Ci sono immagini che possono distruggere una reputazione, compromettere rapporti, mettere fine a carriere o, persino, indurre le vittime in momenti di fragilità a gesti estremi.
La cronaca quotidiana ci insegna che queste immagini – grazie a sistemi di intelligenza artificiale generativa come Midjourney – oggi possono essere fabbricate in pochi minuti e diffuse attraverso una piattaforma social o condivise in gruppi più ristretti, con effetti non meno dirompenti.
Ovviamente non tutti i contenuti audiovisivi generati con l’intelligenza artificiale sono illeciti. È, comunque, utile prendere in esame alcune ipotesi di utilizzi contrari alla legge.
La prima domanda da porsi è se il nostro ordinamento giuridico sia già provvisto dei necessari anticorpi per prevenire o, comunque, contenere l’abuso delle straordinarie possibilità che l’intelligenza artificiale generativa è in grado di offrire.
La risposta è positiva, per quanto vi sia spazio per un miglioramento.
La qualificazione del contenuto illecito
Per prima cosa è necessario qualificare la fattispecie e, quindi, individuare di volta in volta la normativa applicabile; in alcuni casi l’illecito potrà avere anche un carattere pluri-offensivo, ove la relativa condotta sia idonea a ledere contemporaneamente più beni giuridici e giustificare, quindi, l’applicazione di diverse norme.
Innanzitutto, rileva la normativa in materia di protezione dei dati personali. La Carta dei diritti fondamentali dell’Unione Europea, all’articolo 7, garantisce a ogni persona il diritto al rispetto della propria vita privata e familiare e, all’articolo 8, conferisce esplicitamente a ogni persona il diritto alla protezione dei dati di carattere personale che la riguardano.
Tali principi sono stati recepiti e meglio articolati nel Regolamento (UE) 2016/679 (“GDPR”), che prevede, per il caso di violazione dei diritti posti a tutela delle persone interessate, un impianto sanzionatorio anche particolarmente severo.
La manipolazione dell’immagine di una persona costituisce un trattamento di dati personali e, pertanto – in assenza del consenso dell’interessato o comunque di un’altra valida base giuridica – può sicuramente rappresentare una condotta in violazione dei principi sanciti dall’articolo 5 del GDPR e, quindi, passibile di sanzioni.
L’illiceità di una simile condotta rimane tale anche ove realizzata da un privato cittadino e non da un operatore commerciale[1]. Circa l’applicabilità della normativa in materia di protezione dei dati personali anche nei confronti del privato cittadino, non vi sono dubbi per il caso di diffusione dell’immagine fake, mentre maggiori incertezze permangono per il caso di condivisione tra un gruppo definito di persone, per quanto la Corte di Giustizia, anche con la sentenza 11 dicembre 2014 (nella causa C‑212/13, František Ryneš c. Úřad pro ochranu osobních údajů), abbia assunto una posizione particolarmente restrittiva con riguardo al concetto di attività «esclusivamente» personali o domestiche[2].
L’applicabilità della normativa in materia di protezione dei dati personali implica – oltre al rischio di serie sanzioni economiche per l’autore dell’illecito – la configurabilità del reato di cui all’articolo 167 del Codice Privacy (Trattamento illecito di dati), ove la condotta sia volta ad arrecare danno all’interessato e l’immagine contenga categorie particolari di dati personali (come potrebbe accadere per il caso di deepfake a contenuto pornografico), che prevede la sanzione della reclusione da uno a tre anni.
Nel caso di diffusione illecita di immagini o video dai contenuti sessualmente espliciti, andrà anche valutato se la natura sintetica di tali contenuti sia sufficiente ad escludere l’applicazione della legge 19 luglio 2019 n. 69, che, ha recentemente novellato il Codice penale, introducendo all’articolo 612 ter – il reato di “revenge porn”, con la previsione di pene sino a sei anni di reclusione.
Ma – anche in assenza di contenuti a sfondo sessuale – il deepfake potrà essere utilizzato dal suo autore o da terzi per diffamare, per architettare un raggiro, per finalità di natura estorsiva. Di volta in volta, la norma incriminatrice suscettibile di applicazione potrà, quindi, essere differente. Così come differenti potranno essere le pene e le conseguenti responsabilità risarcitorie sotto il profilo civilistico per i danni causati da simili condotte.
L’immagine della persona è tutelata anche dal Codice civile, che, all’art. 10, include tra i diritti della personalità il diritto all’immagine. Inoltre anche la legge sul diritto d’autore, agli art. 96 e 97, contiene una specifica disciplina del ritratto che può essere invocata per l’ipotesi di sfruttamento dell’immagine non autorizzato. Se, nel caso dei cosiddetti “meme”, è ipotizzabile la scriminante del diritto di satira o di parodia per l’utilizzo dell’immagine di persone celebri e uomini politici, in quanto in essi la finalità satirica o parodistica è ben evidente, certamente un deepfake non potrebbe beneficiare di tale esimente laddove mirasse esclusivamente a falsare la realtà, disinformando o danneggiando una persona.
In questo caso, la pubblicazione di un simile contenuto darebbe luogo a responsabilità, anche dal punto di vista del diritto civile, in capo al soggetto che lo abbia creato e titolo a richiedere un risarcimento del danno.
I soggetti responsabili
Ora, posto che gli autori di questi illeciti sono sicuramente perseguibili, ma non sempre facili da reperire ed in grado di offrire adeguata garanzia patrimoniale, appare rilevante considerare anche l’esistenza di strumenti – idonei ad offrire una tutela effettiva e rapida – nei confronti degli operatori che possono favorire la diffusione di tali contenuti, ovvero i canali social. La disciplina della responsabilità delle piattaforme in relazione a tali contenuti falsi ed ingannevoli, in Europa è ad oggi rinvenibile nella direttiva 2000/31/EC (“Direttiva E-Commerce”), come recepita in ciascuno dei singoli Stati Membri, a cui si aggiunge il recentemente approvato Digital Services Act (“DSA” – Regolamento (UE) 2022/2065), che sarà pienamente applicabile dal 17 febbraio 2024.
In linea di principio, secondo gli articoli 14 e 15 della Direttiva E-Commerce, le piattaforme non dovrebbero essere responsabili per l’illiceità dei contenuti caricati dagli utenti, né destinatarie di un obbligo generale di sorveglianza sugli stessi; tuttavia, questa esenzione di responsabilità si applica a condizione che la piattaforma a) non sia effettivamente al corrente di tale illiceità, e che b) non appena messa al corrente di tale illiceità, agisca immediatamente per rimuovere le informazioni illecite o per disabilitarne l’accesso.
La rimozione dei contenuti
Ad oggi, il metodo più efficace per eliminare un contenuto illecito da una piattaforma è quello di portare a conoscenza del fornitore la presenza del contenuto illegale mediante una comunicazione di c.d. “notice and take down”, che lo informi sulla presenza – e sull’ubicazione – di tale contenuto e ne intimi la rimozione, allegando le ragioni giuridiche della sua illiceità. Ove il fornitore non ottemperi tempestivamente alla richiesta, potrebbe incorrere in responsabilità per l’illiceità del contenuto oggetto di segnalazione.
Con la piena entrata in vigore del DSA, l’operatività del principio di cui sopra verrà rafforzata da obblighi di predisposizione di meccanismi interni alla piattaforma per le segnalazioni della presenza di contenuti illegali, che i fornitori del servizio dovranno esaminare tempestivamente prima di prendere decisioni motivate; tutti i destinatari del servizio interessati dovranno essere informati della decisione e delle relative motivazioni, che potranno impugnare tramite un sistema interno di gestione dei reclami.
Le piattaforme saranno inoltre soggette a stringenti obblighi di trasparenza, inclusa la presentazione di relazioni periodiche sull’oggetto e sulla quantità delle segnalazioni gestite, delle decisioni adottate e delle dispute gestite tramite il sistema interno di gestione dei reclami.
Ulteriore elemento di importante novità del DSA consiste nella codificazione elastica e trasversale della nozione di contenuto illegale, definita come contenuto in violazione di una fonte normativa dell’UE o di una fonte normativa nazionale conforme al diritto dell’UE: ecco quindi che le norme che abbiamo illustrato più sopra per qualificare giuridicamente l’illecito compiuto mediante il deepfake potranno essere invocate nella specifica richiesta di rimozione del contenuto, che potrà essere rivolta alle singole piattaforme social, mediante i canali di dispute resolution che sono messi disposizione del pubblico.
La persona ritratta potrà anche attivarsi nei confronti delle piattaforme attraverso l’esercizio del diritto di cancellazione – ai sensi dell’articolo 17 del GDPR – che consente all’interessato di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo se i dati personali sono stati trattati illecitamente e, quindi, senza una valida base giuridica.
Tali rimedi possono, dunque, considerarsi adeguati?
I possibili rimedi futuri
Certo è che, in una società, in cui (quantomeno sino da oggi) immagini e filmati godono di una presunzione di autenticità, anche sotto il profilo legale[3], la vittima di tali iniziative sia essa un personaggio noto, un operatore commerciale o un privato cittadino si troverà nella penosa condizione, sia sotto il profilo psicologico che sotto il profilo tecnico, di dover provare la falsità di un contenuto digitale offensivo che la riguarda e la cui diffusione potrà aver già prodotto nell’opinione pubblica o, comunque, tra i destinatari gli effetti a cui mirava. Il tempo gioca a sfavore della vittima del deepfake.
È, quindi, utile riflettere sull’esistenza di strumenti di prevenzione che siano in grado di evitare l’inganno iniziale.
Il Parlamento europeo – nell’avanzare le proprie proposte di modifica al testo dell’Artificial Intelligence Act sottopostogli dalla Commissione europea[4] – ha segnalato come i sistemi di intelligenza artificiale capaci di generare deepfake debbano essere classificati come sistemi ad alto rischio e soggetti a specifici requisiti di trasparenza.
In attesa di leggere il testo finale del regolamento europeo – il cui iter normativo negli ultimi mesi, sotto la pressione dei rapidi sviluppi che stanno interessando il mondo dell’IA, ha subito una forte accelerazione – nonché della direttiva relativa all’adeguamento delle norme in materia di responsabilità civile extracontrattuale all’intelligenza artificiale[5], gli autori di questo articolo sin sono interrogati e confrontati in merito a quali misure possano essere più efficaci ai fini di una prevenzione o quantomeno un contenimento dei danni che la diffusione del fenomeno del deepfake potrà provocare, offrendo le rispettive visioni.
A tal riguardo, si individua la strada maestra nei principi di analisi economica del diritto che negli ultimi anni hanno guidato le scelte del legislatore europeo, tramontato il mito della net neutrality. E quindi, ponendo obblighi in capo ai soggetti che sotto il profilo economico e tecnico possono disporre delle risorse per ottenere un miglior risultato. Un obiettivo da raggiungere imponendo ai fornitori di sistemi AI ed alle piattaforme social obblighi di trasparenza e misure per la riconoscibilità dei contenuti generati con l’utilizzo di intelligenza artificiale: ai primi, preventivamente mediante tecnologie di marcatura digitale (ad esempio, i watermarks) e, alle seconde, mediante l’utilizzo di AI classifiers: insomma i contenuti generati mediante IA dovrebbero essere riconoscibili anche mediante apposita simbologia o grafica che diventi uno standard industriale a livello globale. Tali obblighi si sommerebbero a quelli di monitoraggio e rimozione dei contenuti illeciti che sono già previsti dal DSA. A questo aggiungiamo il ruolo crescente dell’autodisciplina e dei codici di pratica che in qualche misura completano il quadro normativo. Ne è un esempio il codice di condotta rafforzato contro la disinformazione del 2022, uno strumento di autoregolamentazione cui hanno aderito le maggiori piattaforme digitali mondiali che prevede una task force permanente di adeguamento delle misure allo sviluppo tecnologico.
Si auspica anche una maggior responsabilizzazione di chi consapevolmente diffonde tali contenuti (magari solo per gioco, per noia, o per qualche like), attraverso l’imposizione anche nei confronti di questi ultimi di un obbligo di trasparenza.
La tutela della fede pubblica e l’esigenza di evitare che il consumatore possa essere tratto in inganno circa la natura dei messaggi postati sulle piattaforme social, ha, ad esempio, indotto – in un diverso ambito (l’influencer marketing) – l’Istituto di Autodisciplina Pubblicitaria (IAP) ad imporre a celebrità ed influencer l’obbligo di rendere riconoscibile la natura promozionale dei contenuti postati[6]. Seguendo la medesima impostazione ed impregiudicata l’applicazione di eventuali sanzioni per il caso di illecito, l’imposizione a chiunque consapevolmente diffonda o condivida con terzi deepfake dell’obbligo di contrassegnare il messaggio con un chiaro avvertimento che il contenuto è stato creato da un sistema di intelligenza artificiale generativa (ad esempio, “Immagine Generata da IA”, ove il contenuto non sia già contrassegnato da una marcatura che ne riveli l’origine) potrebbe essere un primo passo. Naturalmente ciò non fermerà chi ha intenzioni criminali, ma potrà quantomeno contenere i rischi connessi ad un troppo disinvolto utilizzo di tali potenti strumenti da parte di una platea ben più ampia di soggetti, ponendo l’attenzione sui rischi (anche per l’autore) connessi alla diffusione di immagini o video falsi e potenzialmente lesivi per i diritti altrui.
Al di là delle nostre personali visioni, certamente in questo momento storico gli occhi sono puntati sui pericoli generati dalla intelligenza artificiale e sarà utile seguire gli sviluppi della materia nei prossimi mesi.
Note
- Per quanto, infatti, l’articolo 2.2, lett. c, del GDPR preveda la cosiddetta “household exemption”, che esclude l’applicabilità del regolamento ai trattamenti di dati personali effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico, è anche vero che l’interpretazione di tale eccezione da parte della Corte di Giustizia europea, nonché da parte dell’Autorità Garante per la Protezione dei Dati Personali, è in senso estremamente restrittivo. Proprio nel recente caso “Clearview AI”, il Garante – richiamando la pronuncia della Corte di Giustizia 6 novembre 2003, nella causa C101/01, par. 47 – ha avuto modo di rimarcare che la deroga “comprende unicamente le attività che rientrano nell’ambito della vita privata o familiare dei singoli, il che manifestamente non avviene nel caso del trattamento di dati personali consistente nella loro pubblicazione su Internet in modo da rendere tali dati accessibili ad un numero indefinito di persone”. Si veda l’ordinanza d’ingiunzione nei confronti di Clearview AI – 10 febbraio 2022 – Registro dei provvedimenti n. 50 del 10 febbraio 2022. ↑
- Si veda la sentenza della Corte di Giustizia europea in data 11 dicembre 2014 nella causa C‑212/13 (František Ryneš c. Úřad pro ochranu osobních údajů): “29 Posto che le disposizioni della direttiva 95/46, in quanto disciplinano il trattamento di dati personali suscettibile di ledere le libertà fondamentali e, in particolare, il diritto alla vita privata, devono necessariamente essere interpretate alla luce dei diritti fondamentali sanciti da detta Carta (v. sentenza Google Spain e Google, EU:C:2014:317, punto 68), la deroga prevista dall’articolo 3, paragrafo 2, secondo trattino, di tale direttiva dev’essere interpretata in senso restrittivo.30 Quest’interpretazione restrittiva trova il suo fondamento anche nel dettato stesso di tale disposizione, che sottrae all’applicazione della direttiva 95/46 il trattamento dei dati effettuato per l’esercizio di attività non semplicemente personali o domestiche, bensì «esclusivamente» personali o domestiche.31 Alla luce delle precedenti considerazioni, occorre constatare, come rilevato dall’avvocato generale nel paragrafo 53 delle sue conclusioni, che un trattamento di dati personali rientra nella deroga prevista dall’articolo 3, paragrafo 2, secondo trattino, della direttiva 95/46 unicamente quando è effettuato nella sfera esclusivamente personale o domestica della persona che procede a tale trattamento.32 Pertanto, per quanto concerne le persone fisiche, la corrispondenza e la compilazione di elenchi di indirizzi costituiscono, alla luce del considerando 12 della direttiva 95/46, «attività a carattere esclusivamente personale o domestico» persino qualora, incidentalmente, esse riguardino o possano riguardare la vita privata di terzi.
33 Posto che una videosorveglianza quale quella in questione nel procedimento principale si estende, anche se solo parzialmente, allo spazio pubblico, e pertanto è diretta verso l’esterno della sfera privata della persona che procede al trattamento dei dati con tale modalità, essa non può essere considerata un’attività esclusivamente «personale o domestica» ai sensi dell’articolo 3, paragrafo 2, secondo trattino, della direttiva 95/46”. ↑
- Ai sensi dell’articolo 2712 del Codice Civile: “Le riproduzioni fotografiche, informatiche o cinematografiche, le registrazioni fonografiche e, in genere, ogni altra rappresentazione meccanica di fatti e di cose formano piena prova dei fatti e delle cose rappresentate, se colui contro il quale sono prodotte non ne disconosce la conformità ai fatti o alle cose medesime”. E l’orientamento della Corte di Cassazione sul punto è stato ribadito anche di recente con l’ordinanza n. 24613 del 2 ottobre 2019: “in tema di efficacia probatoria delle riproduzioni informatiche di cui all’art. 2712 cc (proprio con riferimento ai dischi cronotachigrafi) il disconoscimento idoneo a farne perdere la qualità di prova, degradandole a presunzioni semplici, deve essere chiaro, circostanziato ed esplicito, dovendosi concretizzare nell’allegazione di elementi attestanti la non corrispondenza tra realtà fattuale e realtà riprodotta (Cass. 2.9.2016 n. 17526; Cass. n. 3122/2015)”. ↑
- Si vedano la proposta di Regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull’intelligenza Artificiale (Artificial Intelligence Act ovvero AI Act), presentata dalla Commissione europea in data 21 aprile 2021, ed il successivo draft report del Parlamento europeo in data 20 aprile 2022. ↑
- Si veda la proposta di direttiva del Parlamento europeo e del Consiglio relativa all’adeguamento delle norme in materia di responsabilità civile extracontrattuale all’intelligenza artificiale, presentata dalla Commissione europea in data 28 settembre 2022; ↑
- Si veda al riguardo il Regolamento Digital Chart sulla riconoscibilità della comunicazione commerciale diffusa attraverso Internet, che impone a celebrità ed influencer l’obbligo di rendere riconoscibile la natura promozionale dei contenuti postati, attraverso l’utilizzo di hashtag quali “#Pubblicità o #Advertising”, “#Sponsorizzato” o #Sponsored” “#adv” “#brand”, seguiti dal marchio del prodotto promozionato; ↑