Il Garante per la protezione dei dati personali ha inflitto una multa di 5 milioni di euro (5,64 milioni di dollari) a Luka Inc., sviluppatore del chatbot AI Replika, segnando un'altra importante azione di enforcement nell'ambito del crescente controllo dell'Unione Europea sulle piattaforme di intelligenza artificiale.
Lanciato a San Francisco nel 2017, Replika offre agli utenti avatar AI personalizzati con cui conversare, promossi come strumenti per migliorare il benessere emotivo. L'azienda genera circa 2 milioni di dollari al mese grazie a funzionalità premium come le chat vocali, mentre i servizi di base sono offerti gratuitamente.
Il regolatore italiano aveva inizialmente ordinato la sospensione delle attività di Replika in Italia nel febbraio 2023, citando rischi specifici per bambini e persone emotivamente vulnerabili. Dopo un'indagine approfondita, il Garante ha stabilito che Luka Inc. ha violato le normative europee sulla privacy su due punti fondamentali: mancava una valida base giuridica per il trattamento dei dati personali degli utenti e non erano stati implementati meccanismi di verifica dell'età per impedire l'accesso ai minori.
Particolarmente preoccupante per le autorità è risultato il modo in cui l'app incoraggiava gli utenti a condividere informazioni personali sensibili, presentandosi come uno "spazio sicuro" e potenzialmente inducendo persone vulnerabili a rivelare più di quanto farebbero normalmente. Sebbene i termini di servizio di Replika dichiarino che il servizio non è destinato ai minori di 18 anni, gli investigatori non hanno riscontrato misure efficaci per far rispettare questa restrizione.
Oltre alla sanzione economica, il Garante ha avviato un'indagine separata per valutare se il sistema di intelligenza artificiale generativa di Replika sia conforme alle regole europee sulla privacy, in particolare riguardo alle modalità di addestramento del modello linguistico. Questo intervento si inserisce in un più ampio quadro di enforcement da parte dell'autorità italiana, che si conferma tra i regolatori più attivi dell'UE nel settore dell'IA.
Lo scorso anno, il Garante aveva già multato OpenAI, sviluppatore di ChatGPT, per 15 milioni di euro dopo aver temporaneamente vietato il popolare chatbot in Italia per presunte violazioni delle norme UE sulla privacy. Queste azioni evidenziano le crescenti sfide normative che le aziende di intelligenza artificiale si trovano ad affrontare nel complesso panorama delle leggi europee sulla protezione dei dati, soprattutto mentre l'AI Act dell'UE inizia la sua implementazione graduale fino al 2025 e oltre.