Puntata 3 — Sorveglianza mascherata da OSINT — OSINT: Occhi Ovunque — effedc.it
Inchiesta · effedc.it · 5 puntate

OSINT: Occhi Ovunque

Puntata 3 — Sorveglianza mascherata da OSINT: il caso Clearview AI, le multe europee mai pagate, e cosa (non) proibisce davvero l'AI Act europeo.

effedc.it Luglio 2026 Dati aggiornati al 4 luglio 2026 Inchiesta Puntata 3 / 5
In sintesi

Questa puntata segue la storia di Clearview AI, il caso più documentato al mondo di scraping biometrico su scala globale, e usa quella storia per mostrare il divario tra le regole scritte e la loro applicazione reale.

  • Clearview AI ha raccolto, tramite scraping automatizzato non autorizzato, un database che l'azienda stessa dichiara superare i 50 miliardi di immagini facciali, usato da forze dell'ordine in almeno 24 paesi.
  • Le autorità di protezione dati di Italia, Grecia, Francia, Paesi Bassi e Austria hanno sanzionato l'azienda per un totale stimato di circa 100 milioni di euronessuno di questi importi risulta pagato, secondo un'inchiesta congiunta di Solomon (Grecia) e IrpiMedia (Italia).
  • In Italia, il Garante ha anche bloccato nel 2021 il sistema di riconoscimento facciale in tempo reale "SARI Real Time" del Ministero dell'Interno, definendolo un possibile "sistema di sorveglianza massiva indiscriminata".
  • L'AI Act europeo, pienamente applicabile dal 2 agosto 2026, vieta lo scraping indiscriminato di volti "alla Clearview" senza eccezioni — ma lascia margini ampi per il riconoscimento facciale in tempo reale da parte delle forze dell'ordine, con condizioni che gli Stati membri possono comunque ampliare.

01 / Clearview AI: come funziona, cosa ha fatto

Clearview AI, azienda statunitense fondata nel 2017, ha costruito il proprio prodotto raccogliendo automaticamente ("scraping") fotografie di volti da siti web pubblici e social media, senza il consenso delle persone ritratte, per costruire un motore di ricerca che — a partire da una singola fotografia — restituisce l'identità e i profili social collegati a quel volto. Il servizio è venduto principalmente a forze dell'ordine.

La vicenda emerge pubblicamente nel gennaio 2020, quando un'inchiesta del New York Times rivela l'esistenza e la scala del database. Da allora, la reazione delle autorità europee è stata tra le più dure mai registrate contro una singola azienda tecnologica in materia di protezione dati — e, al tempo stesso, tra le più inefficaci in termini di risultato concreto, come vedremo.

02 / Le multe europee: circa 100 milioni di euro, zero pagati

Scheda tecnica — Le sanzioni europee contro Clearview AI
Paese/AutoritàImportoDataStato pagamento
Italia (Garante Privacy)20 milioni di euro10 febbraio 2022Non pagato (confermato aprile 2025)
Grecia (HDPA)20 milioni di euro2022Non pagato
Paesi Bassi (Autoriteit Persoonsgegevens)30,5 milioni di euro16 maggio 2024Non pagato
Francia (CNIL)Ordine di cessazione, nessuna sanzione pecuniaria pubblicata in questa faseDicembre 2021Non conformità dichiarata
Regno Unito (ICO)Ordine di cessazione e cancellazione datiNovembre 2021Contestato da Clearview

La cifra complessiva delle sole sanzioni pecuniarie europee sfiora i 100 milioni di euro. Secondo un'inchiesta giornalistica congiunta pubblicata dalla testata greca Solomon e dal centro di giornalismo investigativo italiano IrpiMedia (novembre 2025), Clearview AI non ha versato un solo euro di queste sanzioni. Il motivo strutturale: l'azienda non ha sede, filiali né rappresentanti legali nell'Unione Europea, e le autorità europee non dispongono di un meccanismo diretto per sequestrare beni o imporre il pagamento coattivo a un'entità priva di presenza legale nel proprio territorio.

Una frase che riassume il problema Aleid Wolfsen, presidente dell'autorità garante olandese, ha dichiarato nell'annunciare la sanzione del 2024: "Il riconoscimento facciale è una tecnologia altamente intrusiva che non si può semplicemente scatenare su chiunque nel mondo. Dobbiamo tracciare una linea molto chiara." La linea è stata tracciata sulla carta. Sul piano pratico, come mostrano i fatti sopra, resta in larga parte teorica.

03 / Il problema di fondo: un GDPR che non riesce a farsi valere

Il GDPR ha, sulla carta, portata extraterritoriale: si applica a qualunque trattamento di dati di residenti UE, indipendentemente da dove ha sede l'azienda che tratta quei dati — è precisamente questo principio che ha permesso alle autorità italiane, greche e olandesi di sanzionare un'azienda statunitense senza alcuna presenza in Europa. Ma l'applicazione pratica di una sanzione amministrativa straniera è tutt'altra cosa: gli Stati Uniti, come la maggior parte dei paesi extra-UE, non riconoscono automaticamente le sanzioni amministrative (non giudiziarie) di un'autorità europea come vincolanti sul proprio territorio.

Un dettaglio che mostra quanto il problema sia strutturale, non solo legato a Clearview: quando un ente europeo ha usato il prodotto Clearview, la sanzione è arrivata — e questa volta è stata pagata. Nel 2021 l'autorità svedese per la protezione dei dati ha sanzionato la propria polizia nazionale per aver testato il software Clearview senza base giuridica adeguata. In quel caso il "cliente" era europeo, con sede legale in Europa, e la sanzione ha funzionato come previsto.

Un'altra azienda europea di riconoscimento facciale, la polacca PimEyes, ha semplicemente trasferito la propria sede legale alle Seychelles poco prima che le autorità si pronunciassero su un reclamo simile a quelli contro Clearview — una mossa che illustra bene quanto sia facile, per un'azienda di questo tipo, sottrarsi alla giurisdizione europea semplicemente spostando la ragione sociale.

04 / Il caso italiano: SARI Real Time bloccato dal Garante

Prima ancora del caso Clearview, il Garante per la protezione dei dati personali italiano aveva già affrontato direttamente il tema del riconoscimento facciale in tempo reale da parte delle forze dell'ordine: nell'aprile 2021 ha bloccato l'attivazione del sistema "SARI Real Time" (Sistema Automatico di Riconoscimento delle Immagini), che il Ministero dell'Interno intendeva utilizzare per identificare in tempo reale persone ricercate tramite le telecamere di sorveglianza cittadina.

Nel motivare il blocco, il Garante ha usato una formula che è poi diventata un riferimento ricorrente nel dibattito europeo su questi temi, definendo il sistema, nella sua configurazione proposta, un possibile "sistema di sorveglianza di massa indiscriminata" — proprio la stessa preoccupazione che, anni dopo, avrebbe motivato le sanzioni contro Clearview AI e le restrizioni dell'AI Act di cui parliamo nella prossima sezione.

05 / L'AI Act europeo: cosa vieta davvero, cosa permette ancora

Il Regolamento europeo sull'Intelligenza Artificiale (AI Act) è entrato in vigore il 1° agosto 2024 ed è pienamente applicabile dal 2 agosto 2026. Le sue disposizioni sul riconoscimento facciale sono, però, entrate in vigore già dal 2 febbraio 2025 — quindi in vigore da oltre un anno al momento di questa pubblicazione.

Scheda tecnica — I due divieti che contano

Art. 5(1)(e) — scraping indiscriminato di volti: vieta la creazione o l'espansione di database di riconoscimento facciale tramite scraping non mirato di immagini da internet o da telecamere di sorveglianza. Nessuna eccezione, nemmeno per le forze dell'ordine. È, letteralmente, il divieto del modello di business di Clearview AI applicato in territorio europeo — con la stessa difficoltà pratica di farlo rispettare a un'azienda extra-UE già vista sopra.

Art. 5(1)(d) — riconoscimento biometrico "in tempo reale" in spazi pubblici: vietato per le forze dell'ordine, ma con eccezioni elencate in modo tassativo (ricerca di persone scomparse, prevenzione di attacchi terroristici imminenti, identificazione di sospetti di reati gravi con autorizzazione giudiziaria). Il riconoscimento facciale "a posteriori" (su filmati già registrati, non in diretta) non è vietato: è classificato come "ad alto rischio", con obblighi di conformità meno stringenti di un divieto assoluto.

La Svezia ha già usato questo margine: nel marzo 2025 il governo svedese ha presentato una proposta di legge, entrata in vigore il 1° gennaio 2026, che autorizza esplicitamente la polizia svedese a usare il riconoscimento facciale in tempo reale in spazi pubblici per reati gravi, con autorizzazione di un pubblico ministero e supervisione dell'autorità garante nazionale — restando, sulla carta, dentro il perimetro di eccezioni previsto dall'AI Act, ma dimostrando quanto sia ampio quel perimetro nella pratica.

Un aggiornamento dell'ultima ora: il "Digital Omnibus" Il 16 giugno 2026 il Parlamento Europeo ha approvato un pacchetto di semplificazione ("Digital Omnibus on AI") che, a seguito di un accordo politico raggiunto il 7 maggio 2026, posticipa l'applicazione delle regole sui sistemi ad "alto rischio" — categoria che include la maggior parte delle applicazioni biometriche — dal 2 agosto 2026 al 2 dicembre 2027. Il provvedimento deve ancora ricevere l'adozione formale del Consiglio dell'UE al momento di questa pubblicazione: la tempistica reale dell'entrata in vigore di queste specifiche regole, quindi, resta un punto ancora in movimento da monitorare.

Organizzazioni per i diritti digitali come European Digital Rights (EDRi) hanno definito le disposizioni biometriche dell'AI Act una "nuvola scura" con qualche "spiraglio di luce": nella loro lettura pubblica, la legge "non è all'altezza" di quanto servirebbe e rischia di fornire un "modello per legittimare" — anziché prevenire — la sorveglianza di massa, proprio a causa dell'ampiezza delle eccezioni concesse alle forze dell'ordine.

Nella prossima puntata lasciamo il livello istituzionale e scendiamo a quello più duro da raccontare: cosa succede alle persone comuni quando i dati raccolti "perché tanto sono pubblici" finiscono nelle mani sbagliate — inclusi casi che sono costati vite umane.

06 / Fonti di questa puntata

01EDPB (European Data Protection Board) — comunicato ufficiale sulla sanzione italiana a Clearview AIedpb.europa.eu, feb. 2022
02Biometric Update — "Italian regulator holds out hopes to collect fine from Clearview AI"biometricupdate.com, apr. 2025
03Solomon (Grecia) / IrpiMedia (Italia) — inchiesta congiunta "How A Shady US AI Company Dodged Fines and Defied Regulators Across Europe"wearesolomon.com, nov. 2025
04Privacy Company Blog — analisi della sanzione olandese (AP) e dell'enforcement extraterritoriale del GDPRprivacycompany.eu, set. 2024
05TechCrunch — "Italy fines Clearview AI €20M and orders data deleted"techcrunch.com, mar. 2022
06European Commission — Regolamentazione europea sull'intelligenza artificiale (AI Act), testo e cronologia di applicazionedigital-strategy.ec.europa.eu
07artificialintelligenceact.eu — Articolo 5, testo consolidato delle pratiche vietateartificialintelligenceact.eu
08Privacy International — "Toward Regulation: Addressing the Legal Void in Facial Recognition Technology"privacyinternational.org
09Future of Privacy Forum — "Red Lines under the EU AI Act", analisi Art. 5(1)(d) ed (e)fpf.org, apr. 2026
10Privacy Insight Solutions — "EU Facial Recognition: Loud Regulation, Quiet Enforcement" (caso svedese, EES)privacyinsightsolutions.com, mag. 2026