Deepfake: responsabilità, obblighi di trasparenza e rischi legali per la tua azienda

Il confine tra vero e falso non è mai stato così sottile. Con pochi prompt è possibile creare immagini, video e voci che sembrano autentici, indistinguibili da una registrazione reale. Questo tema tocca da vicino chi lavora nel digitale: riguarda campagne, creatività, contenuti social, pubblicità, media production e qualsiasi attività che utilizza AI generativa.

Dal 2025, però, questo nuova realtà non è più solo una rivoluzione tecnologica. .
È diventata un fatto legale.

La Legge italiana 132/2025 ha introdotto il reato di deepfake, punendo la diffusione, anche inconsapevole, di contenuti sintetici realistici che ritraggono una persona senza il suo consenso e le causano un danno.

Parallelamente, l’AI Act europeo impone nuovi obblighi di trasparenza a chiunque utilizzi sistemi di intelligenza artificiale per generare o manipolare contenuti. 

Due norme diverse, ma complementari:

• l’Italia interviene quando un contenuto causa un danno;
• l’Europa impone regole per evitare che quel contenuto inganni fin dall’inizio.

Se gestisci un’agenzia, un e-commerce, un brand, un reparto marketing o lavori come freelance nel digital, queste norme ti riguardano direttamente: non solo nell’ottica di evitare sanzioni, ma per proteggere il tuo business da rischi che fino a ieri non esistevano.

Cos’è il deepfake

Il termine deepfake nasce dalla fusione di “deep learning” e “fake”. Indica contenuti multimediali, immagini, video o audio, generati o manipolati attraverso sistemi di intelligenza artificiale, capaci di riprodurre in modo estremamente realistico l’aspetto, i movimenti e la voce di una persona.

L’AI Act dà una definizione precisa all’articolo 3, punto 60:

“Un’immagine o un contenuto audio o video generato o manipolato dall’IA che assomiglia a persone, oggetti, luoghi, entità o eventi esistenti e che apparirebbe falsamente autentico o veritiero a una persona.”

La Legge italiana n. 132/2025 non utilizza esplicitamente il termine “deepfake”, ma descrive la stessa fattispecie parlando di 

“immagini, video o voci falsificati o alterati mediante l’impiego di sistemi di intelligenza artificiale e idonei a indurre in inganno sulla loro genuinità”.

Due elementi caratterizzano il deepfake dal punto di vista giuridico:

1. L’origine artificiale: il contenuto deve essere stato generato o modificato tramite sistemi di AI, non con semplici software di fotoritocco tradizionale
2. L’idoneità a ingannare: il risultato deve essere sufficientemente realistico da poter essere scambiato per autentico da una persona ragionevole. Un contenuto palesemente falso, satirico o grossolano non rientra nella definizione.

Perché oggi i deepfake riguardano anche chi lavora nel digitale

Quando si parla di deepfake, molti pensano a truffe, revenge porn, politici manipolati o scandali virali. In realtà questa normativa riguarda da vicino chiunque lavori nel digitale, anche se non ha mai pensato di creare un contenuto lesivo.

Oggi chi lavora nel marketing, nella comunicazione, nel design e nei contenuti visivi utilizza strumenti come Midjourney, DALL·E, Runway, Sora, ElevenLabs o altri generatori di immagini, video e audio. Questo significa che:

• puoi generare contenuti che somigliano a persone reali senza accorgertene
• puoi scaricare asset da librerie stock che sono deepfake senza indicazione
• puoi condividere un contenuto virale che contiene un volto non autentico
• puoi creare un testimonial virtuale che ricorda troppo una persona vera
• puoi usare audio AI che imita una voce esistente senza saperlo

In tutti questi casi, la normativa non guarda all’intenzione, ma all’effetto:

Se il contenuto ritrae qualcuno senza consenso, appare autentico, e gli causa un danno, chi lo diffonde risponde penalmente:

→ Non serve averlo creato
→ Non serve averlo voluto
→ Non serve nemmeno sapere che fosse un deepfake.

Ma è necessario comunque il dolo generico: la consapevolezza di diffondere un contenuto.

Se da un lato la legge italiana punisce la diffusione di contenuti lesivi, l’AI Act aggiunge un livello ulteriore: la trasparenza. Se usi contenuti generati o manipolati dall’AI, devi dichiararlo, anche quando non rappresentano una persona reale.

Tutto questo implica che per chi opera nel digitale la responsabilità non è più solo editoriale o creativa, ma anche legale.

Il reato di deepfake: cosa prevede la Legge 132/2025

Dal 10 ottobre 2025, l’Italia è diventata il primo Paese europeo a introdurre un reato specifico per la diffusione di contenuti generati o manipolati con intelligenza artificiale.

La Legge 132/2025 ha inserito nel codice penale l’art. 612-quater, una norma che punisce la diffusione di immagini, video o voci create con l’AI quando sono sufficientemente realistiche da ingannare e causano un danno alla persona ritratta.

L’articolo 612-quater, inserito tra i delitti contro la libertà morale, punisce chiunque

 “cagiona un danno ingiusto ad una persona, cedendo, pubblicando o altrimenti diffondendo, senza il suo consenso, immagini, video o voci falsificati o alterati mediante l’impiego di sistemi di intelligenza artificiale e idonei a indurre in inganno sulla loro genuinità”.

In altre parole: se pubblichi un contenuto generato con AI che ritrae qualcuno senza il suo permesso, e quel contenuto gli provoca un danno, commetti un reato.

La pena è la reclusione da 1 a 5 anni.

Quando il deepfake è reato

Non basta creare un deepfake. La responsabilità penale nasce dalla combinazione di quattro elementi:

1. Diffusione senza consenso: la condotta punita comprende la cessione, pubblicazione o qualsiasi altra forma di diffusione del contenuto. Non rileva solo la creazione, ma soprattutto la messa in circolazione.
2. Utilizzo di sistemi di AI: il contenuto deve essere stato generato o alterato mediante intelligenza artificiale. Le manipolazioni realizzate con software di editing tradizionale non rientrano in questa fattispecie (ma possono configurare altri reati, come la diffamazione).
3. Idoneità a ingannare: il materiale deve essere sufficientemente realistico da poter trarre in inganno sulla sua autenticità. Contenuti palesemente satirici, artistici o riconoscibili come falsi, sono quindi autorizzati.
4. Danno ingiusto: deve verificarsi un pregiudizio effettivo per la vittima. Il danno può essere di natura patrimoniale, reputazionale, morale o psicologico.

In assenza di danno il reato non si perfeziona, anche se questo non esclude altre conseguenze sul piano civile o amministrativo.

Procedibilità: quando serve querela e quando si procede d’ufficio

Il reato si persegue a querela della persona offesa, salvo tre eccezioni in cui si procede automaticamente:

1. il deepfake è collegato a un reato perseguibile d’ufficio
2. la vittima è un minore o incapace
3. la vittima è un pubblico ufficiale nell’esercizio delle sue funzioni

La nuova aggravante AI

La Legge 132/2025 ha introdotto anche un’aggravante generale (art. 61, n. 11-undecies): qualsiasi reato commesso utilizzando l’AI come “mezzo insidioso” — ad esempio truffe, estorsioni, manipolazioni di mercato — prevede una pena aumentata.

È la conferma che il legislatore considera l’AI non solo uno strumento creativo, ma anche un potenziale moltiplicatore di rischio.

Gli obblighi di trasparenza dell’AI Act: cosa cambia per chi crea contenuti AI

Se la Legge italiana 132/2025 interviene quando un deepfake è già stato diffuso e ha causato un danno, l’AI Act europeo interviene prima: stabilisce le regole per utilizzare l’intelligenza artificiale in modo trasparente, corretto e riconoscibile.

L’Europa parte da un concetto essenziale: oggi chiunque può creare un contenuto così realistico da sembrare vero, e questo mette a rischio la fiducia degli utenti nel digitale. 

L’impostazione del Regolamento è molto chiara: se usi contenuti generati con l’AI, devi dirlo. L’utente deve capire subito cosa sta guardando.

Non importa che si tratti di un’immagine generata per una creatività social, di un video prodotto con modelli generativi, di una voce sintetica o di un avatar AI utilizzato in una campagna aziendale.
Se quel contenuto potrebbe sembrare reale, non può circolare senza trasparenza.

Questa regola, che sarà pienamente applicabile dal 2 agosto 2026, cambia profondamente il modo in cui aziende, agenzie e professionisti del digital devono progettare, pubblicare e distribuire contenuti.

Cosa significa nella pratica per chi usa l’AI?

Quando crei o diffondi immagini, video o audio generati con strumenti come Midjourney, Runway, DALL·E, ElevenLabs & co., devi assicurarti che:

• sia chiaro e dichiarato che il contenuto è stato prodotto con l’AI;
• l’avviso sia visibile, non nascosto in note o descrizioni;
• il contenuto non induca a credere che rappresenti un evento reale, se non lo è;
• eventuali metadati o watermark previsti dal sistema non vengano rimossi.

La trasparenza evita che l’utente attribuisca realtà a qualcosa che realtà non è.

Quando AI Act e legge italiana si intersecano

Ci sono due casi in cui l’obbligo di trasparenza si fa molto più stringente:

1. Quando il contenuto ritrae una persona reale, anche non famosa. Un volto generato dall’AI che assomiglia involontariamente a qualcuno può comunque essere scambiato per quella persona.
2. Quando il contenuto potrebbe essere percepito come un fatto realmente accaduto. Un discorso, un video aziendale, una scena di cronaca ricreata con l’AI: se appare realistico, l’AI Act richiede un livello di chiarezza molto più alto.

In entrambi i casi l’utente attribuisce realtà a un contenuto artificiale.

E se quella “realtà apparente” coinvolge una persona vera, o produce un danno indiretto alla sua immagine, alla sua reputazione o alla sua identità, è molto più facile rientrare nel nuovo reato di deepfake previsto dalla legge italiana.

La mancata disclosure non significa che il contenuto sia automaticamente illecito.
Significa però che: stai creando le condizioni affinché quel contenuto possa diventarlo, se causa un danno a chi viene associato alla scena o al volto generato.

Questo è il motivo per cui AI Act e normativa italiana non sono due mondi separati: uno previene il fraintendimento, l’altro punisce le sue conseguenze.

Deepfake, privacy e diritto all’immagine: il quadro legale completo

Il reato di deepfake e gli obblighi di trasparenza dell’AI Act non sono le uniche norme da considerare.
Chi crea o diffonde contenuti manipolati dall’AI può violare tre ambiti giuridici distinti anche quando non ci sono gli estremi del reato:

• protezione dei dati personali (GDPR)
• diritto all’immagine
• diritto d’autore sul ritratto

Sono tutele che si sovrappongono e possono essere attivate dalla persona coinvolta anche quando il fatto non è penalmente rilevante.

L’immagine come dato personale: cosa dice il GDPR

L’immagine e la voce di una persona sono dati personali. Questo significa che creare un deepfake, quindi modificare, archiviare o diffondere il volto o la voce di qualcuno, è a tutti gli effetti un trattamento di dati personali.

Se manca una base giuridica valida (di norma il consenso dell’interessato), si configura una violazione del GDPR.

Le conseguenze possono essere rilevanti:

• La vittima può chiedere la cancellazione immediata del contenuto;
• Il Garante Privacy può ordinare il blocco o la rimozione d’urgenza;
• Possono essere applicate sanzioni fino a 20 milioni di euro o al 4% del fatturato annuo.

Il diritto all’immagine

L’immagine di una persona non può essere utilizzata senza consenso.
Lo stabiliscono:

• Codice civile, art. 10
• Legge sul diritto d’autore, art. 96

Un deepfake che ritrae qualcuno in un contesto falso, compromettente o lesivo attiva queste norme, dando diritto alla vittima di ottenere:

• rimozione del contenuto
• risarcimento del danno.

Gli interventi del Garante Privacy sul deepfake

Il Garante si è già espresso più volte sul tema dei contenuti manipolati

• 2020: pubblicato un vademecum dedicato, evidenziando i rischi connessi alla diffusione di contenuti manipolati: revenge porn, furto d’identità, frodi basate su ingegneria sociale, violazione di sistemi di sicurezza biometrici. 
• Ottobre 2025, blocco dell’app Clothoff, che generava nudi fake partendo da foto di persone vestite, anche minori, senza alcuna verifica del consenso. Questo è un segnale forte: le manipolazioni dell’immagine non sono tollerate e possono attivare interventi immediati, anche senza querela.

I 5 errori che ti mettono a rischio quando usi l’AI per lavoro

Le norme sull’AI impattano il lavoro quotidiano di chi produce contenuti, gestisce campagne o crea asset per clienti. Molti rischi non derivano da un uso scorretto dell’AI, ma dall’uso inconsapevole.

Ecco i casi più comuni in cui si entra in zona di rischio:

1. Usare immagini AI in campagne o materiali commerciali senza disclosure
2. Creare avatar, testimonial o volti generati con AI che “somigliano troppo” a qualcuno
3. Generare voci o discorsi con AI per video aziendali o contenuti social
4. Condividere contenuti AI generati da altri 
5. Utilizzare l’AI per ricostruire scene aziendali o eventi.

Checklist operativa per usare l’AI in sicurezza

La normativa sui deepfake impone un cambio di approccio: vanno costruiti processi interni che tutelino l’azienda e ne rafforzino la credibilità verso clienti e partner.

Verifica delle fonti e degli asset visivi

Ogni immagine, video o audio utilizzato deve essere tracciabile.
Due controlli sono fondamentali:

• Librerie stock → verifica licenze e segnali su eventuali contenuti generati con AI.
• Contenuti creati in casa → controlla sempre l’output finale: se una faccia generata assomiglia chiaramente a qualcuno, scartala e rigenera.

Policy interna sull’uso di AI generativa

Definire regole chiare è diventato necessario. Una policy interna dovrebbe stabilire quali strumenti sono autorizzati, chi può utilizzarli, come trattare i contenuti generati e a chi rivolgersi in caso di dubbi.

Formazione del team

L’obbligo di AI literacy introdotto dall’AI Act riguarda formalmente fornitori e deployer, ma il principio vale per chiunque utilizzi questi strumenti.

Tutti i professionisti che lavorano con contenuti (designer, social media manager, videomaker, copywriter) devono sapere:

• quando un uso dell’AI è sicuro
• quando servono verifiche aggiuntive
• come documentare la provenienza degli asset
• quali obblighi di trasparenza si applicano

Audit dei contenuti già pubblicati

Se negli ultimi mesi l’AI generativa è stata usata senza considerare gli impatti normativi, è utile fare una ricognizione dei contenuti già online:

• individuare immagini o video AI non dichiarati
• verificare eventuali somiglianze indesiderate
• correggere descrizioni o aggiungere disclosure

È un’attività “one shot” che evita problemi successivi.

Contratti con fornitori e collaboratori

Quando la produzione di contenuti è esternalizzata, i contratti devono essere aggiornati includendo:

• obbligo di dichiarare l’uso dell’AI
• garanzia che i materiali non violino diritti di terzi
• manleva in caso di contestazioni

Lo stesso vale quando tu produci contenuti per i clienti: formalizzare responsabilità e limiti evita fraintendimenti.

Adeguamento privacy

L’uso di strumenti di AI generativa comporta quasi sempre trattamenti di dati personali.
Per questo l’adeguamento GDPR deve tenere conto di:

• nuovi flussi di dati
• strumenti utilizzati
• ruoli (titolare/responsabile)
• misure di sicurezza
• informative aggiornate

È parte integrante della compliance, non un add-on.

Il deepfake è un problema di oggi e riguarda anche te

Fino a poco tempo fa i deepfake sembravano uno scenario futuribile, qualcosa che “prima o poi” avrebbe generato problemi.
La Legge 132/2025 ha cambiato tutto: oggi esiste un reato specifico, con pene fino a cinque anni, e una responsabilità che colpisce anche chi condivide un contenuto senza averne verificato l’origine.

E il penale, paradossalmente, è solo una parte del problema.

Negli ultimi due anni, una serie di episodi ha portato i deepfake al centro dell’attenzione mediatica, e ha trasformato il tema in un campo minato per chiunque operi nel digitale.
Immagini intime false di Taylor Swift hanno raggiunto 47 milioni di visualizzazioni su X prima dell’intervento della piattaforma.
Rose Villain ha denunciato la diffusione di foto di nudo generate a partire dalle sue immagini pubbliche.
Una diciannovenne di Foggia ha trovato poster con il proprio volto “nudificato” sui muri della città.

E non serve essere una celebrity: basta avere un volto online.

Il rischio reputazionale: la sanzione più grave

Nella maggior parte dei casi la sanzione più immediata non arriva dal tribunale, ma dall’opinione pubblica.

Essere anche solo associati, direttamente o indirettamente, alla diffusione di un contenuto manipolato può generare un danno d’immagine enorme: con clienti, partner, colleghi, community.

L’AI generativa non è più uno spazio senza regole. Ogni immagine, ogni video, ogni contenuto sintetico che entra nei flussi di lavoro aziendali porta con sé un rischio legale, reputazionale, commerciale che prima non esisteva.

La differenza tra chi subirà questa transizione e chi la gestirà sta nella capacità di agire prima che il problema si presenti. Non quando arriva la querela. Non quando il Garante apre un’istruttoria. Non quando un cliente chiede spiegazioni. Prima.

Chi ha già policy, procedure e contratti aggiornati non sta solo evitando sanzioni. Sta dimostrando al mercato di essere un interlocutore serio in un settore dove la credibilità si costruisce anche così.

Legal for Digital supporta agenzie, e-commerce e professionisti nella costruzione di un approccio strutturato all’AI: policy, formazione, revisione contrattuale, integrazione con il GDPR e gestione dei rischi.

Se vuoi capire quali sono i punti di esposizione della tua attività e come metterli in sicurezza, scrivici.