Introduzione
L’espressione “deepfake” deriva dai termini inglesi fake (falso) e deep learning e indica contenuti multimediali – video, foto o voci – manipolati tramite algoritmi di intelligenza artificiale. Grazie a reti neurali avanzate, i deepfake permettono di sostituire un volto o una voce con quelli di un’altra persona, ricreando in maniera incredibilmente realistica scene mai avvenute. Nel mondo digitale, queste manipolazioni possono essere usate per diffamare, estorcere, diffondere disinformazione o creare pornografia non consensuale. Il fenomeno ha raggiunto tale pervasività da richiedere un intervento legislativo specifico.
Contesto europeo: l’AI Act e la necessità di regolare i deepfake
Nel 2024 l’Unione Europea ha approvato il Regolamento (UE) 2024/1689 (AI Act), introducendo obblighi di trasparenza per i sistemi di intelligenza artificiale ad alto rischio e imponendo che i contenuti sintetici siano chiaramente segnalati come tali. L’AI Act – entrato in vigore nell’agosto 2024 – ha creato una base giuridica comune, ma lasciava agli Stati membri il compito di disciplinare sanzioni penali e responsabilità civili. L’Italia è stato il primo paese europeo a introdurre un reato autonomo legato ai deepfake.
La legge 132/2025
La legge 23 settembre 2025, n. 132 (“Disposizioni e deleghe al Governo in materia di intelligenza artificiale”) è stata pubblicata sulla Gazzetta Ufficiale il 25 settembre 2025 ed è entrata in vigore il 10 ottobre 2025. Al capo V, articolo 26, la legge ha introdotto nel codice penale l’articolo 612‑quater c.p., rubricato “Illecita diffusione di contenuti generati o alterati con sistemi di intelligenza artificiale”. La disposizione punta a colmare un vuoto normativo: fino al 2025, chi subiva un deepfake poteva ricorrere solo a reati indiretti (diffamazione, sostituzione di persona, revenge porn), che non sempre coprivano la varietà delle manipolazioni.
Il testo dell’articolo 612‑quater c.p.
Il nuovo reato punisce chiunque, senza il consenso della persona rappresentata, diffonda immagini, video o voci alterati o generati con sistemi di IA in modo da indurre in inganno la loro genuinità e causi un danno ingiusto alla vittima. La norma stabilisce che chiunque commetta tale condotta “è punito con la reclusione da uno a cinque anni”. Il delitto è procedibile a querela della persona offesa, ma si procede d’ufficio se il fatto:
-
è connesso con un delitto perseguibile d’ufficio;
-
è commesso nei confronti di persona incapace (minorenne o inferma);
-
è commesso contro una pubblica autorità a causa delle funzioni svolte.
Elementi costitutivi del reato
L’analisi degli elementi oggettivi mostra tre requisiti indispensabili:
-
Uso di IA: la falsificazione deve essere ottenuta tramite sistemi di intelligenza artificiale, distinguendosi da un semplice fotoritocco;
-
Idoneità a ingannare: il contenuto deve essere realistico e capace di trarre in inganno; deepfake grossolani o satirici che non ingannano difficilmente integrano il reato;
-
Danno ingiusto e assenza di consenso: la diffusione deve causare un pregiudizio alla vittima (reputazionale, morale, psicologico o economico) e avvenire senza il suo consenso.
Il bene giuridico tutelato è l’identità personale e la reputazione del soggetto. Si tratta di un reato comune (commettibile da chiunque) e di danno (richiede la prova di un effetto lesivo), con dolo generico: l’autore deve avere la volontà di diffondere il contenuto senza consenso, accettando o prevedendo il danno.
Procedibilità e sanzioni
La pena prevista va da 1 a 5 anni di reclusione. Il regime di procedibilità bilancia tutela della vittima e interesse pubblico: di regola si procede su querela, ma quando i fatti coinvolgono minori, incapaci o pubblici ufficiali, oppure sono connessi con altri reati perseguibili d’ufficio, l’azione penale è automatica.
Le altre modifiche penali: aggravanti e nuovi reati
Oltre al 612‑quater, la legge 132/2025 interviene su numerose norme, introducendo aggravanti per reati commessi attraverso l’IA e adattando il diritto d’autore e quello finanziario. Le principali novità sono:
| Ambito normativo | Modifica introdotta | |
|---|---|---|
| Aggravante comune (art. 61 c.p.) | inserito il n. 11‑decies: pena aumentata quando l’uso dell’IA costituisce mezzo insidioso, ostacola la difesa o aggrava le conseguenze del reato | |
| Diritti politici (art. 294 c.p.) | nuova aggravante: se l’inganno contro i diritti politici del cittadino avviene tramite IA, la pena passa da due a sei anni | |
| Deepfake – art. 612‑quater c.p. | nuovo reato di diffusione non consensuale di contenuti generati o alterati con IA, punito con reclusione da uno a cinque anni | |
| Aggiotaggio (art. 2637 c.c.) | introdotta un’aggravante speciale: per chi diffonde notizie false o opera manipolazioni di mercato con l’ausilio dell’IA la pena sale da due a sette anni | |
| Diritto d’autore (art. 171 L. 633/1941) | inserita la lettera a‑ter: punisce chi riproduce o estrae testi o dati da opere protette violando gli articoli 70‑ter e 70‑quater mediante IA | |
| Manipolazione di mercato (art. 185 TUF) | per chi manipola il mercato con IA la reclusione va da due a sette anni e la multa sale a 6 milioni di euro |
La legge delega inoltre il Governo a emanare entro 12 mesi decreti legislativi che chiariscano la responsabilità penale delle persone fisiche e degli enti per i reati legati a sistemi di IA “autonomi”. Tale delega dovrà affrontare la complessità di attribuire responsabilità quando gli output delle macchine non sono pienamente controllabili da un operatore umano.
Deepfake non sempre reato: eccezioni e casi leciti
La nuova normativa non criminalizza qualsiasi deepfake. Secondo gli esperti, l’uso della tecnologia è legittimo quando avviene con il consenso dell’interessato o per scopi artistici, satirici, educativi o didattici, a condizione che il contenuto risulti chiaramente artificiale e non intenda ingannare o danneggiare. Esempi consentiti sono i documentari che ricostruiscono volti di personaggi storici o i cameo virtuali creati con l’autorizzazione della persona ritratta. Inoltre, la produzione di deepfake a uso privato, senza diffusione e senza danno a terzi, non integra il reato se non viola altri diritti.
Il ruolo del Garante e il caso Clothoff
Parallelamente all’introduzione del reato, l’Autorità Garante per la Protezione dei Dati Personali si è attivata per contrastare gli abusi delle applicazioni di “nudificazione”. Nel ottobre 2025 ha disposto un provvedimento d’urgenza contro l’app Clothoff, un servizio basato nei Caraibi che permetteva di generare immagini di “deep nude” senza alcun controllo del consenso, utilizzabile anche da minorenni. Il Garante ha bloccato l’app per gli utenti italiani perché il servizio funzionava “in assenza di qualsiasi accorgimento che permetta di verificare il consenso” e non segnalava la natura artificiale delle foto. L’intervento dimostra come la protezione dei dati personali e la tutela dell’immagine siano complementari all’azione penale: mentre l’articolo 612‑quater punisce la diffusione dannosa, i provvedimenti del Garante mirano a prevenire l’uso di servizi pericolosi.
Impatti per imprese e compliance
L’introduzione del reato di deepfake implica che le imprese che utilizzano sistemi di intelligenza artificiale devono aggiornare i propri Modelli di Organizzazione, Gestione e Controllo (MOG) ai sensi del d.lgs. 231/2001. La legge 132/2025 prevede infatti l’aggravante generale di cui all’art. 61 n. 11‑decies c.p. e delega il Governo a individuare criteri di imputazione per la responsabilità degli enti. Ciò comporta la necessità di:
-
individuare i processi automatizzati critici e documentare le logiche algoritmiche utilizzate;
-
adottare misure di contenimento e controlli per prevenire manipolazioni illecite;
-
formare costantemente il personale e dotarsi di standard certificabili.
Anche le società che operano sui mercati finanziari dovranno valutare il rischio di manipolazione algoritmica ai fini dell’aggiornamento del modello 231, considerando che l’utilizzo di IA per l’aggitaggio e la manipolazione del mercato comporta ora pene più severe.
Criticità e prospettive
Nonostante l’importanza del nuovo reato, alcuni giuristi hanno evidenziato criticità:
-
Definizione di sistema di IA: il diritto penale italiano non fornisce ancora una definizione univoca di “sistema di intelligenza artificiale”; il 612‑quater richiama implicitamente la definizione dell’AI Act. Sarà la giurisprudenza a stabilire quali tecnologie rientrino nella fattispecie.
-
Prova del danno e della causalità: la punibilità richiede che la diffusione del deepfake causi un danno ingiusto; dimostrare il nesso causale tra contenuto e danno potrebbe non essere semplice, soprattutto in contesti di viralità online.
-
Responsabilità degli enti: la delega al Governo dovrà chiarire come imputare la responsabilità a persone giuridiche quando un’IA “autonoma” compie un illecito.
Ciononostante, il nuovo articolo 612‑quater rappresenta un passo fondamentale per proteggere l’identità digitale e la dignità delle persone nell’era dell’intelligenza artificiale. L’evoluzione tecnologica richiede un costante aggiornamento del diritto: l’Italia, con la legge 132/2025, si è posta all’avanguardia in Europa e apre la strada a ulteriori interventi normativi.
