Deepfake detection: chi risponde del margine d’errore
Sempre più aziende mettono alla prova un software di deepfake detection prima di affidargli un processo critico, e un numero crescente arriva alla stessa conclusione: non lo adotta, o lo affianca ad altro. Il mercato lo vende come la risposta a una domanda diventata quotidiana, cioè se un contenuto digitale sia autentico o manipolato. La promessa è seducente: dai uno screenshot, una foto o un video allo strumento e lui ti dice se è vero. Poi guardi il risultato e capisci dov'e' il problema. Lo strumento non risponde "vero" o "falso": risponde con un numero, "76% autentico". È un verdetto probabilistico, non una certezza. E quel numero, anche nelle giornate buone, non arriva mai al 100%. Resta sempre un margine scoperto.
La domanda diventa allora scomoda: se il numero oscilla e nessuno mette la firma su quel margine, su cosa stiamo decidendo? La tesi di questo articolo è netta. Un punteggio probabilistico non è una prova, è una stima che qualcuno deve interpretare e di cui qualcuno deve rispondere. Per questo la detection non è automatizzabile, non si ripete mai allo stesso modo e regge male in tribunale. La strada che funziona è opposta: invece di riconoscere il falso a valle, conviene garantire l'autenticità del dato a monte, nel momento stesso dell'acquisizione. Così il margine non si presidia, sparisce.
Cosa significa davvero un verdetto "al 76%"
Un verdetto "al 76% autentico" significa che lo strumento ha stimato una probabilità, non accertato un fatto. Non sta dicendo "questo contenuto è vero", sta dicendo "secondo il mio modello c'e' una certa probabilità che lo sia". La differenza sembra accademica finché non devi prendere una decisione con conseguenze legali o economiche.
Un verdetto probabilistico è una stima statistica di quanto un contenuto somigli a ciò che il modello ha imparato a riconoscere come autentico o manipolato. Non è un accertamento, è un punteggio di confidenza. Per definizione lascia sempre una quota di incertezza, e quella quota non è un dettaglio tecnico: è il punto su cui qualcuno dovrà poi decidere e firmare.
La detection non dà certezze, dà probabilità
I sistemi di deepfake detection producono un punteggio di confidenza, non un esito binario. E sui contenuti reali quel punteggio è molto meno solido di quanto suggeriscano i benchmark. Lo studio Deepfake-Eval-2024 (arXiv 2503.02857) ha misurato un crollo dell'accuratezza dei migliori detector nel passaggio dai dataset accademici ai contenuti che circolano davvero online: circa -50% sui video, -48% sull'audio, -45% sulle immagini. I migliori detector commerciali si fermano attorno al 78% "in the wild", sotto al circa 90% raggiunto dagli esseri umani sugli stessi contenuti.
C'e' un problema ulteriore, e pesa proprio quando il numero deve diventare una prova. Secondo un'analisi su Nature Scientific Reports, i detector restituiscono punteggi di confidenza non calibrati: non un rapporto di verosimiglianza come quello che la prova forense richiede, ma un valore che non si traduce in modo affidabile in "quanto è probabile che sia falso". È la ragione tecnica per cui un punteggio, da solo, non regge come elemento probatorio.
Il 24% che lo strumento lascia scoperto
Se lo strumento dice 76%, sta anche dicendo che c'e' un 24% che non sa spiegare. E quel margine non è teorico. Un detector commerciale ha attribuito il 96,9% di confidenza all'etichetta "fake" su un video autentico: un errore pieno, con un punteggio altissimo. Funziona anche al contrario, con i falsi giudicati veri. NewsGuard, su contenuti dichiarati come generati da AI, ha rilevato un alto tasso di disaccordo tra i detector, con una quota di casi giudicati autentici in contraddizione con la dichiarazione di origine. Il problema è che quel 24% non si chiude da solo: qualcuno deve guardarlo, valutarlo e decidere cosa farne.
Chi si prende la responsabilità del margine d'errore
Del margine d'errore risponde sempre una persona, mai lo strumento. Il software produce un numero e si ferma lì: non firma, non si assume responsabilità, non va in udienza. La decisione su quel margine residuo ricade su chi usa lo strumento. È lo spostamento che quasi nessuno mette in conto quando valuta la deepfake detection.
Anche quando "ci prende", il detector non firma mai il 100%
I vendor più aggressivi dichiarano accuratezze altissime: ScamAI parla di 95,3%, altri citano il 99%. Numeri che restano comunque sotto il 100%, sempre, per costruzione. Anche nel caso migliore lo strumento non ti dà una certezza, ti dà una probabilità molto alta. E una probabilità molto alta, sul singolo caso che finisce in una perizia o in una contestazione, non ti dice se sei dentro la regola o dentro l'eccezione. Non stai più verificando un fatto, stai scommettendo su una stima: e la scommessa la fai tu, non il fornitore del software.
Un errore di valutazione ha sempre un nome e cognome
Quando un contenuto manipolato passa per autentico, o uno autentico viene scartato come falso, le conseguenze non ricadono sull'algoritmo. Ricadono sul perito che ha firmato la relazione, sull'analista antifrode che ha approvato l'onboarding, sul funzionario che ha accettato il documento. L'algoritmo non viene chiamato a deporre. La persona sì.
Ed è una responsabilità difficile da reggere, perché poggia su un numero che non si può spiegare fino in fondo. In una contestazione la domanda della controparte è elementare: "Su quale base ha deciso che era autentico?". Rispondere "il software dava 76%" non è una posizione difendibile. Significa aver trasferito su una stima statistica una decisione che resta, a tutti gli effetti, umana e personale.
Perché questo rende il processo non automatizzabile
Un processo costruito su un punteggio probabilistico non si può automatizzare davvero, perché richiede sempre una persona che entri nel merito del margine. Se lo strumento desse certezze, basterebbe una regola lasciata girare. Ma lo strumento dà una probabilità, e una probabilità va interpretata: dove metti la soglia? Sopra il 76% accetti, sotto rifiuti? E il caso al 74%, quello che cade un punto sotto, chi lo guarda? Da qui tre conseguenze che pesano su qualsiasi organizzazione.
- Non è scalabile: ogni caso ambiguo torna a una persona, e più cresce il volume più cresce il collo di bottiglia.
- Non è ripetibile: due analisti, davanti allo stesso 76%, possono decidere in modo diverso, e lo stesso analista può cambiare idea a distanza di tempo.
- Non è difendibile due volte allo stesso modo: se il processo non produce esiti identici sugli stessi input, in sede legale diventa attaccabile.
Un processo serio deve dare lo stesso esito ogni volta che riceve lo stesso input. La detection probabilistica, per come è fatta, non può garantirlo.
Dove il margine d'errore diventa un problema reale: settori e processi
Il margine diventa un costo concreto ovunque una foto, un video o un documento serva a decidere su soldi, diritti o responsabilità. Lì la domanda "chi firma il margine?" ha un prezzo, e spesso si paga a distanza di anni. Nelle assicurazioni, Verisk ha stimato un +280% di frodi con foto modificate tramite AI tra il 2024 e il 2025. Nei servizi finanziari, Sumsub indica che i deepfake hanno rappresentato l'11% di tutte le frodi del 2025, con identità sintetiche acquistabili online per pochi dollari. Nel real estate le perdite stimate dall'FBI sono salite da 173 milioni di dollari nel 2024 a 275 milioni nel 2025. E nel settore legale il caso Alameda del 2025, con una testimonianza video sospettata di essere un deepfake, ha portato in aula il "liar's dividend": il dubbio che permette a chi è in malafede di liquidare come falsa anche una prova autentica.
| Settore | Processo a rischio | Costo di un errore di valutazione | Cosa serve davvero |
|---|---|---|---|
| Assicurazioni | Perizie e prove fotografiche o video di sinistro | Rimborsi indebiti, +280% frodi con foto AI-edited (Verisk, 2024-2025) | Foto del sinistro autentiche e certificate già all'acquisizione |
| Servizi finanziari | KYC e onboarding, verifica documenti d'identità | Frodi: 11% del totale via deepfake (Sumsub, 2025), ID sintetici a basso costo | Acquisizione certificata del documento, non un punteggio sul volto |
| Settore immobiliare | Verbali di consegna e documentazione fotografica pluriennale | Perdite FBI da 173 a 275 mln $ (2024-2025), contenziosi a distanza di anni | Prova fotografica con data certa e integrità verificabile nel tempo |
| Pubblica amministrazione e legale | Atti, istanze, prove documentali da valutare per l'ammissibilità | Decisioni viziate, prove contestabili, "liar's dividend" | Dato con valore legale e catena di custodia dall'origine |
Lo schema si ripete: lo strumento dà una probabilità, una persona decide se fidarsi. La colonna che conta è l'ultima, e non punta mai verso un punteggio più alto. Punta verso un dato autentico e certificato fin dall'origine, che toglie del tutto la domanda dal tavolo.
La detection è una rincorsa che non si può vincere
La deepfake detection è strutturalmente una rincorsa, e chi rincorre arriva sempre dopo. Da un lato un'AI addestrata a riconoscere i contenuti manipolati, dall'altro un'AI addestrata a generarli in modo sempre più convincente. La seconda evolve per battere la prima, e ogni nuovo modello generativo sposta il bersaglio.
Un'AI "buona" che insegue un'AI "cattiva"
I generatori vengono ottimizzati esplicitamente per ingannare i detector, e si vede nei numeri. Un'analisi su MDPI Applied Sciences ha misurato un degrado dell'accuratezza fino al -53,92% quando i detector affrontano modelli generativi su misura, costruiti per aggirarli. Non è un difetto temporaneo da correggere con la prossima versione: è la natura del confronto. Ogni volta che un detector impara a riconoscere un artefatto, la generazione successiva impara a non produrlo più.
Più crescono i modelli generativi, più il riconoscimento diventa instabile
L'accuratezza peggiora man mano che si moltiplicano i modelli generativi, perché ogni nuova famiglia è un caso che il detector non ha ancora visto. La scala aiuta a capire la pressione: si stima un passaggio da circa 500.000 deepfake nel 2023 a circa 8 milioni proiettati per il 2025. Deloitte prevede che le frodi basate su AI generativa crescano dai 12,3 miliardi di dollari del 2023 ai 40 miliardi del 2027. Più aumenta la varietà dei generatori, meno un detector addestrato sul passato sta al passo con il presente.
Accuratezza come bersaglio mobile, non come fondamento
Per questo l'accuratezza di un detector non è un fondamento su cui costruire, ma un bersaglio mobile. Un valore misurato oggi descrive il rapporto con i modelli generativi di oggi, e domani vale meno. Gartner stima che entro il 2026 circa il 30% delle aziende smetterà di considerare affidabili, da sole, le soluzioni di verifica dell'identità basate sulla deepfake detection isolata. Non perché la detection sia inutile in assoluto, ma perché un presidio che invecchia da solo non può essere l'unico fondamento di un processo critico.
Cosa rende un processo davvero affidabile: deterministico, ripetibile, difendibile
Un processo affidabile è deterministico, ripetibile e difendibile: dallo stesso input ricava sempre lo stesso esito, e quell'esito regge a un esame esterno. È esattamente ciò che un punteggio probabilistico non può offrire, e ciò che invece caratterizza una prova costruita con metodologia forense.
Stesso input, stesso esito: la differenza tra probabilità e prova
Un punteggio non è una prova. Un punteggio è una stima che cambia con il modello, la versione e il contenuto, e lascia sempre un margine da interpretare. Una prova, invece, è un fatto verificabile: chiunque la esamini, con gli stessi dati, arriva alla stessa conclusione. La differenza tra i due mondi è quella tra "probabilmente autentico" e "autentico, e lo posso dimostrare".
La proprietà che distingue un processo solido è la riproducibilità. Se acquisisco un contenuto producendo una copia forense e ne calcolo l'hash, quel valore identifica il dato in modo univoco: chiunque rifaccia il calcolo, oggi o tra dieci anni, ottiene lo stesso risultato. Non c'e' una soglia da scegliere, non c'e' un margine da interpretare. C'e' un fatto che si verifica, e si verifica sempre nello stesso modo.
Catena di custodia e valore legale
Il valore legale di un contenuto digitale non nasce dal giudizio su quanto sembri autentico, ma dalla sua catena di custodia: la tracciabilità documentata di cosa è stato acquisito, quando, e del fatto che sia rimasto integro da allora. Il quadro normativo europeo va in questa direzione. Il regolamento eIDAS riconosce al sigillo elettronico qualificato una presunzione di integrità (art. 35) e rende la marca temporale qualificata verificabile per almeno 20 anni (art. 41). In Italia il CAD (artt. 20-21) disciplina il valore probatorio del documento informatico, l'art. 2712 del Codice Civile riguarda le riproduzioni meccaniche, e la catena di custodia trova fondamento nell'informatica forense introdotta con la L. 48/2008. A questo si aggiunge l'art. 50 dell'AI Act, che dal 2 agosto 2026 impone l'etichettatura dei contenuti sintetici. La direzione è chiara: la solidità di una prova digitale si misura sulla tracciabilità dall'origine, non su una stima a posteriori.
Cosa significa garantire l'autenticità di un dato a monte invece di riconoscerlo a valle
Garantire l'autenticità a monte significa certificare un contenuto nel momento in cui viene acquisito, invece di provare a indovinarne la natura dopo che è già circolato. È un ribaltamento della domanda: non più "questo contenuto è falso?", a cui si può solo rispondere con una probabilità, ma "questo dato è autentico, integro e tracciabile dal momento dell'acquisizione?", a cui si risponde con un fatto verificabile. Qui si colloca TrueScreen, la piattaforma di acquisizione e certificazione forense: anziché analizzare un file di dubbia provenienza per stimare se sia stato manipolato, acquisisce il contenuto con metodologia forense direttamente alla fonte e lo certifica con sigillo e marca temporale qualificati, applicando un hash che ne fissa l'integrità. Pensa al perito assicurativo che fotografa un sinistro: se le immagini nascono già certificate all'acquisizione, con data certa e integrità verificabile, nessuno dovrà più interpretare un margine del 24%, perché quel margine non esiste. Il dato è autentico per costruzione, non per stima.
Dal "e' falso?" al "e' autentico, integro e tracciabile dall'acquisizione"
La detection prova a rispondere alla domanda sbagliata. "È falso?", su un contenuto già esistente e di provenienza ignota, ammette solo una risposta probabilistica. "È autentico, integro e tracciabile dall'acquisizione?" ammette invece una risposta con prove documentali, perché l'autenticità viene fissata nel momento in cui il contenuto entra nel processo. Cambiando la domanda cambia la natura della risposta: da stima a prova. Per chi deve decidere o difendere una posizione questa differenza è tutto, e spiega perché certificare la fonte di un contenuto è più robusto che provare a smascherarlo dopo.
Perché eliminare il margine è meglio che presidiarlo
Presidiare il margine vuol dire pagare per sempre il costo di una persona che interpreta, una soglia che si discute, un esito che si può contestare. Eliminarlo vuol dire toglierlo del tutto dall'equazione. Se il dato è certificato all'origine non c'e' un 24% da coprire, non c'e' una firma da mettere su una stima, non c'e' una rincorsa ai modelli generativi da inseguire versione dopo versione. C'e' un processo deterministico che dà sempre lo stesso esito e regge a un controllo esterno. Tra costruire un'organizzazione attorno a un numero che oscilla e costruirla attorno a un dato che non si discute, la scelta solida è la seconda. Il margine migliore è quello che non devi presidiare, perché non c'e'.

