Una class action ampliata il 7 luglio 2026 davanti alla giustizia federale della California accusa xAI e X di aver consentito la generazione di materiale di abuso sessuale su minori tramite Grok e di non aver fornito agli investigatori dati operativi essenziali dopo una segnalazione alla CyberTipline. Secondo la ricostruzione pubblicata da Ars Technica, un uomo avrebbe usato una sola foto della figliastra, scattata quando aveva 11 anni, per creare circa 7.000 immagini e video espliciti con Grok.
Per le imprese italiane che integrano modelli generativi in prodotti, customer care, marketing o strumenti interni, il fascicolo statunitense arriva mentre l’Unione europea ha già acceso il controllo sui modelli di uso generale e mentre il Garante Privacy ha richiamato espressamente l’attenzione su Grok e su servizi analoghi capaci di manipolare immagini o voci reali. Il punto operativo non è solo la moderazione del contenuto: è la disponibilità di log, dati utente, procedure di escalation, blocchi tecnici e contratti che permettano di rispondere a un abuso in tempi utili.
▶” frameborder=”0″ allow=”accelerometer; autoplay; encrypted-media; gyroscope; picture-in-picture” allowfullscreen title=”Vedi il video”>
Settemila file e un solo allarme
La nuova versione della denuncia, secondo quanto riportato, aggiunge due giovani querelanti identificate come Jane Doe 4 e Jane Doe 5. Nel caso di Jane Doe 4, il patrigno avrebbe usato Grok per trasformare una fotografia familiare in migliaia di immagini sessualmente esplicite, poi scambiate online con materiale CSAM prodotto da altri predatori. La denuncia sostiene che senza l’accesso semplice a funzioni di “undressing” la famiglia dubiti che l’uomo avrebbe generato quei contenuti.
La denuncia afferma che Grok avrebbe consentito richieste estreme, comprese rappresentazioni di incesto e stupro, senza intercettare il comportamento dannoso. Il sistema di sicurezza di xAI, sempre secondo l’atto, sarebbe intervenuto solo quando l’utente inserì una richiesta per uno stupro di gruppo, generando una segnalazione al National Center for Missing and Exploited Children, l’organizzazione statunitense che gestisce la CyberTipline.
Anche dopo la segnalazione, secondo la causa, il danno non sarebbe stato fermato. Gli investigatori avrebbero chiesto più volte informazioni per identificare l’utente, compreso l’indirizzo IP, ma xAI avrebbe rifiutato o non risposto per settimane. L’uomo fu poi arrestato dopo un mandato di sequestro sui dispositivi; l’analisi forense avrebbe trovato circa 7.000 immagini e video generati con AI. Due giorni dopo il rilascio su cauzione, l’uomo si tolse la vita, lasciando Jane Doe 4 in una crisi personale descritta nella denuncia con ansia, depressione e pensieri suicidari.
La CyberTipline senza dati operativi
Nel il comunicato degli studi legali, Lieff Cabraser Heimann & Bernstein e Baehr-Jones Law sostengono che il caso di Jane Doe 4 non sia isolato. Secondo i legali, all’inizio del 2026 il NCMEC avrebbe riscontrato che il 90% delle segnalazioni CyberTipline di xAI non era utilizzabile dalle forze dell’ordine perché mancavano dati utente sufficienti per tracciare e localizzare i responsabili.
La dinamica attribuita a Jane Doe 4 mostra il nodo documentale: la segnalazione obbligatoria inviata da xAI al NCMEC avrebbe incluso solo la foto originale non CSAM, omettendo le immagini generate e l’indirizzo IP da cui erano state create. Secondo i legali, gli investigatori avrebbero richiesto più volte quelle informazioni di localizzazione, senza ottenere risposta per settimane.
La scala della CyberTipline spiega perché la qualità dei dati conti quanto il volume delle segnalazioni. Nei i dati ufficiali della CyberTipline, il NCMEC indica che il sistema esiste dal 1998, che nel 2025 ha ricevuto 21,3 milioni di segnalazioni e che oltre 2.000 fornitori di servizi elettronici sono registrati per inviare report, con il 23% costituito da aziende non statunitensi registrate volontariamente.
Il dossier arriva nel perimetro UE
In Italia il perimetro non parte da zero. Nell’avvertimento del Garante sui deepfake, l’Autorità richiama Grok, ChatGPT, Clothoff e servizi analoghi che permettono di generare o condividere contenuti partendo da immagini o voci reali, fino a spogliare persone senza consenso. Il Garante collega questi usi a possibili fattispecie di reato e a violazioni dei diritti e delle libertà fondamentali previste dalla normativa europea sulla protezione dei dati personali.
Il caso Grok porta la compliance AI dal piano delle policy a quello delle prove: log, dati utente, blocchi tecnici e risposta alle autorità.
Il calendario europeo aggiunge una seconda linea di controllo. Nel calendario applicativo dell’AI Act, la Commissione europea indica che il regolamento è entrato in vigore il 1 agosto 2024, che gli obblighi per i modelli di AI general-purpose sono applicabili dal 2 agosto 2025 e che i poteri di enforcement della Commissione sui fornitori di questi modelli partono dal 2 agosto 2026. La stessa pagina segnala anche l’accordo politico su modifiche che includono il divieto di sistemi AI capaci di generare contenuti sessualmente espliciti o intimi non consensuali e materiale CSAM, come le app di nudificazione.
Il fronte piattaforme resta separato ma connesso. Nell’elenco europeo dei VLOP, aggiornato al 28 maggio 2026, la Commissione include X Internet Unlimited Company tra i servizi designati nel quadro del Digital Services Act. Per un’impresa italiana che distribuisce un chatbot su una piattaforma o incorpora funzioni generative in un servizio online, questo significa trattare distintamente il rischio del modello, il rischio del canale di distribuzione e il trattamento dei dati personali usati come input.
La responsabilità corre lungo la filiera
La causa ampliata non si ferma a xAI. Secondo il comunicato dei legali, viene aggiunta anche Stability AI, creatrice dei modelli open-weight Stable Diffusion. La denuncia sostiene che versioni iniziali dei modelli sarebbero state addestrate su dataset contenenti CSAM e poi rilasciate senza garanzie adeguate, permettendo ad applicazioni terze di nudificazione di usarle come base tecnica. Si tratta di accuse, non di una decisione giudiziaria sul merito.
Questa impostazione sposta la compliance oltre il rapporto diretto fra utente finale e interfaccia. La filiera include il fornitore del modello, chi lo distribuisce, chi costruisce un’applicazione sopra quel modello, chi conserva i log, chi gestisce i reclami e chi risponde alle autorità. Nei contratti AI usati da aziende italiane, la domanda operativa diventa chi produce l’evidenza quando un output illecito viene contestato.
Per un reparto acquisti o legal non basta chiedere se il modello blocca contenuti vietati. Servono clausole su conservazione e accesso ai log, tempi di risposta a richieste delle autorità, canali di abuso presidiati, disattivazione di funzioni rischiose, tracciabilità degli input caricati dagli utenti e possibilità di isolare account, prompt, output e metadati senza compromettere prove o dati personali di terzi.
Contratti AI sotto stress operativo
Le PMI che usano generatori di immagini per marketing, e-commerce, formazione o assistenza devono verificare se il servizio consente il caricamento di fotografie reali di persone, soprattutto minori, dipendenti, clienti o utenti. In presenza di immagini personali, il richiamo del Garante porta nel dossier elementi già noti alle funzioni privacy: base giuridica, consenso quando necessario, minimizzazione, tempi di conservazione, informativa, sicurezza e gestione delle richieste degli interessati.
Le imprese più strutturate devono collegare questi controlli a incident response e vendor management. Un abuso CSAM o un deepfake sessuale non è un ticket ordinario: richiede escalation legale, privacy, sicurezza, comunicazione e, quando previsto, interazione con autorità o forze dell’ordine. Se il fornitore del modello non può produrre dati tecnici in modo tempestivo, il cliente enterprise resta senza strumenti per ricostruire la sequenza dell’abuso.
La parte più fragile dei contratti standard riguarda spesso i servizi consumer usati dentro processi aziendali senza accordi enterprise. Se un team carica immagini reali su un tool pubblico, la società deve sapere dove finiscono gli input, quali output vengono conservati, chi può accedere ai contenuti e se esiste un blocco tecnico alle richieste di nudificazione o sessualizzazione. Il caso Grok mostra che la sola policy di divieto non basta se il sistema genera, pubblica o conserva output illeciti.
Prima della sentenza resta il rischio
Il fondatore di xAI, Elon Musk, ha negato che Grok sia mai stato usato per generare immagini sessuali di minori. I legali delle querelanti, invece, chiedono danni, danni punitivi e provvedimenti inibitori, richiamando Masha’s Law, il Trafficking Victims Protection Act e norme statali. La causa è proposta come class action per gruppi nazionali negli Stati Uniti e sottoclassi del Tennessee, secondo il comunicato degli studi.
Per gli operatori italiani il fascicolo funziona già come matrice di controllo: immagini reali come input, minori come categoria vulnerabile, generazione di output illeciti, segnalazione incompleta, assenza di IP o metadati, ritardi nella collaborazione con gli investigatori, distribuzione online e danno persistente. AI Act, Garante Privacy e DSA non risolvono da soli la catena tecnica, ma mettono il tema dentro procedure documentabili. Chi integra AI generativa deve poter dimostrare non solo cosa il modello promette di bloccare, ma cosa accade quando il blocco fallisce.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Tom’s Hardware
Source link



