Deepfake pornografici: le tutele previste dall’AI Act 

1. Introduzione: l’AI Act e la sfida dei deepfake pornografici

Il Regolamento sull’Intelligenza Artificiale (AI Act), adottato dall’Unione Europea e in vigore dal 1 agosto 2024, rappresenta il primo quadro normativo armonizzato a livello europeo per la regolamentazione dei sistemi di intelligenza artificiale. Il suo obiettivo principale è garantire un utilizzo sicuro e conforme dell’IA, tutelando i diritti fondamentali delle persone e promuovendo l’innovazione tecnologica in modo responsabile.

Dal punto di vista normativo, l’AI Act fornisce una definizione specifica di deepfake. L’articolo 3 (60) definisce i deepfake come «contenuti di immagini, audio o video generati o manipolati dall’intelligenza artificiale che assomigliano a persone, oggetti, luoghi, entità o eventi esistenti e che potrebbero apparire falsamente a una persona come autentici o veritieri».

I deepfake pornografici si riferiscono all’uso di tecniche generative per manipolare immagini, video e audio al fine di creare contenuti pornografici ingannevoli. In questo contesto, le vittime vengono artificialmente spogliate o rappresentate in situazioni sessualmente esplicite attraverso la tecnica del face swapping, ossia la sovrapposizione del volto della vittima su un corpo estraneo. Il risultato finale mostra la persona in pose sessualmente esplicite che non corrispondono in alcun modo al suo comportamento reale, generando contenuti falsi ma visivamente realistici.

2. Misure preventive: obblighi di trasparenza e strategie di mitigazione

Uno dei principi cardine dell’AI Act per i sistemi di IA classificati come a rischio limitato riguarda l’introduzione di obblighi di trasparenza, volti a garantire un uso responsabile e consapevole di queste tecnologie. In particolare, l’articolo 50 stabilisce che i fornitori devono assicurare che i contenuti prodotti dall’IA siano chiaramente etichettati per evidenziare la loro origine artificiale.

L’obiettivo è quello di prevenire pratiche ingannevoli, informando gli utenti sul fatto che il materiale con cui interagiscono è stato creato o manipolato mediante tecnologie di intelligenza artificiale. In tal senso, l’AI Act richiede che i contenuti deepfake siano dotati di marcatori espliciti, come filigrane digitali visibili direttamente sul contenuto, metadati integrati nel file che ne tracciano la natura artificiale o disclaimer chiaramente leggibili.

L’articolo 50 (5) specifica ulteriori dettagli sulle modalità di comunicazione degli obblighi di trasparenza. Le informazioni relative all’origine artificiale dei contenuti devono essere fornite in modo:

(i) chiaro e distinguibile, evitando ambiguità;

(ii) accessibile, in conformità con i requisiti previsti dalla normativa UE;

(iii) tempestivo, ovvero non oltre il momento della prima interazione o esposizione al contenuto da parte dell’utente;

garantendo così la piena consapevolezza della natura artificiale dei contenuti da parte degli utenti.

A supporto degli obblighi di trasparenza, l’articolo 96 (1) incarica la Commissione Europea di sviluppare linee guida pratiche per l’attuazione efficace di queste disposizioni, chiarendo le modalità tecniche per implementare watermark e metadati, le migliori pratiche per la comunicazione degli avvisi di trasparenza e i criteri per valutare l’efficacia delle misure adottate. In parallelo, l’articolo 50 (7) attribuisce all’AI Office il compito di promuovere la creazione di codici di condotta che mirino a favorire una conformità agli standard di trasparenza, incoraggiando una collaborazione tra autorità pubbliche, fornitori di IA e piattaforme digitali.

3. Strumenti di protezione ex-post

Sebbene l’AI Act preveda misure preventive per mitigare i rischi legati ai deepfake, è fondamentale garantire strumenti di protezione ex-post per affrontare i danni una volta che si sono verificati. Le misure ex-post mirano a rafforzare l’enforcement della normativa, garantire la responsabilità degli attori coinvolti e facilitare la rimozione dei contenuti illeciti.

3.1. Meccanismi di enforcement

In base all’articolo 74, gli Stati Membri devono designare autorità nazionali di vigilanza, le quali sono responsabili di garantire che i fornitori e gli utenti di sistemi di IA rispettino gli obblighi relativi alla valutazione del rischio, alla trasparenza e alla responsabilità, condurre ispezioni, esaminare la documentazione tecnica e indagare su potenziali violazioni e applicare sanzioni in caso di inadempienza.

Le sanzioni per la mancata conformità sono stabilite nell’articolo 99, che prevede multe fino a 15 milioni di euro o il 3% del fatturato globale per l’inosservanza degli obblighi di trasparenza dei sistemi a rischio limitato, di cui l’articolo 50. Tuttavia, l’applicazione di questi meccanismi presenta sfide significative, quali la natura transfrontaliera della diffusione dei deepfake e la mancanza delle competenze tecniche e delle risorse finanziarie per monitorare efficacemente i sistemi di IA avanzati da parte delle autorità nazionali.

Le attuali tecnologie di rilevamento faticano a identificare in modo affidabile i deepfake. Per superare queste difficoltà, l’articolo 65 istituisce il Comitato Europeo per l’Intelligenza Artificiale (EAIB), con il compito di facilitare la cooperazione e la condivisione di informazioni tra le autorità degli Stati Membri, coordinare indagini congiunte su casi di abuso transfrontaliero dell’AI e fornire supporto tecnico e competenze specialistiche alle autorità nazionali.

3.2. Rimozione dei contenuti illeciti

Sebbene l’AI Act stabilisca un quadro solido per la regolamentazione dei sistemi di IA, non prevede disposizioni specifiche per la rimozione di contenuti dannosi o illegali. Questa lacuna viene colmata da normative complementari dell’UE, come il Digital Services Act (DSA) e il Regolamento Generale sulla Protezione dei Dati (GDPR).

Il DSA impone obblighi chiari alle piattaforme online per individuare, segnalare e rimuovere rapidamente contenuti illegali (articolo 8), implementare meccanismi di segnalazione per gli utenti (articolo 9). Mentre, il GDPR offre una tutela importante attraverso il diritto all’oblio (articolo 17) che consente alle vittime di richiedere la rimozione dei propri dati personali, inclusi contenuti non consensuali, da piattaforme online.

Infine, è essenziale affrontare anche l’impatto psicologico ed emotivo dei deepfake pornografici non consensuali. La Strategia dell’UE sui Diritti delle Vittime (2020-2025) sottolinea l’importanza di fornire assistenza psicologica e supporto mirato, in collaborazione con autorità nazionali, piattaforme digitali e organizzazioni.

4. Deepfake pornografici e tutele per i minori

I deepfake pornografici che coinvolgono minori rappresentano una forma di abuso particolarmente grave, poiché sfruttano individui vulnerabili e violano in modo diretto i diritti fondamentali dei minori, in particolar modo il diritto alla dignità. L'assenza di disposizioni esplicite nell'AI Act per affrontare il CSAM (Child Sexual Abuse Material) generato dall'IA solleva preoccupazioni significative, anche poiché questi materiali spesso sfuggono ai sistemi tradizionali di monitoraggio.

5. La necessità di una riclassificazione per un approccio normativo più stringente 

Il sistema di classificazione basata sul rischio previsto dall’AI Act determina il livello di regolamentazione in base al potenziale danno derivante da un'applicazione dell'intelligenza artificiale. Sebbene questo quadro sia concepito per garantire una supervisione proporzionata ai rischi, le applicazioni dannose della tecnologia deepfake, in particolare nel contesto della pornografia e pedopornografia,  sono sottovalutate.

La pornografia deepfake, tra le forme più diffuse di abuso di questa tecnologia, solleva preoccupazioni significative sia per le vittime sia per la società nel suo complesso. La frequenza con cui viene utilizzata per scopi dannosi, rispetto alle sue limitate applicazioni positive, suggerisce che la sua attuale classificazione come rischio limitato non rifletta adeguatamente l'impatto reale di questi contenuti.

La sotto classificazione delle applicazioni deepfake può portare a regolamentazioni insufficienti, che lasciano le vittime più vulnerabili, e lacune nella protezione dei diritti fondamentali, in particolare la privacy, la dignità personale e la sicurezza delle informazioni.

Diverse analisi accademiche e istituzionali evidenziano la necessità di una riclassificazione della tecnologia deepfake, o almeno di alcune sue applicazioni, come la pornografia deepfake. Ad esempio, Moreno propone di spostare le tecnologie come i deepfake in categorie a rischio più elevato, in particolare quando coinvolgono estorsione e immagini di abusi sessuali su minori, sostenendo che il loro potenziale manipolativo e il danno sociale giustificano un controllo più rigoroso. Gockel evidenzia come la pornografia deepfake non sia solo una forma di sfruttamento digitale, ma anche un mezzo che rafforza strutture di potere misogine e amplifica le disuguaglianze di genere esistenti.

Riclassificare la tecnologia deepfake, o almeno le sue applicazioni più dannose come la pornografia non consensuale, comporterebbe l’introduzione di controlli più rigorosi. Tra questi: obblighi di valutazione del rischio più stringenti per i fornitori di IA, requisiti di trasparenza rafforzati con la chiara indicazione della natura artificiale dei contenuti, e una responsabilità accresciuta per le piattaforme digitali che ospitano o diffondono tali materiali.

Secondo l’articolo 7 e l’Allegato III dell’AI Act, è possibile aggiornare la classificazione del rischio in base all’evoluzione tecnologica e alle evidenze sull'impatto sociale delle applicazioni di IA. Tuttavia, questa possibilità dipende da interventi legislativi futuri, che aggiornino le categorie di rischio e interpretazioni giurisprudenziali che riconoscano la gravità del fenomeno e la necessità di proteggere meglio le vittime.

6. Conclusioni

I deepfake pornografici rappresentano una delle sfide più complesse dell’era digitale, mettendo in discussione non solo la tutela della privacy, ma anche la fiducia collettiva nelle informazioni digitali. L’AI Act, pur rappresentando un primo passo significativo, necessita di ulteriori integrazioni per garantire una protezione efficace delle vittime.

La riclassificazione delle applicazioni deepfake e un approccio normativo flessibile e in continua evoluzione sono fondamentali per affrontare i rischi emergenti. Solo attraverso una collaborazione tra istituzioni, piattaforme digitali e società civile sarà possibile costruire un ambiente digitale più sicuro e rispettoso dei diritti fondamentali.

Bibliografia

• E Gockel, Deepfake Pornography: A Science and Technology Studies Perspective on Digital Exploitation, in Maastricht Journal of Law and Art, 2024.

• European Commission, EU Strategy on Victims' Rights (2020-2025), (Communication) COM (2020) 258 final.

• F.R. Moreno, Generative AI and Deepfakes: A Human Rights Approach to Tackling Harmful Content, in International Review of Law, Computers & Technology, 38(3), 2024.

• Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (Regolamento generale sulla protezione dei dati) [2016] OJ L119/1.

• Regolamento (UE) 2022/2065 del Parlamento Europeo e del Consiglio del 19 ottobre 2022 (Digital Services Act) [2022] OJ L277/1.

• Regolamento (UE) 2024/1689 del Parlamento Europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull'intelligenza artificiale [2024] OJ L1689/1.