A quasi un anno dall’AI Act, aumentano i casi di violazione della privacy e creazione di deepfake tramite chatbot e bot. Il caso più recente è avvenuto in concomitanza con la seconda udienza del processo contro Filippo Turetta per il femminicidio di Giulia Checchettin: i media hanno segnalato la presenza di chatbot sulla piattaforma Character.ai che impersonificavano entrambi sottoforma di avatar, pronti a interagire con gli utenti tramite chat.

Etica e limiti dell’intelligenza artificiale tornano ad accendere il dibattito in assenza di una regolamentazione adeguata. Abbiamo coinvolto più esperti in materia di cybersecurity e protezione dei dati personali per approfondire lo stato dei deepfake oggi in Italia e cosa è possibile fare se si è vittima di questo fenomeno.

Il caso di Giulia Cecchettin: thanabot e trattamento illecito dei dati

La creazione di un bot capace di impersonificare Giulia Cecchettin, vittima di femminicidio, riguarda innanzitutto il trattamento dei dati personali. Le informazioni, le foto, e gli elementi per riscostruire la sua voce non sono stati forniti da famigliari. Il chatbot all’interno del quale il bot interagisce è una conversational AI, un software capace di conversare secondo delle regole prestabilite. Il fatto può essere percepito come l’appropriazione e furto di identità di persona. Questo porta a chiedersi quali siano le implicazioni dell’utilizzo dei dati di una persona defunta per finalità puramente di intrattenimento in uno spazio online accessibile a tutti con possibilità di profitto.

«Il caso in esame costituisce una grave violazione della dignità della persona, dell’identità personale, della normativa sul diritto all’immagine e della protezione dei dati personali, e pone interrogativi di natura etica e sociale» commenta Mauro Alovisio per Alley Oop, docente a contratto presso l’Università di Torino e coordinatore del corso Gdpr. «Siamo di fronte a un caso di deep fake costruito con AI, una replica digitale che nel caso di una persona defunta prende il nome di thanabot, un fenomeno poco conosciuto in Italia. Questo strumento è molto diffuso negli Stati Uniti con finalità fraudolente, mentre in Cina viene utilizzato come supporto all’assistenza psicologica per l’elaborazione del lutto. Il thanabot può rappresentare non solo una grave violazione dell’identità, ma anche un rischio di disinformazione e manipolazione mediatica, con effetti sull’aspetto psicologico».

La creazione del thanabot di Giulia Cecchettin, che include la ricostruzione della voce e dell’immagine, comporta una serie di violazioni, fra cui emerge in modo chiaro il  trattamento illecito di dati:  «Per costruire il profilo deep fake l’intelligenza artificiale ha svolto un’attività di addestramento sui dati della ragazza – voce, immagini, video – senza consenso e in violazione della normativa in materia di protezione dati personali. Il regolamento in materia protezione dei dati personali costituisce al momento il principale strumento di tutela della persona. Gli eredi possono inviare una diffida alla piattaforma con richiesta di blocco dei dati e inviare, altresì, un reclamo al Garante privacy, salvo poi richiedere il risarcimento dei danni di fronte al giudice civile», spiega Alovisio.

La conversazione pilotata dal bot identificava Giulia Cecchettin ancora in una relazione con chi l’ha uccisa, un vero e proprio atto di violenza nei confronti della sua memoria. Questo episodio esprime quindi una pericolosa distorsione della narrazione dei fatti del femminicidio. Chi è responsabile in questo caso? «Le responsabilità sono dei creatori, dei produttori e utilizzatori di AI che devono sviluppare servizi in maniera etica e conforme alle normative – sottolinea Alovisio – L’Europa ha adottato il primo regolamento in materia di intelligenza artificiale con obblighi di valutazione dei rischi e di alfabetizzazione per le imprese, persone e utenti. L’utilizzo di chatbot, come osservato in chiave critica dal Garante privacy, è stato considerato come tecnologia a basso rischio e occorre riflettere su tale aspetto. Il regolamento non approfondisce il profilo della responsabilità, ma è prossima una direttiva europea in materia».

I deepfake pornografici riguardano le donne

I casi di deefake riguardano principalmente la diffusione di materiale intimo non consensuale e la creazione di contenuti pornografici. Secondola ricerca The Naked Truth – How intimate image sharing is reshaping the world” (Kaspersky, 2024), il 45% degli uomini italiani intervistati pensa che chi condivide immagini intime sia, almeno in parte, responsabile se queste vengono divulgate senza consenso. Il 29% pensa che ricevere un’immagine intima significhi “possederla”. Il 44% dei ragazzi italiani tra i 16 e i 24 anni ha dichiarato di aver avuto a che fare con la diffusione non consensuale di immagini

«I deepfake porn costituiscono il 98% di quelli reperibili online (Security Hero), e la quasi totalità delle vittime sono donne» afferma Neomi Tentori, socia e volontaria di Permesso Negato, associazione che offre supporto alle vittime di diffusione non consensuale di materiale intimo e violenza online. «Il deepfake è molto diffuso su siti pornografici, Reddit, X, Telegram o Tik Tok, dove volti di persone comuni vengono sovrapposti a quelli di attrici hard. Molti dei principali attori tecnologici hanno cercato di affrontare il problema implementando politiche più rigide e collaborando con esperti di AI per migliorare i sistemi di rilevamento automatizzato­. Tuttavia, il problema continua ad essere motivo di crescente preoccupazione per le implicazioni legali, etiche e psicologiche».

Online shaming e doxing

Quando la condivisione di materiale intimo non consensuale è accompagnata da informazioni personali per danneggiare ancora di più la vittima, siamo di fronte al fenomeno del doxing: un atto lesivo della privacy associato all’online shaming proprio per la sua natura vendicativa o manipolativa. «Queste informazioni possono includere ad esempio il nome completo, l’indirizzo di residenza, i dettagli di contatto o il luogo di lavoro. L’intento è spesso quello di umiliare ulteriormente, esercitare pressione, danneggiare la reputazione o minacciare la sicurezza della vittima. Il termine doxing deriva dall’abbreviazione di “dropping dox,” dove “dox” è a sua volta una variazione del termine “documents”. Gli attacchi di doxing possono variare dall’iscrizione a un servizio e-mail a gesti più pericolosi come le molestie dirette alla vittima o ai suoi cari, il furto di identità o forme estreme di cyberbullismo» specifica Tentori.

Dall’esperienza dell’associazione Permesso Negato, il doxing connesso a casi di diffusione non consensuale di materiale intimo si concretizza principalmente quando l’aggressore e la vittima hanno avuto un rapporto intimo o lavorativo nella vita reale. «L’aggressore mette in atto questa condotta come intimidazione o vendetta nei confronti della vittima, solitamente poiché quest’ultima ha deciso di interrompere la loro relazione», dice Tentori. Una motivazione che riporta anche al femminicidio di Giulia Cecchettin. 

Denuncia e rimozione dei contenuti di deepfake porn

Se si scopre di essere vittima di deepfake pornografico, è possibile denunciare il fatto e/o richiedere la rimozione di questi contenuti. Ce ne parla l’avvocata Matilde Bellingeri, socia e volontaria di Permesso Negato: «È possibile applicando la L. n. 48/2008, la quale prescrive di effettuare una copia completa delle prove che si vogliono allegare alla denuncia-querela, eseguita in modo da garantire la conservazione dei dati originali impedendone l’alterazione, la c.d. copia forense. La copia forense è la copia effettuata da consulenti di informatica forense, finalizzata a copiare i dati digitali in modalità clone o in modalità immagine. Nel caso del deepfake è importante allegare alla denuncia-querela il contenuto digitale fake e ogni altro elemento utile ad individuare l’autore del deepfake e/o gli utenti che lo avessero diffuso, oltre ad ogni altro fattore idoneo a dimostrare la manipolazione di un’immagine, video, testo o suono», spiega l’avvocata.

Screenshot di conversazioni o immagini sono ulteriori esempi indicati dalla giurisprudenza per produrre in giudizio le prove del reato in assenza di una copia forense del materiale utile. 

I bot per spogliare le donne: 4 milioni di utenti al mese su Telegram

La più recente indagine condotta dalla rivista Wired ha individuato circa 50 bot su Telegram programmati per produrre immagini pornografiche “spogliando” immagini di donne preesistenti, dando vita a deepfake porn. Sono risultati circa 4 milioni di utenti che interagiscono con i bot mensilmente. Il fondatore di Telegram, Pavel Durov, è stato arrestato e poi rilasciato a fine agosto nell’ambito di un’indagine su reati legati alla pornografia infantile, al traffico di droga e alle transazioni fraudolente sulla piattaforma. Nel mese di settembre, anche le autorità della Corea del Sud hanno intrapreso azioni in seguito alla distribuzione di immagini e video sessualmente espliciti.  

Dalla percezione di cosa è reale oppure no dipendono le opinioni, i limiti della privacy e la cultura di una società che lotta contro la violenza di genere. Fare informazione e contestualizzare le variabili più o meno conosciute degli strumenti informatici risulta quindi necessario per individuare, e succesivamente regolamentare, tutte le possibili forme lesive di cyberviolenza derivate dall’utilizzo dell’intelligenza artificiale. 

***

Se stai subendo stalking, violenza verbale o psicologica, violenza fisica puoi chiamare per avere aiuto o anche solo per chiedere un consiglio il 1522 (il numero è gratuito anche dai cellulari). Se preferisci, puoi chattare con le operatrici direttamente da qui.

Puoi rivolgerti a uno dei numerosi centri antiviolenza sul territorio nazionale, dove potrai trovare ascolto, consigli pratici e una rete di supporto concreto. La lista dei centri aderenti alla rete D.i.Re è qui.

***

La newsletter di Alley Oop

Ogni venerdì mattina Alley Oop arriva nella tua casella mail con le novità, le storie e le notizie della settimana. Per iscrivervi cliccate qui.

Per scrivere alla redazione di Alley Oop l’indirizzo mail è alleyoop@ilsole24ore.com