Con il Provvedimento n. 574 del 1° ottobre 2025, il Garante per la Protezione dei Dati Personali ha disposto la limitazione provvisoria del trattamento dei dati personali nei confronti della società AI/Robotics Venture Strategy 3 Ltd., con sede nelle British Virgin Islands, titolare del servizio di intelligenza artificiale ClothOff.
Un servizio di “deep fake” ad alto rischio
ClothOff è un sistema di intelligenza artificiale generativa di tipo “deep nude”, che consente agli utenti — previa creazione di un account — di caricare fotografie di persone vestite e ottenere immagini alterate in cui i soggetti appaiono senza indumenti.
Il servizio utilizza algoritmi in grado di generare risultati particolarmente realistici, “creando l’illusione di un corpo nudo”.
Secondo il Garante Privacy, questa tecnologia presenta rischi elevatissimi per i diritti e le libertà fondamentali, incidendo direttamente sulla dignità della persona, sul diritto alla riservatezza e sulla protezione dei dati personali.
L’Autorità ha parlato esplicitamente di “allarme sociale”, soprattutto per la possibilità che il servizio venga usato impropriamente su immagini di minori o senza il consenso dei soggetti ritratti.
Il quadro normativo: GDPR e AI Act
Il provvedimento si fonda sul Regolamento (UE) 2016/679 (GDPR), ma richiama anche il nuovo Regolamento (UE) 2024/1689 sull’intelligenza artificiale (AI Act), che impone ai fornitori di sistemi IA di marcare chiaramente i contenuti generati o manipolati, così da rivelarne l’origine artificiale (cfr. considerando 133 e 134).
Il Garante ha ribadito che, in base all’art. 3, par. 2, lett. a) del GDPR, il Regolamento si applica anche ai trattamenti effettuati da società stabilite fuori dall’UE, qualora offrano servizi a interessati situati nel territorio europeo — come nel caso di ClothOff, che si rivolge anche a utenti italiani.
L’istruttoria del Garante e il silenzio del titolare
Con nota del 6 agosto 2025, l’Autorità ha avviato un’istruttoria formale, chiedendo chiarimenti alla società titolare del trattamento su:
- modalità di funzionamento dell’IA;
- misure adottate per prevenire abusi;
- gestione delle immagini e dei dati biometrici;
- rischi reputazionali per i soggetti ritratti.
Nonostante la richiesta ufficiale, ClothOff non ha mai risposto, aggravando la posizione del titolare del trattamento ai sensi degli artt. 4, n. 7 e 24 del GDPR, che definiscono e disciplinano la responsabilità diretta del titolare nei confronti degli interessati.
Le violazioni contestate
L’Autorità ha ritenuto che ClothOff abbia violato più principi fondamentali del GDPR, in particolare gli articoli 5 e 25, sotto tre principali profili:
1. Violazione del principio di Accountability (art. 5, par. 1, lett. a) e par. 2)
Sebbene il sito riporti avvisi contro l’uso di immagini di minori o senza consenso, il Garante ha evidenziato che tali avvertimenti si limitano a ribadire divieti già noti e non integrano un vero approccio proattivo.
La società non ha implementato misure tecniche o organizzative per verificare la liceità del trattamento e prevenire abusi, inclusa l’elaborazione di dati biometrici di soggetti terzi.
2. Inadeguata protezione dei minori (art. 5, par. 1, lett. a)
ClothOff afferma di disporre di sistemi di IA capaci di bloccare immagini di persone minorenni, ma l’istruttoria ha dimostrato che tali misure non sono pienamente efficaci.
Il servizio non impedisce né l’uso da parte di utenti minorenni, né il caricamento di immagini di minori, con evidenti rischi di violazione della dignità personale e del diritto all’immagine.
3. Violazione del principio di privacy by design e by default (art. 25 GDPR)
Il watermark adottato da ClothOff, con la dicitura “Fake”, è stato giudicato inefficace: poco visibile, facilmente rimovibile e non idoneo a segnalare in modo chiaro la natura artificiale dell’immagine.
Anche il banner inferiore, che dovrebbe indicare la provenienza del contenuto, può essere eliminato con un semplice ritaglio.
Di conseguenza, la società ha omesso di progettare il sistema in modo conforme ai principi di correttezza, trasparenza e minimizzazione dei rischi.
La misura adottata: sospensione immediata del trattamento
Alla luce della gravità delle violazioni, del numero potenzialmente elevato di soggetti coinvolti e della natura sensibile dei dati trattati, il Garante ha applicato una misura d’urgenza ai sensi dell’art. 58, par. 2, lett. f) del GDPR: limitazione provvisoria del trattamento dei dati personali relativi agli utenti italiani.
In base all’art. 18 del GDPR, tale limitazione comporta che i dati non possano essere trattati in alcun modo, salvo che:
- per la conservazione;
- con il consenso dell’interessato;
- per accertare, esercitare o difendere un diritto in sede giudiziaria;
- o per motivi di interesse pubblico rilevante.
La misura resta in vigore fino alla conclusione dell’attività istruttoria.
Il Garante ha poi ricordato che la violazione della misura disposta integra la fattispecie di cui all’art. 170 del Codice Privacy (“Inosservanza dei provvedimenti”), punita con la reclusione da tre mesi a due anni.
Inoltre, l’inadempimento può comportare sanzioni amministrative fino a 20 milioni di euro o, per le imprese, fino al 4 % del fatturato mondiale annuo, come previsto dall’art. 83, par. 5, lett. e) del GDPR.
Il provvedimento è stato pubblicato integralmente sul sito del Garante Privacy.
Un precedente che segna un punto di svolta
Il caso ClothOff rappresenta un precedente significativo nel panorama europeo della regolamentazione dell’intelligenza artificiale.
Evidenzia come le tecnologie di AI generativa, se non correttamente progettate e gestite, possano trasformarsi in strumenti di violazione della dignità personale e lesione dei diritti fondamentali.
Per gli operatori del settore tech e i fornitori di servizi basati su IA, il messaggio è chiaro: innovare sì, ma nel rispetto del principio di responsabilità e della tutela effettiva delle persone.
