Deepfake di noti psichiatri e virologi, un fenomeno che interessa anche DPO e professionisti della privacy
L'intelligenza artificiale generativa sta rendendo sempre più semplice clonare la voce di una persona e utilizzarla per creare contenuti apparentemente autentici. Un fenomeno che non riguarda più soltanto personaggi internazionali o scenari futuristici, ma che sta interessando anche il nostro Paese, come dimostrano i recenti casi dei canali YouTube che hanno diffuso numerosi video che riproducono fedelmente il timbro vocale dello psichiatra Paolo Crepet e la voce del virologo Roberto Burioni, inducendo migliaia di utenti a credere che a parlare fossero realmente i due noti medici.

A segnalare inizialmente il fenomeno era stato Nicola Bernardi, presidente di Federprivacy, che aveva individuato il canale fake di Crepet, evidenziando come i deepfake audio siano ormai molto più diffusi di quanto comunemente si pensi.
La voce è un dato personale da tutelare - Intervistato da Fanpage, Bernardi ha ricordato che la semplice presenza di una dicitura che precisa come il canale non sia ufficiale non è sufficiente a escludere eventuali responsabilità giuridiche.
«Anche se si specifica che il contenuto non è originale, condividere un audio che riproduce fedelmente la voce di un'altra persona resta una violazione perseguibile», ha spiegato il presidente di Federprivacy.
Il tema è particolarmente rilevante perché la voce può costituire un dato biometrico quando viene trattata con tecniche idonee a identificare univocamente una persona. L'impiego di modelli di intelligenza artificiale capaci di riprodurre fedelmente caratteristiche vocali apre quindi questioni che coinvolgono direttamente il GDPR, il Codice Privacy e, nei casi più gravi, anche il diritto penale.
Come ricordato da Bernardi nell'intervista, oltre alle possibili violazioni della normativa sulla protezione dei dati personali, possono infatti entrare in gioco fattispecie quali il trattamento illecito di dati personali previsto dall'articolo 167 del Codice Privacy e, a seconda delle circostanze concrete, anche il reato di sostituzione di persona disciplinato dall'articolo 494 del Codice Penale, nonché altre eventuali aggravanti. (Per approfondimenti, vedasi anche l'intervista a Giornale Radio sugli stessi temi dal minuto 57:30)
Perché il GDPR può offrire una tutela più rapida - Un altro aspetto evidenziato dal presidente di Federprivacy riguarda gli strumenti concretamente utilizzabili dalle vittime. Secondo Bernardi, limitarsi alla denuncia alle autorità investigative potrebbe non essere sempre sufficiente per ottenere una tempestiva rimozione dei contenuti, soprattutto quando gli autori operano attraverso piattaforme estere o utilizzano identità difficilmente riconducibili a persone fisiche. Per questo motivo ha sottolineato come il ricorso agli strumenti previsti dal GDPR possa rappresentare una strada particolarmente efficace, ricordando in particolare che il Garante, ai sensi dell'articolo 58 del Regolamento europeo, dispone di poteri correttivi che possono consentire di intervenire rapidamente per bloccare trattamenti illeciti e limitare il danno reputazionale.
Un fenomeno che riguarda anche i professionisti della privacy - Vicende come quella dei falsi Crepet e Burioni non rappresentano soltanto un episodio di cronaca tecnologica, ma costituiscono importanti casi di studio per Data Protection Officer, consulenti privacy e professionisti della protezione dei dati.
La diffusione dei sistemi di intelligenza artificiale generativa sta infatti modificando profondamente il panorama dei rischi che organizzazioni pubbliche e private devono affrontare.
Per i DPO diventa sempre più importante comprendere:
- le implicazioni giuridiche dei deepfake vocali e audiovisivi;
- quando la voce possa assumere la natura di dato biometrico;
- i rischi reputazionali derivanti dalla clonazione dell'identità digitale;
- gli strumenti previsti dal GDPR per ottenere la cessazione dei trattamenti illeciti;
- le misure organizzative da suggerire alle aziende per prevenire abusi che coinvolgano dirigenti, dipendenti o rappresentanti dell'organizzazione.
Non va inoltre dimenticato che la crescente qualità dei contenuti generati dall'intelligenza artificiale rende sempre più difficile distinguere ciò che è autentico da ciò che è artificiale, aumentando il rischio di frodi, campagne di disinformazione e attacchi di social engineering.
Una competenza ormai indispensabile - Per chi opera nel settore della protezione dei dati personali, conoscere l'evoluzione dei deepfake non significa soltanto seguire l'attualità tecnologica, ma acquisire competenze sempre più richieste nella gestione del rischio.
I DPO sono quindi chiamati a supportare le organizzazioni non solo nella conformità normativa, ma anche nell'individuazione preventiva delle nuove minacce derivanti dall'utilizzo dell'intelligenza artificiale, contribuendo a definire procedure di risposta, strategie di mitigazione e percorsi di sensibilizzazione del personale.






