Suno non ha mai voluto dire cosa c’è nei propri dataset di addestramento. Adesso lo sappiamo, non perché lo ha rivelato lei, ma perché un hacker ha rubato il codice sorgente dell’azienda e lo ha condiviso con 404 Media.
Suno nei guai: file hackerati rivelano milioni di brani scaricati da YouTube, Deezer e Genius
I file mostrano istruzioni di scraping per estrarre audio da YouTube Music, Deezer, Genius, Pond5, Jamendo, Freesound e l’International Music Score Library Project. Un file relativo a YouTube Music indica che Suno aveva consumato 2.013.545 clip da YouTube Music al momento dell’ultimo aggiornamento. Suno ha anche cercato di scaricare circa un milione di ore di podcast tramite PodcastIndex. Tutto per addestrare il suo modello AI.
Il codice suggerisce che Suno ha usato Bright Data, un’azienda terza, per saccheggiare musica da YouTube. Ha anche cercato versioni a cappella delle canzoni su YouTube per ottenere audio solo vocale, i dati più preziosi per un modello che deve imparare a generare voci umane.
La RIAA aveva già accusato Suno di aver scaricato audio dai flussi di streaming di YouTube, aggirando le protezioni copyright della piattaforma. E i file hackerati confermano quelle accuse.
La difesa di Suno
I modelli AI di Suno sono stati addestrati su file musicali disponibili pubblicamente e metadati correlati accessibili su siti web di terze parti nell’Internet aperto
. ha detto un portavoce di Suno.
Ma disponibili pubblicamente e accessibili non significa scaricabili legalmente per l’addestramento AI. YouTube, Deezer e Genius hanno termini di servizio che vietano lo scraping. Suno dice che è fair use. La RIAA dice che è violazione del copyright. I tribunali decideranno.
La violazione dei dati dei clienti
L’hacker ha anche ottenuto informazioni sui clienti di Suno, indirizzi email, numeri di telefono e dettagli di pagamento Stripe. Alcuni clienti contattati da 404 Media hanno confermato di essere iscritti al servizio e hanno detto che Suno non li ha mai avvisati della violazione.
Suno dice di essere venuta a conoscenza dell’incidente a novembre 2025, di aver contenuto la situazione rapidamente, e che l’incidente ha riguardato principalmente codice sorgente obsoleto non più in uso. Secondo l’azienda le notifiche individuali non erano giustificate secondo le leggi sulla privacy. Al di là dell’entità della violazione, l’assenza di una comunicazione ai clienti rischia di compromettere la fiducia più della violazione stessa.