Dati Suno hackerati rivelano milioni di canzoni scaricate da YouTube Music, Deezer e altri
Una violazione della sicurezza presso il generatore di musica AI ha esposto il codice interno mostrando che l'azienda ha estratto oltre due milioni di clip da piattaforme di streaming, e alcuni clienti affermano di non essere mai stati informati dell'accesso ai loro dati.

Punti chiave
- Un hacker ha acceduto ai sistemi interni di Suno a novembre 2025 e ha condiviso il codice con i giornalisti di The Verge AI, rivelando come l'azienda ha costruito i suoi dati di addestramento.
- I dati scaricati da Suno includevano almeno 2.013.545 clip da YouTube Music, più centinaia di migliaia di ore da Deezer, Genius e altre piattaforme.
- La Recording Industry Association of America (RIAA), l'ente di categoria che rappresenta le major discografiche, aveva già citato in giudizio Suno e sostenuto che aveva "stream ripped" i brani aggirando le protezioni del copyright di YouTube.
- I dati dei clienti accessibili nella violazione includevano indirizzi email, numeri di telefono e dettagli di pagamento collegati al servizio di fatturazione Stripe.
- Suno ha detto ai giornalisti che la violazione era stata contenuta rapidamente e che le notifiche ai singoli clienti non erano legalmente richieste.
Suno, la startup dietro un generatore di musica AI che consente agli utenti di creare canzoni dall'aspetto originale digitando un prompt di testo, ha costruito il suo AI estraendo milioni di brani da piattaforme di streaming tra cui YouTube Music, Deezer e il sito di testi Genius. Questo è il quadro che emerge dal codice interno dell'azienda esposto in un incidente di hacking e riportato da The Verge AI.
I file trapelati includono istruzioni di scraping, elenchi di fonti di dati e un registro che mostra come Suno aveva consumato più di due milioni di clip di YouTube Music nel momento dell'ultimo aggiornamento del file. Altri dataset coprivano centinaia di migliaia di ore di audio da YouTube Music, migliaia di ore da Deezer e Genius, e approssimativamente un milione di ore di podcast estratti tramite uno strumento chiamato PodcastIndex.
Una sezione del codice suggerisce che Suno ha utilizzato un'azienda di dati di terze parti chiamata Bright Data per estrarre audio da YouTube. Un'altra apparentemente mostra che l'azienda ha cercato specificamente registrazioni a cappella, cioè voci senza musica, per isolare il canto dalle tracce di sottofondo.
Questo significa che Suno ha violato la legge?
Questa domanda è attualmente davanti ai tribunali. La RIAA ha intentato una causa contro Suno sostenendo che ha utilizzato registrazioni protette da copyright senza permesso. Suno ha pubblicamente ammesso di aver addestrato il suo sistema su materiale protetto da copyright ma sostiene che questo sia legale secondo il fair use, un principio legale statunitense che consente l'uso limitato di contenuti protetti in determinate condizioni. Un successivo emendamento alla causa ha aggiunto l'affermazione più specifica che Suno ha aggirato i sistemi di protezione del copyright di YouTube stesso, cosa che il codice trapelato di recente sembra supportare.
Un portavoce di Suno ha dichiarato che l'azienda ha sempre riconosciuto di aver addestrato il sistema su "file musicali disponibili pubblicamente e metadati correlati accessibili su siti web di terze parti su internet aperto".
La violazione ha toccato anche i record dei clienti. L'hacker ha acceduto agli indirizzi email, ai numeri di telefono e ai dati di pagamento Stripe per alcuni utenti. Diversi clienti hanno confermato ai giornalisti di essersi iscritti a Suno ma hanno detto che l'azienda non li ha mai informati della violazione.
La dichiarazione di Suno ha affermato che ha scoperto l'incidente a novembre 2025, lo ha contenuto rapidamente, e ha stabilito che i dati coinvolti erano sufficientemente limitati da non richiedere notifiche individuali secondo le leggi sulla privacy. L'azienda ha anche detto che non conserva mai il numero di carta di credito completo dei clienti.
Per gli attuali utenti di Suno, il consiglio pratico è diretto: verificare se il vostro indirizzo email appare in uno qualsiasi dei servizi pubblici di tracciamento delle violazioni di dati, considerare l'aggiornamento della vostra password, e stare attenti a eventuali addebiti inaspettati sul metodo di pagamento utilizzato per l'iscrizione.



