Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

la riflessione

Il nuovo reato di deepfake: quando il diritto penale diventa l’ultima difesa dell’incertezza

Home Norme e adeguamenti
Partecipa al dibattito
Indirizzo copiato

L’introduzione del reato di deepfake nella legge italiana sull’AI rappresenta un esperimento interessante e un sintomo preoccupante: sancisce il riconoscimento giuridico di una nuova forma di manipolazione digitale, ma rivela anche la tendenza a reagire all’innovazione con strumenti arcaici. I punti di discussione

Pubblicato il 5 gen 2026
Tania Orrù

Privacy Officer e Consulente Privacy

Nuovo reato deepfake

L’approvazione della legge italiana sull’intelligenza artificiale (legge 23 settembre 2025, n. 132) ha segnato l’ingresso formale dell’IA nel sistema normativo nazionale. È una legge composita, che si presenta come “legge quadro” ma contiene al suo interno disposizioni eterogenee: principi generali, misure di coordinamento istituzionale, incentivi all’innovazione, e, non da ultimo, interventi di natura penale.

Fra questi, spicca l’introduzione del nuovo reato di diffusione illecita di contenuti manipolati o generati artificialmente, collocato nel Codice penale come articolo 612-quater, sotto il titolo dei delitti contro la libertà morale.

L’idea è chiara: disciplinare giuridicamente il fenomeno dei deepfake e delle manipolazioni audiovisive create con tecniche di intelligenza artificiale, prevedendo la reclusione da uno a cinque anni per chi diffonda tali contenuti arrecando un danno ingiusto a terzi.

Peccato che il modo in cui questa norma è stata inserita nella legge IA rivela un tratto caratteristico del diritto italiano, cioè la tendenza a utilizzare la leva penale come strumento di legittimazione politica e rassicurazione sociale, più che come mezzo di regolazione effettiva.

La nuova normativa italiana sull’IA: principi, applicazioni e governance della Legge 132/2025

Un reato dentro una legge “ombrello”

La legge 132/2025 nasce con l’obiettivo di “promuovere lo sviluppo, l’utilizzo e la diffusione dell’intelligenza artificiale in modo etico e sostenibile”.

In realtà, essa appare come un contenitore di misure tra loro molto diverse, visto che prevede la creazione di un’Autorità nazionale per l’intelligenza artificiale, la definizione di codici di condotta per i soggetti pubblici e privati che impiegano sistemi automatizzati, disposizioni per la protezione dei minori, e, appunto, l’introduzione di nuove figure di reato.

In questa struttura frammentata, il reato di deepfake assume un ruolo simbolico. È il passaggio che consente al legislatore di mostrare un volto “severo” accanto a quello “innovativo”.

Un bilanciamento artificiale tra promozione e repressione: si parla di incentivi e ricerca, ma si chiude con la minaccia della pena. Si tratta di operazione politicamente comprensibile, ma giuridicamente fragile.

Il reato viene collocato dentro una legge che dovrebbe occuparsi di innovazione e governance tecnologica, quindi non di criminalizzazione individuale. Il risultato è un’ibridazione di piani normativi che mette insieme principi di policy e norme penali nello stesso testo/contesto.

Moltiplicazione delle norme e rarefazione dell’efficacia

Il sistema penale italiano soffre da anni di ipertrofia normativa, così ad ogni emergenza sociale corrisponde una nuova fattispecie incriminatrice, spesso priva di coordinamento con le precedenti. In particolare, ogni volta che la tecnologia produce inquietudine, la risposta legislativa tende a essere l’introduzione di un nuovo reato.

Come già accaduto con il cyber bullismo, con la diffusione non consensuale di immagini intime, con la disinformazione online, oggi è il turno dei deepfake.

La logica sottostante è comunque sempre la stessa: la sanzione come segnale politico, poco importa se sia poi anche strumento di effettiva tutela.

Il risultato è una frammentazione che indebolisce inevitabilmente la prevedibilità del diritto.
Nel caso dei deepfake, il legislatore ha preferito introdurre un articolo ex novo anziché integrare le fattispecie già esistenti e la conseguenza sarà l’ennesimo contenzioso interpretativo, visto che l’assenza di criteri tecnici condivisi renderà la norma terreno fertile per conflitti di competenza tra procure e giurisdizioni, con tempi lunghi e risultati incerti.

Si tratta di una scelta che rivela ancora una volta una concezione del diritto penale come strumento di pedagogia civile, che comunque richiederebbe chiarezza (mancante in questo caso).

L’idea di dissuadere la manipolazione digitale attraverso la minaccia della reclusione parte dal presupposto che chi genera o diffonde un deepfake sia identificabile, localizzabile e razionale, in una visione sorprendentemente ingenua del cyberspazio, in cui purtroppo l’anonimato è strutturale e la replicabilità infinita dei contenuti rende irrilevante l’origine.

La filosofia del controllo: un riflesso non un progetto

Mentre l’Unione Europea, con l’AI Act, sceglie la via della regolazione preventiva, basata su categorie di rischio, obblighi di trasparenza e procedure di valutazione, la legge italiana preferisce la risposta ex post.

L’AI Act impone che i sistemi generativi segnalino la natura artificiale dei contenuti e introduce obblighi di tracciabilità; evita di entrare nel merito delle condotte degli utenti, ma si concentra piuttosto sulla responsabilità degli operatori e dei fornitori di modelli.

La legge italiana, invece, concentra l’attenzione sul soggetto che diffonde il contenuto manipolato, come se il problema fosse individuale e non sistemico; in questo modo il messaggio implicito è che l’abuso della tecnologia derivi dal comportamento del singolo, anziché dalla struttura delle piattaforme o dalla logica dell’economia dell’attenzione.

Si tratta di approccio che rivela una visione ancora antropocentrica del diritto digitale (di cui il legislatore sembra fregiarsi) che, in realtà, fatica a cogliere la natura automatizzata e collettiva della produzione informativa contemporanea, dimenticando che la manipolazione non è più l’atto isolato di un autore, ma un processo distribuito, alimentato da modelli open source, da reti di condivisione e da meccanismi di amplificazione algoritmica.

Per questo, trattarla come un reato personale significa applicare strumenti analogici a un ecosistema che non lo è più, e restare, inesorabilmente, un passo indietro.

Norma giuridicamente incerta e tecnicamente impraticabile

L’articolo 612-quater punisce “chiunque diffonde, pubblica, trasmette o cede immagini, video o contenuti di persone reali, manipolati o generati artificialmente in modo da apparire autentici, qualora ciò provochi un danno ingiusto”.

Tuttavia, la formula, apparentemente chiara, cela diversi problemi:

  1. la definizione di “contenuto manipolato con intelligenza artificiale” è indeterminata. Non ogni strumento di editing digitale è un sistema di IA, e non ogni algoritmo di generazione di immagini produce deepfake in senso stretto. La mancanza di una delimitazione tecnica rischia così di ampliare eccessivamente il campo di applicazione, fino a includere attività lecite come ad esempio la post-produzione audiovisiva, la satira visiva o la sperimentazione artistica;
  2. sul piano processuale il reato si scontra con la difficoltà probatoria tipica dei fenomeni digitali distribuiti. Così, dimostrare che un soggetto “sapeva” che un contenuto era artificiale è quasi impossibile, come stabilire un nesso causale diretto tra la diffusione e il danno ingiusto. Si tratta di un modello di incriminazione che presuppone una linearità dell’azione incompatibile con l’opacità delle reti digitali, aspetto che però, apparentemente, non sembra interessare il legislatore che procede per la sua strada, determinato a “fare come ha sempre fatto”.

Sovrapposizioni e conflitti normativi

L’inserimento di questo reato in una legge sull’IA produce inoltre un effetto collaterale, cioè una moltiplicazione dei confini giuridici.

Le condotte che la norma intende punire possono già rientrare in altre fattispecie esistenti:

  1. diffamazione (art. 595 c.p.);
  2. trattamento illecito di dati personali (art. 167 del Codice privacy);
  3. pubblicazione non consensuale di immagini sessualmente esplicite (art. 612-ter c.p.);
  4. falsità in atti digitali.

L’aggiunta del nuovo articolo anziché colmare un vuoto, finisce col generare un’area grigia di concorrenza normativa.

Il giudice dovrà decidere, caso per caso, se applicare la nuova norma o una preesistente, con il rischio di disomogeneità interpretativa e incertezza sanzionatoria.

Tutto questo è comunque la diretta conseguenza delle leggi “onnicomprensive”, nate per semplificare, che finiscono invece per moltiplicare le criticità, aggiungendone di nuove (se mai ce ne fosse bisogno).

In sintesi, la legge italiana sull’IA, nel tentativo di mostrarsi completa, mette insieme principi etici e strumenti penali, senza un criterio di coerenza sistemica.

La dimensione educativa come unico terreno efficace

Se la dimensione penale appare inefficace, quella preventiva è ancora poco esplorata.

Il regolamento europeo sull’intelligenza artificiale offre senz’altro strumenti solidi visto che impone ai fornitori di sistemi generativi di etichettare i contenuti sintetici, di documentarne la provenienza e di predisporre procedure di trasparenza.

L’applicazione coerente di tali regole ridurrebbe la diffusione dei deepfake ingannevoli molto più di qualsiasi norma penale.

Perché ciò accada occorre però un tessuto istituzionale e imprenditoriale capace di recepire queste prescrizioni come parte di una cultura organizzativa e le imprese che sviluppano o impiegano sistemi generativi dovrebbero considerare la tracciabilità dei contenuti come componente di governance, non come obbligo accessorio.

Gli organi di controllo (garanti, autorità di settore, ordini professionali) dovrebbero agire in modo coordinato, evitando la frammentazione di competenze che spesso accompagna le innovazioni normative.

Servirebbe inoltre un investimento serio nell’alfabetizzazione digitale per riconoscere un contenuto sintetico, comprendere le dinamiche della manipolazione, sapere come reagire a un attacco reputazionale. Senza questi strumenti, la tutela resta formale.

Per queste ragioni, né l’AI Act né tantomeno la legge italiana potranno arginare i deepfake se non si costruisce un ecosistema di consapevolezza e responsabilità condivisa.

I contenuti sintetici non si combattono di certo con la minaccia della reclusione, ma con l’alfabetizzazione digitale, la trasparenza tecnologica e la collaborazione tra piattaforme, autorità e utenti.

La norma penale è, in questo contesto, un epilogo perché serve quando tutto il resto ha fallito. In assenza di politiche di prevenzione, campagne di educazione e strumenti tecnici di rilevazione, il diritto penale rischia di diventare la sola risposta, quindi la meno utile.

Il placebo della legalità

L’introduzione del reato di deepfake all’interno della legge italiana sull’intelligenza artificiale rappresenta, allo stesso tempo, un esperimento interessante e un sintomo preoccupante. Interessante perché sancisce il riconoscimento giuridico di una nuova forma di manipolazione digitale; preoccupante perché rivela la tendenza a reagire all’innovazione con strumenti arcaici.

Così, mentre l’AI Act costruisce un’architettura di responsabilità e trasparenza, la legge italiana preferisce affiancare all’innovazione un Codice penale aggiornato, adottando una scelta che parla più alla percezione pubblica che alla realtà operativa.

In tutto questo, il diritto penale diventa la corazza di un sistema normativo che teme la propria inadeguatezza tecnica e appare come una macchina arrugginita che continua a girare per inerzia, convinta che il rumore dei suoi ingranaggi basti a tenere lontana la complessità che non sa comprendere.

In fondo, per usare le parole di Morpheus in Matrix, “l’illusione è il più potente narcotico dell’umanità” e le leggi, a volte, sono solo la sua dose più rispettabile.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

O
Tania Orrù
Privacy Officer e Consulente Privacy
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Ransomware nel manifatturiero: la cifratura dei dati affligge le aziende colpite

  • DASHBOARD

    Attacchi ransomware alle aziende italiane oggi (in aggiornamento)

    26 Lug 2025

    di Dario Fadda

    Condividi
  • Diritto di accesso avvocati e delega clienti

  • privacy

    Diritto di accesso: non basta essere i legali del cliente, serve la prova della delega

    25 Feb 2025

    di Chiara Ponti

    Condividi
  • Modelli AI di uso generale linee guida UE; Edps: le nuove linee guida sull’uso dell'AI Generativa nelle istituzioni europee; L'analisi dei processi e la teoria dei sistemi (STPA) per la sicurezza dell'AI

  • Ai Act

    Edps: le nuove linee guida sull’uso dell'AI generativa nelle istituzioni europee

    29 Ott 2025

    di Maurizio Carmignani

    Condividi
  • Phishing PagoPA; Device Code Phishing: come proteggersi da un account takeover attraverso una forma di phishing nascosta

  • attacchi informatici

    Device Code Phishing: la minaccia che non ruba password, ma compromette gli account utente

    22 Dic 2025

    di Mirella Castigli

    Condividi
0
Lascia un commento, la tua opinione conta.x