Nei giorni scorsi, abbiamo assistito alla diffusione in rete di un video falso in cui compare il Presidente ucraino Volodymyr Zelens’kyj che, rivolgendosi ai propri connazionali, li invita a deporre le armi incoraggiandoli alla resa. Ciò, è stato reso possibile grazie ad un uso malevolo dell’intelligenza artificiale e, più in particolare, della tecnica del deepfake.
La vicenda descritta non rappresenta certamente il principale problema di quanto sta accadendo, a livello mondiale, a causa del triste conflitto in corso, tuttavia suscita alcune riflessioni rispetto al fenomeno dei deepfakes e sui rischi ad esso connessi, nonché sulle risposte normative che il legislatore europeo ha, in tempi recenti, cercato di dare al problema.
Cos’è il deepfake
Anzitutto, il deepfake è una tecnica che sfrutta l’intelligenza artificiale per creare ex novo dei contenuti digitali falsi oppure per manipolare contenuti già esistenti al fine di mistificare la realtà in essi rappresentata.
La parola è un neologismo nato dalla fusione dei termini fake, ovvero “falso”, e deep learning, una particolare tecnologia basata sull’apprendimento profondo delle macchine.
La recente proposta di Regolamento europeo sull’Intelligenza Artificiale, pubblicata lo scorso 21 aprile dalla Commissione Europea, all’art. 52, comma 3, definisce il deepfake come “sistema di intelligenza artificiale che genera o manipola immagini o contenuti audio o video che assomigliano notevolmente a persone, oggetti, luoghi o altre entità o eventi esistenti e che potrebbero apparire falsamente autentici o veritieri per una persona”.
Nella vicenda che ha visto coinvolto il Presidente ucraino, la tecnica descritta non è stata utilizzata in maniera del tutto efficace, per cui il tentativo di disorientare i destinatari non si è affatto compiuto. Tuttavia, talvolta, i contenuti sono creati e/o manipolati con un’accuratezza tale da rendere difficile anche ad altri sistemi IA di rilevarne la falsità.
Per tale motivo, un controllo ed una regolamentazione del fenomeno si ritengono essere più che mai necessari, visti i possibili rischi sottesi ad un improprio uso di tale tecnologia.
In uno studio sui falsi digitali pubblicato nel luglio 2021 dall’European Parliament Research Service, “EPRS”, consultabile qui, è stato rilevato come, nel giro dei prossimi cinque anni, gli strumenti per creare deepfakes diverranno ancora più alla portata e semplici da utilizzare.
L’attuale ascesa delle deepfake-as-a-service companies renderà la tecnica comunemente usata ed integrata nelle varie tipologie di software prodotte, facendo acquisire agli utenti una sempre maggiore familiarità con tale applicazione IA; familiarità che, naturalmente, comporterà anche una più elevata possibilità di abuso nel prossimo futuro.
Il quadro normativo di riferimento
Dal momento che, come detto, il deepfake costituisce una tecnologia basata sull’intelligenza artificiale, rilevano innanzitutto le regole per l’uso delle applicazioni IA che nella recente proposta di Regolamento il legislatore europeo ha cercato di delineare.
In secondo luogo, posto che la creazione di un falso contenuto digitale comporta, tipicamente, anche il trattamento di dati personali, trovano applicazione le disposizioni del Regolamento UE 679/2016, “GDPR”.
La proposta di Regolamento europeo sull’Intelligenza Artificiale sopra richiamata, come noto, ha l’obiettivo di consentire un uso affidabile e sicuro dell’IA, nel rispetto dei valori e dei diritti fondamentali degli individui.
A tal fine, stabilisce regole armonizzate per lo sviluppo, l’immissione sul mercato e l’utilizzo dei sistemi IA.
In estrema sintesi, il quadro normativo proposto adotta un approccio basato sul rischio, distinguendo tra “rischio minimo”, “rischio limitato”, “rischio elevato” e “rischio inaccettabile” per i diritti e le libertà fondamentali. Esso è volto a vietare l’uso di sistemi che presentino un rischio inaccettabile, mentre per i sistemi che rientrano nella categoria ad alto rischio prevede l’obbligo di effettuare dettagliate analisi e valutazioni d’impatto, nonché di garantire una fase di controllo e di supervisione “umani”.
Con particolare riguardo alla tecnica del deepfake, la proposta di Regolamento consente tale tecnologia, ma articola alcuni requisiti minimi e prevede un obbligo di trasparenza in capo a chi ne fa uso.
Nello specifico, l’art. 52, comma 3, della proposta impone ai creatori di deepfakes di etichettare il contenuto generato in modo che sia chiaro a chiunque che si tratti di un contenuto digitale artificialmente creato e/o manipolato.
Tuttavia, successivamente, lo stesso art. 52 prevede che tale obbligo non si applica “quando l’uso è autorizzato dalla legge per accertare, prevenire, indagare e perseguire reati o se è necessario per l’esercizio del diritto alla libertà di espressione e del diritto alla libertà delle arti e delle scienze garantito dalla Carta dei diritti fondamentali dell’UE, e fatte salve le tutele adeguate per i diritti e le libertà dei terzi.”
Un obbligo di etichettatura dei deepfakes potrebbe essere un primo passo verso la mitigazione dei potenziali impatti negativi del fenomeno. Nondimeno, come rilevato dall’EPRS nello studio citato, la natura e la portata della disposizione sono ad ora poco chiare e si rinviene, complessivamente, una certa timidezza regolatoria da parte del legislatore, il quale non prevede neppure una sanzione per l’ipotesi di mancato rispetto dell’obbligo previsto dall’art. 52.
Inoltre, la possibilità di deroga, prevista dalla norma, laddove l’uso del deepfake sia “necessario per l’esercizio del diritto alla libertà di espressione e del diritto alla libertà delle arti e delle scienze”, include un raggio di ipotesi così ampio da svuotare di significato l’obbligo di trasparenza sancito.
Pertanto, la risposta normativa tratteggiata, in tale sede, dal legislatore europeo non è attualmente ritenuta sufficiente a contrastare il problema.
Con riguardo, poi, all’aspetto relativo al trattamento dei dati personali, è da rilevare che, nel contesto dei deepfakes, i dati personali vengono trattati non soltanto nella fase di creazione dei contenuti, ma anche per addestrare il software che, a tal fine, viene utilizzato. Per tale motivo, è bene innanzitutto precisare che il GDPR, in relazione al suo ambito di applicazione, rileva in entrambe le fattispecie.
Con particolare riferimento al requisito di liceità del trattamento, di un certo interesse è la ricerca della base giuridica.
Secondo l’EPRS, nel caso specifico della generazione dei deepfakes, due sono le basi giuridiche cui i creatori potrebbero appellarsi: l’interesse legittimo ed il consenso esplicito dell’interessato. Nel caso in cui il creatore sostenga di vantare un interesse legittimo, quest’ultimo, come noto, per costituire fondamento di liceità, deve prevalere sugli interessi o sui diritti e libertà dell’interessato.
Quando la base giuridica dell’interesse legittimo non è applicabile, l’uso di dati personali per la creazione e diffusione di deepfakes deve essere sottoposto al consenso informato delle persone raffigurate nei contenuti. È importante notare, qui, che il consenso deve essere ottenuto sia dai soggetti del contenuto originale, che dai soggetti che appaiono nel contenuto “fabbricato”.
Il GDPR offre dei rimedi alle vittime dei falsi digitali, attraverso la previsione di alcuni diritti in capo agli interessati, quali il diritto alla correzione dei dati inesatti o il diritto alla cancellazione dei propri dati.
Nel contesto dei deepfakes, il percorso legale può essere piuttosto impegnativo, da intraprendere, per le vittime. In molti casi, è impossibile per la vittima identificare l’autore, che opera quasi sempre in modo anonimo ed illecito.
L’Autorità italiana Garante per la protezione dei dati personali ha pubblicato, sul proprio sito istituzionale, un vademecum sul tema consultabile qui.
Conclusioni
La tecnica del deepfake, se utilizzata illecitamente, pone seri rischi in termini di diritti e libertà dei soggetti coinvolti. Notevoli ripercussioni, poi, possono essere prodotte laddove i deepfakes abbiano ad oggetto contenuti di un certo impatto sociale e politico, come da ultimo accaduto nel contesto del conflitto russo-ucraino.
Non vi sono soluzioni rapide di contrasto al fenomeno, né la risposta normativa di recente approntata dal legislatore europeo, che sopra si è brevemente descritta, sembra adeguata a mitigare i possibili danni derivanti dalla divulgazione illecita di falsi digitali.
Attualmente, dunque, il primo e più efficace strumento di difesa è rappresentato da una maggiore consapevolezza nella navigazione in rete, dalla responsabilità e dall’attenzione degli utenti. Nella speranza che, frattanto, venga apprestato un quadro regolatorio più appropriato da parte delle istituzioni europee, che giocano un ruolo primario in tale contesto.
Gabriella Amato
