Suno non aveva mai voluto dire cosa contenessero davvero i suoi dataset di addestramento, e adesso lo sappiamo lo stesso. Non perché l’azienda abbia deciso di aprirsi, ma perché un hacker ha rubato il codice sorgente e lo ha fatto arrivare a 404 Media. I file raccontano una storia piuttosto diversa da quella che la società aveva lasciato intendere fino a oggi.
Milioni di brani presi da YouTube, Deezer e Genius
Dentro quei file ci sono istruzioni di scraping pensate per estrarre audio da un elenco lungo di piattaforme. YouTube Music, Deezer, Genius, Pond5, Jamendo, Freesound e persino l’International Music Score Library Project. Un documento riferito a YouTube Music parla chiaro, al momento dell’ultimo aggiornamento Suno aveva già consumato 2.013.545 clip. E non finisce lì, perché l’azienda ha provato a scaricare circa un milione di ore di podcast passando da PodcastIndex. Tutto materiale destinato ad addestrare il modello di intelligenza artificiale.
Il codice lascia intendere che per razziare musica da YouTube sia stata usata Bright Data, una società terza. Un dettaglio interessante riguarda la ricerca di versioni a cappella delle canzoni, quelle con la sola voce isolata. Sono i dati più preziosi in assoluto per un sistema che deve imparare a generare voci umane credibili. La RIAA aveva già puntato il dito contro Suno, accusandola di aver prelevato audio dai flussi di streaming di YouTube aggirando le protezioni sul copyright. I file trafugati non fanno che confermare quelle accuse.
La difesa dell’azienda e i clienti lasciati al buio
Un portavoce ha spiegato che i modelli di Suno sarebbero stati addestrati su file musicali disponibili pubblicamente e su metadati accessibili su siti di terze parti nell’Internet aperto. Peccato che disponibile pubblicamente e accessibile non voglia affatto dire scaricabile in modo legale per addestrare un’intelligenza artificiale. YouTube, Deezer e Genius hanno termini di servizio che vietano espressamente lo scraping. L’azienda parla di fair use, la RIAA parla di violazione del copyright. Alla fine decideranno i tribunali.
C’è poi un secondo fronte, forse ancora più delicato. L’hacker ha messo le mani anche sui dati dei clienti, indirizzi email, numeri di telefono e dettagli di pagamento Stripe. Alcuni utenti contattati hanno confermato di essere iscritti al servizio e hanno raccontato una cosa non da poco, Suno non li ha mai avvisati della violazione.
L’azienda sostiene di aver scoperto l’incidente a novembre 2025, di aver arginato la situazione in fretta e che il problema avrebbe riguardato soprattutto codice sorgente ormai vecchio e fuori uso. Sempre secondo la stessa società, le leggi sulla privacy non richiedevano notifiche individuali ai clienti. Al di là di quanto sia stata grave la violazione dei dati, il vero nodo resta un altro. La mancata comunicazione agli utenti rischia di intaccare la fiducia più della violazione in sé.