Le cronache recenti hanno riportato all’attenzione pubblica due episodi che, pur diversi tra loro, mettono a nudo le criticità dell’attuale sistema di protezione dell’immagine e dell’identità personale in rete.
Da un lato il caso PHICA, sito divenuto tristemente noto per la diffusione di video manipolati digitalmente a sfondo sessuale, realizzati mediante tecniche di deepfake, con volti di donne sovrapposti ad atti mai compiuti. Dall’altro il gruppo Facebook “Mia moglie”, nel quale venivano condivise fotografie reali di donne — talvolta scattate in contesti privati — accompagnate da commenti offensivi e prive di qualsiasi consenso all’utilizzo.
Due fenomeni diversi, ma accomunati da un effetto dirompente: rivelare quanto l’attuale apparato normativo fatichi a garantire una protezione effettiva dell’identità e dell’immagine personale nella dimensione digitale.
Ed infatti, nel caso PHICA, come evidenziato anche dalle principali testate giornalistiche nazionali, la lesione nasce da una sofisticata manipolazione tecnologica capace di generare falsi estremamente realistici mentre nel caso “Mia moglie”, dall’uso massivo e incontrollato di immagini autentiche, sottratte al consenso delle persone ritratte.
In entrambi i contesti il problema non è solo la condotta individuale, ma la capacità delle piattaforme online di amplificare e rendere virale l’abuso in pochi istanti, superando i confini nazionali e mettendo a dura prova i tradizionali strumenti di tutela, sia in sede civile che penale.
La proposta di legge “Noi Moderati”
Di fronte a queste criticità è stato presentato il disegno di legge a firma “Noi Moderati”, che ambisce a colmare le lacune emerse sul piano della tutela dell’immagine e dell’identità digitale. Il testo muove da un intento condivisibile: rendere più difficile l’anonimato che alimenta abusi, imporre trasparenza per i contenuti manipolati e prevedere una risposta penale mirata. Tre i cardini dell’intervento: l’identificazione obbligatoria degli utenti, attraverso strumenti di identità digitale come SPID o CIE; l’obbligo di contrassegno per i deepfake, ossia un marchio digitale che renda evidente la natura artificiale di immagini, video o audio generati o alterati; e infine la creazione di una nuova fattispecie penale di “diffusione fraudolenta online”, volta a reprimere la produzione e la condivisione di materiale manipolato a fini lesivi o ingannevoli. Alla vigilanza e all’enforcement vengono assegnati poteri rafforzati ad AGCOM e al Garante per la protezione dei dati personali, compresa la possibilità di imporre ordini di oscuramento e sanzioni significative.
La proposta, pur animata da obiettivi di tutela condivisibili, non può tuttavia essere letta come un corpo normativo autosufficiente. Le soluzioni ipotizzate devono infatti armonizzarsi con l’ordinamento nazionale — che già conosce tutele come il diritto all’immagine ex art. 10 c.c. e artt. 96-97 l.d.a., la diffamazione (art. 595 c.p.) e il revenge porn (art. 612-ter c.p.) — e soprattutto con il quadro europeo, oggi delineato dall’AI Act (Reg. UE 2024/1689), dal Digital Services Act(Reg. UE 2022/2065) e dal GDPR (Reg. UE 2016/679). È proprio nel confronto con queste normative che emergono alcune fragilità già evidenziate: la necessità di evitare un obbligo di identificazione universale che rischierebbe di entrare in tensione con i principi di proporzionalità e minimizzazione del trattamento dati; l’opportunità di prevedere, per i deepfake, un obbligo di trasparenza tecnologicamente neutro anziché legato a un unico strumento come il watermark; e l’esigenza di definire con chiarezza i confini della nuova fattispecie penale, per non sovrapporsi a norme già esistenti ma rafforzarne l’effettività.
Anonimato e tracciabilità online: il difficile equilibrio tra sicurezza e libertà
Dal punto di vista tecnico-giuridico, la proposta afferente all’identificazione obbligatoria degli utenti richiede un’attenta valutazione sotto il profilo della compatibilità con il diritto europeo e della sua concreta attuabilità.
L’idea di vincolare l’accesso alle piattaforme a strumenti come SPID o CIE risponde certamente all’esigenza di rendere più agevole l’individuazione degli autori di condotte illecite, ma comporta anche conseguenze rilevanti: significherebbe chiedere a operatori globali di integrare procedure di verifica documentale uniformi, gestire situazioni complesse (utenti extra UE, minori, account multipli) e garantire una protezione dei dati conforme ai principi di necessità, proporzionalità e minimizzazione sanciti dal Regolamento (UE) 2016/679 – GDPR.
Né l’AI Act (Reg. UE 2024/1689) né il Digital Services Act (Reg. UE 2022/2065) hanno optato per una simile generalizzazione, preferendo strumenti mirati e proporzionati — ordini specifici di rimozione o di trasmissione dati, procedure di notice-and-action tracciabili e garanzie di ricorso — che consentono di contemperare le esigenze di sicurezza con il rispetto delle libertà fondamentali.
Proprio per questo, una misura di identificazione universale, per essere efficace e sostenibile, dovrebbe prevedere modalità di attuazione flessibili e pienamente coordinate con il quadro europeo, magari valorizzando modelli di identità digitale verificata ma non pubblica (pseudonimia qualificata) che permettano l’accesso selettivo ai dati solo in presenza di un provvedimento dell’autorità competente.
Sul piano della marcatura dei deepfake, la proposta prevede un “marchio digitale” obbligatorio.
L’AI Act già impone l’obbligo di informare chiaramente l’utente quando un contenuto è generato o manipolato dall’intelligenza artificiale (art. 50), ma mantiene un approccio tecnologicamente neutro, consentendo diverse soluzioni (etichette visibili, metadati crittografici, watermark).
La tipizzazione di un solo strumento rischia di rivelarsi rigida e facilmente aggirabile.
La pratica più solida, già oggetto di sviluppo a livello internazionale, consiste nell’adottare soluzioni multilivello, combinando watermarking con protocolli di tracciabilità crittografica (ad esempio C2PA/Content Credentials) e con procedure di verifica lato piattaforma.
Quanto al nuovo reato di diffusione fraudolenta online, la finalità è evidentemente quella di offrire una risposta mirata ai deepfake lesivi. Tuttavia, va ricordato che il nostro ordinamento dispone già di strumenti importanti: la diffamazione (art. 595 c.p.), il revenge porn (art. 612-ter c.p.), nonché il diritto all’immagine (art. 10 c.c. e artt. 96-97 l.d.a.), che tutela l’uso non autorizzato del ritratto a prescindere dall’offesa all’onore o alla reputazione.
La proposta dunque, nel concreto, non sembra orientata verso una nuova tutela sostanziale, quanto piuttosto a rafforzare l’enforcement, fornendo una fattispecie specifica e aggravata per le manipolazioni digitali.
Uno dei nodi più delicati riguarda la determinazione dell’ambito oggettivo di applicazione della nuova fattispecie.
Non è infatti sufficiente sanzionare le sole ipotesi in cui il volto o la voce di una persona vengano riprodotti in maniera identica: la realtà digitale mostra come la lesione possa derivare anche da forme più sottili di appropriazione evocativa, quando un contenuto, pur senza riprodurre fedelmente le sembianze del soggetto, ne richiami in modo inequivocabile l’identità percepita, rendendolo riconoscibile al pubblico.
La giurisprudenza italiana ha già elaborato criteri utili in questa direzione. Emblematico è il caso Lucio Dalla (Trib. Roma, 18 aprile 2001), nel quale fu ritenuta illecita una campagna pubblicitaria che, mediante un sosia caratterizzato da abbigliamento, postura e contesto fortemente allusivi, evocava la figura del cantautore senza mostrarne il volto reale.
Il Tribunale, in quel caso, affermò che la tutela del diritto all’immagine ex art. 10 c.c. e artt. 96-97 l.d.a. si estende a qualsiasi modalità di sfruttamento idonea a far riconoscere il soggetto, anche attraverso artifici scenici o digitali.
Applicare questo principio ai deepfake significa riconoscere che la protezione deve coprire non solo la riproduzione fedele, ma anche la ricostruzione suggestiva dell’identità, ad esempio mediante tratti somatici combinati, voce sintetizzata o elementi iconografici caratterizzanti.
Una esplicita codificazione legislativa di questo concetto, come quella ipotizzata dalla proposta “Noi Moderati” con il reato di diffusione fraudolenta online, offrirebbe maggiore certezza applicativa e rafforzerebbe l’efficacia preventiva e dissuasiva della tutela penale.
Infine, l’aspetto dell’enforcement richiede un’attenta armonizzazione con le procedure del DSA. Gli ordini di rimozione o oscuramento devono essere specifici, motivati e tracciabili, con possibilità di ricorso e obblighi di trasparenza. Solo così si evita il rischio che, per timore di sanzioni elevate, le piattaforme adottino politiche di rimozione preventiva e indiscriminata, con possibili ripercussioni sulla libertà di espressione garantita dall’art. 21 Cost. e dalla Carta dei diritti fondamentali UE.
Conclusioni
La proposta di legge avanzata da “Noi Moderati”, sollecitata da vicende come PHICA e “Mia moglie”, affronta con decisione il tema della tutela dell’identità e dell’immagine personale nell’era digitale, ponendo al centro l’identificazione degli utenti, la marcatura dei deepfake e una nuova fattispecie penale. Si tratta di obiettivi condivisibili, che intercettano esigenze reali di protezione e responsabilizzazione. Tuttavia, il dibattito giuridico emerso evidenzia che la sua efficacia dipenderà dalla capacità di integrazione con il quadro europeo e nazionale: occorre evitare sovrapposizioni con le tutele già previste (art. 10 c.c., artt. 96-97 l.d.a., art. 612-ter c.p.), garantire che le procedure di identificazione siano proporzionate e rispettose del GDPR, e assicurare che l’obbligo di contrassegno per i deepfake non si traduca in un vincolo tecnologico rigido ma resti coerente con l’approccio flessibile dell’AI Act.
Solo una normativa che, da un lato, rafforzi l’enforcement – offrendo strumenti rapidi e sanzioni adeguate – e, dall’altro, si coordini con il Digital Services Act e con le garanzie della Carta dei diritti fondamentali dell’Unione europea, potrà garantire una protezione davvero effettiva delle persone, senza comprimere indebitamente libertà fondamentali e sviluppo tecnologico.
Autore Articolo: Gianluca Regolo
