Deepfake: cosa sono, come funzionano, le frodi che generano e perché la detection da sola non basta più

Il 5 maggio 2026 la presidente del Consiglio Giorgia Meloni denuncia pubblicamente la circolazione di sue foto generate da intelligenza artificiale: "I deepfake sono pericolosi perché possono ingannare, manipolare e danneggiare chiunque" (La Prima Pagina, 5 maggio 2026). È l'ultimo episodio italiano di una serie che, nel solo 2025, ha incluso il forum Phica.eu (800.000 utenti, dieci milioni di messaggi, immagini manipolate di Meloni, Schlein, Carfagna e Boschi), la voce clonata del ministro Crosetto usata per truffare Moratti, Armani, Tronchetti Provera, Della Valle e Beretta, il deepfake del governatore di Bankitalia Fabio Panetta esca per piattaforme di trading fraudolente, e una donna di 79 anni di Luco dei Marsi a cui sono stati sottratti ventimila euro in oro tramite la voce clonata del figlio.

Non è cronaca italiana isolata. È la fotografia globale di un fenomeno che, secondo il Regno Unito, è passato da 500.000 deepfake condivisi nel 2023 a otto milioni nel 2025, con un tasso di crescita del 1.500% in due anni. Sumsub registra +700% di frodi deepfake fra il primo trimestre 2024 e il primo trimestre 2025 (Sumsub Identity Fraud Report 2025-2026). Onfido rileva un attacco deepfake ogni cinque minuti e una crescita di 31x anno su anno (Onfido / Entrust 2024). Il caso Arup, lo studio di ingegneria britannico, è entrato nei manuali di cybersecurity: 25,6 milioni di dollari sottratti dopo una videochiamata in cui un dipendente di Hong Kong ha visto e sentito un finto direttore finanziario circondato da finti colleghi (Fortune, maggio 2024).

A questo scenario il mondo risponde principalmente con un riflesso: costruire sistemi che provino a riconoscere se un contenuto è falso. È la strada della deepfake detection. Ed è una strada che, presa da sola, sta perdendo. I migliori detector raggiungono il 94-96% di accuratezza in laboratorio ma crollano sotto il 50% quando incontrano deepfake prodotti con strumenti su cui non sono stati addestrati (Deepfake-Eval-2024 benchmark, arXiv). Una meta-analisi di 56 studi conclude che gli umani riescono a riconoscere un deepfake nel 55,5% dei casi: statisticamente indistinguibile dal lancio della monetina (ScienceDirect, 2024).

Questa guida spiega cosa sono i deepfake, da dove vengono, come si producono nel 2026, quali frodi generano, cosa dice la nuova normativa europea e italiana, e perché l'unica strategia che regge sul lungo periodo non è inseguire i deepfake con detector sempre più sofisticati: è certificare l'autenticità dei dati nel momento esatto in cui nascono, prima che la manipolazione diventi possibile.

In sintesi

• Cosa sono. Contenuti audio, video o immagine generati o manipolati con intelligenza artificiale che riproducono in modo realistico persone reali (Wikipedia, Garante Privacy).
• Quanto crescono. Otto milioni nel 2025 secondo il governo britannico, sedici volte rispetto al 2023. Frodi deepfake +700% globali fra Q1 2024 e Q1 2025 (Sumsub).
• Quanto costano. 900 milioni di dollari di perdite globali nel solo 2025; Deloitte stima 40 miliardi di dollari di danni da frodi GenAI negli Stati Uniti entro il 2027 (Deloitte).
• Perché la detection non basta. Sotto il 50% di accuratezza in condizioni reali; gli attacchi adversarial neutralizzano i detector più avanzati; ogni nuovo modello generativo invecchia istantaneamente i sistemi di riconoscimento.
• La sola difesa scalabile. Certificare i contenuti alla fonte, all'interno di dispositivi verificati, con metodologia forense e prove opponibili in giudizio. È la logica della certificazione dell'autenticità, non del riconoscimento del falso.

Cosa sono i deepfake: definizione, tecnologia ed esempi

I deepfake sono contenuti multimediali (video, audio, immagini) sintetizzati o manipolati tramite intelligenza artificiale in cui il volto, la voce o l'aspetto di una persona vengono sostituiti con quelli di un'altra in modo realistico. Il termine, coniato nel 2017 da un utente Reddit, combina "deep learning" (l'algoritmo che lo rende possibile) e "fake" (falso). I deepfake sfruttano reti antagoniste generative (GAN) e modelli diffusion-based: due reti neurali competono fino a produrre output indistinguibili da contenuti autentici. Nel 2026 il fenomeno ha raggiunto scala industriale: secondo Sumsub gli attacchi deepfake sono aumentati del 700% anno su anno; Onfido registra un attacco deepfake ogni cinque minuti; Pindrop documenta un incremento del 1.300% sui deepfake vocali. La legge italiana 132/2025 (art. 612-quater c.p.) ha introdotto un reato specifico per la diffusione, mentre l'AI Act europeo art. 50(4) impone l'etichettatura obbligatoria dal 2 agosto 2026.

Il termine nasce alla fine del 2017 nel forum r/deepfakes, dove un utente con il medesimo nickname distribuisce volti di celebrità sovrapposti a corpi di attori pornografici e Nicolas Cage in spezzoni di film in cui non è mai apparso. È il primo segnale di una tecnologia che, in nove anni, è diventata uno strumento di massa.

Il Garante per la protezione dei dati personali definisce i deepfake "foto, video e audio creati grazie a software di intelligenza artificiale che, partendo da contenuti reali, riescono a modificare o ricreare, in modo estremamente realistico, le caratteristiche e i movimenti di un volto o di un corpo e a imitare fedelmente una determinata voce" (Garante Privacy). Il vocabolario Treccani lo registra dal 2018 come "filmato che presenta immagini corporee e facciali catturate in Internet, rielaborate e adattate a un contesto diverso da quello originario tramite un software di intelligenza artificiale" (Treccani/)).

Il fattore che distingue un deepfake da un fotomontaggio o da una manipolazione video tradizionale è il livello di realismo. Le tecniche pre-IA richiedevano editing manuale frame per frame, lasciavano artefatti visibili e imponevano costi e tempi proibitivi. Un deepfake moderno è generato in modo automatico da un modello statistico che ha imparato come si muovono volti, labbra e occhi reali, e produce in minuti contenuti che fino a cinque anni fa avrebbero richiesto settimane di lavoro a un team di effetti speciali. Il deepfake del 2018 con cui BuzzFeed e il regista Jordan Peele fecero pronunciare frasi mai dette all'ex presidente Barack Obama richiese 56 ore di rendering automatizzato (BuzzFeed News). Oggi un risultato comparabile si ottiene in meno di un'ora con software gratuito, secondo il World Economic Forum (WEF, 2025).

Da qui derivano due conseguenze pratiche. La prima: i deepfake non sono più una curiosità tecnica per nicchie informate. Sono uno strumento di massa, accessibile a chiunque possieda un telefono e una connessione. La seconda: la velocità con cui la tecnologia migliora supera in modo strutturale la velocità con cui i sistemi di rilevamento riescono ad aggiornarsi. È un punto su cui torneremo.

Storia ed evoluzione: dieci tappe in nove anni

Per capire dove siamo serve ricostruire come ci siamo arrivati. La traiettoria del deepfake è una sequenza di soglie di accessibilità: ogni tappa ha abbassato il costo, ridotto i tempi, aumentato il realismo.

2017. La nascita del termine. Su Reddit appare il subreddit r/deepfakes. L'utente omonimo distribuisce script Python che combinano due reti neurali per scambiare il volto di una persona con un'altra. Reddit chiude il forum nel febbraio 2018, ma il codice è già su GitHub e si diffonde in modo virale.

2018. BuzzFeed, Obama e la prova di concetto mediatica. Il 17 aprile 2018 BuzzFeed pubblica un video di 1 minuto e 12 secondi in cui Obama, generato dalla voce di Jordan Peele e dall'editing di Jared Sosa, dice cose imbarazzanti ("Killmonger was right", "stay woke"). È il primo deepfake che entra nel ciclo informativo globale come avvertimento e, paradossalmente, come prova della maturità della tecnica.

2019. L'app Zao e la democratizzazione cinese. Il 30 agosto 2019 esce in Cina l'app Zao, sviluppata da una controllata di Momo. Permette di sostituire il volto di un attore in scene di film famosi con la propria foto. Bastano una sola immagine e otto secondi di processing. Diventa l'app più scaricata su iPhone e Android in Cina nel giro di pochi giorni (CNN). WeChat blocca lo sharing dei video. È il primo segnale di consumer-grade deepfake.

2020. Tom Cruise su TikTok. L'account @deeptomcruise pubblica i primi video deepfake di Tom Cruise creati dal VFX artist belga Chris Ume con il sosia Miles Fisher. I primi tre video accumulano oltre 11 milioni di visualizzazioni. La qualità è tale che molti utenti non riescono a distinguerli. Da quell'esperimento nasce Metaphysic, una delle prime startup commerciali nel settore (La Fortuna).

2022. Il deepfake di Zelensky e la guerra in Ucraina. Nel marzo 2022, due settimane dopo l'invasione russa, un video manipolato in cui Volodymyr Zelensky annuncia la resa viene trasmesso dopo l'hack del sito Ukraine 24 e si diffonde sui social. È il primo deepfake usato intenzionalmente in un conflitto armato (NPR). Zelensky smentisce in poche ore; Meta, YouTube e Twitter rimuovono. Ma il precedente è creato.

2023. Papa Francesco con il piumino e la prima viralità di massa. Il 25 marzo 2023 un operaio edile di Chicago, Pablo Xavier, pubblica su Reddit r/midjourney un'immagine di Papa Francesco con un piumino bianco Balenciaga. Generata con Midjourney v5, rilasciata dieci giorni prima. Diventa il primo caso di disinformazione visiva di massa basata su IA generativa (CBS News). A settembre dello stesso anno, in Slovacchia, un audio deepfake di Michal Šimečka su brogli e compravendita di voti circola due giorni prima delle elezioni durante il "silence period". Šimečka era in testa nei sondaggi; vince Robert Fico (Harvard Kennedy School). È la prima elezione in cui un deepfake è considerato un fattore decisivo.

2024. L'anno delle frodi finanziarie e dello scandalo Taylor Swift. Il 24 gennaio 2024 immagini esplicite generate da IA di Taylor Swift accumulano 45 milioni di visualizzazioni in 17 ore su X prima della rimozione (NBC News). Due giorni prima delle primarie democratiche del New Hampshire, una telefonata robocall con la voce clonata di Joe Biden invita gli elettori a non votare. Il consulente politico Steve Kramer riceverà una multa di sei milioni di dollari dalla FCC (FCC). Lo stesso anno, il caso Arup: 25,6 milioni di dollari sottratti tramite videoconferenza deepfake.

2025. La saturazione e la legislazione. Il governo del Regno Unito stima otto milioni di deepfake condivisi nel solo 2025. Sumsub registra +700% di frodi deepfake nel primo trimestre rispetto allo stesso periodo del 2024. Le perdite globali superano i 900 milioni di dollari. Il Congresso americano approva il TAKE IT DOWN Act, firmato da Donald Trump il 19 maggio 2025, che impone alle piattaforme la rimozione di NCII (immagini intime non consensuali) entro 48 ore (Wikipedia). Il 23 settembre 2025 viene pubblicata in Gazzetta Ufficiale la Legge italiana 132/2025 che introduce nel codice penale l'articolo 612-quater: chi diffonde un deepfake idoneo a indurre in inganno e a causare un danno ingiusto rischia da uno a cinque anni di reclusione (La legge per tutti).

2026. Il primo anno regolato e l'esplosione italiana. Il 2 agosto 2026 entra in vigore l'articolo 50(4) dell'AI Act europeo, che impone agli operatori di sistemi che producono o manipolano deepfake l'obbligo di disclosure. La Polizia Postale italiana chiude l'anno 2025 con 51.560 interventi su reati informatici, 7.590 denunce, oltre 110 milioni di euro di giro d'affari illegale legato a frodi deepfake (Polizia di Stato). A maggio 2026 il caso Meloni mostra che la dimensione politica del fenomeno è ormai stabile, non episodica.

In nove anni il deepfake è passato da esperimento di nicchia a strumento industriale di frode, propaganda e violazione dei diritti. La domanda non è più se la tecnologia diventerà più accessibile, ma cosa ci troviamo di fronte oggi.

Le tecnologie sotto il cofano

I deepfake non sono un'unica tecnologia. Sono una famiglia di tecniche che condividono un principio comune: usare reti neurali profonde per imparare la struttura statistica dei volti, delle voci e dei movimenti umani, e poi generare nuovi contenuti coerenti con quella struttura. Capire le quattro architetture principali serve a comprendere perché la detection è così difficile.

Generative Adversarial Networks (GAN). Le reti antagoniste generative sono l'architettura su cui sono nati i deepfake nel 2017. Sono composte da due reti neurali in competizione: un generatore che produce immagini false e un discriminatore che cerca di distinguerle dalle vere. Le due reti si addestrano l'una contro l'altra: il generatore migliora ogni volta che il discriminatore lo smaschera, fino a quando il discriminatore non è più in grado di distinguere. Quando si arriva a quel punto, il generatore ha imparato a produrre contenuti indistinguibili dal reale. È la stessa logica che descrive il problema strutturale della detection: ogni nuovo detector che pubblichiamo diventa, di fatto, il prossimo discriminatore con cui il generatore si addestrerà.

Autoencoder e face-swap. Un autoencoder è una rete che impara a comprimere un'immagine in una rappresentazione interna ridotta, e poi a decomprimerla. Per fare uno scambio di volto fra due persone si addestrano due autoencoder con encoder condiviso e decoder distinti. L'encoder impara una rappresentazione astratta delle espressioni; ciascun decoder impara a tradurle nel volto specifico di una persona. Al momento della generazione, si codifica il volto di Persona A e si decodifica con il decoder di Persona B: il risultato è il volto di B che fa le espressioni di A. È la tecnica alla base della maggior parte dei face-swap consumer (Reface, FaceMagic, Zao).

Diffusion model. Sono i modelli che hanno reso possibile l'esplosione del 2022-2024. Funzionano apprendendo a invertire un processo di rumorizzazione: si parte da un'immagine reale, le si aggiunge progressivamente rumore casuale fino a ridurla a puro rumore, e si addestra una rete a invertire il processo. Una volta addestrata, la rete sa generare un'immagine coerente partendo da puro rumore guidato da un prompt testuale. È l'architettura di Stable Diffusion, Midjourney, DALL-E 3 e dei video generator come Sora 2 e Runway Gen-3. La differenza rispetto ai GAN è che producono immagini più stabili, controllabili tramite testo e meno soggette a artefatti tipici del face-swap.

Voice cloning e modelli text-to-speech. La sintesi vocale moderna usa modelli neurali che imparano la "voce" di una persona dal suo timbro, dalle inflessioni, dai pattern di pausa. ElevenLabs, considerato lo stato dell'arte commerciale, dichiara di poter generare un clone funzionante con tre secondi di audio campione, anche se per qualità professionale ne servono almeno trenta (ElevenLabs Help). Una volta clonata la voce, il modello può pronunciare qualsiasi testo nella voce della persona target. È la tecnologia alla base delle truffe del finto figlio, del finto CEO e dei robocall politici.

Lip-sync e talking head. Sono modelli specializzati nel sincronizzare il movimento delle labbra con un audio dato. Wav2Lip e i suoi derivati permettono di prendere un video qualsiasi di una persona che parla e farle pronunciare qualsiasi cosa, mantenendo la sincronia labiale realistica. È la tecnica più usata negli scam con video manipolati di personaggi pubblici (giornalisti SkyTG24, governatore Panetta, pubblicità con celebrità false).

A queste si aggiungono tecniche più recenti come i full-body deepfake (HeyGen, Synthesia), che generano avatar interi capaci di gesticolare, e i real-time deepfake che operano durante una videochiamata in diretta, scambiando il volto in streaming. iProov ha registrato un aumento del 2.665% di attacchi tramite "native virtual camera" (camere virtuali che iniettano un deepfake al posto del feed reale) nel proprio Threat Intelligence Report 2025 (iProov).

Questa diversità di tecniche ha una conseguenza importante per chi cerca di difendersi: un detector addestrato su deepfake prodotti da GAN del 2020 non riconosce un deepfake prodotto da diffusion model del 2025. Ogni nuova architettura è, di fatto, un nuovo problema di rilevamento. Lo studio Deepfake-Eval-2024 ha quantificato il fenomeno: i detector open-source allo stato dell'arte hanno registrato cali di AUC del 50% per video, 48% per audio e 45% per immagini quando confrontati con deepfake "in the wild" rispetto ai benchmark precedenti (arXiv 2503.02857).

Le piattaforme che producono deepfake oggi. Il mercato si è polarizzato su tre fasce. Strumenti consumer gratuiti o low-cost (FaceSwap e DeepFaceLab open source, le app Reface, Avatarify, FaceMagic) generano face-swap di base in pochi minuti. Piattaforme commerciali enterprise (HeyGen, Synthesia per "presentatori virtuali" multilingua; ElevenLabs, Resemble.AI, Speechify per voice cloning con campioni audio di pochi secondi; Sora di OpenAI, Veo di Google, Runway Gen-3 per video full-scene) hanno reso accessibile la produzione di contenuti professionali. Un deepfake video di qualità che cinque anni fa richiedeva oltre 30.000 dollari di rendering oggi si genera con 5-50 dollari di credito API in pochi minuti. Esiste inoltre un mercato deepfake-as-a-service nei marketplace dark web con prezzi a partire da 100 dollari per video custom: la barriera economica all'attacco è sostanzialmente azzerata.

Lo stato dell'arte nel 2026: qualità alta, costi crollati, accesso universale

Nel 2026 produrre un deepfake convincente non richiede più competenze tecniche. Richiede una connessione internet, un account su una delle decine di servizi disponibili e, per i casi più sofisticati, qualche decina di euro al mese. Il paesaggio è composto da quattro fasce di accessibilità.

Nella fascia consumer ci sono app gratuite o quasi: Reface, FaceMagic, FaceApp, MyHeritage Deep Nostalgia. Permettono face-swap di base, animazione di foto statiche, invecchiamento simulato. Sono i deepfake che animano i social, in genere riconoscibili a occhio addestrato.

Nella fascia "creator" si trovano servizi commerciali pensati per produrre video aziendali, formazione, pubblicità: Synthesia parte da 18 dollari al mese per 120 minuti di video l'anno; HeyGen offre tre video al mese gratuitamente e piani da 24-29 dollari per uso intensivo. La qualità è sufficiente per video corporate; il rendering richiede dai due ai quindici minuti per video. Aziende come Unilever hanno dichiarato di aver ridotto del 70% i tempi di produzione dei video di formazione interna passando da settimane a ore (HeyGen pricing).

Nella fascia "advanced" ci sono i modelli text-to-video di ultima generazione. OpenAI Sora 2 è disponibile via API a 0,10 dollari al secondo per video a 720p; Sora 2 Pro a 0,30 dollari al secondo a 720p e 0,50 dollari al secondo a 1024p. Un video di dieci secondi costa fra uno e cinque dollari. Su ChatGPT Plus, l'accesso a Sora è incluso nei venti dollari al mese di abbonamento (OpenAI Sora). Sul fronte voice, ElevenLabs offre clonazione vocale instant a partire da abbonamenti consumer; per voice clone professionale i prezzi salgono ma restano accessibili a chiunque abbia uno scopo, lecito o illecito.

C'è poi una quarta fascia, quella del dark web. Un kit di identità sintetica costa cinque dollari. Un abbonamento mensile a un "dark LLM" (modello linguistico privo di filtri di sicurezza) trenta. Un deepfake video in tempo reale parte da cinquanta dollari. Una clonazione vocale entry-level dieci dollari al mese. I canali Telegram che offrono deepfake-as-a-service sono almeno quattrocento e contano oltre 24.000 utenti attivi che vendono strumenti di attacco, secondo iProov (CyberSecureFox, Group-IB).

Tre conseguenze pratiche di questa accessibilità.

Primo: il time-to-attack è crollato. Nel 2018 il deepfake Obama richiedeva 56 ore di rendering. Nel 2026 il World Economic Forum stima che un video deepfake convincente sia producibile in 45 minuti con software gratuito. La voce clonata richiede tra venti e trenta secondi di audio campione, ottenibili da una qualsiasi intervista pubblicata su YouTube (WEF, 2025).

Secondo: il volume cresce esponenzialmente. Otto milioni di deepfake nel 2025 secondo il governo britannico, 16x rispetto al 2023. La crescita media annuale del numero di deepfake video circolanti è stimata al 900% (Springer). I detector, anche quando funzionano, non scalano alla stessa velocità.

Terzo: il fronte di attacco è asimmetrico. Per produrre un deepfake servono ore. Per addestrare un detector che lo riconosca servono mesi. La distanza temporale fra le due capacità si è ampliata, non chiusa.

Tipologie di deepfake: cosa esiste, cosa colpisce

Esistono almeno sette tipologie distinte di contenuti deepfake, ognuna con un proprio profilo di rischio.

Face-swap statico e dinamico. Lo scambio di volto, la tecnica originaria. Statico quando applicato a una foto, dinamico quando applicato a un video. È la tipologia più diffusa nelle frodi NCII e nei social.

Face-reenactment. Una persona reale viene "animata" assumendo le espressioni e i movimenti di un'altra. Si vede nei video politici e nelle pubblicità con celebrità.

Lip-sync. Si modifica il movimento delle labbra per far pronunciare a una persona reale parole mai dette. È la tecnica usata negli scam con giornalisti SkyTG24 e con il governatore Panetta.

Voice cloning. Sintesi vocale che riproduce timbro, accento, inflessione di una persona specifica. Alimenta truffe del finto familiare, finto CEO, robocall politici.

Full-body e talking head. Avatar generati che gesticolano, camminano, parlano. Synthesia, HeyGen, Sora 2 producono questo tipo di contenuti.

Document deepfake. Documenti di identità, contratti, cedolini, fatture generati o alterati con IA. Sumsub ha registrato un aumento del 1.100% delle frodi documentali deepfake e del 300% delle identità sintetiche negli Stati Uniti (Sumsub).

Real-time deepfake. Manipolazione in diretta durante una videochiamata. Tecnicamente la più difficile, ma in espansione: iProov ha registrato +2.665% di attacchi via native virtual camera nel 2025.

A ciascuna tipologia corrispondono attacchi diversi, vittime diverse e contromisure diverse. La detection generica non funziona perché un detector addestrato su face-swap non riconosce un voice clone, e un detector addestrato su voice clone non riconosce un document deepfake. Le piattaforme che offrono "detection multi-engine" stanno tentando di compensare addestrando ensembles specializzati, ognuno per una tipologia. È una strada utile come livello di verifica complementare. Non è una difesa principale.

Dieci esempi storici di deepfake che hanno fatto epoca

1. Channel 4 / Regina Elisabetta II (Natale 2020): discorso natalizio fake della Regina che balla TikTok, prodotto come programma educational dall'emittente britannica per sensibilizzare il pubblico. 2. Jordan Peele / Barack Obama (2018): PSA di sensibilizzazione, Obama insulta Trump in modo plausibile. Primo deepfake che entra nel ciclo informativo globale. 3. Mark Zuckerberg deepfake (2019): video ironico in cui il CEO di Meta si vanta di controllare i dati di miliardi di persone. 4. Synthesizing Obama (Univ. Washington 2017): primo deepfake accademico full-video sincronizzato all'audio. 5. Tom Cruise TikTok @deeptomcruise (2021): indistinguibile dall'originale, milioni di follower, base della startup Metaphysic. 6. Slovacchia, audio di Michal Šimečka (settembre 2023): deepfake audio rilasciato 48 ore prima delle elezioni durante il "silence period", presunta vendita di voti, vince Robert Fico. 7. Robocall Joe Biden (gennaio 2024): voce clonata che invitava a non votare alle primarie del New Hampshire. Multa FCC sei milioni di dollari. 8. Arup CFO Hong Kong (febbraio 2024): 25,6 milioni di dollari bonificati dopo videoconferenza con CFO deepfake e team interi. 9. Caso Crosetto Italia (gennaio 2025): voce del Ministro della Difesa clonata per truffe a Moratti, Armani, Tronchetti Provera, Della Valle e Beretta. 10. Caso Meloni Italia (5 maggio 2026): foto deepfake della Premier diffusa sui social, denuncia ufficiale, dibattito europeo su nuove tutele.

Ambiti d'uso: legittimi e illeciti

Il deepfake non è di per sé una tecnologia malevola. Ha applicazioni legittime importanti che vale la pena distinguere prima di affrontare il lato oscuro.

Sul fronte legittimo, gli usi industriali coprono il cinema (de-aging di attori, ricostruzione di scene con personaggi non più disponibili), la formazione aziendale (avatar che parlano in 30 lingue per ridurre i costi di produzione di video corporate), l'educazione (ricostruzione di figure storiche per scopi didattici), l'accessibilità (sintesi vocale personalizzata per persone che hanno perso la voce), la satira politica e l'arte concettuale. Synthesia dichiara di servire 200.000 aziende clienti, fra cui metà delle Fortune 100. È un mercato lecito che vale miliardi e che continuerà a crescere.

Sul fronte illegittimo, gli usi si concentrano in sette ambiti:

1. Frodi finanziarie. Truffe del CEO, manipolazioni di KYC, scam di investimento. 2. Furto di identità. Bypass di sistemi di verifica biometrica per aprire conti, ottenere prestiti, falsificare documenti. 3. Pornografia non consensuale. Sensity AI ha rilevato che il 96% dei deepfake online sono pornografia non consensuale, in stragrande maggioranza con vittime donne (Sensity). 4. Disinformazione politica. Influenza sulle elezioni, manipolazione dell'opinione pubblica, propaganda di guerra. 5. Diffamazione e reputational damage. Video falsi che attribuiscono dichiarazioni o comportamenti compromettenti a politici, giornalisti, dirigenti. 6. Falsificazione di prove giudiziarie. Video, registrazioni audio, foto presentate in giudizio come elementi di prova quando sono prodotti sintetici. 7. Estorsione. Minaccia di pubblicazione di deepfake compromettenti per ottenere denaro o favori.

Ognuno di questi ambiti merita un'analisi a parte. Lo facciamo nella sezione successiva, con casi reali e numeri puntuali.

Le frodi reali: sette categorie, casi documentati, perdite quantificate

Nel 2025 le perdite globali da frodi deepfake hanno superato i 900 milioni di dollari, secondo l'aggregazione di fonti riportate dal World Economic Forum e da DeepStrike Research (WEF, DeepStrike). Deloitte stima che le frodi GenAI raggiungeranno i 40 miliardi di dollari entro il 2027 negli Stati Uniti, con un tasso di crescita composto del 32% annuo (Deloitte Center for Financial Services). Vediamo come si distribuiscono.

CEO fraud e Business Email Compromise

È la categoria che ha portato i deepfake nei consigli di amministrazione. Il caso Arup è il riferimento. Gennaio 2024, ufficio di Hong Kong dello studio di ingegneria britannico. Un dipendente del reparto finance riceve un'email dal direttore finanziario del Regno Unito che chiede una "transazione segreta". Sospettoso, accetta una videoconferenza per chiarire. In call vede e sente il CFO e diversi colleghi. Sono tutti deepfake, generati da meeting reali precedenti. L'identità del CFO è familiare, le facce dei colleghi sono familiari, le voci sono familiari. Il dipendente esegue 15 bonifici per un totale di 25,6 milioni di dollari (200 milioni di dollari di Hong Kong) verso cinque conti differenti. La frode emerge solo quando, settimane dopo, il dipendente verifica con la sede di Londra (CNN, WEF).

Sei mesi dopo Arup, in luglio 2024, Ferrari subisce un tentativo simile. Un dirigente riceve messaggi WhatsApp e poi una telefonata da una voce indistinguibile da quella del CEO Benedetto Vigna, che descrive un'operazione "China-related" con copertura valutaria urgente. Il dirigente è insospettito da due dettagli: il numero di chiamata sconosciuto e l'accento meridionale della voce, troppo marcato. Chiede a "Vigna" il titolo di un libro che il vero CEO gli aveva raccomandato giorni prima. Il truffatore riaggancia. Ferrari evita la perdita (La Fortuna, MIT Sloan Review).

Il pattern è strutturale: contatto urgente da un'autorità interna, pressione temporale, canale verbale o video, richiesta di azione finanziaria irreversibile. L'FBI nel suo rapporto IC3 2024 registra 21.442 denunce di Business Email Compromise per 2,77 miliardi di dollari di perdite, in 50 stati USA e 186 paesi. Il dato cumulato a tre anni supera gli 8,5 miliardi (FBI IC3 2024 Report).

In Italia il caso più documentato è quello del falso Crosetto. La voce clonata del Ministro della Difesa Guido Crosetto è stata usata per chiedere bonifici a imprenditori di alto profilo, con il pretesto del riscatto per giornalisti italiani sequestrati all'estero che sarebbe stato poi rimborsato dalla Banca d'Italia. Fra le vittime contattate: Massimo Moratti, Giorgio Armani, Marco Tronchetti Provera, Diego Della Valle, Patrizio Bertelli, le famiglie Caltagirone, Del Vecchio, Beretta. Almeno un imprenditore ha effettivamente eseguito il bonifico, di circa un milione di euro su un conto estero (Cybersecurity360).

Bypass di KYC e identity verification

I sistemi di verifica dell'identità a distanza, gli stessi che banche, fintech, exchange di criptovalute e operatori telefonici usano per onboardare nuovi clienti, sono diventati il bersaglio principale della seconda categoria di frodi. Il pattern è semplice: lo scammer usa un deepfake video o un documento sintetico per superare i controlli di liveness e di document verification.

I numeri sono impressionanti. Onfido, ora parte di Entrust, registra in un solo anno una crescita di 31x dei tentativi di frode con deepfake, un attacco ogni cinque minuti, e segnala che oltre l'80% degli attacchi al liveness check biometrico nel 2024 sono "video di video": video deepfake riprodotti su uno schermo davanti alla telecamera (Onfido). Nel 2024 il document fraud digitale supera per la prima volta quello fisico (57% vs 43%), invertendo un trend storico (Entrust Fraud Report).

iProov nel 2025 documenta +2.665% di attacchi tramite native virtual camera, +300% di face swap attacks rispetto al 2023, e una rete crime-as-a-service con circa 24.000 utenti attivi che vendono strumenti di attacco. Da soli tre tool comuni si ottengono oltre 115.000 combinazioni di attacco distinte (iProov Threat Intelligence Report 2025).

Per chi opera in banking, fintech, gaming online, telco, è la frode con il rapporto costo/danno più asimmetrico: cinque dollari per il kit di attacco, decine di migliaia di euro di perdite per ogni KYC compromesso. Un pillar parallelo della nostra ricerca tratta questo specifico vettore in profondità: Deepfake video e bypass biometrico KYC: come difendere l'onboarding bancario nel 2026.

Investment scam con celebrità e autorità finanziarie

La categoria che ha colpito di più la cronaca italiana del 2025-2026 è quella degli scam di investimento con figure pubbliche. Il modello è ricorrente: un video deepfake di un giornalista, un imprenditore noto, un'autorità finanziaria promuove sui social una piattaforma di trading o di criptovalute presunta innovativa, con cui "moltiplicare il capitale". L'utente clicca, arriva su un sito che mima un broker reale, deposita una somma modesta, vede falsi guadagni nei primi giorni, deposita di più, e poi scopre che il sito è scomparso.

Il caso SkyTG24 è il più documentato. Nel novembre 2024 i giornalisti Mariangela Pira e Lorenzo Borga hanno scoperto la propria voce e il proprio volto in video deepfake che promuovevano una piattaforma di investimenti fittizia "creata" da Fabio Panetta, governatore di Banca d'Italia, e Massimo Moratti (SkyTG24, novembre 2024). La Polizia Postale ha oscurato circa 500 siti collegati a queste truffe nei primi mesi del 2024.

Banca d'Italia ha pubblicato un avviso ufficiale il 26 febbraio 2026 per allertare il pubblico sulla circolazione di video deepfake del Governatore Panetta in finte interviste televisive utilizzati come esca per piattaforme fraudolente (Banca d'Italia). Bankitalia ha sporto formale denuncia all'autorità giudiziaria.

Nel marzo 2025 SkyTG24 ha riportato un'indagine su una truffa deepfake che ha sottratto 33 milioni di euro a pensionati e imprenditori italiani (SkyTG24, marzo 2025). Un singolo episodio dell'ecosistema più ampio mappato dalla Polizia Postale nel suo bilancio annuale.

Pornografia non consensuale

È la categoria con il volume più alto e la dimensione etica più grave. Sensity AI ha rilevato che il 96% dei deepfake online sono pornografia non consensuale, con oltre 100.000 video circolanti, in larga maggioranza con vittime donne (Sensity reports).

Il caso Phica.eu, in Italia, ha mostrato come questa categoria si intersechi con la dimensione politica e mediatica. Il forum, attivo dal 2005 al 2025, contava circa 800.000 utenti registrati, dieci milioni di messaggi, e ospitava sia foto rubate sia immagini deepfake generate dall'IA con corpi manipolati. Fra le vittime figurano Giorgia Meloni, Elly Schlein, Mara Carfagna, Maria Elena Boschi. Il forum è stato chiuso nell'agosto 2025 dopo le denunce di MEP Alessandra Moretti, Alessia Morani, Valeria Campagna (Il Fatto Quotidiano, agosto 2025).

Sul fronte celebrità globali, il caso Taylor Swift di gennaio 2024 ha avuto un effetto catalizzatore. Le immagini esplicite generate da IA della cantante hanno accumulato 45 milioni di visualizzazioni in 17 ore su X prima della rimozione e del blocco temporaneo delle ricerche con il suo nome sulla piattaforma (NBC News, TechCrunch). Da quel momento la pressione politica ha portato all'approvazione del TAKE IT DOWN Act statunitense.

Il Garante per la protezione dei dati personali italiano, il 1° ottobre 2025, ha emesso un provvedimento d'urgenza contro l'app Clothoff (deep nude), imponendo limitazioni provvisorie al trattamento dei dati di utenti italiani. Il 18 dicembre 2025 ha pubblicato un warning rivolto a tutti i provider di servizi di IA generativa capaci di trattare immagini e voci di persone reali (Garante Privacy, dicembre 2025).

Voice cloning per truffe familiari

La categoria meno appariscente ma forse la più diffusa per numero di vittime non riportate. Il modello è quello del finto figlio o del finto nipote in difficoltà.

Un caso documentato: Luco dei Marsi, in provincia dell'Aquila. Una donna di 79 anni riceve una telefonata. La voce è quella del figlio. "Mamma, sono nei guai, stanno per arrestarmi. Tra poco passa un'amica a casa, devi darle dei soldi o finisco dentro". Pochi minuti dopo arriva una donna che si presenta come avvocato e ritira ventimila euro in oro. La voce era stata clonata da una breve registrazione audio del figlio, probabilmente catturata da un suo profilo social (Il Centro).

Pindrop, specializzata nella sicurezza vocale, ha registrato un aumento del 1.300% dei tentativi di frode deepfake nel 2024, passando da uno al mese a sette al giorno per la singola azienda monitorata. Il 67,5% dei consumatori statunitensi dichiara di essere "ansioso" rispetto a deepfake e voice clone in operazioni bancarie (Pindrop Voice Intelligence Report 2025).

Clonare la voce con l'IA: come funziona la tecnologia. ElevenLabs, considerata lo stato dell'arte commerciale, dichiara di poter generare un voice clone funzionante con tre secondi di audio campione, anche se per qualità professionale ne servono almeno trenta. Resemble.AI e Speechify offrono prestazioni simili. Una volta clonata la voce, il modello può pronunciare qualsiasi testo nella voce della persona target, riproducendo timbro, inflessione, cadenza, persino respirazione. I criminali raccolgono i campioni audio in quattro modi: (a) chiamate "mute" in cui la vittima dice "pronto?" e poi riaggancia, (b) interviste pubbliche su YouTube o podcast, (c) note vocali esfiltrate da WhatsApp tramite phishing, (d) contenuti pubblicati sui social. Il pattern di attacco classico combina: chiamata da numero familiare (spoofato), voce identica, contesto di emergenza ("incidente", "arresto", "bonifico urgente"), pressione temporale, complice fisico che si presenta come avvocato o poliziotto.

I casi italiani 2024-2026 confermano l'evoluzione. Oltre al caso di Luco dei Marsi, nel gennaio 2025 la voce del Ministro della Difesa Guido Crosetto è stata clonata e usata per truffare imprenditori del calibro di Massimo Moratti, Giorgio Armani, Marco Tronchetti Provera, Diego Della Valle, Patrizio Bertelli e le famiglie Caltagirone, Del Vecchio, Beretta. Almeno un imprenditore ha effettivamente bonificato circa un milione di euro su un conto estero. Il pretesto era un riscatto per giornalisti italiani sequestrati all'estero, "rimborsato successivamente da Banca d'Italia" (Cybersecurity360).

La risposta tradizionale a questa categoria di frodi è il "codice di famiglia": una parola condivisa fra membri stretti della famiglia da usare in caso di chiamate sospette. È una difesa utile ma compensativa, non strutturale. La difesa scalabile, per le organizzazioni, è la certificazione delle videochiamate sensibili (autorizzazioni di pagamento, decisioni del board, comunicazioni HR) tramite strumenti che acquisiscano e sigillino il flusso audio-video al momento della cattura, rendendo qualsiasi manipolazione successiva immediatamente rilevabile.

Disinformazione politica

Il deepfake politico ha avuto la sua prima manifestazione su scala in Slovacchia nel settembre 2023, due giorni prima delle elezioni: un audio deepfake di Michal Šimečka su brogli e compravendita di voti rom è circolato su Telegram durante il "silence period". Šimečka era in testa nei sondaggi; vince Robert Fico. È la prima elezione in cui un deepfake è considerato un fattore strutturale (Harvard Kennedy School).

Negli Stati Uniti, due giorni prima delle primarie democratiche del New Hampshire del gennaio 2024, una telefonata robocall con la voce clonata di Joe Biden invita gli elettori a non votare. Il consulente politico Steve Kramer riceve una multa FCC di sei milioni di dollari nel settembre 2024, e ventisei capi d'imputazione penali per intimidazione elettorale e impersonificazione di pubblici ufficiali (NPR).

In India, durante le elezioni 2024, il budget speso in contenuti AI-generated è stimato in 50 milioni di dollari, con voice clone di Modi usati anche per canzoni Bollywood e Punjabi a scopo elettorale (Al Jazeera).

Il World Economic Forum nel Global Risks Report 2025 indica misinformation/disinformation come il rischio globale numero uno per i prossimi due anni, con esplicito riferimento ai deepfake AI-generated (WEF Davos 2025).

In TrueScreen abbiamo trattato in profondità il rischio elettorale in Deepfake nelle elezioni 2026: perché servono prove certificate, non solo fact-checking.

Falsificazione di prove giudiziarie

È la frontiera più recente e potenzialmente più destabilizzante. Un deepfake video o audio presentato in un processo come elemento di prova introduce un problema epistemico nuovo: come si stabilisce l'autenticità di una prova digitale quando produrre un contenuto sintetico realistico costa cinque dollari?

Il fenomeno ha generato il concetto di "liar's dividend" (Chesney e Citron, 2019): in un mondo in cui qualsiasi contenuto può essere un deepfake, chi vuole negare l'autenticità di un contenuto reale ha sempre la copertura di poterne contestare la genesi. Avvocati, imputati e parti in causa possono sostenere che un video reale "è probabilmente un deepfake" senza dover dimostrare nulla.

Il problema si estende dal penale al civile: contratti firmati in videoconferenza, audio di conversazioni commerciali, registrazioni di colloqui di lavoro, dichiarazioni di assicurati. La tematica è approfondita in Deepfake e processo penale: la crisi della prova digitale e in Frodi assicurative generate dall'AI: perché la certificazione delle prove è l'unica difesa scalabile.

Deepfake su WhatsApp e canali di messaggistica

Un fenomeno emergente nel 2025-2026 è la diffusione di deepfake attraverso applicazioni di messaggistica istantanea, con WhatsApp come canale principale. Lo schema combina due elementi: una voce clonata da un campione audio breve (anche di pochi secondi, sufficienti per ElevenLabs) e un numero di telefono spoofato che simula quello di un familiare, di un dirigente aziendale o di un'autorità. Il messaggio vocale o il videomessaggio breve sfrutta l'urgenza percepita per ottenere un bonifico, una password, un codice di autenticazione. La Polizia Postale italiana, nel bollettino di gennaio 2026, segnala che la categoria "truffe vocali via messaggistica" è cresciuta più rapidamente di qualsiasi altro vettore di frode online (Polizia di Stato). La difesa principale è una regola operativa: nessuna richiesta di azione finanziaria irreversibile può essere autorizzata via messaggistica senza verifica out-of-band sul canale primario noto (telefono diretto, email aziendale, presenza fisica).

§7-bis. Come riconoscere un deepfake: segnali visivi, audio e contestuali

I deepfake del 2026 sono molto difficili da riconoscere a occhio nudo, ma alcuni indicatori restano utili come prima linea di difesa.

Segnali visivi. Movimenti oculari rigidi o assenza di battito di ciglia (nelle versioni meno raffinate); illuminazione incoerente sul volto rispetto allo sfondo; contorni del viso sfocati nei movimenti rapidi; denti uniformi senza dettaglio individuale; riflessi negli occhi non coerenti tra i due bulbi; capelli che sembrano "incollati" sul perimetro del cranio; ombre che non si allineano con la fonte di luce dichiarata della scena.

Segnali audio. Respirazione assente o innaturale tra le frasi; intonazione monotona o pattern prosodici troppo regolari; mancanza di rumori ambientali coerenti con la scena (eco, riverbero, traffico); micro-pause innaturali; sibilanti o consonanti dure pronunciate in modo metallico; assenza di colpi di tosse, esitazioni, riformulazioni che caratterizzano il parlato umano spontaneo.

Segnali contestuali. Il messaggio chiede azioni urgenti (bonifico, password, codici di autenticazione, accesso a sistemi); arriva da un canale non standard (WhatsApp invece dell'email aziendale, numero telefonico sconosciuto invece di quello noto); pressione temporale anomala ("entro 30 minuti", "prima della chiusura del mercato"); il mittente non risponde a domande di verifica fuori dal copione (titolo di un libro condiviso, dettaglio personale verificabile).

Limite chiave. Nei deepfake del 2025-2026 prodotti con HeyGen, Synthesia, ElevenLabs, Sora questi segnali sono quasi tutti scomparsi. Studi accademici recenti, fra cui la meta-analisi di 56 paper pubblicata su ScienceDirect nel 2024, confermano che la detection a occhio nudo ha accuratezza media del 55,5%, statisticamente non distinguibile dal lancio della monetina. Per questo motivo la verifica umana, da sola, non è una difesa scalabile: serve combinarla con verifica out-of-band sul canale primario, procedure di doppia firma per le decisioni finanziarie, e nei contesti che richiedono prova legale, certificazione di autenticità del contenuto al momento della cattura.

Detection vs Provenance vs Forensic certification: tre approcci a confronto

I tre approcci non sono alternativi ma complementari, organizzati in livelli che corrispondono a esigenze diverse di affidabilità e di valore probatorio. La detection da sola, come abbiamo visto, è la fascia più debole. La provenienza C2PA è utile come standard di settore ma copre solo i contenuti la cui filiera ha aderito al protocollo. La certificazione forense alla fonte è la fascia più solida e l'unica con valore probatorio diretto in giudizio.

Perché la deepfake detection, da sola, è una guerra persa

Davanti a questo scenario la risposta intuitiva è una sola: costruire sistemi che riconoscano se un contenuto è autentico o sintetico. È la strada della deepfake detection. Ed è una strada percorsa da centinaia di startup, da grandi aziende come Microsoft, Intel, Google, da agenzie governative come la DARPA con il programma SemaFor. Il problema è che sta perdendo. Non occasionalmente: in modo strutturale.

I dati lo dicono in modo chiaro.

In laboratorio i detector funzionano. Nel mondo reale crollano. Sistemi multimodali allo stato dell'arte raggiungono accuratezze del 94-96% in condizioni controllate. Ma quando incontrano deepfake prodotti con strumenti su cui non sono stati addestrati, la performance scende sotto il 50%, statisticamente equivalente al lancio della monetina (Sciencedirect, 2025). Il benchmark Deepfake-Eval-2024, costruito su deepfake "in the wild", documenta un calo dell'AUC del 50% per i video, del 48% per l'audio, del 45% per le immagini rispetto ai benchmark precedenti (arXiv 2503.02857).

Gli umani non possono compensare. Una meta-analisi di 56 paper accademici condotta nel 2024 ha quantificato l'accuratezza media degli umani nel riconoscere un deepfake in 55,5%, con intervallo di confidenza al 95% che attraversa il 50% (ScienceDirect). Non significativamente meglio del caso. Il MIT Media Lab in uno studio su 2.215 partecipanti ha mostrato che i deepfake con audio generato da text-to-speech allo stato dell'arte sono già più difficili da distinguere rispetto ad audio prodotto da un attore voice (MIT).

L'arms race è strutturalmente asimmetrica. Ogni nuovo detector pubblicato diventa un nuovo discriminatore con cui i generatori si addestrano. È la natura della tecnologia GAN, esposta nella sezione tecnica. Lo studio "Adversarial Attacks on Deepfake Detectors" pubblicato nel 2024 mostra come attacchi lightweight, basati su semplici filtri 2D convoluzionali (2D-Malafide), siano sufficienti a bypassare i sistemi di detection facciale dello stato dell'arte (arXiv 2408.14143). Le difese tramite adversarial training raggiungono il 94,1% di accuratezza, quelle tramite randomized smoothing il 92,8%, ma solo contro gli attacchi noti al momento del training.

La velocità di rinnovo dei modelli generativi supera la velocità di aggiornamento dei detector. Stable Diffusion ha rilasciato cinque versioni maggiori in 24 mesi. Sora è passato dalla v1 alla v2 in nove mesi. Ogni release introduce nuovi artefatti, nuove dinamiche, nuove signature statistiche. I detector si addestrano in mesi. Quando arrivano in produzione, l'avversario è già una versione avanti.

Il problema dei "fingerprint" rimovibili. Una delle linee di ricerca più promettenti negli anni recenti era quella delle "AI fingerprint": tracce statistiche specifiche che ogni modello generativo lascerebbe nei contenuti prodotti. Permettere ai detector di identificare il modello specifico che ha generato un'immagine. Uno studio dell'Università di Edimburgo del 2025 ha però dimostrato che queste impronte possono essere rimosse con tecniche di adversarial post-processing e, peggio, possono essere "trapiantate" su contenuti autentici per farli classificare come sintetici (articolo TrueScreen). È un problema fondamentale: il fingerprint che è la difesa è anche, simmetricamente, la prossima vulnerabilità.

Detection multi-engine aiuta ma non risolve. Le piattaforme che oggi offrono detection commerciale tendono a usare ensemble di modelli specializzati: uno addestrato su face-swap, uno su lip-sync, uno su voice clone, uno su document deepfake, uno su artefatti di compressione. Ogni motore copre una tipologia. L'aggregazione dei risultati riduce i falsi negativi, ma non chiude il problema strutturale: un deepfake prodotto con una tecnologia futura, non rappresentata nei training set, sfugge a tutti i motori contemporaneamente.

Il World Economic Forum nel suo report sulla detection del 2025 lo formula in modo netto: "la corsa fra creazione e rilevamento di deepfake favorisce sistematicamente gli attaccanti" (WEF, 2025). Non è una vittoria temporanea. È una proprietà del problema.

Il liar's dividend: quando "è un deepfake" diventa l'alibi perfetto

Coniato dai giuristi americani Robert Chesney e Danielle Citron nel paper "Deep Fakes: A Looming Challenge for Privacy, Democracy, and National Security" (Boston University 2019), il liar's dividend descrive un effetto collaterale paradossale dell'epoca dei deepfake: man mano che il pubblico diventa consapevole che qualunque video può essere falsificato, anche un video autentico può essere screditato come "probabile deepfake". Politici, criminali, dirigenti possono negare contenuti reali appellandosi al dubbio sistemico, senza dover dimostrare nulla. Casi documentati includono il Gabon nel 2018, in cui un video reale del Presidente Ali Bongo fu accusato di essere un deepfake durante una crisi di salute, e diverse difese di imputati per i fatti del 6 gennaio 2021 a Washington in cui audio reali sono stati contestati come "AI generated". Il liar's dividend è la prova definitiva che la detection ex-post è insufficiente: solo una certificazione di autenticità alla fonte, immutabile e verificabile da terzi, neutralizza simultaneamente il deepfake e il dubbio sistemico che esso genera.

C'è un modo per uscirne. Non consiste nel migliorare la detection. Consiste nel cambiare il punto della catena in cui si introduce la garanzia di autenticità.

L'inversione del problema: certificare l'autenticità alla fonte

La logica è la stessa che si applica ai documenti cartacei. Per un atto notarile non si controlla a posteriori "se sembra autentico". Si certifica nel momento in cui viene firmato, davanti a un pubblico ufficiale, su carta filigranata, con timbro a secco. La firma autenticata vale perché è prodotta in un contesto di garanzia, non perché un perito grafologo conferma in seguito che "potrebbe essere autentica".

Per i contenuti digitali la stessa logica si traduce in un principio: invece di chiedere se un dato è falso, garantire che il dato nasca autentico per costruzione. È quello che si chiama, in inglese, "authenticity-by-design" o "data provenance at source". Tecnicamente, significa che il dato è certificato nel momento esatto in cui viene catturato dal sensore (la fotocamera, il microfono), all'interno di un dispositivo di cui è stata verificata l'integrità, con una metodologia forense che produce una catena di prove inalterabile e opponibile in giudizio.

Questo approccio ha tre proprietà che la detection non può avere.

Indipendenza dalla tecnologia di attacco. Se il dato è certificato all'origine, non importa quale tecnologia generativa esista nel futuro. Un contenuto certificato con metodologia forense è autenticato per quello che è, non per quello che sembra. Un contenuto non certificato è, semplicemente, non certificato: non si presume autentico. Si esce dall'arms race per costruzione.

Valore legale opponibile. La certificazione produce metadati firmati crittograficamente, hash dei contenuti registrati su infrastrutture immutabili, timestamp con valore legale. È materiale presentabile in giudizio come prova ai sensi degli articoli 2702-2712 del codice civile e dell'art. 20 CAD per le firme elettroniche e i timestamp qualificati, nei limiti rispettivi della loro applicabilità. Un report di detection probabilistico, per quanto sofisticato, non ha lo stesso peso processuale.

Verificabilità da parte di terzi. La certificazione produce artefatti pubblicamente verificabili da chiunque, in qualsiasi momento. Non richiede di "credere" al sistema che ha prodotto la garanzia: la prova si verifica matematicamente. È una proprietà che la detection, inevitabilmente probabilistica e basata su modelli proprietari, non può offrire.

Come opera TrueScreen

TrueScreen è una Data Authenticity Platform: un sistema che applica questo principio a foto, video, audio, screenshot, documenti, navigazioni web, comunicazioni a distanza. Non è una piattaforma di deepfake detection. È una piattaforma che certifica l'autenticità del dato nel momento esatto in cui viene catturato, con metodologia forense.

L'architettura ha due livelli, ed è importante distinguerli per capire il posizionamento.

Livello primario: certificazione alla fonte con metodologia forense. È il cuore del sistema. Quando un utente cattura un contenuto attraverso uno dei prodotti TrueScreen (l'app mobile, il Forensic Browser per i contenuti web, l'estensione Chrome, il Web Portal per attività professionali), il contenuto è acquisito da un dispositivo di cui viene verificata l'integrità, hashato in tempo reale, sigillato con timestamp opponibile. Il sigillo è prodotto da Qualified Trust Service Provider qualificati terzi, integrati via API, che operano sotto regolamento eIDAS. Il contenuto, da quel momento, è immutabile alla fonte: qualsiasi alterazione successiva renderebbe la verifica del sigillo invalida.

Livello secondario: detection multi-engine come ulteriore garanzia. A questo nucleo TrueScreen affianca cinque motori indipendenti di deepfake detection. Operano come verifica complementare sul contenuto certificato e su contenuti acquisiti esternamente, integrandosi con il flusso forense. Sono un rinforzo, non il pilastro: se un contenuto è certificato all'origine in un dispositivo verificato, la detection è ridondante rispetto alla garanzia primaria. Diventa rilevante per contenuti che non sono stati prodotti tramite la piattaforma e devono essere valutati ex-post.

La differenza con le piattaforme che si affidano esclusivamente alla detection è strutturale. Quelle piattaforme corrono dentro l'arms race AI vs AI: ogni avanzamento dei modelli generativi le costringe a inseguire. TrueScreen evita la corsa partendo da un dato che è autentico per costruzione. Quando la detection è disponibile come secondo livello, è un valore aggiunto. Quando non basta, il primo livello regge da solo.

Per un'analisi tecnica più approfondita dei limiti della sola detection, abbiamo dedicato un articolo dedicato: Deepfake detection: perché fallisce su larga scala e cosa fanno le piattaforme di autenticità del dato. La piattaforma si rivolge a chi ha bisogno di prove con valore legale: forze dell'ordine, professionisti del legal, banche e fintech, assicurazioni, redazioni giornalistiche, dipartimenti HR, autorità pubbliche.

Verticali e casi d'uso: dove la certificazione alla fonte cambia il gioco

Il principio dell'authenticity-by-design ha implicazioni operative diverse a seconda del settore. Vale la pena vedere come si traduce nei verticali più esposti al rischio deepfake.

Banking, fintech e KYC. L'onboarding a distanza è il fronte più caldo. Gli istituti finanziari devono dimostrare due cose: che il cliente sia la persona reale che dichiara di essere e che i documenti che presenta siano autentici. Con detection generica, ogni nuovo modello generativo introduce un rischio di compromissione. Con certificazione alla fonte, il selfie e la scansione del documento sono catturati da una sessione verificata che produce metadati firmati. Il falso positivo diventa un falso negativo strutturale: un attaccante non può "falsificare la sessione di cattura" con un deepfake. Il dettaglio è in Deepfake video e bypass biometrico KYC: come difendere l'onboarding bancario nel 2026.

Legal, forense e processo. Avvocati, periti, forze dell'ordine, magistrati lavorano con prove digitali la cui autenticità deve reggere in giudizio. Una conversazione registrata con il cellulare, uno screenshot di una chat, una foto del luogo del fatto: tutti elementi che, oggi, possono essere prodotti sinteticamente con costi triviali. La certificazione forense alla fonte produce documentazione opponibile, con catena di custodia ricostruibile e hash verificabili. È il caso d'uso storico di TrueScreen, dettagliato in Deepfake e processo penale: la crisi della prova digitale.

Assicurazioni. Le frodi assicurative basate su immagini o video manipolati di sinistri (auto, casa, infortuni) hanno aperto una nuova categoria di rischio per le compagnie. La perizia "da remoto", che durante la pandemia era diventata standard, è oggi vulnerabile a contenuti sintetici. La certificazione del processo di acquisizione delle prove fotografiche o video da parte dell'assicurato, in tempo reale, blocca questa categoria di frodi all'origine. Vedi Frodi assicurative generate dall'AI: perché la certificazione delle prove è l'unica difesa scalabile.

Media e redazioni giornalistiche. Il problema dei giornalisti è duplice: difendersi dai deepfake che li impersonano (caso SkyTG24) e garantire l'autenticità delle fonti video che ricevono e pubblicano. Una redazione che adotta certificazione alla fonte per le proprie produzioni e per i contenuti user-generated che valuta come materiale, riduce la propria esposizione legale e rafforza la fiducia del lettore. È il quadro di Deepfake nelle elezioni 2026: perché servono prove certificate, non solo fact-checking.

Aziende e protezione dirigenti. Il caso Arup ha mostrato come una sola videoconferenza non verificata possa costare 25 milioni. La certificazione delle comunicazioni interne sensibili (videocall del CFO, autorizzazioni di pagamenti, trasferimenti) introduce un livello di garanzia che spezza la kill-chain del CEO fraud deepfake. È il fronte di Deepfake e frodi aziendali: la certificazione alla fonte come difesa.

HR e processi di assunzione. Il fenomeno emergente è quello dei colloqui di lavoro a distanza con candidati deepfake, spesso prodotti da operatori asiatici per ottenere posizioni IT remote. Trend Micro ha documentato decine di casi nel 2024-2025. La certificazione del colloquio (sessione video acquisita su dispositivo verificato) è una difesa diretta.

Pubblica amministrazione e voto a distanza. Per le autorità che gestiscono identità digitale, deleghe, dichiarazioni rilasciate a distanza, il rischio deepfake diventa rischio di sistema. La certificazione di processi sensibili sostituisce la fiducia condizionale (basata sulla qualità del canale) con la fiducia certificata (basata su artefatti verificabili).

In tutti questi verticali la logica è la stessa: spostare il punto della catena in cui si introduce la garanzia. Non a valle, dove il problema è probabilistico e in continuo aggiornamento. A monte, dove il problema è risolto per costruzione.

Quadro normativo: cosa dicono Europa, Italia, Stati Uniti, Cina

Il 2025-2026 segna il primo periodo in cui i deepfake non sono più un vuoto regolatorio. Quattro ambiti vanno conosciuti.

AI Act europeo, articolo 50(4). Il regolamento UE 2024/1689 introduce un obbligo di disclosure per chi produce o distribuisce deepfake. Testo letterale: "I deployer di un sistema di IA che genera o manipola contenuti immagine, audio o video che costituiscono deepfake devono rendere noto che il contenuto è stato generato o manipolato artificialmente". L'obbligo entra in vigore il 2 agosto 2026. Sono previste eccezioni per usi autorizzati dalla legge per finalità di prevenzione, accertamento, indagine o perseguimento di reati, e per opere "evidentemente artistiche, creative, satiriche o di finzione" (AI Act, art. 50). L'obbligo si applica al deployer (chi rende pubblico il contenuto), non solo al provider del modello generativo.

Italia, Legge 132/2025, articolo 612-quater del codice penale. Pubblicata in Gazzetta Ufficiale il 25 settembre 2025, in vigore dal 10 ottobre 2025. Testo: "Chiunque cagiona un danno ingiusto ad una persona, cedendo, pubblicando o altrimenti diffondendo, senza il suo consenso, immagini, video o voci falsificati o alterati mediante l'impiego di sistemi di intelligenza artificiale e idonei a indurre in inganno sulla loro genuinità, è punito con la reclusione da uno a cinque anni" (La legge per tutti). Il reato è procedibile a querela della persona offesa, salvo connessione con altro reato d'ufficio o vittima incapace. Esiste un'eccezione per finalità espressive o ironiche prive di intento lesivo. Si coordina con l'art. 612-ter (revenge porn): se il deepfake è sessualmente esplicito, si applica la fattispecie più grave.

Digital Services Act, articolo 35. Le Very Large Online Platforms (oltre 45 milioni di utenti mensili in UE) hanno l'obbligo di marcare proattivamente i deepfake distribuiti sulla loro piattaforma con "prominent markings". L'approccio è transparency-first: labelling, non rimozione automatica per i deepfake non illegali. La reportistica obbligatoria sulla content moderation è almeno annuale (Taylor Wessing analysis).

Stati Uniti, TAKE IT DOWN Act. Firmato da Donald Trump il 19 maggio 2025, dopo voto unanime al Senato e 409-2 alla Camera. Criminalizza la pubblicazione di immagini intime non consensuali, incluse quelle generate da IA, di persone reali. Impone alle piattaforme la rimozione entro 48 ore dalla notifica della vittima. Pena massima per i soggetti che pubblicano: tre anni di reclusione. Il regime notice-and-removal è in vigore dal 19 maggio 2026 (Wikipedia).

Cina, Deep Synthesis Provisions. In vigore dal 10 gennaio 2023, primo regolamento al mondo specificamente dedicato al deep synthesis (deepfake). Obblighi: labelling obbligatorio dei contenuti sintetici, autenticazione dell'utente che pubblica, consenso esplicito per editing di volti, voci e biometria, meccanismo per smentire fake news (China Briefing). Approccio più restrittivo rispetto a quello europeo.

Garante Privacy italiano, provvedimenti 2025. Il 1° ottobre 2025 il Garante ha emesso un provvedimento d'urgenza contro l'app Clothoff (deep nude), con limitazioni provvisorie al trattamento dei dati di utenti italiani. Il 18 dicembre 2025 ha pubblicato un warning rivolto a tutti i provider di servizi di IA generativa capaci di trattare immagini e voci di persone reali, denunciando che i deepfake possono privare le persone della loro "autodeterminazione informativa" (Garante).

Polizia Postale italiana. Il bilancio 2025, pubblicato a gennaio 2026, registra 51.560 interventi su reati informatici, 293 arresti, 7.590 persone denunciate, 27.085 casi di cybercrime economico-finanziario, oltre 94.000 segnalazioni online gestite. Il giro d'affari illegale legato a frodi deepfake in Italia nel 2024 è stimato in oltre 110 milioni di euro (Polizia di Stato).

Per chi opera nei verticali più esposti, la combinazione AI Act + L. 132/2025 + DSA produce due conseguenze pratiche. Primo: la disclosure obbligatoria dei contenuti AI-generated, che riguarda chi pubblica anche occasionalmente. Secondo: la responsabilità civile e penale di chi diffonde deepfake idonei a causare danno, con sanzioni che arrivano alla reclusione. Terzo: l'obbligo per le piattaforme di marcatura proattiva, che ridurrà la viralità di alcuni deepfake ma non quelli prodotti per scam mirati.

Nessuna di queste normative risolve il problema tecnico di "come si stabilisce se un contenuto è autentico". Sanzionano chi produce o diffonde con dolo, e impongono trasparenza. Ma il riconoscimento del contenuto reale resta un problema aperto, che il regolatore lascia all'industria.

I prossimi 24 mesi: cosa cambia, cosa resterà invariato

Tre dinamiche definiscono il 2026-2028.

La detection arriverà al limite teorico. Lo studio di Edimburgo del 2025 ha mostrato che le AI fingerprint sono rimovibili. Lo studio Deepfake-Eval-2024 ha mostrato che i detector crollano sotto il 50% in condizioni reali. Sumsub prevede che gli "agentic AI scams": frodi orchestrate da agenti IA autonomi che generano deepfake on-demand, contattano vittime, conducono conversazioni in tempo reale: saranno la categoria a crescita maggiore nel 2026 (Sumsub Annual Report 2026). Contro un agente IA che genera, distribuisce e adatta deepfake in tempo reale, la detection probabilistica perde di rilevanza: il problema diventa di sistema, non di rilevamento.

Il valore della certificazione alla fonte aumenta. Più cresce il volume e la qualità dei deepfake, più la garanzia di autenticità su un dato specifico diventa un asset strategico. Per chi deve produrre prove (avvocati, banche, redazioni, forze dell'ordine), passare da verifica probabilistica a certificazione opponibile è il salto da una difesa che si erode a una difesa che regge. Il mercato che corrisponde: provenance solutions, certified capture, forensic-grade authenticity: è destinato a crescere a ritmo molto superiore a quello della detection generica.

La regolazione spingerà nella stessa direzione. L'AI Act EU obbliga al disclosure. Il TAKE IT DOWN Act USA obbliga alla rimozione rapida. La L. 132/2025 italiana obbliga alla responsabilità penale. Tutte queste normative producono una conseguenza pratica: chi può dimostrare di aver acquisito un contenuto in modo certificato, con metodologia forense e timestamp opponibile, ha una posizione difensiva molto più solida di chi non può. La compliance diventa un driver di adozione dell'authenticity-by-design.

Una proiezione conservativa, basata su Sumsub, Onfido, Pindrop e Deloitte: nel 2027 le perdite globali da frodi deepfake supereranno i 5 miliardi di dollari l'anno; le piattaforme che si affidano alla sola detection vedranno la propria efficacia degradare strutturalmente; chi avrà adottato certificazione alla fonte come standard primario per i contenuti sensibili sarà in una posizione di vantaggio competitivo e di compliance. La transizione è iniziata. La direzione non è in discussione: è la velocità.

Fonti citate

Statistiche e report

• Sumsub Identity Fraud Report 2025-2026
• Sumsub: Synthetic Identity Document Fraud +300% U.S.
• Sumsub Annual Report 2026: Agentic AI scams
• Onfido / Entrust: deepfake every 5 minutes
• Entrust Fraud Report (PDF)
• iProov Threat Intelligence Report 2025
• Pindrop Voice Intelligence Report 2025
• Deloitte Center for Financial Services: $40B by 2027
• FBI IC3 Internet Crime Report 2024 (PDF)
• Sensity AI reports
• WEF: detecting dangerous AI in the deepfake era
• WEF: Lessons from the Arup deepfake attack

Casi documentati

• Fortune: Arup $25M deepfake fraud
• CNN: Arup Hong Kong deepfake
• Fortune: Ferrari deepfake attempt
• MIT Sloan: How Ferrari hit the brakes on a deepfake CEO
• SkyTG24: Pira/Borga deepfake
• Banca d'Italia: avviso Panetta deepfake
• Cybersecurity360: truffa Crosetto deepfake
• Il Centro: voce clonata Luco dei Marsi
• Il Fatto Quotidiano: Phica.eu
• La Prima Pagina: Meloni denuncia deepfake
• NBC News: Taylor Swift NCII X
• NPR: Zelensky deepfake surrender
• CBS News: Pope Francis puffer jacket
• Harvard Kennedy School: Slovakia deepfake election
• FCC: $6M fine NH robocalls

Tecnologia e accademia

• arXiv: Deepfake-Eval-2024 benchmark
• arXiv: Adversarial Attacks on Deepfake Detectors (2D-Malafide)
• ScienceDirect: meta-analysis human deepfake detection
• ScienceDirect: AI in deepfake media review
• MIT Media Lab: Human detection of political deepfakes
• Springer: Advancements in detecting deepfakes
• ElevenLabs: voice cloning sample requirements
• OpenAI Sora

Normativa

• AI Act, Article 50
• Legge 132/2025: art. 612-quater c.p.
• TAKE IT DOWN Act: Wikipedia
• Cina: Deep Synthesis Provisions
• Garante Privacy: provvedimento dicembre 2025
• Garante Privacy: pagina deepfake
• Polizia Postale: bilancio 2025
• Taylor Wessing: DSA e deepfake

Approfondimenti TrueScreen

• Deepfake video e bypass biometrico KYC: come difendere l'onboarding bancario nel 2026
• Deepfake nelle elezioni 2026: perché servono prove certificate, non solo fact-checking
• Deepfake e processo penale: la crisi della prova digitale
• Deepfake e frodi aziendali: la certificazione alla fonte come difesa
• Impronte digitali dell'IA vulnerabili: lo studio di Edimburgo
• Deepfake detection: perché fallisce su larga scala
• Frodi assicurative AI-generated