Per i chatbot IA, dichiarare l’età non basta più
Il Garante privacy ha sanzionato Character.AI e chiesto nuove misure per gli utenti italiani. Il punto non è raccogliere più documenti, ma costruire controlli efficaci senza trasformarli in sorveglianza.

Una casella con la data di nascita può sembrare un controllo, ma spesso è soltanto una domanda a cui il sistema spera di ricevere una risposta sincera. Con i chatbot di intelligenza artificiale il limite è ancora più evidente: non si entra soltanto in una pagina, si apre una conversazione che può diventare lunga, personale e ricca di dettagli. Il provvedimento pubblicato il 9 luglio dal Garante privacy contro Character.AI porta questa soglia al centro della notizia italiana.
L’Autorità ha sanzionato per 158.000 euro Character Technologies, la società statunitense che gestisce il servizio, dopo un’istruttoria avviata nel novembre 2024. Il Garante ha accertato, tra le altre cose, carenze nell’informativa, l’adozione tardiva della valutazione d’impatto sulla protezione dei dati e la designazione tardiva del rappresentante nell’Unione europea. Ha rilevato criticità anche nelle garanzie per i minori e nei meccanismi di verifica dell’età.
È importante leggere il caso senza scorciatoie. Non è un divieto di usare i chatbot e la sanzione, da sola, non misura la sicurezza complessiva del servizio. Nel corso dell’istruttoria la società ha contestato gli addebiti e ha introdotto diverse modifiche, di cui il Garante ha tenuto conto. L’Autorità ha però concluso che restavano problemi da correggere e ha imposto di comunicare entro 120 giorni le iniziative adottate. Il valore della decisione è dunque soprattutto progettuale: una protezione promessa deve funzionare nel prodotto reale.
Tre misure che cambiano la soglia
Sul controllo dell’età, l’ordine è molto concreto. Character dovrà garantire per gli utenti italiani il corretto funzionamento della soglia dei 16 anni prevista per l’area economica europea. Dovrà rendere efficace il periodo che impedisce nuovi tentativi di registrazione dopo che una persona è stata bloccata perché ha dichiarato un’età inferiore al minimo. Infine, i profili dei minorenni dovranno essere privati per impostazione predefinita. Non basta quindi mostrare una regola: occorre evitare che possa essere aggirata subito e ridurre l’esposizione pubblica senza aspettare che sia il ragazzo a trovare l’impostazione giusta.
La distinzione decisiva è tra dichiarazione, stima e verifica dell’età. Il Comitato europeo per la protezione dei dati usa “age assurance” come termine generale per questi metodi e chiede un approccio basato sul rischio. Una semplice autodichiarazione raccoglie poco, ma può essere inefficace. Una stima o una verifica più robusta può aumentare l’affidabilità, ma anche il volume e la sensibilità dei dati trattati. La soluzione corretta non è sempre quella che domanda di più: è quella meno intrusiva tra quelle davvero efficaci per il rischio specifico.
Questo equilibrio conta perché protezione dei minori e privacy non sono obiettivi opposti. Secondo l’EDPB, il controllo non dovrebbe offrire alla piattaforma nuovi mezzi per identificare, localizzare, profilare o seguire una persona. Dovrebbe inoltre limitare finalità, quantità e conservazione dei dati e prevedere alternative quando un metodo non è accessibile o accettabile. Chiedere un documento a chiunque, per qualunque funzione e senza spiegare che cosa ne resta, non sarebbe automaticamente una buona tutela solo perché appare severo.
Che cosa entra davvero nella conversazione
La privacy policy di Character.AI, efficace dal 1° luglio 2026, aiuta a capire la scala del tema. La società indica che può raccogliere dati forniti direttamente, come identificativi, data di nascita, contenuti delle chat, immagini o video caricati e voce quando si usano determinate funzioni. Elenca anche informazioni tecniche sull’uso del servizio e rinvia a un’informativa regionale per gli utenti europei. La stessa policy dice che il servizio non è progettato per chi ha meno di 13 anni e, nello Spazio economico europeo o nel Regno Unito, per chi ha meno di 16 anni.
Un utente dovrebbe quindi trattare la chat come uno spazio gestito da un’azienda, non come un diario chiuso in un cassetto. La policy invita a non inserire informazioni personali sensibili e descrive diritti di accesso, correzione, cancellazione, opposizione e limitazione, con le condizioni previste dalla legge. Questo non significa che ogni frase venga resa pubblica o usata nello stesso modo. Significa che prima di raccontare salute, orientamento, relazioni, scuola, indirizzi o problemi familiari conviene fermarsi e verificare impostazioni e informativa.
Per un genitore o un adulto di riferimento, la conversazione utile non comincia dal controllo segreto del dispositivo. Comincia da domande comprensibili: il profilo è pubblico o privato? Il servizio è consentito per quell’età? Che cosa succede se il chatbot chiede dettagli personali? Esiste un modo semplice per segnalare un contenuto o cancellare l’account? Il ragazzo sa che una risposta fluida e affettuosa resta il prodotto probabilistico di un sistema, non una persona tenuta al segreto professionale?
Anche il passaggio di verifica merita attenzione. Se viene richiesto un documento, un’immagine del volto o l’intervento di un fornitore esterno, le domande corrette sono chi riceve il dato, quale informazione torna alla piattaforma, per quanto tempo viene conservata e come si contesta un errore. Un sistema ben progettato può comunicare soltanto che una soglia è superata, senza consegnare più identità del necessario. Se le spiegazioni sono vaghe o la richiesta sembra sproporzionata, non bisogna aggirare il controllo: bisogna fermarsi e cercare una procedura alternativa o assistenza.
Il caso Character.AI mostra infine perché “privato per impostazione predefinita” è più di una formula giuridica. Le persone giovani non dovrebbero dover conoscere ogni menù per ottenere il livello di esposizione più prudente. La sicurezza nasce dall’impostazione iniziale, dalla resistenza agli aggiramenti, da informazioni leggibili e dalla possibilità di correggere un errore. Il vecchio compleanno digitato in una casella non regge più. Ma il suo sostituto sarà credibile soltanto se proteggerà l’età senza trasformarla in un lasciapassare pieno di dati.
Nota editoriale. Informazione generale su tecnologia, privacy e tutela dei minori. Non costituisce consulenza legale, educativa o di sicurezza individuale. Per esercitare diritti sui dati o valutare un caso specifico, consultare le informative applicabili e professionisti qualificati.
Fonti
- Garante per la protezione dei dati personali, “Intelligenza artificiale: il Garante privacy sanziona Character.AI”, 9 luglio 2026, consultato l’11 luglio 2026. Verificato: sanzione di 158.000 euro, criticità accertate, misure su verifica dell’età, nuovi tentativi di registrazione, profili privati e termine di 120 giorni.
- Garante per la protezione dei dati personali, provvedimento n. 487 del 3 luglio 2026, consultato l’11 luglio 2026. Verificato: svolgimento dell’istruttoria, difese della società, violazioni accertate, misure correttive e contenuto dell’ordinanza-ingiunzione.
- European Data Protection Board, “Statement 1/2025 on Age Assurance”, consultato l’11 luglio 2026. Verificato: definizioni di autodichiarazione, stima e verifica, approccio proporzionato al rischio, minimizzazione dei dati e divieto di usare il controllo come ulteriore mezzo di identificazione o tracciamento.
- Character.AI, “Privacy Policy”, efficace dal 1° luglio 2026 e consultata l’11 luglio 2026. Verificato come fonte primaria sulle dichiarazioni della società: categorie di dati raccolti, diritti descritti, indicazione sui dati sensibili e soglie di età per SEE e Regno Unito.
- Character.AI, “Terms of Service”, consultati l’11 luglio 2026. Verificato come fonte primaria della società: esclusione dalla registrazione dei minori di 16 anni residenti o cittadini dello SEE e del Regno Unito.
Aiutaci a migliorare
Questo articolo ti è stato utile?
Un riscontro anonimo aiuta Sona a migliorare articoli, titoli e contesto delle fonti.
A seguire

Bruxelles vuole usare l’IA per difendere reti e infrastrutture, ma il passaggio decisivo è più sobrio: valutare i modelli, separare gli esperimenti dai sistemi reali e documentare chi decide.
Continua a leggere

