Il Garante ha emanato il provvedimento n. 574 del 1° ottobre 2025, con il quale ha affrontato il tema dell’AI Act e delle Deep Fake che possono compromettere i diritti e le libertà fondamentali delle persone.

Il Regolamento (UE) 2024/1689, noto come AI Act, ha introdotto un quadro armonizzato per l’uso dell’intelligenza artificiale nell’Unione Europea e, tra i principi cardine, i considerando 133 e 134 impongono ai fornitori di sistemi di IA di integrare soluzioni tecniche che rendano riconoscibile l’origine artificiale dei contenuti generati.

In particolare:

• quando un sistema di IA genera o manipola immagini, audio o video che assomigliano a persone o eventi reali, deve essere chiaramente indicato che si tratta di contenuti artificiali;
• i fornitori devono apporre etichette o watermark visibili e non rimovibili;
• lo scopo è garantire trasparenza e prevenire la diffusione di materiali ingannevoli o falsamente autentici (i c.d. deep fake).

Questo principio risponde all’esigenza di proteggere la dignità e i dati personali, specie quando i contenuti manipolati coinvolgono minori o soggetti vulnerabili.

La piattaforma di “deep nude” ClothOff

Il Garante ha esaminato il funzionamento del sito ClothOff, un servizio di IA generativa che consente di caricare foto di persone vestite e ottenere immagini modificate in modo da rappresentarle senza indumenti o di ottenere ulteriori alterazioni dell’immagine, in base alle diverse funzionalità del servizio.

Il servizio, accessibile anche dall’Italia, si presenta come una “tecnologia avanzata di intelligenza artificiale per nudità”, capace di analizzare gli indumenti e generare risultati realistici tramite algoritmi di deep learning.

In definitiva, secondo il provvedimento, ClothOff:

• consente all’utente di creare account e scaricare immagini manipolate;
• offre funzioni aggiuntive (“pose”, “swap face”, “anime undress”, ecc.);
• dichiara di disporre di misure di sicurezza e di divieti d’uso per immagini di minori o senza consenso.

Tuttavia, l’analisi del Garante ha evidenziato gravi criticità.

Le violazioni accertate

Dalla verifica dell’Autorità emergono numerose violazioni del Regolamento (UE) 2016/679 (GDPR):

• assenza di misure proattive per impedire l’uso del servizio con immagini di minori;
  inefficacia del watermark, che contrassegna le immagini con la parola “Fake” poco visibile e facilmente rimovibile;
• mancata verifica dell’età degli utenti e dell’autenticità del consenso;
• rischio elevato per la dignità e la reputazione delle persone ritratte, in violazione dei principi di liceità, correttezza e accountability (art. 5 GDPR);
• inosservanza del principio di data protection by design e by default (art. 25 GDPR).
  

Inoltre, la società titolare – con sede nelle Isole Vergini Britanniche – non ha risposto alla richiesta di informazioni del Garante, aggravando la posizione di responsabilità.

La decisione del Garante

Con il provvedimento n. 574 del 1° ottobre 2025, il Garante ha dunque:

• dichiarato illecito il trattamento di dati personali effettuato dal servizio ClothOff;
• disposto in via d’urgenza la limitazione provvisoria dei trattamenti dei dati personali di utenti italiani;
• ordinato la pubblicazione del provvedimento sul sito dell’Autorità e l’annotazione nel registro interno delle violazioni.

Tale misura ha effetto immediato e resterà valida fino al completamento dell’istruttoria, a tutela dei diritti e delle libertà fondamentali delle persone coinvolte.

Deep fake e rischi sociali: l’allarme del Garante

Il provvedimento richiama l’attenzione su un fenomeno in forte espansione: la creazione e diffusione di contenuti manipolati digitalmente che appaiono falsamente autentici.

Tra i più pericolosi, i cosiddetti deep nude, che simulano la nudità di persone reali, spesso senza il loro consenso.

Il Garante sottolinea che tali pratiche:

• costituiscono una violazione della dignità e della riservatezza personale;
• possono integrare reati di diffamazione, trattamento illecito di dati o pornografia non consensuale;
• alimentano un allarme sociale, aggravato dalla facilità con cui queste immagini circolano sui social network.
  

Come comportarsi in casi simili: indicazioni operative

Il provvedimento fornisce utili spunti pratici per le pubbliche amministrazioni, i DPO e i professionisti che utilizzano o supervisionano strumenti di IA.

Ecco alcune raccomandazioni operative:

• verificare sempre l’origine dei contenuti digitali, specie se provenienti da piattaforme di AI generativa;
• implementare watermark chiari, indelebili e non rimovibili, visibili su tutto il contenuto;
• inserire informative trasparenti che indichino l’uso di IA per la creazione o manipolazione di contenuti;
• prevedere procedure di consenso esplicito e verificabile, soprattutto quando le immagini riguardano persone reali;
• monitorare i rischi etici e reputazionali derivanti dall’uso di sistemi di generazione automatica di immagini o video;
• formare il personale su riconoscimento dei deep fake e gestione dei contenuti digitali manipolati;
• consultare il DPO o l’ufficio privacy in caso di dubbio sull’utilizzo lecito di software di intelligenza artificiale.
  

Collegamenti con l’AI Act e la normativa privacy

L’intervento del Garante si inserisce perfettamente nel nuovo quadro dell’AI Act, che classifica i sistemi di IA in base al rischio.

I sistemi generativi di immagini o video rientrano tra quelli ad alto rischio o, in taluni casi, tra i rischi inaccettabili, se possono produrre effetti discriminatori o lesivi.

Il provvedimento evidenzia come:

• la trasparenza e la tracciabilità dei contenuti generati da IA siano obblighi imprescindibili;
• i fornitori debbano adottare misure tecniche idonee a rivelare la natura artificiale dei contenuti;
• la mancata adozione di tali misure integra una violazione del GDPR e, in prospettiva, anche del Regolamento AI Act.

Un approccio etico e responsabile

La vicenda ClothOff mostra come l’intelligenza artificiale, se non governata, possa trasformarsi in uno strumento di abuso e disinformazione.

Il Garante richiama quindi il principio di accountability: ogni titolare deve essere in grado di dimostrare di aver adottato misure adeguate e proporzionate ai rischi del trattamento.

L’etica digitale diventa così un elemento essenziale della compliance:

• l’IA deve essere progettata “by design” nel rispetto dei diritti fondamentali;
• la tutela della dignità umana è un limite invalicabile anche per l’innovazione tecnologica.

Conclusioni

Il caso analizzato rappresenta un punto di svolta nell’applicazione congiunta di AI Act e GDPR.
Da esso si ricava un insegnamento chiaro:

• l’innovazione tecnologica non può prescindere dal rispetto della persona, della verità e della trasparenza.

Le organizzazioni pubbliche e private devono quindi:

• progettare i sistemi di IA nel rispetto dei principi di liceità, correttezza e trasparenza;
• evitare che l’IA diventi un canale per la diffusione di contenuti falsi o degradanti;
• adottare policy interne e misure di sicurezza per garantire l’uso etico e legale dell’intelligenza artificiale.
  

Come ricorda il Garante, l’IA non deve “spogliare” la dignità umana, ma valorizzarla attraverso l’uso consapevole, responsabile e conforme alla legge.