Deepfake: il Garante blocca Clothoff, l’app che “spoglia” le persone

Deepfake: il Garante blocca Clothoff, l’app che “spoglia” le persone

Immagine estratta da https://it.freepik.com/

Con il provvedimento n. 574 del 1° ottobre 2025 il Garante per la protezione dei dati personali ha dichiarato illecito il trattamento di dati personali effettuato dalla società titolare dell’applicazione Clothoff, con sede nelle Isole Vergini Britanniche, disponendo in via d’urgenza e con effetto immediato, la limitazione provvisoria dei trattamenti dei dati personali degli interessati italiani.

La misura è stata adottata in ragione della elevata gravità delle violazioni constatate e del potenziale numero di interessati coinvolti, con particolare attenzione ai minori e alla natura dei dati trattati.

Il servizio di “deep nude AI”

Il Garante ha rilevato che il sito app.clothoff.info (e domini collegati) offre un servizio di intelligenza artificiale generativa che consente, previa registrazione di un account, di caricare fotografie di persone vestite e ottenere immagini “nudificate”, cioè manipolate per apparire prive di indumenti, oltre ad altri tipi di alterazioni (“Nude, Costume, Pose, Swap Face, Anime Undress”).

Il servizio si presenta come una “tecnologia avanzata di intelligenza artificiale per nudità, progettata per “svestire” le foto e creare l’illusione di un corpo nudo. Utilizza algoritmi di deep learning per analizzare ed elaborare gli indumenti nelle immagini, nudizzandoli efficacemente per generare risultati realistici”.

L’Autorità, nell’ambito della sua attività di sorveglianza, ha avviato una richiesta di informazioni alla società (titolare del trattamento ai sensi degli artt. 4, n. 7 e 24 GDPR, operante verso utenti situati nell’Unione europea ai sensi dell’art. 3, par. 2, lett. a) GDPR), rimasta priva di riscontro (circostanza che ha rafforzato la valutazione di urgenza).

I profili di violazione accertati

Carenza di misure idonee a escludere l’uso da parte o nei confronti di minori

Il Garante ha ritenuto che la società non abbia adottato misure efficaci per impedire l’utilizzo dell’app da parte di minori o il caricamento di immagini che li ritraggano, in violazione dei principi di liceità, correttezza e accountability (art. 5, par. 1, lett. a e par. 2 GDPR).

Nonostante il sito presenti un pop-up e “termini di servizio” che vietano l’uso di immagini senza consenso o ritraenti minori, tali avvertenze sono state considerate meri richiami di obblighi già previsti dalla legge, privi di efficacia preventiva o di controllo tecnico concreto.

Inadeguatezza del watermark e violazione del principio di trasparenza

L’Autorità ha accertato che le immagini generate da Clothoff contengono un watermark recante la parola “Fake”, ma con opacità e collocazione tali da renderlo quasi invisibile o facilmente eliminabile.
Il banner inferiore con l’origine del contenuto può essere rimosso con un semplice ritaglio dell’immagine.

Ne consegue la violazione dei principi di correttezza, trasparenza e data protection by design/by default (artt. 5, par. 1, lett. a; 25 GDPR), nonché del Regolamento (UE) 2024/1689 sull’intelligenza artificiale (AI Act), i cui considerando 133 e 134 impongono ai fornitori di sistemi di IA di etichettare chiaramente i contenuti generati o manipolati artificialmente.

Mancanza di accountability e di risposta istruttoria

La mancata collaborazione della società all’istruttoria avviata dall’Ufficio integra un comportamento non conforme all’obbligo di accountability (art. 5, par. 2 GDPR).

La misura adottata

Il Garante, pertanto, ha qualificato come illecito il trattamento dei dati personali effettuato attraverso Clothoff, ai sensi dell’art. 57, par. 1, lett. a) e i) GDPR, in relazione alle violazioni degli artt. 5 e 25 del Regolamento e, ai sensi dell’art. 58, par. 2, lett. f) GDPR, ha disposto «la misura della limitazione provvisoria dei trattamenti di dati personali effettuati mediante il servizio reso disponibile dall’Italia nei confronti di utenti italiani qualificabili come interessati del trattamento», con effetto immediato e «fino al completamento dell’istruttoria in corso», ricordando che l’inosservanza del provvedimento costituisce reato ai sensi dell’art. 170 del Codice Privacy e comporta l’applicazione delle sanzioni ex art. 83, par. 5, lett. e GDPR.

Rilevanza sistemica del caso

Il caso Clothoff rappresenta una prima applicazione concreta del combinato disposto tra GDPR e AI Act in materia di deepfake.
L’Autorità ha valorizzato l’obbligo per i fornitori di sistemi di intelligenza artificiale di integrare soluzioni tecniche affidabili per rendere identificabili i contenuti generati artificialmente e ha ribadito che la mancanza di tali accorgimenti incide sulla liceità del trattamento dei dati personali.

L’uso di applicazioni che simulano nudità o atti sessuali costituisce una forma di trattamento potenzialmente lesiva della dignità e dell’integrità morale delle persone, aggravata dal fatto che:

Conclusioni

Il provvedimento conferma la linea rigorosa del Garante nella tutela della persona di fronte alle nuove tecnologie generative:
nessuna innovazione può legittimare il trattamento di dati personali (tanto più immagini intime o manipolate) in assenza di consenso e di adeguate garanzie di trasparenza.

La “nudificazione digitale” non è un gioco di stile, ma una violazione profonda della dignità individuale.

È dovere dei fornitori di sistemi di IA assicurare la marcatura visibile e permanente dei contenuti artificiali e l’effettiva verifica dell’età e del consenso dei soggetti coinvolti.
È altresì compito degli utenti, soprattutto dei minorenni, comprendere che l’utilizzo di tali applicazioni espone a rischi concreti e irreversibili: perdita del controllo sulle proprie immagini, diffusione incontrollata, e possibile coinvolgimento in reati informatici.

Articoli