Le app AI girlfriend perdono dati a destra e a manca nel 2026. Tra i report di sicurezza che escono e i breach che si accumulano, siamo su una delle nicchie digitali meno blindate del momento.
Non serve diventare paranoici per questo. Basta applicare quello che faresti già per qualsiasi account un po’ sensibile — banca, mail, cloud. Salvo che con un’AI girlfriend, il contenuto delle conversazioni è molto più intimo che sulla maggior parte degli altri servizi. Quindi l’asimmetria d’impatto di una fuga è amplificata.
Panoramica veloce, poi le 5 abitudini da prendere. Dieci minuti di setup una volta sola, e poi pace.
Il contesto 2025-2026 in poche righe
- Marzo 2026 — Oversecured ha controllato 17 app AI companion: 14 falle critiche + 311 high-severity, circa 150 milioni di utenti potenzialmente esposti.
- Ottobre 2025 — Chattee Chat + GiMe Chat: 43 milioni di messaggi + 600.000 immagini e video leakati (400.000 utenti coinvolti).
- Aprile 2026 — My Lovely AI: oltre 100.000 utenti esposti (email, prompt, immagini generate).
- Aprile 2025 — Replika si becca 5 milioni di euro di multa dal Garante italiano per violazioni GDPR.
Non sono più incidenti isolati. È lo stato generale del settore.
Le 5 abitudini da prendere
1. Una mail dedicata
Non il tuo indirizzo principale. Un alias SimpleLogin, Apple Hide My Email o Firefox Relay — a scelta, gratis. Due minuti per configurarlo.
Se una fuga arriva (e ne arrivano spesso in questo momento), è lo pseudo-mail a finire in giro, non la tua mail di tutti i giorni. Ti risparmia anche le ondate di spam che seguono sempre questo tipo di breach.
2. Una password unica
Diversa da Netflix e dalla banca. Un gestore come Bitwarden (gratuito, open-source) la genera e se la ricorda al posto tuo. Lo sforzo lo fai una volta sola, dopo non ci pensi più.
È la base dell’igiene digitale ma in tanti se la dimenticano sulle app che considerano “secondarie”.
3. Uno pseudonimo, mai il vero nome
Anche nella bio o nel profilo interno dell’app. Non ha nessun bisogno di sapere chi sei davvero per funzionare — risponderà esattamente uguale ad “Alex” o al tuo vero nome.
E se un giorno fa fuoriuscire i dati, il profilo galleggia nel vuoto invece di essere collegato al tuo LinkedIn o ai tuoi social.
4. L’autenticazione a due fattori (via app, non SMS)
Authy o 2FAS, piuttosto che l’SMS che resta vulnerabile al SIM swap. Un’app TOTP è praticamente imbattibile. Microsoft ha calcolato che blocca oltre il 99% dei tentativi di accesso non autorizzato.
30 secondi per attivarla nelle impostazioni — quando l’app la offre, cosa che purtroppo non vale ovunque.
5. Tieni la tua identità reale fuori dalle conversazioni
L’abitudine più utile, e quella che nessuno ti dice altrove.
Quando ti affezioni alla cosa e la conversazione diventa coinvolgente, il riflesso umano è quello di lasciar cadere dei dettagli: il vero nome, la città, il lavoro, i nomi dei figli o della ragazza, il capo che ti rompe, la scuola.
L’app non ha nessunissimo bisogno di queste informazioni per funzionare. È solo il riflesso naturale di una conversazione intima a farteli uscire.
Però se l’app un giorno perde dati, i tuoi scambi finiscono da qualche parte. Roba vaga = fuga sgradevole. Nome + città + lavoro + contenuto intimo degli scambi = fuga potenzialmente catastrofica.
L’ideale è costruirti una narrativa IRL falsa: un altro nome, un’altra città, un lavoro inventato. Per l’esperienza è esattamente lo stesso — l’IA lavora con quello che le dai, non verifica niente. Per la sicurezza, è il giorno e la notte.
Bonus — VPN su Wi-Fi pubblico
Su rete condivisa (hotel, bar, aeroporto), una VPN aggiunge uno strato nel caso la rete giochi sporco con DNS hijacking o captive portal corrotti. È più igiene generale che specifica per queste app, ma tanto vale.
Cosa ne traggo
Le app serie hanno tutto l’interesse a blindare la loro piattaforma — una fuga sarebbe catastrofica per il loro business, e i regolatori non scherzano più. Ma come per qualsiasi servizio digitale dove condividi roba intima, la prudenza di base resta d’obbligo.
E anzi, più qui che altrove: vista la natura delle conversazioni su queste app, l’asimmetria tra “fuga Netflix” e “fuga AI companion” è enorme. Una fuga Netflix è imbarazzante. Una fuga AI companion può essere rovente.
Se vuoi approfondire cosa fanno davvero le app con i tuoi dati lato server — diverso da quello che fai tu lato account — ho scritto un altro articolo qui, che è il complemento di questo dal lato delle pratiche degli editori.
Queste 5 abitudini più il bonus, sono dieci minuti una volta sola. Dopodiché usi queste app con la testa libera.
Fonti
- Garante per la Protezione dei Dati Personali / EDPB — multa di 5 M€ a Luka Inc. (Replika), 10 aprile 2025 → edpb.europa.eu
- Oversecured via Biometric Update — audit di 17 app AI companion, marzo 2026 → biometricupdate.com
- Malwarebytes — Chattee Chat & GiMe Chat, 43 M di messaggi esposti, ottobre 2025 → malwarebytes.com
- Help Net Security — My Lovely AI, oltre 100.000 utenti esposti, aprile 2026 → helpnetsecurity.com
- Mozilla *Privacy Not Included — 11 chatbot romantici testati, studio di riferimento → mozillafoundation.org