Legge 132/2025 sui deepfake: cosa cambia davvero per aziende e professionisti

Dal 10 ottobre 2025 l’Italia è il primo Paese europeo ad avere un reato penale specifico per i deepfake. La Legge 132/2025, che disciplina vari aspetti dell’intelligenza artificiale, ha introdotto nel Codice penale l’articolo 612 quater, dedicato all’“illecita diffusione di contenuti generati o alterati con sistemi di intelligenza artificiale”.

Per aziende e professionisti questo significa una cosa semplice: i deepfake non sono più solo un tema tecnologico o etico, ma un vero rischio giuridico e di compliance. In un contesto in cui i contenuti digitali circolano ovunque – email, canali social, campagne marketing, procedure interne – non è più sufficiente fidarsi di ciò che si vede o si ascolta. Diventa essenziale poter dimostrare, in modo oggettivo, da dove arriva un contenuto, come è stato creato e se è rimasto integro nel tempo.

In questo articolo vediamo:

• cosa prevede la nuova norma sui deepfake;
• quali comportamenti possono diventare problematici per le organizzazioni;
• come cambia il lavoro quotidiano di chi gestisce contenuti e decisioni in azienda;
• perché la digital provenance e piattaforme di data authenticity come TrueScreen possono fare la differenza.

Perché la Legge 132/2025 sui deepfake è un punto di svolta per le aziende

I deepfake non sono più un esperimento da laboratorio. Strumenti di generazione audio e video basati su intelligenza artificiale permettono di imitare con grande realismo il volto e la voce di una persona. Bastano pochi secondi di campione audio o video per:

• farle dire frasi mai pronunciate;
• inserirla in contesti e luoghi in cui non è mai stata;
• manipolare contenuti reali in modo quasi impercettibile.

Gli effetti sono già concreti:

• Deepfake fraud e frodi vocali: un report di Regula del 2024 indica che circa un’azienda su due a livello globale ha sperimentato almeno un tentativo di frode legato a deepfake o identità sintetiche, con particolare impatto su banche e servizi finanziari (Regula, “Deepfake Trends 2024”).
• Truffe aziendali tramite finti dirigenti: IBM segnala che il costo medio per realizzare un deepfake è molto basso rispetto ai potenziali ritorni illeciti, mentre i livelli di frode associati ai deepfake vengono stimati complessivamente nell’ordine di centinaia di miliardi di dollari su scala globale.
• Incremento degli incidenti nel settore finanziario: analisi di Deloitte evidenziano una crescita significativa dei casi di frode basati su deepfake in ambito bancario e fintech, con un aumento stimato di oltre il 700% in alcuni segmenti tra 2022 e 2023.
• Rischio sistemico per la fiducia nei mercati: il World Economic Forum ha inserito la disinformazione generata dall’AI, e in particolare i deepfake, tra i principali rischi per la fiducia in istituzioni e mercati nei prossimi anni.

Finora molti di questi casi sono stati gestiti ricorrendo a norme nate per altri scopi (diffamazione, trattamento illecito di dati, estorsione, revenge porn). Con la Legge 132/2025 il legislatore italiano compie un passo ulteriore e riconosce che l’uso distorto dell’AI per manipolare contenuti merita una fattispecie autonoma.

Il messaggio per le organizzazioni è chiaro: il rischio deepfake non è più solo un tema da conferenza, ma entra stabilmente nel perimetro di compliance, risk management e sicurezza.

Cosa prevede il nuovo reato di deepfake: l’articolo 612 quater in parole semplici

L’oggetto del reato: contenuti generati o alterati con AI

Il nuovo articolo 612 quater del Codice penale si concentra su una categoria specifica di contenuti:

• immagini, video, audio o altri file;
• creati o modificati con sistemi di intelligenza artificiale;
• tali da far credere a chi li riceve che una persona abbia detto o fatto qualcosa che in realtà non è mai avvenuto, oppure da alterare in modo significativo la rappresentazione della realtà.

Sintesi operativa: il bersaglio della norma è chi utilizza sistemi di IA per simulare o manipolare in modo ingannevole il comportamento di una persona, facendo apparire come reali eventi, dichiarazioni o situazioni che non lo sono.

Le analisi pubblicate da commentatori giuridici e riviste di settore convergono su questo punto, ad esempio:

• ICT Security Magazine – “Legge 132/2025 intelligenza artificiale”
• Sistemapenale.it – primi commenti penalistici alla legge sull’IA
• Legal for Digital – “Deepfake: cosa rischia chi produce contenuti manipolati AI”

Senza riprodurre testualmente il dettato normativo, questi commenti confermano che la norma è ritagliata sulla specificità dei contenuti deepfake o, più in generale, generati/alterati con AI, quando utilizzati in modo ingannevole e dannoso.

Gli elementi chiave: consenso, danno e diffusione verso terzi

In termini divulgativi, gli elementi essenziali del reato possono essere letti così:

• Contenuto AI-based: il file deve essere creato o modificato con sistemi di intelligenza artificiale, non un semplice montaggio tradizionale.
• Assenza di consenso: la persona rappresentata non ha dato il consenso alla creazione o alla diffusione di quel contenuto.
• Danno concreto: deve emergere un danno effettivo, che può riguardare:
  • la reputazione (ad esempio deepfake porn non consensuale o dichiarazioni false attribuite a figure pubbliche o manager);
  • la sfera psicologica (umiliazione, ansia, stress);
  • la situazione economica o professionale (perdita di opportunità, truffe, frodi).
• Diffusione verso terzi: l’attenzione è sull’atto di far circolare il contenuto, non solo sul fatto di possederlo.

È proprio il passaggio da file “privato” a contenuto diffuso verso terzi che attiva la potenziale rilevanza penale. Da qui discende un primo messaggio importante per chi lavora in azienda: non basta chiedersi chi ha creato il deepfake; occorre interrogarsi su chi lo ha condiviso, inoltrato, ripostato.

Come avviene spesso nel diritto penale, nei casi concreti possono sovrapporsi altre norme (diffamazione, ricatto, minacce, revenge porn, molestie). Per questo, di fronte a situazioni specifiche, resta essenziale il supporto di un legale, soprattutto quando sono in gioco ruoli aziendali e responsabilità organizzative.

Creare un deepfake non basta: il rischio giuridico nasce quando lo diffondi

Una delle domande più frequenti è se la sola creazione di un deepfake, senza ulteriore utilizzo, sia già punita dal nuovo reato.

Per come è costruito l’articolo 612 quater, l’attenzione del legislatore si concentra soprattutto sul momento della diffusione verso terzi. In altre parole:

• un contenuto generato o alterato con AI, conservato in un contesto strettamente interno o di test e non diffuso, in molti casi non rientra direttamente nella fattispecie del 612 quater;
• la situazione cambia radicalmente quando quello stesso contenuto viene condiviso senza consenso e inizia a produrre un danno concreto.

Per chi lavora in azienda questo implica un cambio di prospettiva non banale:

• non si tratta solo di “non creare” deepfake;
• diventa cruciale valutare cosa si sta diffondendo ogni volta che si clicca su “inoltra”, “condividi”, “pubblica”.

Alcuni scenari tipici:

• un collaboratore inoltra in una chat aziendale molto ampia un video deepfake che ridicolizza un collega o un dirigente;
• il team social rilancia sui canali ufficiali dell’azienda un contenuto generato con AI che coinvolge una persona reale senza aver verificato consenso e provenienza;
• un video deepfake di un dirigente che “autorizza” un pagamento o annuncia una decisione importante viene usato in una presentazione o in una comunicazione interna, generando confusione e potenziale danno economico.

In tutti questi casi, non è detto che la responsabilità penale ricada solo su chi ha creato il contenuto. Anche chi contribuisce alla sua diffusione può entrare in gioco, soprattutto se da quella condivisione derivano conseguenze gravi.

Sanzioni e responsabilità: quali rischi per persone e organizzazioni

Pene previste e possibili aggravanti

La Legge 132/2025, nell’introdurre l’art. 612 quater, prevede in via generale una pena detentiva da uno a cinque anni per chi diffonde in modo illecito contenuti generati o alterati con AI che soddisfano i requisiti previsti (assenza di consenso, danno, diffusione verso terzi). Questa cornice è richiamata in diversi approfondimenti giuridici, come:

• Legal for Digital – “Deepfake: cosa rischia chi produce contenuti manipolati AI”
• Diritti in Movimento – “Deepfake: il nuovo reato previsto dall’articolo 612-quater c.p.”
• articoli e commenti pubblicati su Sistemapenale.it e altre riviste giuridiche specializzate.

In situazioni particolari, ad esempio:

• coinvolgimento di minori;
• inserimento del deepfake in condotte più ampie (ricatti, molestie, stalking, revenge porn);
• collegamento a frodi organizzate o attività criminali complesse;

possono trovare applicazione altre norme del Codice penale, con aggravanti o ulteriori ipotesi di reato.

È importante sottolineare che questo articolo ha finalità esclusivamente informative e non sostituisce un parere legale: per valutare casi concreti occorre sempre rivolgersi al proprio consulente di fiducia.

Oltre il penale: reputazione, governance e compliance

Per le organizzazioni, il rischio non si esaurisce nella possibile responsabilità penale di singoli soggetti. Gli effetti possono essere:

• reputazionali: crisi d’immagine, perdita di fiducia di clienti, partner, investitori, opinione pubblica;
• organizzativi: indagini interne, revisioni urgenti di policy e procedure, conflitti tra funzioni aziendali;
• economici: richieste di risarcimento danni, perdita di clienti, sospensione o cancellazione di contratti, costi legali;
• regolatori (soprattutto in settori vigilati): attenzione da parte di autorità e organismi di controllo, con potenziali rilievi su controlli interni e presidi di compliance.

I report internazionali su frodi AI mostrano un trend netto: l’uso di tecniche come deepfake audio e video è in forte aumento nelle truffe contro imprese e istituzioni, come evidenziato ad esempio da analisi citate in Security.org – “Deepfake Statistics” e in approfondimenti di Deloitte.

In questo contesto, la capacità di ricostruire con precisione la storia di un contenuto digitale e di dimostrarne l’autenticità diventa un tassello chiave nella gestione complessiva del rischio.

Cosa cambia nel quotidiano per aziende e professionisti

Controllo delle fonti: da “mi fido del file” a “mi fido del processo”

La Legge 132/2025 spinge le aziende a rimettere in discussione un presupposto dato quasi per scontato: che ciò che compare sullo schermo sia, di default, affidabile.

Alcune azioni che prima sembravano banali assumono ora un significato diverso:

• usare in una campagna un video trovato su una piattaforma online, senza verificare a fondo la sua origine;
• rilanciare un audio apparentemente “interno” che gira su chat informali;
• pubblicare un’immagine di una persona generata da terzi, senza sapere se esiste un consenso esplicito.

La domanda da porsi non è più solo “cosa mostra questo file?”, ma “quanto posso fidarmi del processo con cui è nato e arrivato fino a me?”. In pratica:

• servono flussi di approvazione più attenti per i contenuti che coinvolgono persone identificabili;
• diventa critico capire chi ha acquisito il contenuto, con quale strumento, quando, in quali condizioni;
• occorre distinguere i contenuti “critici” (ispezioni, incidenti, controversie con clienti, audit, comunicazioni di grande impatto) e trattarli con un livello di controllo superiore.

Formazione interna e procedure di risposta

Il rischio deepfake non riguarda solo IT o sicurezza. Coinvolge:

• comunicazione e marketing, che gestiscono contenuti pubblici;
• HR, che trattano video colloqui, testimonianze, comunicazioni interne;
• legali e compliance, che devono valutare rischi e responsabilità;
• top management, spesso target privilegiato di truffe con deepfake vocali o video.

Diventano centrali tre dimensioni:

1. Consapevolezza diffusa
   • Formare le persone a riconoscere alcuni segnali di allarme (incongruenze visive, audio innaturali, metadati sospetti, fonti non verificabili).
   • Spiegare le basi del nuovo quadro normativo con esempi concreti, evitando tecnicismi inutili.
2. Canali di segnalazione
   • Definire un percorso chiaro per segnalare contenuti sospetti (chi contattare, come, in quali tempi).
   • Prevedere l’intervento coordinato di security, IT, legal e comunicazione.
3. Piani di risposta a un deepfake che colpisce l’azienda
   • Stabilire come agire se compare un deepfake che coinvolge il CEO o un dirigente su un tema sensibile.
   • Definire come documentare rapidamente le prove a sostegno della versione autentica dei fatti.
   • Preparare linee guida di comunicazione per limitare danni reputazionali e confusione.

In tutte queste fasi, poter disporre di contenuti autenticati e tracciati fin dalla loro acquisizione permette di reagire più rapidamente e con maggiore credibilità.

Digital provenance e autenticità digitale: prevenire il problema alla radice

Una risposta efficace al tema deepfake non può limitarsi a “smontare” i contenuti falsi a posteriori. Occorre lavorare a monte, costruendo un ecosistema in cui i contenuti che contano nascono già con una loro identità digitale chiara.

Qui entra in gioco la digital provenance.

In termini semplici, la digital provenance è la capacità di:

• collegare un contenuto digitale alla sua storia certificata;
• sapere chi lo ha creato o acquisito, quando, con quale dispositivo, in quale luogo (ove disponibile) e in quali condizioni;
• poter dimostrare che, dopo quel momento, il file non è stato alterato.

Se queste informazioni vengono raccolte e conservate con una metodologia di tipo forense, possono diventare un elemento molto forte quando:

• bisogna dimostrare che un contenuto è autentico e nasce da un certo contesto;
• occorre contrastare un deepfake che tenta di imitare o manipolare lo stesso scenario;
• si lavora per supportare il valore probatorio di un file in un contenzioso, nel rispetto delle regole di ogni singola giurisdizione.

Per un’azienda significa, in concreto:

• ridurre il rischio di diffondere materiale non autentico nei momenti più delicati (ispezioni, incidenti, controversie con clienti, audit);
• avere una base documentale più solida da presentare a controparti, autorità, giudici o regolatori, nei limiti delle normative applicabili;
• collegare in modo trasparente decisioni di business, comunicazione e compliance alla qualità delle evidenze digitali utilizzate.

Come TrueScreen aiuta a rilevare e prevenire i deepfake garantendo informazioni certe alla fonte

Certificazione alla fonte: contenuti nativi con identità digitale tracciabile

TrueScreen nasce con l’obiettivo di ristabilire fiducia nei contenuti digitali, lavorando sia sui dati tecnici presenti nei file, sia sulla loro storia nel tempo.

Dal punto di vista della raccolta di prove e contenuti critici, la piattaforma consente di:

• acquisire foto, video, audio, screenshot, documenti e pagine web direttamente alla fonte;
• registrare in modo certificato elementi come:
  • data e ora dell’acquisizione;
  • posizione geografica, ove disponibile;
  • parametri tecnici del dispositivo;
  • metadati rilevanti per l’analisi e la verifica successiva;
• associare al file una impronta digitale univoca (hash) che consente, in seguito, di verificare rapidamente se il contenuto è stato modificato.

Questo approccio permette di:

• documentare la veridicità di una foto scattata durante un’ispezione o sopralluogo;
• certificare un video a supporto di una pratica assicurativa o di una segnalazione interna;
• acquisire come prova uno screenshot di una condotta online potenzialmente rilevante, preservandone integrità e contesto tecnico.

In un contesto in cui i deepfake possono imitare quasi tutto, poter dire “questo contenuto è nato così, in quel luogo, a quell’ora, con quel dispositivo, e da allora non è stato alterato” diventa un elemento di grande valore, soprattutto per:

• legali e compliance officer;
• uffici reclami e litigation;
• funzioni di audit e controllo interno;
• compagnie assicurative, banche, pubbliche amministrazioni, utility e altre organizzazioni che si basano su prove digitali.

Analisi dei contenuti esterni: Deepfake e GenAI Detection

Non tutti i contenuti che un’azienda deve valutare sono stati creati direttamente con TrueScreen. Per questo la piattaforma mette a disposizione anche funzionalità di Deepfake e GenAI Detection, pensate per analizzare file provenienti dall’esterno.

In pratica:

• immagini, video e audio possono essere sottoposti ad analisi con motori basati su AI, progettati per individuare:
  • pattern visivi anomali;
  • artefatti tipici della generazione artificiale;
  • incongruenze nel segnale audio;
  • anomalie nei metadati o nella struttura del file.
• il risultato non è un “oracolo infallibile”, ma un supporto decisionale strutturato per capire se un contenuto merita ulteriori verifiche tecniche o legali.

È fondamentale mantenere una comunicazione prudente:

• la detection non sostituisce il giudizio umano né quello legale;
• non esiste una garanzia assoluta di identificare ogni manipolazione;
• lo scopo è fornire indicatori oggettivi che aiutino l’organizzazione a decidere se fidarsi o meno di un file, se usarlo in un processo critico, se attivare un’indagine interna.

Combinando:

• certificazione alla fonte dei contenuti che l’azienda produce o acquisisce direttamente;
• analisi dei contenuti in ingresso con capacità di deepfake e GenAI detection;

TrueScreen aiuta a costruire un ambiente in cui i contenuti più sensibili sono accompagnati da elementi oggettivi di data authenticity e digital provenance, riducendo lo spazio di manovra dei deepfake e supportando una gestione del rischio più matura e documentata.

FAQ: le domande più frequenti su Legge 132/2025 e deepfake

In questa sezione trovi risposte sintetiche alle domande che aziende e professionisti pongono più spesso sul nuovo reato di deepfake, sui rischi di diffusione illecita e sul ruolo della digital provenance e di piattaforme come TrueScreen.

La semplice creazione di un deepfake è reato in Italia?

+

Per come è formulata la norma, il focus è sulla diffusione verso terzi. La sola creazione di un deepfake, se rimane in un contesto chiuso e non provoca danni, in molti casi non integra di per sé il reato previsto dall’articolo 612 quater. Il problema nasce quando il contenuto viene condiviso senza consenso e inizia a produrre effetti negativi sulla persona coinvolta. Per valutare casi specifici è comunque necessario un parere legale.

Cosa si intende per “contenuti generati o alterati con AI” nella Legge 132/2025?

+

La legge si riferisce a immagini, video, audio o altri file creati o modificati con sistemi di intelligenza artificiale, in modo tale da simulare fatti, dichiarazioni o comportamenti che non sono mai avvenuti, oppure da alterare in modo sostanziale la realtà. L’elemento centrale è l’uso dell’AI per costruire una rappresentazione ingannevole della persona, che induce chi guarda o ascolta a credere che si tratti di un contenuto autentico.

Quali sanzioni rischia chi diffonde deepfake illeciti?

+

In linea generale, l’articolo 612 quater prevede una pena da uno a cinque anni di reclusione per l’illecita diffusione di contenuti generati o alterati con AI, in assenza di consenso e con danno concreto. In situazioni particolari, ad esempio quando sono coinvolti minori o quando il deepfake si inserisce in condotte più ampie (ricatti, molestie, revenge porn), possono aggiungersi altri reati con effetti ulteriori sul quadro sanzionatorio. Solo un legale può valutare con precisione il singolo caso.

Cosa cambia per le aziende rispetto alla condivisione di contenuti online?

+

Cambia il livello di attenzione richiesto. Utilizzare sui canali aziendali contenuti di cui non si conosce bene la provenienza può esporre l’organizzazione a rischi se quei materiali si rivelano essere deepfake non consensuali o ingannevoli. Diventa importante introdurre controlli sulle fonti, procedure di verifica per i contenuti più sensibili e momenti di formazione per chi gestisce comunicazione, social media, HR, relazioni esterne e funzioni di controllo interno.

Come può la digital provenance aiutare a prevenire problemi legati ai deepfake?

+

La digital provenance permette di associare a un contenuto digitale una sorta di “storia certificata”: chi lo ha acquisito, quando, con quale dispositivo, in quali condizioni e se è rimasto integro nel tempo. Se un’azienda utilizza sistemi che registrano in modo affidabile queste informazioni per i contenuti chiave, riduce il rischio di diffondere materiali manipolati e, in caso di contestazioni, può dimostrare con maggiore facilità la legittimità delle proprie azioni e la natura autentica dei file utilizzati.

In che modo TrueScreen si inserisce in questo quadro normativo?

+

TrueScreen aiuta sia a prevenire, sia a gestire situazioni legate ai deepfake. Da un lato, consente di certificare alla fonte i contenuti creati in contesti critici, offrendo una base solida di digital provenance e supportando il valore probatorio delle evidenze digitali, nei limiti delle norme applicabili. Dall’altro, mette a disposizione capacità di analisi per valutare contenuti ricevuti dall’esterno e individuare possibili manipolazioni. In questo modo supporta legali, compliance officer e team di sicurezza nel prendere decisioni più informate su cosa diffondere, come reagire a un possibile deepfake e quali prove raccogliere in caso di contenzioso.

Proteggi la tua organizzazione dal rischio deepfake

TrueScreen è una Data Authenticity Platform che aiuta aziende e organizzazioni a proteggere, verificare e certificare l’origine, la storia e l’integrità di foto, video, audio, screenshot e documenti, trasformandoli in evidenze digitali con valore legale progettate per supportare compliance, gestione del rischio e contenzioso nell’era dei deepfake.

Sign up for free
Richiedi una demo