Manca poco al 2 luglio, data entro cui la Federal Trade Commission raccoglie commenti pubblici, e il fronte degli attivisti per la privacy si prepara a un nuovo scontro con X. L’ex Twitter, oggi sotto il controllo di Elon Musk, sta cercando di liberarsi degli audit indipendenti imposti dall’autorità americana dopo una grave violazione della privacy scoperta anni fa. Ma le associazioni per i diritti digitali mettono in guardia: chiudere adesso i controlli esporrebbe milioni di americani a rischi concreti.

La vicenda risale al 2022, quando l’FTC multò Twitter (prima che diventasse X) per un bug nel codice che aveva mescolato i dati di contatto forniti per l’autenticazione a due fattori con quelli usati per la profilazione pubblicitaria. In pratica, numeri di telefono e indirizzi email pensati per aumentare la sicurezza degli account venivano usati a fini commerciali senza il consenso degli utenti. L’ordine del 2022 ha imposto a X audit esterni periodici, con costi a carico dell’azienda, e ha dato alla FTC il potere di richiedere documenti per verificare la conformità alla normativa privacy senza dover avviare ogni volta nuove azioni legali.

Ora la società di Musk sostiene che l’ordine non sia più necessario perché avrebbe fatto abbastanza per cambiare rotta: nuovi sistemi di controllo, politiche interne riviste e, a detta loro, una cultura aziendale diversa. Ma gli attivisti non sono convinti. In una serie di memorie destinate alla FTC, gruppi come Center for Digital Democracy e Electronic Privacy Information Center hanno definito la richiesta di X "un pericoloso azzardo" e hanno parlato di "grave rischio per la privacy degli americani". Secondo loro, la piattaforma non ha mai davvero risolto le falle alla base della violazione, e il cambio di proprietà non garantisce di per sé maggiore attenzione alla protezione dei dati.

Il caso X è l’ultimo esempio di come la gestione dei dati personali resti un terreno scivoloso anche per le grandi piattaforme. Per chi oggi progetta sistemi di intelligenza artificiale, la lezione è chiara: gli errori di configurazione o di codice possono trasformare un meccanismo di sicurezza – come l’autenticazione a due fattori – in una breccia per la sorveglianza commerciale. E quando si parla di Large Language Models, il confine tra uso lecito e abuso è ancora più labile, perché i dati utente possono finire nel training o nell’inference senza adeguate tutele.

In molti guardano alle soluzioni self-hosted, dove l’organizzazione mantiene il pieno controllo sui dati, come un antidoto alla fragilità delle piattaforme cloud. Ma un deployment on-premise di un LLM non cancella la necessità di audit stringenti: i dati vanno protetti, gli accessi tracciati, la conformità al GDPR o a normative analoghe va dimostrata con evidenze oggettive. L’FTC ha dimostrato che, negli Stati Uniti, la tolleranza per la cattiva gestione dei dati è ai minimi storici, e le aziende europee sanno bene che il regolatore non arretra davanti a grandi nomi. In questo senso, la vicenda X è un avvertimento per tutti: la sovranità sui dati che si guadagna portando l’infrastruttura in casa deve essere accompagnata da una trasparenza radicale nei processi, altrimenti il rischio di sanzioni – e di perdita di fiducia – è dietro l’angolo.

L’esito dell’udienza FTC potrebbe sancire un precedente importante. Se l’autorità accettasse la richiesta di X, altre aziende potrebbero sentirsi incoraggiate a chiedere la rimozione anticipata di misure simili. Se invece respingesse la mozione, confermerebbe che gli impegni sulla privacy non possono essere affermati solo a parole. Nel frattempo, il mondo tech guarda al 2 luglio come a una data chiave per capire in che direzione spira il vento.