Come il Garante della Privacy passò da paladino anti-ChatGPT a indagato per peculato — e perché quel fastidio del 2023 aveva un fondo di verità
Marzo 2023. L’Italia blocca ChatGPT. Primo paese occidentale, titoloni internazionali, orgoglio regolatorio. Io guardavo la cosa con un fastidio che faticavo a spiegare. Non perché il Garante avesse torto sui problemi — li aveva eccome: base giuridica incerta, verifica età inesistente, informativa carente [1]. Il fastidio era un altro: la soluzione.
Venti giorni per adeguarsi, poi si riapre. Nel frattempo, quarantasette milioni di italiani scoprono contemporaneamente tre cose: che esiste ChatGPT, che qualcuno glielo ha vietato, e che basta una VPN per aggirare il divieto. Alfabetizzazione di massa — ma non quella che ti aspetteresti da un’autorità garante.
La sindrome del cookie banner
Mi ricordava qualcosa. La stessa logica dei banner GDPR che dal 2018 bombardano gli utenti europei: problema reale, soluzione cosmetica, effetti collaterali ignorati. Risultato? Nessuno legge niente, tutti cliccano “Accetta”, e i dati finiscono esattamente dove sarebbero finiti comunque. Solo con più passaggi e più frustrazione.
Il blocco di ChatGPT seguiva lo stesso schema cognitivo. OpenAI si adeguò in fretta — casella dell’età, informativa riscritta, opzione per escludere i dati dall’addestramento — e il 28 aprile 2023 tutto tornò come prima [2]. Anzi, meglio per loro: pubblicità gratuita, milioni di nuovi utenti italiani che prima non sapevano nemmeno cosa fosse un modello linguistico.
Nel frattempo, altrove, la mano del Garante tremava in modo diverso.
Due pesi, due misure
La settimana scorsa abbiamo scoperto perché. O almeno, la Procura di Roma ha delle ipotesi.
Il collegio al completo — Pasquale Stanzione, Ginevra Cerrina Feroni, Agostino Ghiglia, Guido Scorza — è indagato per peculato e corruzione [3]. La Guardia di Finanza ha perquisito la sede di piazza Venezia, sequestrando telefoni, computer e documentazione. Due filoni paralleli: le “spese pazze” e le sanzioni a geometria variabile.
Il caso più emblematico: i Ray-Ban Stories di Meta. Sanzione iniziale ipotizzata: 44 milioni di euro. Prima riduzione: 12,5 milioni. Seconda riduzione: 1 milione. Esito finale: annullata per decorrenza dei termini [4]. Secondo la Procura, i vertici del Garante sapevano che tirare per le lunghe avrebbe fatto scadere tutto.
Per OpenAI, venti giorni e un provvedimento d’urgenza. Per Meta, anni di melina fino all’estinzione naturale. La differenza? OpenAI non aveva rapporti con membri del collegio. Meta è un nome che compare in modo interessante nelle carte dell’inchiesta, insieme a ITA Airways e alle tessere frequent flyer da 6.000 euro l’una [5].
Il Marchese del Grillo digitale
C’è una scena di Il Marchese del Grillo che mi torna in mente. Alberto Sordi, dopo l’ennesima prepotenza, pronuncia la battuta che conosciamo tutti: “Io so’ io, e voi non siete un cazzo.” Non è solo comicità — è la radiografia di un certo potere italiano che si ritiene al di sopra delle regole che impone agli altri.
Un’autorità indipendente che multa Report — la trasmissione che poi farà emergere lo scandalo — con provvedimenti poi annullati dalla magistratura [6]. La stessa autorità che ammorbidisce le sanzioni verso chi ha legami con i suoi membri. La stessa che chiede rimborsi per “pasti pronti” in macelleria — 6.619 euro in tre anni, solo di carne dal macellaio Feroci [7].
L’ironia è stratificata, quasi geologica. Chi doveva sorvegliare i dati altrui finisce sotto i riflettori per la propria gestione contabile.
La Cassazione traccia una linea
Il 16 dicembre 2025, la Corte di Cassazione ha pronunciato una sentenza che va oltre il singolo caso [8]. Rigettando i ricorsi di Armando Siri e del Garante stesso, ha stabilito un principio: il potere sanzionatorio dell’Autorità non può essere esercitato senza limiti di tempo.
Il termine di 120 giorni per la fase sanzionatoria ha natura perentoria. Superarlo significa “consumazione del potere” [9]. La mancanza di un termine finale — scrive la Corte — collocherebbe l’Autorità in una posizione “ingiustificatamente privilegiata”, incompatibile con i principi costituzionali di certezza del diritto e diritto di difesa.
Nel caso specifico, il Garante aveva impiegato quasi due anni per emettere un provvedimento che doveva arrivare in quattro mesi. La sanzione è stata annullata. Non per ragioni di merito, ma perché chi l’ha imposta lo ha fatto “fuori tempo massimo” [10].
Ranucci l’ha chiamata “sportellata”. Ed è difficile dargli torto.
L’effetto Streisand della regolazione
Nel 2023, quando esprimevo perplessità sul blocco di ChatGPT, la risposta tipica era: “Ma almeno qualcuno fa qualcosa.” Vero. Ma cosa, esattamente?
Il Garante della Privacy ha ottenuto questo: ha insegnato agli italiani che l’intelligenza artificiale esiste, che è abbastanza importante da essere vietata, e che i divieti si aggirano con dieci euro al mese di VPN. Ha trasformato una tecnologia di nicchia in argomento da bar. Ha dato a OpenAI settimane di copertura mediatica gratuita.
Quello che non ha ottenuto: una riflessione seria su come regolare l’AI, un dibattito pubblico informato sui rischi reali, un framework che altri paesi potessero prendere a modello.
L’Italia è diventata un caso di studio — ma non nel senso che speravamo.
Il corto circuito istituzionale
C’è un’ironia ulteriore in questa vicenda. Il Garante ha sanzionato Report. Report ha indagato sul Garante. La Cassazione ha annullato le sanzioni a Report. La Procura ha indagato il Garante sulla base delle inchieste di Report.
È un Ouroboros istituzionale: il serpente che si morde la coda. Il controllato fa emergere lo scandalo del controllore. Il controllore usa i propri poteri per oscurare il monitoraggio civico. La magistratura interviene a ristabilire i confini. E il ciclo ricomincia.
In Il conformista, Bertolucci mostrava come il potere si autoalimenti attraverso la complicità silenziosa. Qui non c’è silenzio — c’è rumore, tanto rumore. Ma il meccanismo è lo stesso: chi controlla i controllori, quando i controllori controllano chi dovrebbe controllarli?
La credibilità come risorsa finita
Le Authority funzionano finché hanno credibilità. È l’unico capitale che possiedono: non hanno eserciti, non hanno budget miliardari, hanno solo la fiducia che le loro decisioni siano imparziali e competenti.
Quella fiducia si costruisce in anni e si distrugge in settimane. Stanzione dice di essere “tranquillo”, il collegio non si dimette, le difese preparano ricorsi al Riesame [11]. Nel frattempo, ogni futura decisione del Garante — su AI, su dati personali, su Big Tech — porterà con sé l’ombra di questa inchiesta.
La sanzione finale a OpenAI, 15 milioni di euro comminata a dicembre 2024, arriva ormai macchiata dal sospetto [12]. Non perché sia ingiusta — probabilmente non lo è. Ma perché chi l’ha emessa ha perso il diritto di essere creduto sulla parola.
Quello che avevo intuito senza saperlo
Nel 2023 il mio fastidio era istintivo, non argomentato. Vedevo una sproporzione tra il clamore del gesto e la modestia dei risultati. Vedevo un’autorità che sembrava più interessata alla visibilità che all’efficacia. Vedevo, forse, quella stessa dinamica che Ferrante descrive ne L’amica geniale: il potere che si esercita tanto più violentemente quanto meno è sicuro di sé.
Non immaginavo il resto — le tessere Volare, le cene pagate con la carta dell’ente, la sanzione Meta che evapora. Ma forse l’intuizione coglieva qualcosa di strutturale: quando un’istituzione agisce in modo selettivo, la selezione ha sempre una logica. Non sempre nobile.
Oggi quella logica è agli atti di un procedimento penale. E l’Italia, che per trenta giorni fu il baluardo europeo contro l’AI selvaggia, si ritrova con i custodi della privacy sotto custodia investigativa.
Il cerchio si chiude. Ma non è il finale che qualcuno aveva previsto.
Riferimenti
[1] Garante Privacy, “Intelligenza artificiale: il Garante blocca ChatGPT”, Provvedimento del 30 marzo 2023 → Documento originale con le contestazioni a OpenAI: mancanza informativa, assenza base giuridica, nessuna verifica età https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9870847
[2] Garante Privacy, “ChatGPT: limitazione provvisoria sospesa se OpenAI adotterà le misure richieste”, 11 aprile 2023 → Cronologia della riapertura: termine fissato al 30 aprile, servizio ripristinato il 28 aprile https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9874751
[3] RomaToday, “La finanza nella sede del Garante Privacy, indagati per peculato e corruzione il presidente e i componenti del collegio”, 15 gennaio 2026 → Notizia delle perquisizioni e dei capi d’accusa https://www.romatoday.it/cronaca/indagine-garante-privacy-peculato-corruzione.html
[4] Il Fatto Quotidiano, “Garante Privacy, membri indagati per peculato e corruzione”, 15 gennaio 2026 → Ricostruzione del caso Meta/Ray-Ban Stories: sanzione da 44M a zero per decorrenza termini https://www.ilfattoquotidiano.it/2026/01/15/garante-privacy-inchiesta-sequestri-procura-di-roma-news-oggi/8256927/
[5] Il Post, “Di cosa è accusato il Garante della privacy”, 16 gennaio 2026 → Dettaglio sulle tessere ITA Airways e i presunti conflitti di interesse https://www.ilpost.it/2026/01/16/accuse-indagine-garante-della-privacy-voli-alberghi-macelleria/
[6] Federprivacy, “Sberla al Garante Privacy: il Tribunale di Roma assolve Report”, 16 dicembre 2025 → Annullamento del provvedimento di ammonimento alla RAI https://www.federprivacy.org/informazione/primo-piano/sberla-al-garante-privacy-il-tribunale-di-roma-assolve-report-e-cancella-il-provvedimento-di-ammonimento-alla-rai
[7] RomaToday, “Garante privacy: viaggi, seimila euro di carne in macelleria e parrucchieri”, 16 gennaio 2026 → Dettaglio delle spese contestate: 6.619,95 euro in macelleria 2023-2025 https://www.romatoday.it/cronaca/spese-pazze-garante-privacy.html
[8] Corte di Cassazione, Sentenza n. 759/2025, 16 dicembre 2025 → Testo integrale della sentenza https://st.ilfattoquotidiano.it/wp-content/uploads/2026/01/08/759-2025-Sentenza-Cassazione.pdf
[9] Il Sole 24 Ore, “Caso Siri-Report: la sanzione del Garante privacy è fuori tempo massimo”, 20 gennaio 2026 → Analisi giuridica: natura perentoria del termine di 120 giorni, richiamo a Corte Cost. 151/2021 https://www.ilsole24ore.com/art/caso-siri-report-sanzione-garante-privacy-e-fuori-tempo-massimo-AISTGgw
[10] Il Fatto Quotidiano, “Report–Garante, la ‘sportellata’ della Cassazione”, 9 gennaio 2026 → Cronologia del caso Siri: reclamo novembre 2020, provvedimento luglio 2023 (quasi 2 anni oltre il termine) https://www.ilfattoquotidiano.it/2026/01/09/la-cassazione-da-ragione-a-report-e-torto-al-garante-della-privacy-non-puo-esercitare-il-suo-potere-senza-limiti-di-tempo/8249852/
[11] AdnKronos, “Inchiesta su Garante Privacy, Stanzione: Collegio non si dimette”, 17 gennaio 2026 → Dichiarazioni ufficiali e annuncio ricorso al Riesame https://www.adnkronos.com/cronaca/garante-privacy-inchiesta-gestione-disinvolta_3pS1NdG72eYeZpQ4FfT08k
[12] Garante Privacy, “ChatGPT, il Garante privacy chiude l’istruttoria. OpenAI dovrà pagare una sanzione di 15 milioni di euro”, dicembre 2024 → Provvedimento finale contro OpenAI https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10085432
Salahzar's Weblog 
Leave a comment