L’Autorità italiana per la protezione dei dati personali ha emesso un avvertimento formale sull’uso dell’intelligenza artificiale generativa applicata a immagini e voci riconducibili a persone reali. Il documento chiarisce che la produzione di contenuti realistici, quando rende identificabile un individuo, rientra nel perimetro del trattamento dei dati personali. Questo inquadramento giuridico sposta il tema dei deepfake dal piano della sperimentazione tecnologica a quello della responsabilità, con effetti diretti su utenti, sviluppatori e piattaforme.
La presa di posizione nasce dalla diffusione di servizi capaci di replicare tratti somatici, corpi o timbri vocali con un livello di realismo elevato. Quando tali strumenti operano senza una base giuridica valida, il trattamento diventa illecito e può incidere su dignità, reputazione e libertà personale. L’Autorità segnala che la semplicità d’uso di molte soluzioni abbassa la soglia di accesso a pratiche dannose, ampliando il numero dei potenziali responsabili e delle vittime coinvolte.
Deepfake e trattamento dei dati personali
La generazione di immagini o voci artificiali non è neutra dal punto di vista normativo. Se il risultato consente di ricondurre il contenuto a una persona fisica identificata o identificabile, l’operazione ricade nelle regole del Regolamento generale sulla protezione dei dati. Questo vale anche quando l’output è una simulazione, poiché ciò che conta non è l’autenticità del contenuto, ma la sua capacità di incidere sull’identità digitale dell’interessato. In questo quadro, pratiche come la creazione di immagini di nudo artificiale o l’imitazione vocale senza consenso assumono una rilevanza che va oltre l’abuso individuale e tocca la struttura stessa dei diritti fondamentali.
Responsabilità dei fornitori e progettazione delle piattaforme
L’avvertimento non si limita agli utenti finali. I fornitori di servizi di IA generativa sono chiamati a integrare misure di tutela fin dalla fase di progettazione, secondo i principi di privacy by design e by default. Dalle verifiche dell’Autorità emerge che molte piattaforme permettono l’uso di immagini e voci di terzi senza controlli adeguati, senza informative chiare e senza strumenti tecnici capaci di prevenire l’abuso. Questo assetto trasferisce il rischio verso valle e rende strutturale una vulnerabilità che il diritto europeo richiede di prevenire a monte.
Il provvedimento si colloca inoltre in una dimensione sovranazionale. Per i servizi collegati a grandi piattaforme online, l’Autorità italiana opera in coordinamento con le altre autorità europee competenti, secondo i meccanismi previsti dal GDPR e dal Digital Services Act. La pubblicazione dell’avvertimento in Gazzetta Ufficiale ne rafforza la portata generale, rendendo chiaro che non si tratta di un intervento episodico, ma di un orientamento destinato a incidere sull’enforcement futuro.
Nel contesto dell’attesa applicazione dell’AI Act, il messaggio che emerge è operativo. L’innovazione basata sull’IA generativa non è priva di regole e non vive in uno spazio separato dall’ordinamento esistente. Chi sviluppa, offre o utilizza questi strumenti resta responsabile dei trattamenti effettuati e delle conseguenze che ne derivano, con un impatto concreto sulle scelte tecnologiche e sui modelli di business delle imprese digitali.
