Di fronte all’improvviso e del tutto inatteso boom di DeepSeek a inizio anno, il 30 gennaio 2025 l’Autorità Garante per la protezione dei dati personali emetteva un provvedimento con cui ingiungeva a DeepSeek di astenersi dal trattare i dati personali degli utenti italiani. L’azienda IA cinese non tardò a rispondere, dichiarando di essere estranea alla giurisdizione italiana e sottolineando l’assenza di una sede, di una struttura organizzativa o di contenuti specificamente rivolti al pubblico italiano.

In teoria, dopo l’intervento del Garante, DeepSeek avrebbe dovuto cessare a fine gennaio ogni operazione che coinvolgesse dati personali di utenti italiani, ma così non è stato. Se da un lato infatti le app mobile di DeepSeek per iOS e Android non sono scaricabili in Italia, il sito web è perfettamente raggiungibile e questo perché il Garante non ha imposto la chiusura del sito tramite un filtro DNS (non ha la competenza diretta per farlo), ma solo un blocco totale delle attività di trattamento dei dati personali di utenti italiani.

Nei giorni scorsi, a quasi quattro mesi di distanza dal provvedimento contro DeepSeek, l’Autorità Garante, nella persona del vice segretario generale e direttore del dipartimento reti telematiche e marketing Claudio Filippi, ha inviato una PEC agli operatori e provider italiani invitandoli a prendere “ogni determinazione di competenza” in relazione al fatto che il sito web di DeepSeek sia ancora raggiungibile dall’Italia.

La lettera però non impone nulla in termini formali, ma si limita a suggerire un’azione che non configura un obbligo esecutivo e, come sottolinea Andrea Monti su Repubblica.it, è lecito chiedersi cosa volesse ottenere l’Autorità con questa PEC. Gli operatori di rete, infatti, non hanno alcun potere autonomo di bloccare l’accesso a un servizio online senza una base giuridica chiara. Agire in tal senso significherebbe violare la riservatezza delle comunicazioni, garantita dall’articolo 15 della Costituzione italiana. Solo un ordine dell’autorità giudiziaria o di un’autorità amministrativa dotata di poteri espressi può giustificare interventi simili.

privacy DeepSeek

La direttiva europea sul commercio elettronico stabilisce infatti che provider e operatori di rete non hanno responsabilità per i contenuti trasmessi, purché non vi intervengano attivamente. Questo principio è tuttora valido anche nell’era del Digital Services Act (DSA), che seppur contenga due articoli (7 e 9) che potrebbero far pensare diversamente, in realtà non ne permette l’applicazione in un caso come quello di DeepSeek.

Secondo Monti il fatto che il Garante non abbia imposto direttamente il blocco di DeepSeek in Italia dipende da una questione di giurisdizione. Se infatti una piattaforma straniera come questa non ha una sede, server (che sono negli USA) o contenuti localizzati nel nostro territorio (gli stessi dati vengono elaborati in Cina), l’applicazione extraterritoriale della normativa diventa problematica. È il principio basilare di sovranità: un Paese non può imporre le proprie leggi su un soggetto che non opera al suo interno, salvo accordi bilaterali o internazionali.

Un’ipotesi ancora più controversa è che il Garante, inviando la PEC agli operatori, abbia voluto attivare una sorta di responsabilità per “concorso nel reato”, avvisandoli che un illecito era in corso e lasciando intendere che l’inazione potesse configurare una forma di complicità. Ma anche questa tesi, secondo Monti, non regge.

Perché un operatore possa essere complice, deve infatti avere il potere di agire e decidere consapevolmente di non farlo. Ma, come detto, i provider non possono filtrare il traffico degli utenti senza autorizzazione esplicita. A differenza del DNS hijacking utilizzato per oscurare siti di scommesse o di streaming pirata e attuato solo su ordine dell’AGCOM o della magistratura, qui manca un atto formale che giustifichi l’intervento. Senza quel provvedimento, qualsiasi interferenza sarebbe essa stessa una violazione.

Il caso Deepseek evidenzia insomma le contraddizioni di un modello europeo che ha delegato sempre più il potere di regolazione a soggetti che non fanno parte del sistema giudiziario (le autorità indipendenti) e ad attori privati come piattaforme digitali e operatori di rete. Il risultato è una giustizia che non passa più necessariamente dal giudice, ma che si affida a meccanismi di persuasione, automatismi normativi e pressioni informali. Un sistema che, pur ispirato a nobili principi di protezione dei diritti, finisce per renderli inefficaci o applicati in modo arbitrario.

(Immagine in apertura: Shutterstock)