Studio Sottocasa
STUDIO LEGALE SOTTOCASA
Informatica e Diritto

IA, marketing e consenso: il caso FTC sull’“Active Listening” parla anche all’Europa

Quando si discute di intelligenza artificiale e responsabilità giuridica, l’attenzione si concentra spesso sul funzionamento tecnico del sistema: quali dati usa, come produce l’output, quali rischi crea. Il caso annunciato il 21 maggio 2026 dalla Federal Trade Commission statunitense merita invece attenzione per una ragione diversa, e in un certo senso ancora più istruttiva: mostra che il primo problema giuridico può nascere già dal modo in cui un servizio di IA viene descritto al mercato.

Secondo il comunicato ufficiale della FTC, tre società avrebbero commercializzato un servizio di marketing presentato come capace di ascoltare conversazioni captate dai dispositivi smart dei consumatori per orientare pubblicità localizzate. La contestazione dell’Autorità è duplice. Da un lato, il servizio non avrebbe fatto ciò che prometteva: non avrebbe utilizzato dati vocali, né ascoltato conversazioni, ma si sarebbe basato sulla rivendita di liste email ottenute da broker di dati. Dall’altro lato, le società avrebbero rappresentato ai clienti che i consumatori avevano prestato opt-in a quel tipo di utilizzo, mentre tale consenso specifico, secondo la FTC, non era stato raccolto.

Il punto giuridico è notevole perché rompe una semplificazione molto diffusa. Non è necessario, infatti, attendere la prova di un sofisticato illecito algoritmico per entrare in area di rischio. Basta, in certi casi, un claim commerciale scorretto su ciò che il sistema sarebbe in grado di fare, o su quale base giuridica renderebbe lecito quel trattamento. In altri termini, il diritto dell’IA non scatta solo quando il modello “funziona male”: può scattare già quando viene raccontato in modo inesatto o fuorviante.

Negli Stati Uniti la base richiamata dalla FTC è la Section 5 del FTC Act, che vieta pratiche sleali o ingannevoli. Ma il caso ha un’evidente rilevanza comparata anche per l’Europa e per l’Italia. Sul versante consumeristico, il parallelo più immediato è con la direttiva 2005/29/CE e, nel diritto interno, con gli artt. 20, 21 e 22 del Codice del consumo. Il nucleo comune è chiaro: se un operatore attribuisce al proprio servizio caratteristiche che non possiede, o omette informazioni decisive per una valutazione consapevole del destinatario, il problema non è tecnologico in senso stretto; è un problema di correttezza dell’informazione commerciale.

Questo vale ancora di più quando il claim tocca il consenso. Dire a un cliente business che gli utenti finali hanno già fatto opt-in per un determinato uso dei dati non è una frase neutra. È un’affermazione che, se non sorretta da una catena documentale seria, sposta il rischio legale su tutto il rapporto commerciale. Chi acquista il servizio può convincersi di operare su basi lecite; chi rivende o integra il servizio può costruire la propria offerta su un presupposto sbagliato; chi presta consulenza può trovarsi a validare una filiera informativa non verificata. Nel lessico del GDPR, il consenso non è una formula magica, ma una condizione giuridica rigorosa, che richiede specificità, libertà, informazione e dimostrabilità. Anche senza trasporre meccanicamente il caso americano nel sistema europeo, la lezione metodologica è forte.

C’è poi un ulteriore profilo, spesso trascurato, che interessa molto imprese e studi professionali: il caso riguarda il confine tra realtà tecnica e storytelling commerciale dell’IA. Oggi “AI-powered” viene usato come moltiplicatore retorico. A volte serve a valorizzare un servizio realmente innovativo; altre volte diventa un’etichetta che copre funzioni tradizionali, logiche di data brokerage, automazioni ordinarie o capacità molto inferiori a quelle suggerite. Proprio qui emerge un rischio tipico della governance dell’IA: il marketing promette, il commerciale semplifica, il tecnico sfuma, il legale arriva tardi. Quando questo accade, il problema non è solo reputazionale. Diventa un tema di accountability interna, di allineamento documentale e di responsabilità verso clienti e utenti.

Per un pubblico italiano, la notizia è interessante anche perché si inserisce in un filone già visibile in Europa: la crescente attenzione delle autorità alla trasparenza effettiva dei servizi basati su IA. Nelle scorse settimane, ad esempio, il dibattito europeo si è concentrato sugli obblighi di trasparenza dell’AI Act e, in Italia, l’AGCM ha già mostrato interesse per il tema delle “allucinazioni” nei chatbot sotto il profilo consumeristico (ne abbiamo parlato QUI). Il caso FTC aggiunge un tassello diverso ma complementare: non basta avvisare che un sistema può sbagliare; occorre anche evitare di sopravvalutare o falsare le sue capacità in fase di offerta.

Proprio per questo il caso merita di essere letto non come curiosità americana, ma come avvertimento generale per il mercato internazionale. Se un’impresa vende un tool di lead generation, advertising, analytics o customer interaction come sistema capace di ascoltare, capire, segmentare o dedurre informazioni particolarmente sensibili, dovrà essere in grado di dimostrare almeno tre cose: cosa il sistema fa davvero; su quali dati opera realmente; quale base informativa e giuridica sorregge le affermazioni fatte a clienti e utenti. In mancanza, il rischio non riguarda solo la privacy, ma anche il diritto dei consumatori, la responsabilità contrattuale e la correttezza professionale.

Le ricadute pratiche sono molto concrete. Primo: i materiali commerciali sui servizi di IA dovrebbero essere verificati con lo stesso rigore con cui si revisionano contratti e informative. Secondo: le affermazioni su consenso, opt-in, data provenance e targeting non dovrebbero mai essere ripetute “perché ci sono state dette dal fornitore”, senza audit documentale. Terzo: chi acquista tecnologie di terzi dovrebbe pretendere evidenze, limiti d’uso, architettura dei dati e allocazione contrattuale del rischio. Quarto: le aziende dovrebbero evitare che il reparto marketing trasformi in promessa assoluta ciò che il reparto tecnico descrive come ipotesi, benchmark o possibilità condizionata.

In definitiva, nel mercato dell’IA, il problema giuridico non nasce solo quando una macchina tratta dati o prende decisioni; nasce anche quando un’impresa racconta in modo inesatto ciò che quella macchina farebbe e il titolo giuridico che renderebbe lecita tale operazione. La prudenza migliore, oggi, non è diffidare genericamente dell’IA, ma pretendere precisione su capacità reali, filiera del dato, basi di liceità e messaggi commerciali. È lì che passa, sempre più spesso, la differenza tra innovazione credibile e rischio legale evitabile.

Fonti: