L’autorità irlandese per la protezione dei dati (Data Protection Commission, DPC) ha annunciato oggi di avere avviato una indagine formale nei confronti di X in relazione alla circolazione di immagini deepfake pornografiche, ai sensi della sezione 110 del Data Protection Act 2018.
La DPC ha comunicato che si tratta di “indagine su larga scala che esaminerà la conformità di XIUC (X Internet Unlimited Company) ad alcuni dei suoi obblighi fondamentali ai sensi del GDPR”. In particolare, l’attenzione del regolatore si concentra sulla velocità e sulla viralità con cui immagini sintetiche non consensuali (spesso raffiguranti donne reali, talvolta personaggi pubblici, ma anche minori) riescono a diffondersi sulla piattaforma prima che intervengano i meccanismi di rimozione.
Sotto esame c’è, dunque, la dinamica sistemica della diffusione e cioè upload rapido, replica tramite repost, amplificazione algoritmica, rimozione tardiva.
L’autorità irlandese intende verificare se X abbia implementato misure adeguate ai sensi dell’articolo 25 del GDPR; se i processi di moderazione siano conformi ai principi di liceità, correttezza e trasparenza (art. 5 GDPR); se la piattaforma abbia adottato misure tecniche e organizzative adeguate ai sensi dell’articolo 32 GDPR; se il trattamento dei dati biometrici impliciti nei deepfake (volto, caratteristiche somatiche) integri un trattamento di categorie particolari di dati senza adeguate garanzie.
La questione è particolarmente rilevante in quanto X ha la sua sede europea in Irlanda (la X Internet Unlimited Company è infatti registrata con sede legale a Dublino) e, in base al meccanismo dello “sportello unico” previsto dal GDPR, la DPC è l’autorità capofila per le indagini sui trattamenti transfrontalieri della piattaforma.
Si tratta, quindi, di un procedimento che potrebbe avere effetti su tutta l’operatività europea di X.
Indice degli argomenti
Dai deepfake generati con Grok al procedimento formale
L’indagine si colloca in una fase di crescente scrutinio europeo sull’integrazione dell’IA generativa nelle piattaforme social, in particolare quando tali funzionalità incidono su identità e dignità degli utenti.
Nelle settimane precedenti all’apertura formale del procedimento, diverse ricostruzioni giornalistiche avevano evidenziato la possibilità per gli utenti della piattaforma di utilizzare l’account @Grok (collegato al modello di intelligenza artificiale generativa integrato in X) per produrre immagini sessualizzate di persone reali, incluse figure pubbliche e minori.
La capacità tecnica di generare contenuti sintetici altamente realistici, unita alla rapidità di diffusione tipica delle piattaforme social, ha sollevato interrogativi immediati sul trattamento dei dati personali coinvolti. Anche quando l’immagine è artificiale, può incorporare elementi identificativi riconducibili a una persona reale, integrando un potenziale trattamento di dati personali ai sensi del GDPR.
La DPC ha confermato di aver avviato un’interlocuzione con X già nelle settimane precedenti all’apertura dell’indagine e, solo successivamente, alla luce delle informazioni raccolte e della rilevanza delle questioni emerse, è stato formalmente avviato il procedimento volto a verificare la conformità della piattaforma ai principi del GDPR, ovverossia liceità, protezione dei dati fin dalla progettazione e necessità di una valutazione d’impatto.
L’indagine su X rappresenta quindi anche un banco di prova per la capacità del modello europeo di enforcement centralizzato di reggere alla complessità tecnologica delle piattaforme globali.
L’autorità irlandese tra carenze storiche e One-Stop-Shop
Molte Big Tech hanno scelto l’Irlanda come loro sede europea; di conseguenza, l’autorità irlandese è il regolatore principale per le attività che coinvolgono più Stati membri. Ciò ha prodotto negli anni una forte pressione sulla DPC, chiamata a gestire dossier ad alta complessità tecnica (e politica), come quelli che riguardano Meta, Google, TikTok e, ora, X.
È importante ricordare che, prima dell’entrata in vigore del GDPR, l’autorità irlandese per la protezione dei dati operava con una struttura molto diversa da quella attuale. Si chiamava Office of the Data Protection Commissioner ed era guidata da un singolo Commissioner, adottava cioè un modello non collegiale. L’organico era contenuto, composto da poche decine di dipendenti, e il budget rifletteva una dimensione prevalentemente nazionale dell’attività di vigilanza.
Pur essendo già sede europea di numerose grandi piattaforme tecnologiche, l’Irlanda non rivestiva ancora il ruolo centrale che avrebbe assunto successivamente, poiché non esisteva ancora il meccanismo dello sportello unico (One-Stop Shop) previsto dal GDPR; il volume dei procedimenti transfrontalieri era significativamente inferiore e l’autorità operava in un contesto regolatorio meno integrato a livello europeo, con un carico di responsabilità proporzionato a quel quadro normativo.
L’entrata in applicazione del GDPR nel maggio 2018 ha determinato una trasformazione profonda e l’autorità è stata riorganizzata come Data Protection Commission, assumendo una struttura più articolata e collegiale, con la nomina di più Commissioners. Parallelamente, il budget è stato incrementato in modo significativo e il personale è cresciuto progressivamente fino a raggiungere diverse centinaia di dipendenti, includendo competenze specialistiche in ambito giuridico, tecnico e investigativo.
La DPC è diventata quindi l’autorità capofila (Lead Supervisory Authority) per molte delle principali piattaforme digitali globali stabilite in Irlanda e questo ha comportato un salto dimensionale quantitativo e qualitativo, trasformando un’autorità nazionale in uno dei principali snodi dell’enforcement europeo in materia di protezione dei dati.
La pressione regolatoria europea sulla DPC
Negli ultimi anni l’autorità irlandese è stata oggetto di critiche ricorrenti, sia da parte di altre autorità europee sia da parte della società civile, per la lentezza di alcuni procedimenti e per un approccio ritenuto talvolta eccessivamente prudente nei confronti delle grandi piattaforme tecnologiche stabilite in Irlanda.
Il meccanismo dello sportello unico ha concentrato sulla DPC un numero straordinariamente elevato di dossier relativi ai principali attori globali del digitale e si discute ancora della sproporzione tra mole dei casi transfrontalieri e dell’effettiva capacità investigativa specialistica della DPC su algoritmi e sistemi di intelligenza artificiale.
Oltre ad essere un test interno per la DPC, l’indagine mette in gioco lo stesso modello europeo di enforcement centralizzato, dal momento che potrebbe chiarire se quest’ultimo sia effettivamente in grado di coniugare indipendenza, competenza tecnica e capacità sanzionatoria in un contesto tecnologico sempre più avanzato e complesso.
GDPR e deepfake: trattamento dei dati, biometria e responsabilità progettuale
Nel caso dei deepfake pornografici, la competenza dell’autorità irlandese non è un elemento accessorio. Il GDPR, pur non disciplinando espressamente i deepfake come categoria tecnologica autonoma, si applica ogniqualvolta vi sia un trattamento di dati personali ai sensi dell’articolo 4 del Regolamento.
Un deepfake, anche se generato artificialmente, si fonda sulla riproduzione o manipolazione di elementi identificativi riconducibili a una persona reale: il volto, la fisionomia, le caratteristiche somatiche, talvolta il nome o altri attributi identificativi. Quando tali elementi consentono di identificare o rendere identificabile l’interessato, si realizza un trattamento di dati personali, indipendentemente dal fatto che l’immagine risultante sia sintetica.
La questione diventa ancora più delicata se si considera la dimensione biometrica. Il volto può costituire dato biometrico ai sensi dell’articolo 4, paragrafo 14, del GDPR, quando trattato attraverso tecniche specifiche che consentano l’identificazione univoca della persona. Anche laddove non si configuri formalmente una categoria particolare di dati ex articolo 9, resta comunque evidente che la manipolazione sintetica dell’immagine di una persona reale incide direttamente sulla sua identità digitale.
Il fatto che l’immagine sia “falsa” non neutralizza la protezione: il GDPR tutela la persona fisica identificata o identificabile e non l’autenticità materiale del contenuto. Se la rappresentazione artificiale è idonea a ledere diritti, reputazione o dignità dell’interessato, la disciplina sulla protezione dei dati resta pienamente applicabile.
Assumono inoltre rilievo i principi di liceità e correttezza del trattamento (art. 5), gli obblighi di protezione dei dati fin dalla progettazione (art. 25) e la necessità di una valutazione d’impatto (art. 35) qualora il trattamento comporti un rischio elevato per i diritti e le libertà delle persone fisiche. E la generazione automatizzata di immagini sessualizzate riferibili a persone reali rientra difficilmente in una categoria di rischio marginale.
Non solo GDPR: il DSA e la gestione dei rischi sistemici
Accanto alla dimensione strettamente legata alla protezione dei dati personali, c’è poi il fronte del Digital Services Act (DSA), dal momento che X è qualificata come Very Large Online Platform (VLOP) e, in quanto tale, soggetta a un regime rafforzato di responsabilità nella gestione dei rischi sistemici derivanti dal funzionamento del servizio.
Il DSA impone alle VLOP un obbligo strutturale di analisi preventiva dei rischi connessi ai propri sistemi, inclusi quelli derivanti dagli algoritmi di raccomandazione e dalle funzionalità tecnologiche integrate nella piattaforma. Le imprese devono pertanto identificare, valutare e mitigare i rischi sistemici, adottare misure proporzionate, sottoporsi ad audit indipendenti e garantire un livello adeguato di trasparenza sul funzionamento dei propri meccanismi di amplificazione.
Tra i rischi sistemici espressamente richiamati dal DSA rientrano quelli che incidono sui diritti fondamentali, inclusa la dignità umana e la protezione dei minori.
La diffusione virale di deepfake pornografici, in particolare quando colpisce donne, minori o soggetti vulnerabili, può configurare un rischio strutturale connesso all’architettura della piattaforma, dovuto alla facilità di generazione del contenuto, alla rapidità della sua propagazione e alla capacità degli algoritmi di amplificarne la visibilità.
Digital Services Act e moderazione umana
Il DSA impone dunque alle VLOP obblighi di mitigazione dei rischi sistemici che non possono essere neutralizzati da una scelta organizzativa interna. Pertanto, anche la riduzione della moderazione umana operata da X a seguito del cambio di proprietà, comporta un aumento prevedibile del rischio di diffusione di contenuti lesivi e assume quindi rilevanza giuridica.
Nel caso di X, i tagli al personale impiegato nella moderazione e nei team di “trust & safety”, sono stati ampiamente documentati e accompagnati da una narrativa pubblica incentrata su una concezione estensiva della libertà di espressione e sulla volontà di ridurre forme di controllo ritenute eccessive.
La riduzione di tali risorse incide inevitabilmente sulla capacità di intervento tempestivo e qualitativo, poiché la moderazione umana è essenziale per intercettare contenuti che sfuggono ai sistemi automatizzati, soprattutto in ambiti complessi come i deepfake, dove contesto e intenzione giocano un ruolo determinante.
Anche sotto questo profilo, l’indagine su X riguarda la coerenza complessiva del modello di governance della piattaforma con gli obblighi europei di gestione del rischio.
DSA e bilanciamento dei diritti Vs Primo emendamento
L’approccio europeo considera la dignità e la protezione dei dati come limiti strutturali all’architettura delle piattaforme, mentre negli Stati Uniti la regolazione resta frammentata e fortemente influenzata dall’interpretazione estensiva del Primo Emendamento.
La libertà di espressione è spesso posta al centro del dibattito, con un margine di intervento pubblico più limitato sull’organizzazione interna dei servizi online.
La visione di Elon Musk, improntata sin dall’inizio a un’idea ampia di free speech e, come si diceva, alla riduzione delle forme di moderazione preventiva, si colloca in questo contesto culturale e giuridico.
Così il procedimento avviato dall’autorità servirà a verificare se l’Europa sia effettivamente in grado di imporre standard strutturali a un attore globale che opera in un ecosistema normativo transatlantico disomogeneo.
Se il DSA si tradurrà in un adeguamento reale dei sistemi di mitigazione del rischio (dalla progettazione algoritmica alla governance interna), allora le sanzioni, oltre che punitive, saranno anche trasformative.
Se invece l’intervento resterà confinato alla dimensione economica, senza incidere sull’architettura del servizio, la regolazione potrebbe essere percepita come una mera tassa sull’esercizio dell’attività.
Privacy by design: impedire anziché cancellare
In tutto ciò, secondo il principio di privacy by design, una piattaforma dovrebbe essere progettata per prevenire la diffusione di materiale sintetico non consensuale: l’articolo 25 GDPR impone infatti al titolare del trattamento di implementare, fin dalla progettazione, misure tecniche e organizzative adeguate per garantire la protezione dei dati.
Nel contesto dei deepfake la piattaforma dovrebbe dunque essere strutturalmente in grado di intercettare e bloccare l’upload di contenuti manipolati prima che diventino virali.
Gli standard da utilizzare esistono: il C2PA (Coalition for Content Provenance and Authenticity) consente di tracciare la provenienza dei contenuti digitali; i sistemi di watermarking invisibile e di autenticazione crittografica dell’immagine originale consentono diidentificare l’origine del contenuto, distinguere l’immagine autentica da quella manipolata e facilitare il blocco della diffusione di versioni alterate non autorizzate.
Nonostante il regolatore irlandese non chieda formalmente a X di “riscrivere il codice”, l’indagine potrebbe portare a un effetto analogo, cioè imporre modifiche architetturali ai sistemi di rilevamento e prevenzione anche alla luce delle tecnologie disponibili.
È ormai evidente che la moderazione reattiva non è più sufficiente e la soluzione deve necessariamente rintracciarsi in una prevenzione algoritmica incorporata nell’infrastruttura stessa.
IA generativa contro IA predittiva: incapacità tecnica o scelta economica?
Le piattaforme utilizzano modelli di intelligenza artificiale per personalizzare i feed, massimizzare l’engagement, ottimizzare la pubblicità e aumentare il tempo di permanenza; la stessa IA rende estremamente semplice creare deepfake realistici e diffonderli rapidamente. Per questo, la soluzione più semplice e plausibile sarebbe utilizzare la stessa tecnologia in modo altrettanto efficace per rilevare la presenza dei deepfake.
Probabilmente, senza voler scomodare difficoltà di natura tecnica che impedirebbero l’adozione di un simile approccio, il tema potrebbe essere piuttosto di natura “economica”: una moderazione algoritmica granulare, preventiva e capillare comporta infatti investimenti elevati. E i tagli già operati sulla moderazione umana non fanno ben sperare.
Ma non solo: una moderazione preventiva potrebbe ridurre la viralità, ma potrebbe aumentare il rischio di falsi positivi e un rallentamento dei flussi di contenuto. Tutti elementi che incidono direttamente sul modello di business basato sull’engagement.
Il nodo è quindi allocativo e consiste nel comprendere quali investimenti una piattaforma (come ogni altra azienda) è disposta a sostenere per prevenire rischi che non generano ricavi.
L’indagine su X riporta pertanto al centro anche la questione della compatibilità tra protezione dei diritti fondamentali e un’economia dell’attenzione senza frizioni.
Possibili repliche di X: tra responsabilità degli utenti e limiti tecnologici
Volendo immaginare i passi successivi nel procedimento avviato dalla DPC, X potrà verosimilmente articolare una difesa su più livelli.
In primo luogo, la piattaforma potrebbe sostenere di non essere l’autore diretto dei contenuti contestati, ma di limitarsi a ospitare materiale generato dagli utenti attraverso prompt indirizzati al modello Grok. In questa prospettiva, la responsabilità primaria sarebbe riconducibile all’utilizzatore che formula la richiesta, non all’infrastruttura che la esegue.
Un secondo argomento potrebbe riguardare l’esistenza di policy interne che vietano espressamente la pubblicazione di immagini intime non consensuali, accompagnate da meccanismi di segnalazione e rimozione; la linea difensiva, in questo caso, si fonderebbe sull’intervento successivo alla conoscenza del contenuto illecito. Tuttavia, l’evoluzione del quadro europeo, tra GDPR e Digital Services Act, sposta progressivamente l’attenzione dalla mera reattività alla prevenzione strutturale del rischio.
X potrebbe inoltre invocare il principio di proporzionalità, sostenendo che la rilevazione automatica dei deepfake non è tecnicamente infallibile e che un obbligo di blocco preventivo totale risulterebbe irrealistico. Il GDPR impone infatti misure adeguate al rischio e non un risultato di eliminazione assoluta. La questione sarà quindi valutare se le misure adottate siano effettivamente proporzionate alla prevedibilità del danno.
Infine, un elemento centrale sarà la valutazione d’impatto prevista dall’articolo 35 del GDPR. Se la generazione di immagini sessualizzate di persone reali costituisce un rischio elevato per i diritti e le libertà degli interessati, la piattaforma avrebbe dovuto analizzarlo ex ante e integrare adeguate misure di mitigazione.
La difesa di X potrebbe dunque puntare sulla dimostrazione di aver condotto una valutazione preventiva e di aver progressivamente rafforzato i controlli in un’ottica di cooperazione con l’autorità.
Deepfake su X: il DSA alla prova del fuoco
Sul fronte sanzionatorio il DSA prevede, per le VLOP, sanzioni fino al 6% del fatturato globale annuo; in termini assoluti, per operatori delle dimensioni di X o Meta, si tratta di importi potenzialmente miliardari.
Ci si deve domandare però se tali sanzioni siano in grado di modificare l’architettura delle piattaforme o se rischiano piuttosto di essere assorbite come un costo operativo nel bilancio complessivo.
La storia recente del GDPR mostra che anche sanzioni molto elevate non sempre producono una trasformazione immediata del modello di business; oltre l’ammontare della multa, ciò che conta è la reale capacità del regolatore di incidere sui meccanismi strutturali, quali i sistemi di raccomandazione, i processi di moderazione, la governance interna del rischio.
Il DSA, a differenza del GDPR, introduce un obbligo continuo di valutazione e mitigazione dei rischi sistemici, non limitandosi a punire ex post: le piattaforme devono ora dimostrare di aver analizzato l’impatto delle proprie scelte organizzative e tecnologiche sui diritti fondamentali, di aver adottato misure proporzionate e di sottoporsi ad audit indipendenti.
Dalla gestione dell’incidente alla responsabilità dell’architettura
Finora le piattaforme hanno gestito i contenuti illeciti come incidenti da contenere, ma i deepfake generati tramite IA integrata evidenziano che questo approccio non è più sufficiente.
Se il rischio è strutturale, anche la risposta deve esserlo.
L’efficacia della regolazione europea si misurerà tramite la capacità di tradurre il principio di responsabilità algoritmica in modifiche concrete del design dei sistemi.
