Il DPC irlandese avvia un’indagine su Grok per immagini sessualizzate non consensuali, ai sensi del GDPR. È il terzo fronte regolatorio UE contro X, che rischia sanzioni fino al 4% del fatturato globale.
Il Data Protection Commission (DPC) irlandese ha notificato a X l’avvio di un’indagine formale su Grok, la IA integrata sulla piattaforma. L’oggetto dell’inchiesta è verificare se il trattamento dei dati personali da parte del chatbot di xAI viola il GDPR, il regolamento europeo sulla protezione dei dati.
Ma il contesto è più ampio e riguarda ik problema che ho raccontato anche qui nelle scorse settimane. E riguarda la capacità di Grok di generare immagini sessualizzate di persone reali, soprattutto donne e minori.
Graham Doyle, vice commissario del DPC, ha spiegato che l’autorità sta interagendo con X Internet Unlimited Company (XIUC), la società irlandese che gestisce le operazioni europee della piattaforma di Elon Musk, da quando sono emersi i primi report sulla possibilità di usare l’account @Grok su X per generare questo tipo di contenuti. E ora si passa dalle interlocuzioni informali a un’indagine strutturata.
Perché l’Irlanda è al centro di tutto
Il DPC irlandese è il regolatore principale per X in tutta l’Unione Europea, perché le operazioni europee dell’azienda hanno sede a Dublino. Questo significa che l’indagine irlandese ha valore per tutti i 27 stati membri dell’UE e per lo Spazio Economico Europeo.
Le sanzioni potenziali posso arrivare fino al 4% del fatturato globale dell’azienda. Per un’azienda delle dimensioni di X, parliamo di cifre nell’ordine di centinaia di milioni di euro.
Ma c’è un aspetto che rende questa indagine particolarmente rilevante. Il DPC ha avviato quella che definisce una “large-scale inquiry”, un’indagine su larga scala che esaminerà la conformità di X agli obblighi fondamentali del GDPR: i principi del trattamento dati; la liceità del trattamento; la protezione dei dati fin dalla progettazione e per impostazione predefinita; e l’obbligo di condurre una valutazione d’impatto sulla protezione dei dati.
Grok e il terzo fronte europeo
L’indagine del DPC si aggiunge a due procedimenti già aperti. Il 26 gennaio la Commissione Europea ha avviato un’indagine per verificare se Grok diffonde contenuti illegali ai sensi del Digital Services Act.
E il 3 febbraio l’autorità britannica per la privacy, l’ICO, ha aperto un’indagine analoga a quella irlandese, sempre focalizzata sul GDPR e sulla generazione di immagini sessualizzate.
Tre indagini diverse, tre autorità diverse, ma tutte puntate sullo stesso problema: un chatbot che genera immagini di nudo non consensuali senza filtri efficaci.
Grok e cosa è successo a gennaio
Per capire il contesto di questa indagine bisogna tornare a quanto accaduto nelle prime settimane del 2026.
Come già ricordato, a fine 2025 X ha rilasciato la possibilità delle modifiche delle immagini direttamente nei post pubblici, quindi visibili a tutti.
A distanza di pochi giorni, a gennaio, Grok ha iniziato a generare immagini sessualizzate su richiesta degli utenti in modo massiccio. Un’inchiesta riportata anche da Bloomberg ha quantificato il fenomeno: circa 6.700 immagini sessualizzate all’ora, 84 volte più dei principali siti dedicati ai deepfake. L’85% delle immagini prodotte da Grok era classificabile come contenuto sessualizzato.
Le storie delle vittime hanno fatto il giro dei media internazionali.
Donne che si ritrovavano versioni nude delle proprie foto pubblicate su X, senza aver dato alcun consenso e senza strumenti efficaci per rimuoverle. Una di loro aveva pubblicato una foto con il fidanzato in un bar: due sconosciuti l’hanno modificata usando Grok, prima mettendola in bikini, poi sostituendo il bikini con un filo interdentale. Ha segnalato le immagini a X. Non ha mai ricevuto risposta.
X, in risposta al fenomeno dilagante, ha poi annunciato alcune restrizioni, limitando la generazione di immagini agli abbonati paganti. Ma le verifiche condotte da Reuters all’inizio di questo mese hanno dimostrato che Grok continuava a produrre immagini sessualizzate quando sollecitato.
La differenza tra DSA e GDPR
L’indagine della Commissione Europea si muove sul binario del Digital Services Act, il regolamento che disciplina i contenuti online e la moderazione delle piattaforme. È lo stesso regolamento che a dicembre 2025 ha portato a una multa di 120 milioni di euro contro X per la questione delle spunte blu ingannevoli.
L’indagine del DPC irlandese si muove invece sul binario del GDPR, che riguarda specificamente la protezione dei dati personali. Sono due strumenti diversi, con logiche diverse e sanzioni diverse. E X rischia, appunto, su entrambi i fronti.
Il GDPR richiede che il trattamento dei dati personali sia lecito, corretto e trasparente. Richiede che i dati siano raccolti per finalità determinate e trattati in modo compatibile con quelle finalità.
Richiede una valutazione d’impatto quando il trattamento può comportare rischi elevati per i diritti delle persone. Generare immagini sessualizzate di persone reali senza il loro consenso, infatti, solleva questioni su tutti questi punti.
La risposta di Musk e le tensioni con l’UE
La posizione di Elon Musk e della sua amministrazione sulle regolamentazioni UE è nota. Musk ha espresso più volte le sue obiezioni alle norme UE sui contenuti online. L’amministrazione Trump ha descritto le multe imposte alle aziende tecnologiche americane come una forma di tassazione.
Ma le autorità UE non sembrano intenzionate a fare passi indietro. La Commissione ha già ordinato a X di conservare tutti i documenti relativi a Grok fino alla fine del 2026. È un segnale, come ricordato, che indica la costruzione di un dossier per eventuali azioni future.
Cosa c’è da aspettarsi
L’indagine del DPC richiederà tempo, settimane o mesi. Ma il fatto che si sia passati da interlocuzioni informali a un procedimento formale indica che il DPC ha ritenuto insufficienti le risposte di X alle prime sollecitazioni.
Nel frattempo, negli Stati Uniti il Take It Down Act prevede che le piattaforme si adeguino entro maggio 2026. È una legge che riguarda specificamente la rimozione di immagini intime non consensuali, incluse quelle generate dall’intelligenza artificiale.
Il Take It Down Act (approvato negli USA a maggio 2025) è una legge federale statunitense che obbliga le piattaforme online a rimuovere immagini e video intimi non consensuali (inclusi deepfake e revenge porn) entro 48 ore dalla segnalazione, garantendo una maggiore protezione delle vittime di abusi digitali e pornografia generata da IA.
X si trova quindi sotto pressione su più fronti: UE, Regno Unito, Stati Uniti.
E al centro di tutto c’è Grok, il chatbot che Musk ha promosso come più divertente e irriverente degli altri. Quella irriverenza, però, rischia di costare molto cara.
