Il Garante per la protezione dei dati personali ha disposto, con un’ordinanza d’urgenza del 1° ottobre 2025, la sospensione immediata del trattamento dei dati da parte della società che gestisce Clothoff, l’app che prometteva di “spogliare” digitalmente chiunque. Il provvedimento, emesso nei confronti di una società con sede nelle Isole Vergini Britanniche, rappresenta un intervento simbolicamente potente contro un utilizzo dell’intelligenza artificiale che viola la dignità delle persone.
Un trattamento illecito e un segnale forte dal Garante
Secondo l’Autorità, Clothoff consente la creazione di immagini e video “deep nude”, riproduzioni sintetiche di persone reali in pose sessualmente esplicite. Tali contenuti, pur essendo generati artificialmente, derivano da fotografie autentiche e da volti identificabili: di conseguenza rientrano a pieno titolo nella definizione di dati personali ai sensi del Regolamento (UE) 2016/679. Il trattamento effettuato dall’app è stato qualificato come illecito per l’assenza di una base giuridica, di sistemi di verifica del consenso e di meccanismi di protezione per i minori. L’Autorità richiama anche la violazione dei principi di liceità, correttezza e trasparenza previsti dall’articolo 5 del GDPR, oltre al mancato rispetto dei criteri di privacy by design e by default.
Clothoff, priva di ogni filtro tecnico o informativo, espone le persone a un rischio elevato di abuso e di diffusione incontrollata di immagini intime manipolate. Il Garante sottolinea come i deepfake a contenuto sessuale rappresentino una forma concreta di violenza digitale, capace di distruggere la reputazione e la serenità delle vittime. L’applicazione, accessibile anche tramite bot su Telegram, ha alimentato un fenomeno in rapida espansione, spesso collegato a canali che diffondono materiale pornografico non consensuale. Le segnalazioni e le denunce raccolte negli ultimi mesi hanno spinto l’Autorità ad adottare un provvedimento d’urgenza per tutelare le persone coinvolte.
Applicazione extraterritoriale e nuove sfide per la dignità digitale
Uno dei nodi giuridici più complessi riguarda la sede estera del titolare del trattamento. Pur operando dalle Isole Vergini Britanniche, la società è soggetta al GDPR in virtù dell’articolo 3, paragrafo 2, che estende la normativa ai soggetti che offrono servizi a persone presenti nell’Unione Europea. Il punto critico resta l’attuazione pratica del blocco: non essendoci server o rappresentanti in Europa, il rispetto della misura potrà richiedere la collaborazione di provider, marketplace e autorità straniere. È probabile che il Garante avvii un coordinamento con altri organismi europei, tra cui l’EDPB, per rendere effettiva la limitazione disposta.
Il caso Clothoff si inserisce in un contesto più ampio di riflessione sulla responsabilità delle piattaforme di intelligenza artificiale. Le tecnologie di “nudificazione” non sono semplici strumenti digitali, ma strumenti capaci di minacciare la libertà e la reputazione personale. Il provvedimento italiano, pur temporaneo, stabilisce un principio di grande rilevanza: la dignità delle persone deve prevalere su qualsiasi logica di mercato o sperimentazione tecnologica.
Nei prossimi mesi sarà determinante verificare se il blocco disposto dal Garante verrà rispettato e se seguiranno misure coordinate contro applicazioni simili. Ciò che emerge con chiarezza è che l’intelligenza artificiale, quando priva di regole e controllo, può trasformarsi in un veicolo di violenza digitale.
