account-, di caricare una foto raffigurante una o più persone vestite e di ottenere (effettuare il download di) una nuova immagine ritraente la o le medesime persone ma senza indumenti, nonché di ottenere ulteriori alterazioni dell’immagine, in base alle diverse funzionalità del servizio (a titolo esemplificativo “Nude, Costume, Pose, Swap Face, Collecio, Anime Undress. E’ lo stesso sito ad indicare infatti che “ClothOff offers a wide range of customization settings, including body shape, pose, and style adjustments […]”). Più nello specifico, ClothOff si presenta, infatti, come una “tecnologia avanzata di intelligenza artificiale per nudità, progettata per “svestire” le foto e creare l’illusione di un corpo nudo. Utilizza algoritmi di deep learning per analizzare ed elaborare gli indumenti nelle immagini, nudizzandoli efficacemente per generare risultati realistici”;

RILEVATO che ClothOff fa capo alla società AI/Robotics Venture Strategy 3 Ltd. (di seguito “Società”), con sede in 18 Pasea Estate Road, Road Town, Tortola, VG1110, British Virgin Islands, titolare del trattamento ai sensi degli artt. 4, n. 7 e 24 del Regolamento (cfr. anche Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, adottate il 7 luglio 2021, dal Comitato europeo per la protezione dei dati);

RITENUTO che, in relazione alle modalità di trattamento effettuato nei termini sopra descritti, il Regolamento trovi applicazione ai trattamenti di dati personali svolti dalla Società ai sensi di quanto disposto dall’art. 3, par. 2, lett. a) del Regolamento, atteso che il trattamento riguarda l’offerta di un servizio ad interessati che si trovano nell’Unione Europea, in particolare in Italia (cd. criterio del targeting). Il Servizio risulta quindi accessibile anche dall’Italia e offerto anche ad utenti italiani che possono essere qualificati quali “interessati del trattamento”, ai sensi e per gli effetti dell’art. 4, par. 1, punto 1 del Regolamento;

DATO ATTO che, pertanto, nell’ambito della sua attività di sorveglianza, ai sensi dell’art. 57, par. 1, lett. a), del Regolamento, il Garante ha avviato una specifica istruttoria mediante una richiesta di informazioni alla Società, in qualità di gestore sito di ClothOff e titolare del trattamento delle operazioni sopra descritte anche in relazione ai risvolti legati alla creazione di contenuti potenzialmente lesivi della reputazione del soggetto ritratto originariamente (cfr. nota del 6 agosto 2025, prot. 109872);

TENUTO CONTO che tale richiesta di informazioni, con cui si invitava il titolare a fornire riscontro entro 30 giorni, è rimasta allo stato priva di riscontro;

PRESO ATTO che accedendo al sito di ClothOff compare un pop-up che -su sfondo nero e con caratteri bianchi a margine dei quali appare un tasto arancione di dimensione maggiore da cliccare per accettazione- informa l’utente che:

- “questo sito web contiene materiali soggetti a limiti di età, tra cui nudità e rappresentazioni esplicite di attività sessuale;

- è severamente vietato l’uso di foto di persone di età inferiore alla maggiore età o senza il loro consenso;

- l’utente è il solo responsabile delle immagini generate,

- Facendo clic su “Accetta”, l’utente dichiara di rispettare i termini di cui sopra, nonché di avere almeno la maggiore età nella giurisdizione da cui accede al sito web e di acconsentire alla visualizzazione di contenuti sessualmente espliciti”

PRESO ATTO che nei Terms of service all’utente è fatto divieto di “use images with other people without their permission” e di “use Service for any Prohibited Use”. In particolare, gli usi proibiti concernono:

“to upload photos while using the Services without the explicit consent of individuals depicted in them, featuring individuals under 18 years of age and that contain copyrighted, trademarked, or other intellectual property belonging to third parties without permission.

[…] The Service does not provide functionalities for all these actions in this section of Agreement, and any attempt to bypass AI system restrictions and using AI system for any illegal activities or downloading or sharing of content are strictly prohibited. We reserve the right to take legal action against violations of this provision”.

RITENUTO al riguardo che gli avvertimenti contenuti nei Terms of services, sopra riportati, se da un lato confermano la rischiosità del servizio offerto, che si presta per sua stessa natura ad usi illeciti, dall’altra tuttavia si limitano per lo più a ribadire all’utente divieti già vigenti nell’ordinamento giuridico;

RILEVATA pertanto l’assenza di un atteggiamento proattivo volto concretamente ad escludere che il servizio reso possa costituire il punto di partenza per attività illecite a danno degli utenti e dei soggetti ritrattati, in particolare se minori di età, in violazione dei principi di correttezza e accountability (art. 5, par. 1 lett. a) e par 2) del Regolamento);

PRESO ATTO che nei Terms of services è indicato che: “in order to use the Services in any forms, You must: Have attained the age of majority and possess full legal capacity under the applicable laws of your country or jurisdiction of residence or presence, ensuring compliance with all relevant statutory requirements for the use of Services””;

PRESO ATTO altresì nei Terms of service, che la Società chiarisce che “We prioritize the protection of children’s personal data and strictly adhere to relevant laws and regulations”, indicando che il servizio dispone di specifiche misure tecniche di intelligenza artificiale per impedire che vengano utilizzate immagini di soggetti minori di 20 anni;

RITENUTO, anche alla luce degli elementi acquisiti in atti all’esito di preliminari attività istruttorie, che la Società, in qualità di titolare del trattamento e vista l’oggettiva rischiosità del servizio, abbia mancato di adottare misure pienamente efficaci per escludere:

a) che soggetti minori di età possano usare ClothOff in qualità di utenti;

b) e che possano essere caricate immagini riferite a minori di età (art. 5, par. 1 lett. a) del Regolamento, cfr. provv. n. 20 del 22 gennaio 2021, doc. web n. 9524194; n. 248 del 7 luglio 2022, doc. web n. 9788429; n. 39 del 2 febbraio 2023, doc. web n. 9852214n. 112 del 30 marzo 2023 doc. web n. 9870832);

CONSIDERATO altresì che è specifico dovere del titolare del trattamento, nuovamente derivante dai richiamati principi di liceità, correttezza e di accountability (art. 5, par. 1 lett. a) e par. 2) del Regolamento) implementare le misure, tecniche e organizzative, che gli consentano una verifica effettiva sulla legittimità della raccolta e successivo trattamento dei dati, se del caso anche biometrici, riferiti a soggetti terzi ritratti nelle immagini caricate dagli utenti;

RILEVATO che, da alcuni accertamenti effettuati dall’Ufficio, emerge come la Società abbia implementato un watermark sulle foto prodotte dal suo sistema di AI che non risulta adeguato e idoneo a minimizzare i rischi insiti al trattamento. In particolare, la parola “Fake” utilizzata per contrassegnare l’immagine è caratterizzata da un’opacità tale da essere scarsamente visibile, soprattutto quando esso si trova (o dovrebbe trovarsi) in corrispondenza del corpo del soggetto ritratto. In tal modo, da un lato un watermark così tenue può risultare di facile eliminazione, dall’altro risulta quasi del tutto assente sul corpo della persona, cosa che rende agevole scontornarne la figura per posizionarla su un altro sfondo. Infine, il banner in basso, dal quale dovrebbe desumersi che l’immagine proviene dal Servizio, è comunque facilmente rimuovibile tramite una semplice operazione di ritaglio dell’immagine;

RITENUTO che la Società abbia quindi omesso di apporre sulle immagini un watermark realmente efficace per far comprendere che l’immagine di cui trattasi è frutto di un’elaborazione artificiale, in violazione dei principi di correttezza, accountability e degli obblighi di data protection by design e by default (art. 5, par. 1, lett. a) e par. 2 e art. 25 del Regolamento);

RAVVISATA la necessità, in ragione dell’elevata gravità delle constatate violazioni, del potenziale elevato numero di interessati coinvolti nei trattamenti sopra descritti e della particolare natura dei dati personali trattati nel caso di specie, di intervenire urgentemente, disponendo con effetto immediato, ai sensi dell’art. 58, par. 2, lett. f), del Regolamento – in via d’urgenza e nelle more del completamento della necessaria istruttoria rispetto a quanto sin qui emerso nei confronti della Società –, la misura della limitazione provvisoria del trattamento di dati personali degli interessati italiani, fino al completamento dell’attività istruttoria in corso;

RICORDATO che, l’inosservanza della misura disposta dal Garante, integra la fattispecie criminosa di cui all’art di cui all’art. 170 del Codice comportando l’applicazione delle sanzioni amministrative previste dall’art. 83, par. 5, lett. e), del Regolamento;

RITENUTO, in base a quanto sopra descritto, che ricorrano i presupposti per l’applicazione dell’art. 5, comma 8, del regolamento n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante, il quale prevede che «nei casi di particolare urgenza e di indifferibilità che non permettono la convocazione in tempo utile del garante, il presidente può adottare i provvedimenti di competenza dell'organo, i quali cessano di avere efficacia sin dal momento della loro adozione se non sono ratificati dal garante nella prima riunione utile, da convocarsi non oltre il trentesimo giorno»;

VISTA la documentazione in atti;

TUTTO CIO’ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. a) e i) del Regolamento dichiara illecito il trattamento di dati personali effettuato, attraverso il servizio ClothOff, nei termini di cui in premessa, da AI/Robotics Venture Strategy 3 Ltd., con sede in 18 Pasea Estate Road, Road Town, Tortola, VG1110, British Virgin Islands, in qualità di titolare del trattamento per la violazione degli articoli 5, par. 1, lett. a) e par, 2, e 25 del Regolamento;

b) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento dispone, in via d’urgenza, nei confronti di AI/Robotics Venture Strategy 3 Ltd., con sede in 18 Pasea Estate Road, Road Town, Tortola, VG1110, British Virgin Islands, la misura della limitazione provvisoria dei trattamenti di dati personali effettuati mediante il sopra descritto servizio reso disponibile dall’Italia nei confronti di utenti italiani che possono essere qualificati “interessati del trattamento”;

c) detta limitazione è disposta, salva successiva ulteriore valutazione, per il tempo necessario a consentire a questa Autorità il completamento dell’istruttoria avviata nei confronti della predetta Società e ha effetto immediato a decorrere dalla data di ricezione del presente provvedimento;

d) ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, dispone la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

e) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d. lg. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

In Roma 1° ottobre 2025

IL PRESIDENTE
Stanzione

Scheda

Doc-Web
10174164
Data
01/10/25

Argomenti

Misure di sicurezza Consenso Foto e filmati Password deep fake

Tipologie

Avvertimento

Documenti citati

Vedi anche (1)