Verifica dell'identità | Il tuo volto e i tuoi dati non ti appartengono – Anthropic (Claude), LinkedIn e la nuova economia del controllo biometrico

ID per favore! Come le piattaforme di intelligenza artificiale stanno prendendo il controllo totale delle nostre identità digitali

Il potere segreto dei dati: come Anthropic, LinkedIn e OpenAI esternalizzano l'utilizzo dei nostri volti a terzi

Chi desidera utilizzare i moderni sistemi di intelligenza artificiale non paga più solo con abbonamenti, ma sempre più spesso con i dati più sensibili in nostro possesso: la nostra identità biometrica. L'ultima misura adottata da Anthropic, l'azienda che ha creato il celebre assistente virtuale Claude, segna una svolta epocale nell'infrastruttura digitale. Per utilizzare alcune funzioni, il sistema richiede ora un documento d'identità ufficiale con foto, abbinato a un selfie in tempo reale. Ciò che viene presentato al mondo esterno come un innocuo e necessario passo per la sicurezza della piattaforma e la prevenzione degli abusi, si rivela, a un'analisi più attenta, un vero e proprio campo minato per la privacy dei dati. Questo perché i dati biometrici non finiscono direttamente in Anthropic, bensì in Persona, un fornitore terzo statunitense profondamente radicato nella rete di investitori di Palantir, la società di sorveglianza di Peter Thiel, che gestisce anche la verifica dell'identità per colossi come LinkedIn e OpenAI. Il seguente articolo fa luce su questo rischioso intreccio della nuova economia dell'identità, spiega l'irrisolvibile conflitto tra il CLOUD Act statunitense e il GDPR europeo e mostra perché le aziende devono urgentemente ripensare la propria strategia in materia di intelligenza artificiale per evitare di cadere in una trappola di responsabilità e dipendenza esistenziale.

Correlato a questo:

• Le forze armate tedesche stanno rinunciando al sistema Palantir e stanno valutando alternative: Almato (Stoccarda), Orcrist (Berlino) e Chapsvision (Parigi)

Quando la fiducia diventa una merce: come le piattaforme di intelligenza artificiale stanno prendendo il controllo delle identità digitali

Anthropic, l'azienda che ha creato l'assistente virtuale basato sull'intelligenza artificiale Claude, ha introdotto all'inizio di aprile 2026 una misura che ha suscitato un acceso dibattito nel settore: la verifica obbligatoria dell'identità per alcuni utenti, tramite un documento d'identità ufficiale con foto e un selfie in tempo reale. Chiunque desideri utilizzare Claude in determinate situazioni deve sottoporsi a un processo biometrico condotto da un fornitore terzo con sede negli Stati Uniti. Questa decisione è tecnicamente banale, ma ha implicazioni politiche ed economiche di vasta portata e tocca questioni che vanno ben oltre la semplice igiene della piattaforma. Anthropic non è la sola: LinkedIn, Reddit, Discord e OpenAI utilizzano tutti la stessa infrastruttura, lo stesso fornitore di servizi e la stessa rete di investitori. Ed è proprio qui che risiede il vero problema.

Valutazione, potere di mercato e responsabilità delle infrastrutture di importanza sistemica

Per comprendere le implicazioni di questa decisione, è necessario innanzitutto esaminare l'attuale posizione di mercato di Anthropic. Nel febbraio 2026, l'azienda, fondata nel 2021 da ex ricercatori di OpenAI, ha chiuso un round di finanziamento di Serie G da 30 miliardi di dollari, raggiungendo una valutazione post-money di 380 miliardi di dollari: il secondo round di finanziamento privato più grande nella storia del settore tecnologico, superato solo dal round da 40 miliardi di dollari di OpenAI. Il fatturato annualizzato si attesta sui 14 miliardi di dollari, con i ricavi derivanti dal solo strumento per sviluppatori Claude Code che hanno superato i 2,5 miliardi di dollari a febbraio 2026. Circa l'80% del fatturato proviene da clienti aziendali.

La valutazione implica un multiplo del fatturato di circa 27, elevato ma non eccezionale nell'attuale contesto degli investimenti nell'IA. Amazon è il maggiore singolo investitore con circa 8 miliardi di dollari, insieme al fondo sovrano di Singapore GIC e a Coatue Management tra gli investitori principali. Founders Fund, il veicolo di investimento di Peter Thiel, ha co-guidato il round. Ciò significa che Anthropic non è più una startup nel senso tradizionale del termine, ma un fornitore di infrastrutture di importanza sistemica per migliaia di aziende in tutto il mondo. È proprio questo status a rendere così singolare la decisione relativa alla verifica dell'identità: un'azienda che fornisce infrastrutture di base per l'IA aziendale delega la raccolta dei dati biometrici degli utenti a un fornitore esterno statunitense senza costruire una propria architettura di protezione dei dati conforme alla legislazione europea.

Identità personali: la spina dorsale silenziosa dell'economia dell'identità digitale

Il fornitore di servizi di verifica scelto da Anthropic è Persona Identities, una startup con sede a San Francisco specializzata in soluzioni Know Your Customer (KYC) e di verifica dell'identità. Nell'aprile 2025, Persona ha chiuso un round di finanziamento di Serie D da 200 milioni di dollari, raggiungendo una valutazione di 2 miliardi di dollari. Il round è stato co-guidato da Founders Fund e Ribbit Capital, con la partecipazione di investitori già presenti come BOND, Coatue, First Round Capital e Index Ventures. Solo nel 2024, l'azienda ha effettuato oltre 300 milioni di verifiche di identità, raddoppiando contemporaneamente sia il fatturato che la base clienti. Tra i suoi clienti figurano Reddit, LinkedIn, OpenAI, Discord, Roblox e molte altre importanti piattaforme. Persona è quindi diventata di fatto l'infrastruttura di identità per gran parte di Internet in lingua inglese.

Ciò che domina il dibattito pubblico, tuttavia, è il panorama degli investitori. Founders Fund è il veicolo di Peter Thiel, l'imprenditore e venture capitalist tedesco-americano che ha co-fondato PayPal nel 1998, ha creato Palantir Technologies nel 2003 e dirige Founders Fund dal 2005. Thiel è presidente del consiglio di sorveglianza di Palantir, carica che ricopre ininterrottamente sin dalla nascita dell'azienda. Secondo diverse fonti, Founders Fund detiene circa il 10% di Persona e ha guidato sia il round di finanziamento di Serie C che quello di Serie D. Ciò che colpisce in particolare è che, secondo un'analisi dettagliata, Persona elenca circa 17 sub-processori, tra cui AWS, Google, OpenAI, Stripe, Twilio e potenzialmente la stessa Anthropic. LinkedIn, secondo le sue stesse dichiarazioni, riceve solo una piccola parte di questi dati: nome, anno di nascita, risultato della verifica e una versione anonimizzata dell'ID. Il set di dati, di gran lunga più completo, rimane in possesso di Persona.

L'architettura dell'interdipendenza: più di un semplice rapporto tra investitori

A questo punto, è necessaria una distinzione più sfumata, che spesso viene omessa nel dibattito pubblico. L'equazione semplicistica "Thiel investe in Persona, quindi Palantir può accedere ai dati di Persona" è inesatta. Peter Thiel non è fondatore, CEO o responsabile delle decisioni operative di Persona. Founders Fund detiene una quota di minoranza e non ha alcun controllo operativo comprovato sulle politiche di Persona in materia di dati.

Ciò che desta legittima preoccupazione, tuttavia, è il livello strutturale: Founders Fund, in qualità di principale investitore, ha guidato i round di finanziamento più significativi e detiene quindi i cosiddetti diritti informativi – accesso contrattuale a figure chiave dell'azienda, allo sviluppo della clientela e alla direzione strategica. Thiel ricopre contemporaneamente la carica di Presidente di Palantir, il cui intero modello di business si basa sulla fusione di dataset eterogenei in profili coerenti di identità e comportamento. I ricercatori di sicurezza che hanno analizzato i sistemi di Persona nel corso di dibattiti pubblici hanno scoperto quasi 2.500 file front-end accessibili pubblicamente su un server autorizzato dal governo statunitense – file che rivelavano 269 diversi controlli di verifica per utente, tra cui il riconoscimento facciale rispetto alle liste dei ricercati e i controlli rispetto alle liste di persone politicamente esposte. In questo senso, i modelli di business di Palantir e Persona sono architettonicamente complementari: Persona produce ancore di identità biometrica verificate, mentre Palantir crea l'infrastruttura per la fusione e l'analisi dei dati. Non è stato documentato alcun trasferimento di dati tra le due società. Ma la struttura di governance crea una prossimità informativa che non può essere ignorata quando si elaborano dati biometrici di milioni di utenti.

La realtà di Palantir: da partner dei servizi segreti a infrastruttura della polizia tedesca

Per completare il quadro, è importante considerare le effettive attività di Palantir. L'azienda è stata fondata nel 2003, principalmente con un finanziamento iniziale da parte di In-Q-Tel, il braccio di venture capital della CIA. Il suo prodotto principale originario, la piattaforma Gotham, viene utilizzato per analizzare e unire set di dati eterogenei per le forze dell'ordine e le agenzie di intelligence. L'agenzia statunitense per l'immigrazione e le dogane (ICE) utilizza Palantir da oltre un decennio per il suo sistema di gestione dei casi investigativi (ICM).

Nell'aprile del 2025, Palantir ha ricevuto un contratto del valore di circa 30 milioni di dollari dall'ICE per sviluppare l'Immigration Lifecycle Operating System (ImmigrationOS), un sistema incentrato sulle espulsioni che genera punteggi di affidabilità algoritmici per le decisioni di espulsione e aggrega dati provenienti da diverse fonti. Un contratto successivo, del valore di circa 30 milioni di dollari, per la manutenzione del sistema è stato assegnato nell'ottobre del 2025. Solo dall'insediamento di Trump all'inizio del 2025, Palantir ha ricevuto miliardi di dollari in contratti federali.

L'implementazione europea è già a buon punto: il software di Palantir è utilizzato dalla polizia bavarese con il nome di VeRA, dalla polizia dell'Assia con il nome di HessenData e dalla polizia della Renania Settentrionale-Vestfalia. Gli esperti di protezione dei dati descrivono l'attuale accordo quadro, che consente a tutti i Länder di utilizzare il sistema senza una nuova gara d'appalto, come una "breccia nella diga" con dipendenza strutturale. Ciò solleva una questione giuridica fondamentale: in quanto azienda statunitense, Palantir è vincolata dal Cloud Act statunitense, che obbliga le aziende statunitensi a concedere al governo degli Stati Uniti l'accesso ai dati indipendentemente dalla posizione dei server – un conflitto che non può essere risolto strutturalmente tramite clausole contrattuali.

Il caso Discord: un segnale di allarme che Anthropic ha deliberatamente ignorato

I rischi strutturali associati a Persona erano già oggetto di dibattito pubblico prima della decisione di Anthropic. Discord aveva utilizzato Persona per la verifica dell'identità e dell'età, subendo immediatamente una forte reazione negativa da parte degli utenti. Le critiche derivavano dalla combinazione del legame con Thiel e dalla mancanza di trasparenza in merito al trattamento dei dati. Contemporaneamente, emerse che un altro fornitore di servizi di verifica dell'età, utilizzato da Discord per alcuni dei suoi utenti, aveva compromesso circa 70.000 documenti di identità ufficiali: un incidente che mise improvvisamente in luce i rischi intrinseci dell'esternalizzazione della verifica biometrica dell'identità a fornitori terzi.

Durante questo dibattito, i ricercatori di sicurezza che analizzavano i sistemi di Persona hanno scoperto i suddetti file frontend accessibili pubblicamente su un endpoint governativo autorizzato da FedRAMP, un server etichettato con i nomi in codice di programmi di intelligence attivi. Il CEO di Persona, Rick Song, ha descritto i file esposti come codice disponibile pubblicamente senza implicazioni per la sicurezza. Discord ha interrotto immediatamente la sua collaborazione con Persona dopo il dibattito e si è rivolta ad altri fornitori. Il fatto che Anthropic abbia comunque scelto lo stesso fornitore di servizi poche settimane dopo questo incidente ampiamente pubblicizzato rappresenta una decisione strategica deliberata e dovrebbe essere analizzata come tale. Ciò suggerisce che per Anthropic le considerazioni di conformità e la possibilità di una rapida implementazione abbiano avuto la precedenza sui rischi per la reputazione e la privacy dei dati.

Cosa promette Anthropic e quali lacune rimangono

La comunicazione ufficiale di Anthropic in merito alla verifica dell'identità è decisamente difensiva. L'azienda sottolinea che i dati di identità non vengono utilizzati per addestrare i modelli, che vengono raccolte solo le informazioni minime necessarie per la verifica e che qualsiasi condivisione con terze parti avviene esclusivamente con Persona ed è basata su requisiti legali. Anthropic si definisce "Titolare del trattamento dei dati", stabilendo le regole per la durata e lo scopo dell'utilizzo, mentre Persona agisce come responsabile del trattamento. La verifica può essere attivata non solo da accessi mirati a funzionalità specifiche, ma anche da "controlli di integrità di routine", il che significa che l'impatto è indipendente dalla situazione.

Anthropic non specifica esplicitamente, nelle sue comunicazioni pubbliche, il periodo di conservazione dei dati, ovvero per quanto tempo vengono effettivamente archiviate le copie dei documenti d'identità e i selfie. Si tratta di una grave lacuna informativa, poiché i dati biometrici sono considerati dati di categoria speciale ai sensi della normativa UE, come definito dall'articolo 9 del GDPR, e sono soggetti a obblighi di protezione dei dati più rigorosi. Non esiste un data center nell'UE, né una garanzia di archiviazione dei dati all'interno dell'UE, e l'unica base giuridica per il trasferimento dei dati negli Stati Uniti è rappresentata dalle Clausole Contrattuali Standard (SCC). Ciò che Persona raccoglie effettivamente dagli utenti va ben oltre un semplice confronto: oltre a nome, foto del passaporto, geometria facciale e dati del chip NFC del passaporto, vengono raccolti anche indirizzo IP, tipo di dispositivo, dati di geolocalizzazione e dati comportamentali, tra cui il tempo di esitazione dell'utente o la copia o meno delle informazioni.

Aree di interesse del settore: B2B, digitalizzazione (dall'intelligenza artificiale alla realtà aumentata), ingegneria meccanica, logistica, energie rinnovabili e industria

Maggiori informazioni qui:

• Centro di affari esperti

Un hub tematico che offre spunti e competenze:

• Piattaforma di conoscenza che copre le economie globali e regionali, l'innovazione e le tendenze specifiche del settore
• Una raccolta di analisi, approfondimenti e informazioni di base sui nostri principali settori di interesse
• Un luogo di competenza e informazione sugli sviluppi attuali nel mondo degli affari e della tecnologia
• Un punto di riferimento per le aziende che cercano informazioni su mercati, digitalizzazione e innovazioni del settore

CLOUD Act contro GDPR: l'irrisolvibile conflitto giuridico

L'effettiva efficacia delle clausole contrattuali standard è stata significativamente limitata a seguito della sentenza Schrems II della Corte di giustizia europea del luglio 2020. Sebbene l'accordo quadro UE-USA sulla protezione dei dati personali abbia fornito una base giuridica supplementare a partire dal luglio 2023, anche questo accordo è soggetto al fatto che le aziende statunitensi sono vincolate dal National Security Act e dalla Sezione 702 del FISA, ovvero a una sorveglianza statale che contraddice sostanzialmente la tutela dei diritti fondamentali prevista dalla normativa europea.

Il problema principale risiede in un diretto conflitto di leggi: l'articolo 48 del GDPR è inequivocabile: le sentenze e le decisioni di autorità straniere che impongono a un titolare del trattamento di trasferire dati personali sono riconosciute solo se basate su un accordo internazionale. Il CLOUD Act non si basa su alcun accordo di questo tipo, bensì li elude deliberatamente. In pratica, ciò significa che un fornitore di servizi cloud statunitense che si conforma a un ordine del CLOUD Act e trasferisce i dati dei clienti europei alle autorità statunitensi viola il GDPR. Se non si conforma, viola la legge statunitense. Questo conflitto è strutturale e non può essere risolto tramite clausole contrattuali standard. In tale contesto, le clausole contrattuali standard non garantiscono protezione, ma fungono piuttosto da mero velo giuridico.

Correlato a questo:

• Protezione dal CLOUD Act – Abbandono del cloud statunitense: Airbus prevede di ritirarsi e staccare la spina ai dati sensibili

Il rischio di responsabilità sottovalutato per le aziende sul luogo di lavoro

Per le aziende che utilizzano Claude in un contesto aziendale, sorge immediatamente una domanda. Il GDPR obbliga i titolari del trattamento dei dati a dimostrare una base giuridica esplicita per ogni singolo trattamento. I dati biometrici rientrano nelle categorie particolari di dati ai sensi dell'articolo 9 del GDPR, il cui trattamento è generalmente vietato a meno che non si applichi una delle eccezioni definite in modo restrittivo. Inoltre, i sistemi di intelligenza artificiale che elaborano dati biometrici comportano l'obbligo di effettuare una valutazione d'impatto sulla protezione dei dati (DPIA) ai sensi dell'articolo 35 del GDPR – un obbligo che, secondo la lista nera della Conferenza tedesca sulla protezione dei dati, si applica esplicitamente all'utilizzo dell'IA per il trattamento dei dati personali.

A partire da agosto 2026, l'AI Act dell'UE inasprisce significativamente questo quadro giuridico. L'identificazione biometrica remota in tempo reale negli spazi pubblici è vietata da febbraio 2025. I sistemi di verifica dell'identità basati sull'IA, nella misura in cui vengono utilizzati per decisioni sensibili, possono essere classificati come sistemi di IA ad alto rischio e sono quindi soggetti a severi requisiti di certificazione, obblighi di trasparenza e obblighi di supervisione umana. Le violazioni possono essere punite con multe fino a 35 milioni di euro o al 7% del fatturato annuo globale, un massimo superiore a quello previsto dal GDPR. Negli Stati Uniti, la situazione legale è rischiosa anche dal punto di vista aziendale: l'Illinois Biometric Information Privacy Act (BIPA) concede il diritto di citare in giudizio anche senza prova di un danno effettivo e prevede risarcimenti di 1.000 dollari per violazione colposa e 5.000 dollari per violazione intenzionale, una potenziale esposizione a responsabilità esistenziale per le aziende che utilizzano Claude nelle loro operazioni quotidiane.

Controllo della piattaforma tramite identificazione: la logica imprenditoriale che lo sottende

La decisione di Anthropic non può essere valutata esclusivamente da una prospettiva di privacy dei dati: segue una solida logica aziendale. Le piattaforme di intelligenza artificiale in tutto il mondo sono soggette a crescenti pressioni normative per prevenire abusi. Il crescente utilizzo di modelli linguistici per generare materiale di phishing, disinformazione e materiale sintetico non consensuale sta costringendo i fornitori ad implementare contromisure che vanno oltre la semplice sicurezza dei modelli.

In questo contesto, la verifica dell'identità rappresenta un meccanismo ovvio per la segmentazione degli utenti: gli utenti verificati ottengono l'accesso a funzionalità più avanzate, mentre quelli non verificati sono relegati a una versione base regolamentata. Questo corrisponde al consolidato modello freemium, ma legato ai dati biometrici. Per un'azienda con una valutazione di 380 miliardi di dollari e oltre l'80% di clienti aziendali, la capacità di implementare un controllo granulare degli utenti rappresenta un significativo vantaggio strategico. Inoltre, Anthropic si posiziona come un'azienda focalizzata sulla sicurezza, differenziandosi esplicitamente da OpenAI. La verifica dell'identità si inserisce in questa narrazione: può essere presentata come un'assunzione di responsabilità per potenziali rischi per la sicurezza, anche se al contempo crea nuovi rischi per la privacy dei dati. Questo è un classico esempio di come la retorica della sicurezza venga utilizzata per legittimare misure problematiche dal punto di vista della privacy dei dati.

La dipendenza dal fornitore: la minaccia strategica sottovalutata per le aziende

Al di là dello specifico aspetto della privacy dei dati, il caso Anthropic Persona illustra un problema più fondamentale, spesso sottovalutato nella gestione aziendale: la dipendenza da una specifica piattaforma di intelligenza artificiale e dai suoi partner di ecosistema. Le aziende che hanno costruito la propria infrastruttura di IA interamente su Claude si trovano ad affrontare una situazione nota in letteratura come vendor lock-in. Questa dipendenza non deriva principalmente da clausole contrattuali, ma dall'integrazione tecnica: API specializzate, architetture proprietarie per i prompt, ottimizzazione specifica del modello e flussi di lavoro interni consolidati rendono il passaggio a una nuova piattaforma costoso e dispendioso in termini di tempo.

La minaccia strategica si manifesta proprio quando il fornitore introduce modifiche unilaterali, che si tratti di un nuovo requisito di accesso come la verifica biometrica, un aumento dei prezzi, una revisione delle politiche di utilizzo o un ritiro dal mercato motivato da ragioni geopolitiche. Per le aziende che hanno basato i propri processi principali su un unico fornitore di IA, tali modifiche non sono più un'opzione negoziabile, ma un rischio operativo. La mancanza di una strategia di uscita è una grave lacuna riconosciuta nella governance IT; nel campo dell'IA, è ancora più critica a causa della complessità delle dipendenze. Separatamente, il Government Accountability Office (GAO) statunitense ha già segnalato lacune nella protezione dei dati nella governance federale dell'IA e ha classificato la concentrazione di dati sensibili sull'identità presso fornitori terzi come un rischio sistemico.

L'indipendenza del modello come principio architettonico della resilienza digitale

La risposta concettualmente corretta alla situazione di rischio qui descritta è un'architettura di intelligenza artificiale indipendente dal modello. Questo principio è consolidato da anni nelle infrastrutture cloud: le strategie multi-cloud, che distribuiscono i carichi di lavoro su più provider, minimizzano le dipendenze e consentono un rapido passaggio in caso di interruzione. Lo stesso principio si applica alle architetture LLM. Un'infrastruttura di intelligenza artificiale indipendente dal modello richiede tecnicamente che il livello di orchestrazione, ovvero i sistemi di agenti, i flussi di lavoro e le integrazioni, sia astratto dalla rispettiva implementazione del modello. Le API standardizzate creano una portabilità iniziale; tuttavia, una vera indipendenza dal modello a lungo termine richiede lo sviluppo costante di un livello di astrazione dedicato: un'architettura gateway per l'IA che tratti i modelli come moduli intercambiabili.

In questa strategia, i modelli open-source rivestono un ruolo sempre più importante. Llama 4 e Mistral Large hanno quasi raggiunto il livello di prestazioni dei modelli commerciali di punta in molti casi d'uso. Le aziende che oggi investono nella capacità di operare con modelli on-premise o in cloud stanno costruendo una resilienza strategica, il che significa che la prossima decisione unilaterale di un fornitore in merito alla piattaforma non dovrà più essere valutata da zero.

Conformità al GDPR: cosa devono fare ora le aziende

Il percorso d'azione raccomandato per le aziende che utilizzano Claude è ben strutturato. Innanzitutto, è necessario stabilire se i propri dipendenti o sistemi siano o possano essere interessati dal requisito di verifica dell'identità. Poiché Anthropic può attivare la verifica anche nell'ambito di controlli di integrità di routine, non si può escludere un impatto a prescindere dalla situazione specifica.

Successivamente, è necessario adempiere agli obblighi in materia di protezione dei dati: chiunque utilizzi Claude come responsabile del trattamento dei dati ai sensi del GDPR deve assicurarsi che esista un accordo valido sul trattamento dei dati con Anthropic. Per i trasferimenti di dati a Persona in qualità di sub-responsabile del trattamento, è necessario predisporre una Valutazione d'Impatto sul Trasferimento dei Dati (TIA). Le valutazioni d'impatto sulla protezione dei dati devono essere aggiornate, poiché i dati biometrici richiedono il consenso esplicito o un'altra base giuridica ben definita ai sensi dell'articolo 9 del GDPR. Il coinvolgimento del responsabile della protezione dei dati aziendale non è una precauzione facoltativa, ma un obbligo di legge. Si consiglia inoltre alle aziende europee di verificare la fattibilità tecnica delle chiavi di crittografia gestite dal cliente, poiché solo questo approccio impedisce efficacemente alle autorità statunitensi di accedere ai contenuti dei dati tramite il CLOUD Act.

Il quadro generale: chi controlla le infrastrutture di domani?

Il caso Anthropic Persona è più di una semplice questione di privacy: è un monito sulla concentrazione di potere nelle infrastrutture digitali del XXI secolo. Poche aziende strettamente interconnesse controllano sempre più l'infrastruttura di identità di Internet: Persona effettua 300 milioni di verifiche all'anno e Reddit, LinkedIn, OpenAI e ora anche Claude utilizzano lo stesso sistema. Gli investitori di queste aziende – Founders Fund, Coatue, Index Ventures – detengono partecipazioni in molte di queste piattaforme contemporaneamente.

Non si tratta di teorie del complotto, bensì di analisi strutturale, chiedersi: chi ha interesse a collegare i dati biometrici verificati con i dati comportamentali derivanti da milioni di interazioni degli utenti? E ​​chi avrebbe la capacità tecnologica e l'interesse istituzionale per unire questi dati? La competenza principale di Palantir risiede proprio in questa fusione di dati, e il suo presidente fondatore è il principale investitore del fornitore leader di servizi di verifica dell'identità su internet. La risposta europea a questa concentrazione di potere è già sancita dall'EU-AI Act e dal GDPR, ma in pratica è spesso sottofinanziata e attuata in modo inadeguato. Le autorità di controllo europee hanno l'opportunità e il dovere di sottoporre il sistema di verifica dell'identità di Anthropic a un esame approfondito, un esame che è atteso da tempo.

Il cambiamento tecnologico richiede equilibrio istituzionale

La procedura di verifica dell'identità adottata da Anthropic non è di per sé scandalosa. Altre grandi piattaforme implementano procedure simili e l'obiettivo di prevenire gli abusi è legittimo. Ciò che manca, tuttavia, è la proporzionalità: una procedura che lasci la minima traccia possibile di dati, che sia elaborata nel rispetto del quadro giuridico dell'UE e che fornisca informazioni trasparenti sulla durata, il luogo e lo scopo del trattamento. La comunicazione di Anthropic in merito al periodo di conservazione rimane volutamente vaga, un aspetto inaccettabile per i dati biometrici, che rientrano in una categoria particolare ai sensi del GDPR.

Il vero messaggio di questo episodio è di natura strutturale: in un mondo in cui gli assistenti basati sull'IA sono diventati l'infrastruttura di milioni di processi lavorativi, le decisioni dei loro operatori non sono più una questione interna all'azienda. Si tratta di decisioni infrastrutturali con conseguenze pubbliche e, come tali, devono essere trasparenti e regolamentate. Le aziende che si affidano a Claude non dovrebbero aspettare il prossimo passo unilaterale per iniziare a cercare alternative. La resilienza inizia con l'indipendenza dal modello, e l'indipendenza dal modello inizia oggi.