Vibe coding e GDPR: perché il sito creato dall'IA potrebbe essere illegale

Gli agenti di coding come Claude Code e Codex sfornano un sito funzionante in poche ore, ma introducono in silenzio violazioni del GDPR che non hai mai chiesto: cookie attivati prima del consenso, dati personali conservati per sempre, nessun modo per gli utenti di cancellarli. Ecco perché succede con ogni agente di coding, quanto può costarti e il skill gratuito per Claude Code che analizza il tuo progetto e corregge i problemi GDPR.

Descrivi un'app a un agente di coding, lui scrive il codice, tu pubblichi e qualche ora dopo hai un vero prodotto online. È la promessa del vibe coding, e nella maggior parte dei casi viene mantenuta. Il sito si carica, la registrazione funziona, la dashboard è pulita. Tutto quello che vedi è a posto.

Il problema è tutto quello che non vedi. Mentre collegava le tue funzionalità, l'agente ha anche preso decine di piccole decisioni su cookie, tracciamento, archiviazione dei dati e diritti degli utenti. Nessuno gli ha chiesto di pensare alla legge, quindi non ci ha pensato. Quando arrivi alla pubblicazione, il tuo sito nuovo di zecca poggia forse già su una pila di violazioni del GDPR, e tu non ne hai la minima idea.

Non è un problema di Claude né di Codex. È una proprietà strutturale del modo in cui funzionano gli agenti di coding, e vale per tutti quanti. Vediamo nel dettaglio cosa va storto, quanto può costarti e il skill gratuito per Claude Code che trova e corregge questi problemi prima che lo faccia un'autorità di controllo.

Cosa sbaglia in silenzio un agente di coding

Un agente di coding ottimizza una sola cosa: far funzionare la funzionalità. Chiedigli delle statistiche e ti piazza uno script di tracking. Chiedigli un modulo di contatto e archivia ogni invio in una tabella. Chiedigli un login e conserva gli account a tempo indeterminato. Ogni scelta, presa da sola, è ragionevole. Messe insieme, formano la lista da manuale delle violazioni che le autorità sanzionano più spesso.

Ecco cosa passa tra le maglie su un tipico sito fatto in vibe coding:

  • Cookie e tracker si attivano prima del consenso. Statistiche, mappe integrate, font, pixel social e strumenti di sessione si caricano nel momento in cui la pagina si apre. Secondo il GDPR e le regole ePrivacy, i cookie non essenziali richiedono un consenso preventivo e liberamente prestato. Un sito che li deposita al primo caricamento è già non conforme, e un banner cookie che compare solo dopo che il tracker è scattato non sistema nulla.
  • I dati personali vengono conservati per sempre. L'agente crea una tabella users, una tabella submissions, una tabella logs e non aggiunge mai una politica di conservazione. Il GDPR impone di conservare un dato personale solo per il tempo realmente necessario. "Per sempre, non si sa mai" è esattamente la violazione del principio di limitazione della conservazione che la legge è stata scritta per fermare.
  • Non c'è modo di cancellare i propri dati. Gli utenti hanno il diritto alla cancellazione, il cosiddetto diritto all'oblio. Quasi nessuna app fatta in vibe coding arriva con un percorso "cancella il mio account" o una procedura documentata per onorare una richiesta di cancellazione. Il dato entra e non c'è nessuna porta con la scritta uscita.
  • Nessun percorso di accesso o portabilità. Le persone possono chiedere una copia di tutto ciò che detieni su di loro. Se la tua unica risposta è una query manuale al database che non hai mai testato, non stai rispettando gli obblighi di accesso e portabilità.
  • I dati di terze parti lasciano l'UE in silenzio. Quello script di statistiche o quel font ospitato che hai aggiunto in due secondi inviano forse indirizzi IP e identificatori verso server fuori dall'UE, senza alcun meccanismo legale di trasferimento.
  • Nessun registro di ciò che raccogli. Il GDPR si aspetta che tu conosca e documenti i tuoi trattamenti. Un'app i cui flussi di dati vivono solo nella cronologia di chat dimenticata dell'agente non ha alcun registro.

Niente di tutto questo emerge in una demo. L'app funziona alla perfezione. Lo strato legale è semplicemente assente, e resta assente finché qualcuno non si lamenta o un'autorità non bussa alla porta.

Confronto a due colonne intitolato cosa viene consegnato contro cosa esige la legge. La colonna di sinistra elenca cosa consegna un agente di coding con spunte verdi: l'autenticazione funziona, l'interfaccia è curata, i pagamenti sono attivi, la build è pulita. La colonna di destra elenca cosa richiede il GDPR con segnali di allerta rossi che compaiono uno alla volta: il consenso prima dei cookie, un limite di conservazione dei dati, il diritto alla cancellazione, una base giuridica documentata. Una fenditura tratteggiata scende al centro per mostrare lo spazio invisibile tra un sito che gira e un sito conforme.

L'agente riempie la colonna di sinistra senza un errore. La colonna di destra è la parte che nessuno gli ha chiesto di costruire, e così resta vuota.

Perché ogni agente di coding fa questo, non solo Claude

È allettante prendersela con un singolo strumento, ma la causa è più profonda. Gli agenti di coding imparano dal codice pubblico, e la maggior parte del codice pubblico non è mai stata scritta pensando al GDPR. Quando un modello ha visto diecimila esempi di "aggiungi Google Analytics" che infilano lo script dritto nell'<head>, è quello lo schema che riproduce. I dati di addestramento codificano la cattiva abitudine, quindi l'output la eredita.

Esistono dati solidi sulla versione più ampia di questo problema. Il GenAI Code Security Report 2025 di Veracode ha testato l'output di oltre 100 grandi modelli linguistici su decine di compiti di coding e ha rilevato che il 45% del codice generato dall'IA introduceva una vulnerabilità di sicurezza. Lo stesso studio ha trovato che il codice scritto dall'IA portava 2,74 volte più vulnerabilità del codice scritto da esseri umani e, dato significativo, che i modelli più recenti e più grandi non facevano meglio. È un fatto strutturale, non un bug che la prossima release risolve.

La conformità in materia di privacy ha esattamente la stessa forma della sicurezza. Entrambe sono requisiti invisibili che l'obiettivo "far funzionare la cosa" scavalca senza fermarsi. Quindi che tu guidi Claude Code o Codex, Antigravity CLI, Cursor o qualunque altro agente, sei esposto allo stesso punto cieco. Cambia lo strumento, il buco resta.

Quanto può costare davvero una violazione del GDPR

Qui la cosa smette di essere astratta. Le sanzioni GDPR hanno un tetto pari al maggiore tra 20 milioni di euro e il 4% del fatturato annuo mondiale, e le autorità hanno iniziato a colpire nella parte alta di quella forbice.

Solo nel 2025, l'autorità francese per la protezione dei dati, la CNIL, ha comminato 486 milioni di euro di sanzioni, quasi dieci volte il totale del 2024. Due decisioni dello stesso giorno di settembre ne rappresentano gran parte: 325 milioni di euro contro Google per carenze su cookie e trasparenza pubblicitaria, e 150 milioni di euro contro Shein per tracker depositati senza consenso. Le categorie esatte di errore che un agente IA consegna per impostazione predefinita sono le stesse che attirano sanzioni a nove cifre.

È facile leggere quei numeri e pensare che le autorità diano la caccia solo ai giganti. Non è così. La CNIL applica una procedura semplificata costruita proprio per i casi piccoli e fattuali: un banner cookie non conforme, una richiesta di accesso ignorata, una politica delle password debole. Sono i rilievi all'ordine del giorno per una piccola impresa, ed è esattamente ciò che un sito fatto in vibe coding sbaglia. La dimensione della tua azienda cambia l'importo della sanzione, non il fatto che tu possa riceverne una.

Grafico a barre verticali intitolato dove sono finite le sanzioni GDPR nel 2025. Tre barre salgono da una linea di base mentre si animano: 150 milioni di euro contro Shein per tracker piazzati senza consenso, 325 milioni di euro contro Google per carenze su cookie e trasparenza, e la barra più alta a 486 milioni di euro, il totale comminato dall'autorità francese nel 2025, quasi dieci volte l'anno precedente. Un badge nell'angolo segnala il tetto legale di 20 milioni di euro o 4 per cento del fatturato mondiale per violazione.

Le sanzioni da prima pagina colpiscono le grandi aziende, ma le violazioni dietro di esse, cookie senza consenso e mancanza di trasparenza, sono le stesse che un agente di coding consegna su un piccolo sito per impostazione predefinita.

Cosa chiede davvero il GDPR (in parole semplici)

Non serve diventare avvocati per colmare gran parte del buco. La maggior parte della conformità di tutti i giorni si riduce a una manciata di comportamenti concreti che il tuo codice ha oppure no:

  • Consenso prima dei cookie non essenziali. Nulla che traccia, profila o misura deve girare finché l'utente non ha attivamente acconsentito. I cookie strettamente necessari sono l'unica eccezione.
  • Una base giuridica per ogni dato che raccogli. Consenso, contratto o legittimo interesse, deciso prima di archiviare qualsiasi cosa, non dopo.
  • Minimizzazione dei dati. Raccogli solo ciò di cui la funzionalità ha realmente bisogno. L'istinto dell'agente di loggare tutto è l'esatto contrario.
  • Limiti di conservazione. Ogni categoria di dato personale ha bisogno di una durata di vita definita e di un modo per cancellarlo a scadenza.
  • I diritti degli interessati. Accesso, rettifica, cancellazione e portabilità hanno tutti bisogno di un percorso reale e funzionante, non di una promessa in un'informativa sulla privacy.
  • Un'informativa chiara e un registro dei trattamenti. Le persone devono poter vedere cosa raccogli e perché, e tu devi poterlo dimostrare.

Rileggi quella lista a fronte della sezione su cosa sbagliano gli agenti e la sovrapposizione è quasi perfetta. La buona notizia è che, trattandosi di comportamenti concreti a livello di codice, uno strumento può scansionarli.

La soluzione: un skill gratuito per Claude Code che scansiona e ripara

Ecco la parte che la checklist manuale non può darti: una passata automatica sul tuo codice reale. Uno sviluppatore di nome Jeremy Longshore ha pubblicato un skill gratuito e open source per Claude Code chiamato scanning-for-gdpr-compliance (elencato in alcuni cataloghi come GDPR Compliance Scanner) che fa esattamente questo. Vive nel repository claude-code-plugins-plus e gira interamente dentro Claude Code, quindi non c'è alcun servizio esterno a cui iscriversi.

Il skill legge il tuo progetto come farebbe un auditor della privacy. Ispeziona i flussi di dati, le posizioni di archiviazione, i trattamenti, i meccanismi di consenso, le politiche di conservazione, i controlli di accesso e il modo in cui gestisci i diritti degli interessati. Poi fa tre cose che contano:

  1. Rileva. Controlli basati su regole segnalano gli schemi visti sopra: tracker che scattano prima del consenso, dati personali senza limite di conservazione, percorsi di cancellazione assenti, trattamenti non documentati.
  2. Classifica per gravità. I rilievi tornano valutati e ordinati per priorità, così un tracker che fa trapelare identificatori passa davanti a una riga mancante nella tua informativa. Correggi prima le cose pericolose, invece di annegare in una lista piatta.
  3. Corregge nel tuo codice. Siccome gira dentro l'agente, non si limita a produrre un report da gestire più tardi. Può applicare direttamente le modifiche consigliate, trasformando "qui hai un problema" in una vera modifica nella stessa passata.

Installarlo si fa in una riga. Con il marketplace dei plugin aggiungi la sorgente e installi il skill:

/plugin marketplace add jeremylongshore/claude-code-plugins-plus

Poi avvii una scansione in linguaggio naturale. Il skill risponde a frasi come:

scan GDPR compliance
check data privacy
validate GDPR

Puoi anche installarlo depositando la cartella del skill nella directory .claude/skills/ del tuo progetto, il modo standard con cui Claude Code scopre i skill. In entrambi i casi, la scansione gira sul tuo repository reale, non su una checklist astratta.

Diagramma di pipeline da sinistra a destra intitolato scansiona, classifica, correggi. Un riquadro intitolato il tuo codice alimenta un riquadro intitolato il skill GDPR scansiona, che alimenta una pila di tre livelli di gravità intitolati critico, alto e medio che si illuminano in sequenza, e che poi sfocia in un riquadro intitolato correzione applicata nel codice, terminando su un riquadro verde intitolato più vicino alla conformità. Un piccolo marcatore percorre il tracciato per mostrare un progetto che attraversa il flusso.

Codice in entrata, rilievi prioritizzati al centro, vere modifiche al codice in uscita. Lo stesso ciclo che già usi per le funzionalità, puntato sulla conformità.

Una parola di cautela onesta, perché qui è in gioco la fiducia: una scansione non è un via libera legale. Il skill cattura le violazioni meccaniche a livello di codice che costituiscono gran parte del rischio quotidiano, i cookie, la conservazione, il percorso di cancellazione assente, e ti avvicina nettamente alla conformità in pochi minuti. Non sostituisce un avvocato specializzato in protezione dei dati per ciò che è delicato, una valutazione d'impatto (DPIA) o il trattamento di dati sanitari. Consideralo la prima passata tecnica che elimina le violazioni evidenti, poi fai intervenire una revisione umana sui casi limite.

Perché tutto si complica quando gestisci una flotta di agenti

Uno sviluppatore con un agente ha un solo codice da tenere in riga. Nel momento in cui fai girare diversi agenti in parallelo, ciascuno che consegna funzionalità nello stesso prodotto, la superficie per le violazioni silenziose si moltiplica. Un agente aggiunge uno script di statistiche, un altro tira su una tabella di log, un terzo collega un widget di terze parti, e nessun singolo essere umano ha mai esaminato le implicazioni privacy dell'insieme.

È lo stesso motivo per cui contesto e coerenza diventano difficili su larga scala, un tema su cui torniamo di continuo, che si parli di far girare agenti di coding in parallelo o di vibe coding senza annegare. La soluzione ha la stessa forma: rendere lo standard parte del setup condiviso, invece di farne un controllo che ti ricordi di fare alla fine.

In AgentsRoom, il cockpit multi-agente, i skill e le regole che configuri una volta si applicano a ogni agente della stanza, su Claude Code, Codex e gli altri provider che guidi da un unico posto. Collega una passata di conformità al tuo workflow una sola volta e ogni agente la eredita, invece di sperare che ciascuno si ricordi, in autonomia, una regola che nessuno gli ha insegnato. La disciplina che tiene pulita una singola sessione è la stessa che tiene un'intera flotta lontana dai guai con le autorità.

Una checklist di conformità pratica per i siti creati dall'IA

Prima di considerare finito un qualsiasi sito creato dall'IA, passalo al setaccio di questa lista. La maggior parte la coglierà lo scanner, ma sapere cosa stai cercando rende il report leggibile:

  • Nessun cookie o tracker non essenziale scatta prima che l'utente abbia acconsentito.
  • Ogni archivio di dati personali ha un periodo di conservazione definito e un meccanismo di cancellazione.
  • Gli utenti possono richiedere e ricevere una copia dei loro dati.
  • Gli utenti possono cancellare il proprio account e far cancellare i propri dati.
  • Un'informativa spiega cosa raccogli, perché e su quale base giuridica.
  • Gli script di terze parti e i trasferimenti di dati fuori dall'UE hanno un meccanismo lecito.
  • Puoi produrre un registro dei tuoi trattamenti, se richiesto.

Se non riesci a spuntare ogni casella, il tuo sito creato dall'IA porta un rischio GDPR, e una sola segnalazione basta a farlo emergere.

In sintesi

Il vibe coding è davvero veloce, ed è proprio quella velocità la trappola. L'agente riempie tutto ciò che vedi e salta tutto ciò che non vedi, che è esattamente dove vive il GDPR. Cookie prima del consenso, dati conservati per sempre, nessun modo di cancellarli: non sono casi limite esotici, sono l'output predefinito di ogni agente di coding, e sono le stesse carenze che le autorità hanno sanzionato per centinaia di milioni di euro nel 2025.

La soluzione non è smettere di usare gli agenti. È aggiungere la passata mancante. Lancia il skill gratuito scanning-for-gdpr-compliance sul tuo progetto, lascia che classifichi e ripari le violazioni evidenti, poi fai rivedere il resto a un essere umano. Pochi minuti di scansione costano molto meno che scoprire il buco dalla lettera di un'autorità.

Stai costruendo con più di un agente? Scarica AgentsRoom per guidare Claude Code, Codex e altri da un unico cockpit, guarda cosa supporta ciascuno nella matrice di compatibilità dei provider e leggi come continuare a correre senza affogare in vibe coding senza annegare.

Scarica AgentsRoom

Eseguire i vostri agenti AI (Claude, Codex, Antigravity CLI, OpenCode, Aider) su tutti i vostri progetti, da una singola finestra.

GratisScarica AgentsRoom

App companion: monitora i tuoi agenti in movimento

Scarica su
App Store
Disponibile su
Google Play

Usa Claude, Codex, Antigravity CLI o un altro provider IA.

Installa l'estensione
Chrome Web Store

Invia bug e richieste direttamente nel tuo backlog pubblico.

Uno sguardo ad AgentsRoom in azione.

Multi-progetto
Multi-provider
Multi-agente
Stato in tempo reale
Diff e commit
App mobile
Anteprima live
Team di agenti
Test browser
Dev guidata da backlog
Libreria di prompt
Libreria di skill
Vedi tutte le funzionalità