L’Autorità Garante per la protezione dei dati personali ha emanato il Provvedimento n. 573, che merita di essere letto come presa di posizione su un tema che si estende oltre i confini consueti della privacy: la fusione tra pornografia e sorveglianza domestica.

L’oggetto dell’intervento è il sito CamHub, riconducibile alla statunitense ICF Technology Inc., sospettato di avere diffuso (o di essere in procinto di diffondere) immagini provenienti da IP cam installate in abitazioni private italiane, non protette da credenziali di accesso.

Secondo l’istruttoria, il portale avrebbe raccolto e reso disponibili flussi video di ambienti domestici, rielaborandoli all’interno di un circuito di contenuti sessuali.

Il Garante ha indirizzato alla società un avvertimento formale ex art. 58 par. 2, lett. a) GDPR, segnalando la possibile violazione degli articoli 5, 6, 9, 25 e 32 del Regolamento e disponendo la pubblicazione del provvedimento sul sito istituzionale dell’Autorità, ai sensi dell’articolo 154-bis, comma 3, del Codice.

Dietro la sobrietà del linguaggio del provvedimento si intravede una questione culturale profonda: quando la videosorveglianza si trasforma in pornografia involontaria emerge un problema di responsabilità diffusa, che coinvolge sia chi gestisce le immagini che l’intera catena tecnologica che le rende accessibili.

In questo scenario, il diritto coinvolge insieme la protezione dei dati e la tutela della dignità umana, poiché la questione riguarda la condizione stessa della persona esposta allo sguardo altrui.

Caso CamHub: il fatto giuridico e la sua portata

Il provvedimento spiega che CamHub “raccoglie e diffonde immagini tratte da telecamere IP non protette e liberamente accessibili da chiunque, posizionate in luoghi privati all’interno del territorio italiano”.

Non si tratta quindi di un data breach tradizionale né di una violazione intenzionale, ma del risultato di una catena di vulnerabilità diffuse (dispositivi economici, impostazioni di fabbrica, connessioni prive di cifratura) che trasformano migliaia di abitazioni in flussi di video permanenti.

Il Garante oltre a ricordare gli obblighi di sicurezza previsti dagli articoli 25 e 32 GDPR, qualifica la piattaforma come titolare del trattamento e richiama l’applicabilità extraterritoriale dell’articolo 3, par. 2. In questo modo riafferma un principio già affermato in altri casi (ad esempio Clearview AI, 2021) e cioè che anche un operatore straniero risponde del trattamento di dati relativi a soggetti situati in Italia.

L’atto ha inoltre valore d’avvertimento, tuttavia, la scelta di pubblicarlo immediatamente, ai sensi dell’art. 154-bis, c. 3 del Codice, rivela un intento di trasparenza preventiva: il Garante segnala infatti il rischio prima ancora che il servizio torni attivo.

Economia dello sguardo digitale: immagini private che diventano flussi pubblici

Le telecamere IP sono tra gli oggetti più diffusi dell’Internet delle cose. Secondo l’ENISA Threat Landscape 2024, i dispositivi di videosorveglianza connessi rientrano tra le categorie di oggetti IoT più esposti a vulnerabilità note e sfruttate, a causa di criticità legate a configurazioni di fabbrica non modificate, l’assenza di autenticazione forte e la mancata cifratura dei flussi video.

Tutti questi fattori rendono le telecamere domestiche un punto d’ingresso frequente per accessi non autorizzati.

La gran parte dei modelli consente l’accesso remoto tramite credenziali preimpostate, spesso mai modificate dagli utenti e motori di ricerca specializzati, come Shodan o Censys, mappano in modo continuativo i dispositivi connessi alla rete, incluse le telecamere IP non protette: in molti casi, i risultati rendono individuabili immagini di ambienti domestici, accessibili senza che i proprietari ne siano consapevoli.

È su questa materia grezza che si innesta l’attività di soggetti come CamHub, piattaforme che riassemblano i frammenti visivi della vita quotidiana e li ripropongono come intrattenimento erotico.

Un precedente significativo risale al 2014, quando il sito russo Insecam.org diffuse pubblicamente flussi video di telecamere domestiche non protette; l’iniziativa, denunciata dall’Information Commissioner’s Office (ICO) britannico e da altre autorità europee, portò a una temporanea sospensione del portale.

La pornografia come laboratorio della data economy

Il settore pornografico ha sempre in effetti anticipato le innovazioni tecnologiche, dallo streaming ai pagamenti digitali, fino alla realtà aumentata e oggi funge anche da banco di prova per la monetizzazione dei dati personali.

Ogni piattaforma che ospita contenuti sessuali è, in realtà, un’infrastruttura di profilazione comportamentale, in quanto raccoglie tempi di visualizzazione, preferenze, interazioni, parametri biometrici impliciti.

L’incontro tra questa logica e la videosorveglianza domestica dà origine a una forma di pornografia ambientale, in cui il corpo e lo spazio circostante diventano materia economica indistinta. Come osserva Shoshana Zuboff (The Age of Surveillance Capitalism, 2019), il valore dei dati digitali deriva dai residui comportamentali che si producono nel loro uso quotidiano e che permettono di anticipare azioni e decisioni; le immagini catturate da una telecamera non protetta rappresentano esattamente questo tipo di residuo, ovvero un eccesso informativo trasformabile in profitto.

Il corpo come dato ambientale

Il provvedimento del Garante richiama una tensione teorica irrisolta: il corpo ripreso rappresenta un dato personale inserito in un contesto materiale che il diritto non descrive pienamente.

Il GDPR tutela infatti l’immagine della persona, ma non estende in modo esplicito tale protezione allo spazio che la circonda. Eppure, la maggior parte delle violazioni oggi nasce proprio dall’interazione tra corpo e ambiente digitale.

Già vent’anni fa, Stefano Rodotà sosteneva che la protezione dei dati è salvaguardia di una condizione esistenziale e, oggi possiamo affermare che quella condizione si estende agli oggetti e agli spazi che ci circondano.

L’immagine della persona registrata in ambito domestico produce un dato personale e, insieme, un’impronta ambientale che il quadro normativo disciplina solo in modo parziale.

L’idea di una “privacy ambientale” descrive la vulnerabilità dello spazio che circonda il soggetto e, pur essendo un concetto non ancora codificato, emerge come necessità giuridica, in quanto difendere la sfera privata significa tutelare l’ecosistema sensibile che la rappresenta (i.e. la stanza, la voce, la routine), cioè gli elementi ambientali che diventano dati quando uno strumento li registra.

Il Garante come sentinella dell’invisibile

Il caso CamHub mostra un’Autorità che opera su un piano inedito, in cui la funzione regolatoria si estende all’interpretazione stessa del visibile.

Così l’avvertimento dello scorso primo ottobre 2025 mira a prevenire la violazione delle disposizioni del GDPR, riaffermando il principio secondo cui la diffusione non autorizzata di immagini domestiche costituisce un atto lesivo della dignità, indipendentemente dall’intenzione o dal contenuto delle immagini diffuse.

L’articolo 58 par. 2 lett. a) attribuisce al Garante il potere di ammonire un titolare prima che la violazione avvenga: una funzione di tutela anticipata che, nel contesto digitale, assume valore etico.

È in pratica un tentativo di rispondere all’immediatezza del danno con la tempestività dell’intervento.

Conseguenze psicologiche e sociali

La pubblicazione involontaria di immagini private produce effetti comparabili, e talvolta anche più gravi, di quelli associati al revenge porn.

Le ricerche condotte dall’Oxford Internet Institute mostrano che le vittime di esposizione accidentale o non consensuale sviluppano frequentemente disturbi d’ansia e perdita di fiducia nei dispositivi tecnologici domestici.

La lesione si estende infatti alla dimensione identitaria in ragione del fatto che la persona ritratta viene ridotta a immagine di consumo, priva di contesto e di controllo sulla propria rappresentazione.

Secondo l’European Institute for Gender Equality la violenza digitale assume caratteri sempre più impersonali in quanto l’autore materiale perde consapevolezza della propria responsabilità e il processo di diffusione si trasforma in un’azione collettiva generata dal sistema stesso.

Pornografia e diritto: regimi di visibilità

Nel diritto occidentale la pornografia è stata tradizionalmente bilanciata con la libertà d’espressione e il diritto di cronaca; tuttavia, la situazione cambia quando i soggetti ritratti non sono consapevoli né consenzienti e il confine tra rappresentazione e violazione diventa incerto, poiché la rete automatizza la visibilità.

La dottrina francese parla di exposition du corps numérique: un’esposizione del corpo generata dal sistema di indicizzazione, senza il consenso dell’interessato e, in questo quadro, la pornografia cessa di essere un genere e diventa un effetto collaterale dell’infrastruttura visiva globale.

Il diritto deve dunque interrogarsi sull’origine tecnica dell’immagine, poiché è in quella dimensione che si determina la possibilità stessa della violazione.

Verso una responsabilità tecnologica

Il provvedimento del Garante si colloca nel solco di un dibattito europeo più ampio, in cui il Cyber Resilience Act e il Data Governance Act, testi normativi che introducono obblighi di sicurezza intrinseca e tracciabilità dei dati nei dispositivi connessi e che mirano a spostare la responsabilità verso la fase di progettazione, attribuiscono ai produttori il dovere di garantire la protezione fin dall’origine dei sistemi.

L’assenza di meccanismi di autenticazione robusta nei dispositivi di videosorveglianza destinati al consumo domestico rappresenta ancora uno dei principali punti di vulnerabilità. In ambito europeo si discute l’introduzione di un marchio di conformità per l’IoT, volto a garantire la non-indicizzabilità dei flussi video privati e a promuovere standard di sicurezza uniformi; tale misura consentirebbe di rendere effettivo il principio di privacy by design richiamato dal Garante.

La dignità come infrastruttura

Il provvedimento del primo ottobre, senza necessità di utilizzare toni allarmistici, richiama l’attenzione del lettore che non fatica a riconosce un mutamento di prospettiva: la privacy è un presidio dell’ambiente umano, non più solo un diritto individuale.

Quando una telecamera di casa diventa finestra pubblica, ciò che viene meno è il significato stesso di spazio privato.

Per questo, difendere la riservatezza oggi significa garantire che l’intimità non possa essere convertita in merce visiva. Il corpo, anche quando ripreso in modo casuale, porta con sé una trama di relazioni, oggetti, parole, gesti che costituiscono la sua identità estesa e, in questa prospettiva, la tutela della riservatezza riacquista quasi il senso originario di barriera contro l’intrusione.

Il principio elaborato da Warren e Brandeis (il right to be let alone) torna attuale come fondamento simbolico di un diritto che protegge la possibilità di non essere osservati, di restare opachi allo sguardo tecnologico e al mercato delle immagini.

Con l’intervento sul caso CamHub, il Garante riafferma la dignità come infrastruttura civile, riconoscendo in essa la soglia che separa la libertà di guardare dal diritto di rimanere invisibili.