Deepfake, Grok e l'AI che spoglia gli utenti, l’Europa alza la voce: perché l’ultima indagine su X può ridisegnare i confini della responsabilità digitale

Una ragazza scopre che la sua foto profilo – una normalissima immagine scattata a Capodanno – è stata “trasformata” in un bikini inesistente e rilanciata in migliaia di copie. È l’effetto di una “nudificazione” ottenuta in pochi secondi, grazie a un modello generativo capace di modificare corpi, volti, contesti. Quell’effetto ha un nome – deepfake sessuale non consensuale – e una scia di danni concreti: stigma, ricatto, perdita del lavoro, traumi. Oggi quel meccanismo finisce nel mirino dell’Unione europea, con una nuova indagine formale sull’integrazione di Grok – l’IA di xAI – dentro X (ex Twitter), per valutarne i rischi sistemici e la diffusione di contenuti illegali, inclusi quelli che possono configurare abuso sessuale su minori.

Cosa sta facendo Bruxelles

La Commissione europea ha aperto un nuovo fascicolo che si aggiunge al contenzioso già in corso su X ai sensi del Digital Services Act (DSA). Il focus: verificare se l’integrazione di Grok sul social e sulla relativa app rispetti gli obblighi di valutazione e mitigazione dei rischi, con particolare attenzione alla proliferazione di deepfake sessuali e di possibili contenuti di CSAM (child sexual abuse material). In parole semplici: l’Europa vuole capire se la piattaforma ha costruito barriere sufficienti a impedire che un modello generativo diventi un acceleratore di reati e violazioni dei diritti fondamentali. In caso di accertata non conformità, il DSA prevede sanzioni fino al 6% del fatturato globale e, nei casi più gravi e persistenti, misure provvisorie o di sospensione del servizio. Queste non sono ipotesi accademiche: il DSA ha già prodotto una prima sanzione, €120 milioni a X il 5 dicembre 2025, per violazioni di trasparenza e design ingannevole del “blue check”. Le indagini su contenuti illegali e manipolazione informativa sono rimaste aperte.

A guidare politicamente la linea dura c’è la vicepresidente della Commissione, Henna Virkkunen, che in seduta plenaria a Strasburgo ha definito i deepfake sessuali non consensuali “violenti e inaccettabili”, ventilando la possibilità – nel perimetro dell’AI Act – di intervenire anche con divieti specifici qualora i danni lo giustifichino. È un segnale: la cornice regolatoria europea vede la manipolazione e lo sfruttamento delle vulnerabilità come pratiche ad “alto rischio” o addirittura “inaccettabili”.

Perché Grok è il centro del ciclone

Nel giro di pochi giorni, a inizio gennaio 2026, l’uso della funzione di generazione/edizione immagini di Grok su X ha prodotto un’ondata di contenuti sessualizzati: secondo un’analisi del Center for Countering Digital Hate (CCDH), in 11 giorni sarebbero state create circa 3 milioni di immagini sessualizzate, delle quali circa 23mila con soggetti che appaiono come minorenni. Stima, questa, che evoca un ritmo inquietante: un’immagine di minore ogni 41 secondi. Sono numeri che non provano da soli un illecito penale in ogni singolo caso, ma delineano una scala del fenomeno che un regolatore non può ignorare.

L’onda lunga ha travolto i confini. Indonesia e Malesia sono state le prime due nazioni a bloccare temporaneamente l’accesso a Grok, ritenendo insufficienti le salvaguardie proposte dai gestori. In Malesia, il regolatore (MCMC) ha parlato di “abusi ripetuti” e di misure di mitigazione basate prevalentemente sulla segnalazione da parte degli utenti – un modello reattivo, non preventivo. In Indonesia, il ministero competente ha messo nero su bianco i rischi per la privacy e i diritti all’immagine dei cittadini.

Sotto pressione, X/xAI ha annunciato tra il 9 e il 15 gennaio 2026 alcune limitazioni: l’accesso alla generazione/edizione di immagini attraverso l’account @Grok su X è stato ristretto ai soli abbonati paganti (con l’argomento che il pagamento “de-anonimizza” e scoraggia gli abusi); in parallelo, sono state introdotte restrizioni tecniche per impedire l’“undressing” e la creazione di immagini di persone reali in bikini o biancheria; infine, è arrivato il geoblocking in giurisdizioni in cui certe condotte sono illegali. Tuttavia, diverse testate e ricercatori hanno rilevato che al momento di quelle comunicazioni l’app o il sito di Grok permettevano ancora a utenti non paganti di generare immagini, sollevando dubbi sull’efficacia e sulla coerenza delle misure.

Londra si muove: l’indagine di Ofcom

Anche il Regno Unito ha acceso i fari. Il 12 gennaio 2026, l’autorità Ofcom ha avviato un’indagine formale su X ai sensi dell’Online Safety Act (OSA), con priorità “massima”, per verificare il rispetto dei doveri di valutazione del rischio, prevenzione dell’accesso a contenuti illegali (tra cui intimate image abuse e CSAM), takedown rapido, tutela dei minori e age-check per i contenuti pornografici. Pochi giorni dopo, Ofcom ha accolto come “sviluppo positivo” le restrizioni introdotte da X, ribadendo però che l’indagine resta “in corso” e che le sanzioni possibili possono arrivare fino al 10% dei ricavi globali o, nei casi più seri, al blocco del servizio nel Regno Unito. Sul piano politico, anche il Primo ministro e il Governo hanno invocato interventi rapidi.

La posta in gioco per X e xAI

Per X non è la prima volta sotto i riflettori europei: oltre alla citata sanzione da €120 milioni del 5 dicembre 2025 per trasparenza e dark patterns legati al blue check, le procedure d’infrazione aperte nel dicembre 2023 su contenuti illegali, moderazione, manipolazione informativa e accesso ai dati per la ricerca sono ancora in piedi. La nuova indagine su Grok si colloca in questo contesto, con un aspetto ulteriore: non è solo la piattaforma social a essere osservata, ma anche l’integrazione profonda di un modello generativo che – di fatto – cambia i vettori di rischio. Non è un caso che Bruxelles abbia ordinato a X/xAI di conservare tutti i documenti e i dati interni su Grok fino alla fine del 2026, per garantire la tracciabilità delle scelte tecniche e di governance.

Dal punto di vista economico-regolatorio, il DSA espone i VLOP (Very Large Online Platforms) e i VLOSE (Very Large Online Search Engines) a un regime di “vigilanza rafforzata” e a sanzioni fino al 6% del giro d’affari globale, con possibilità di penalità giornaliere (fino al 5% del fatturato medio quotidiano) in caso di ritardi e, come extrema ratio, di sospensione temporanea del servizio se la violazione è grave, persistente e connessa a reati che minacciano la vita o la sicurezza. È un arsenale che, incrociato con le regole dell’AI Act e con le spinte dei singoli Stati membri, può ridefinire il contesto competitivo.

La difesa di Musk e le mosse dell’azienda

Dal fronte aziendale, Elon Musk ha sostenuto pubblicamente che X mantiene “tolleranza zero” verso contenuti illegali e che “chi usa Grok per creare materiale illecito subirà le stesse conseguenze di chi lo carica”. Le comunicazioni ufficiali di X Safety hanno rivendicato l’implementazione di misure tecnologiche e il passaggio ai paganti per generare o editare immagini, ribadendo la collaborazione con autorità e forze dell’ordine. Tuttavia, più analisi giornalistiche hanno segnalato incoerenze tra account @Grok, app Grok e sito, con margini di elusione tramite VPN e con casi in cui l’IA avrebbe comunque obbedito a prompt di sessualizzazione di volti noti. È proprio questo gap tra policy annunciate e pratica effettiva che, con ogni probabilità, sarà al centro dell’esame tecnico-giuridico Ue.