“Avete visto la balena?” Sembra fare eco al capitano Achab di Moby Dick il Garante della privacy italiano. Da mesi dà la caccia alla “balena” di Deepseek, la startup cinese che ha sviluppato un potente modello open source di intelligenza artificiale (e che ha una balena per simbolo), e non sa come afferrarla. Lo scorso 30 gennaio l'Autorità garante per la protezione dei dati personali ha adottato d'urgenza un provvedimento per inibire il trattamento delle informazioni degli utenti italiani da parte di Deepseek, dopo il lancio globale del chatbot di AI all'inizio del 2025.Come aveva già fatto con ChatGPT e OpenAI nella primavera del 2023, il Garante ha ordinato lo stop al trattamento sulla base del Gdpr, il regolamento europeo sulla privacy, perché da Deepseek non erano arrivate risposte trasparenti su come adoperi i dati degli utenti italiani, dove li archivi e se ne abbia pescati a strascico su internet per addestrare i suoi algoritmi. In quattro e quattr'otto l'app è stata rimossa dagli store di Apple e Google, mentre il sito è rimasto accessibile. Il Garante ha aperto un'istruttoria a carico della società. E da mesi cerca di notificare il procedimento. Senza successo.Tutti i tentativi di contattare DeepseekA quanto apprende Wired Italia da fonti qualificate, Deepseek non ha mai risposto ai vari tentativi di notifica dall'Italia. Wired ha inviato una richiesta all'azienda, senza ottenere risposta prima della pubblicazione di questo articolo. Il campione cinese dell'AI, fondato nel 2023 a Hangzhou da Liang Wenfeng, classe 1985, è diventato un grattacapo per il Garante della privacy. Non risponde alle email. Le raccomandate spedite in sede tornano indietro. Il laboratorio di AI che all'inizio dell'anno si è preso la ribalta della scena tecnologica mondiale, facendo venire un coccolone alle multinazionali degli Stati Uniti per l'efficienza del suo processo di addestramento e ai loro investori in Borsa, sembra svanire come la balena bianca che il capitano di Herman Melville caccia senza sosta.In una prima fase il Garante ha provato a intrattenere con Deepseek una comunicazione via email, che è stato il primo canale di approccio. Quello attraverso cui l'azienda, o meglio le due aziende riconducibili al fatto, DeepSeek Artificial Intelligence e Beijing DeepSeek Artificial Intelligence, hanno risposto alle osservazioni dell'autorità sostenendo di non operare in Italia e pertanto di non essere soggette alle norme europee. Quando il Garante ha inviato via email il provvedimento di notifica dell'istruttoria e del blocco, Deepseek ha smesso di rispondere.A quel punto, a quanto può ricostruire Wired, si è tentata la via della raccomandata internazionale. Tornata indietro perché agli indirizzi indicati nessuno l'aveva ritirata. Allora l'autorità ha consultato la Camera di commercio cinese per verificare se Deepseek avesse variato sede. Nessun cambio. Il Garante si è dunque rivolto al ministero degli Esteri e ha trasmesso il fascicolo all'ambasciata italiana a Pechino. Che ha tradotto il provvedimento e ha inviato al solito indirizzo una raccomandata, questa volta nazionale. Ma l'esito, ça va sans dire, è stato un nulla di fatto. Prima della pausa estiva l'autorità ha deciso di ingaggiare un legale cinese per individuare nelle pieghe del diritto un appiglio a cui aggrapparsi per notificare l'avvio dell'istruttoria.Il vuoto delle regole internazionaliNonostante gli accordi per la nuova via della Seta tra Roma e Pechino ai tempi del primo governo guidato da Giuseppe Conte, era marzo 2019, non esiste un'intesa bilaterale per gestire gli atti amministrativi (quale una istruttoria del Garante della privacy) tra i due Paesi. Detto altrimenti: non c'è una procedura riconosciuta da ambo le parti per la gestione di pratiche che non hanno un valore penale o civile. E questo nonostante l'Italia sia stata, nella stagione della maggioranza giallo-verde, l'unico Paese europeo a spingersi a siglare un memorandum per diventare un partner strategico dell'ex regno di Mezzo nella nuova via della Seta.Secondo un rapporto del 2024 di un panel di esperti del Consiglio europeo dei garanti della privacy, “le decisioni delle Autorità di protezione dei dati (Dpa) relative all’imposizione di sanzioni amministrative sono atti amministrativi. Non esiste un obbligo generale per gli Stati di riconoscere ed eseguire atti amministrativi stranieri. Possono esistere accordi internazionali sul riconoscimento di atti amministrativi in particolari situazioni, ma in assenza di tali accordi, il riconoscimento dipende dal diritto interno dello Stato in cui esso viene richiesto”. E in questo momento la procedura langue. Così, se Deepseek non risponde, l'indagine rischia di avere il fiato corto. Per quanto possano analizzare le informazioni sul trattamento dei dati rese pubbliche dalla società, i funzionari del Garante non potranno avere accesso al resto. E risposte alle domande da porre in sede di istruttoria.Il problema è lungi dall'essere solo italiano. Ma siccome l'autorità nazionale è stata la più attiva a livello europeo nel far scattare la tagliola del Gdpr quando un modello di AI metteva piede nel vecchio continente senza adeguate spiegazioni sulla sua gestione delle informazioni, è anche la prima a sbattere il naso contro il muro di gomma di Deepseek. Se con OpenAI e con il chatbot Replika (l'"amico virtuale" prodotto dalla statunitese Luka Inc) il Garante è riuscito a chiudere le indagini, e prendere poi provvedimenti, con il chatbot cinese non riesce a stringere la morsa.Non è il primo caso in cui l'autorità guidata dal presidente, Pasquale Stanzione, impazzisce per chiudere un'indagine. Ad aprile Irpimedia ha raccontato che da tre anni il Garante non riesce a notificare una multa da 20 milioni di euro a carico di Clearview AI, società statunitense accusata di aver pescato a trascico in rete centinaia di migliaia di volti di persone senza consenso (tra cui anche quello dell'autore di questo articolo). L'azienda, che non ha sede in Europa, sfugge non solo alla sanzione italiana, ma anche a quelle comminate da Francia, Austria e Olanda.Hai informazioni su aziende che sfuggono ai controlli nazionali? Scrivici una segnalazione anonima via WiredLeaksIl blocco di accesso via webLa balena cinese è sparita dai radar ancora prima. Per stanarla il Garante ha anche tentato la strada del blocco dell'accesso al sito (benché aggirabile mediante il ricorso a una virtual private network, vpn). Non essendo in suo potere, a maggio ha inviato una lettera ai fornitori di servizi internet (internet service provider), che fungeva da moral suasion al blocco. Al di là del caso specifico, dalle parti di piazza Venezia si ragiona di indirizzare una richiesta a governo e parlamento insieme ad altre autorità, in primis quelle delle telecomunicazioni (Agcom), per ripristinare un potere previsto dalla legge 70 del 2003 (con cui si recepiva la direttiva europea dell'ecommerce) e rimosso dall'adozione del Digital services act (Dsa), il nuovo pacchetto comunitario sui servizi digitali.In sostanza, la norma precedente contemplava un potere di inibizione, dietro fondato motivo, da far eseguire ai fornitori di servizi internet. Quel che oggi è riconosciuto all'Agcom in materia di copyright. O che esercita contro la pirateria attraverso Piracy Shield. L'ipotesi, ancora in una fase di discussione preliminare, sarebbe di riconoscere ad autorità come il Garante privacy il potere di richiedere il blocco ai fornitori di servizi internet per casi relativi alle proprie aree di competenza e dietro fondato motivo.Nel caso di Deepseek, il Garante potrebbe usare l'arma del blocco per stanare la società colpendola nel vivo, ossia nell'accesso diretto alle conversazioni degli utenti, dato che l'aspetto reputazionale non ha sortito effetto. Ma è un'opzione remota. Gli arpioni sulla baleniera iniziano a scarseggiare. E all'orizzonte non c'è traccia di Deepseek. L'inseguimento continua.