Negli ultimi giorni Grok, il chatbot di xAI integrato in X, è finito al centro di uno scandalo internazionale: l’uso della funzione Spicy Mode ha consentito a migliaia di utenti di “spogliare” donne e minori, mettendoli in bikini o in pose sessuali senza alcun consenso. Deepfake di massa, una minaccia per tutti.

Ma come proteggersi?

Dopo il blocco in ottobre di Clothoff, l’app che “toglie i vestiti” alle persone nelle foto, ieri il Garante italiano ha richiamato l’attenzione proprio su servizi come Grok, ChatGPT e strumenti analoghi che permettono di generare contenuti a partire da immagini o voci reali di terzi.

Deepfake non consensuali e allarme regolatorio: cosa dice il Garante

Nel comunicato, l’Autorità chiarisce che generare e diffondere questi contenuti, in assenza del consenso degli interessati, può integrare fattispecie di reato e comportare “gravi violazioni dei diritti e delle libertà fondamentali” delle persone coinvolte, con le relative conseguenze sanzionatorie previste dal diritto europeo in materia di protezione dei dati.

Sotto la pressione dei regolatori, X ha nel frattempo limitato l’uso dell’AI per modificare le immagini ai soli utenti abbonati paganti, registrati con nome e metodo di pagamento.

La scelta è stata criticata perché rischia di trasformare un abuso in un servizio “premium”, più che di risolvere il problema di fondo.

Il nuovo reato dei deepfake non consensuali: l’articolo 612-quater c.p.

“Chi fa deepfake non consensuali corre rischi su tre piani: penale, civile e privacy”, riassume l’avvocato Antonino Polimeni.

Sul penale oggi c’è una norma specifica. La legge 132/2025 ha introdotto nel codice penale l’articolo 612-quater, il reato di deepfake, “Illecita diffusione di contenuti generati o alterati con sistemi di intelligenza artificiale”.

In sintesi (semplificando il testo della norma), è punito chi, senza consenso, diffonde immagini, video o voci falsificati o alterati tramite IA, idonei a ingannare sulla loro genuinità.

La pena base va da uno a cinque anni di reclusione, con aumenti in presenza di aggravanti (ad esempio se la vittima è minore, se c’è fine di profitto o se il fatto avviene nell’ambito di relazioni affettive o lavorative).

Il reato è nel nuovo art. 612-quater del codice penale, introdotto dalla legge 132/2025 sull’intelligenza artificiale, entrata in vigore il 10 ottobre 2025.

Deepfake non consensuali e norme già esistenti

Questa fattispecie si affianca, senza sostituirle, ad altre norme già esistenti e spesso rilevanti nei casi di deepfake sessuali.

• Revenge porn (art. 612-ter c.p.): punisce la diffusione non consensuale di immagini o video sessualmente espliciti, anche se oggi molti interpreti ritengono applicabile la norma anche quando il materiale è creato ex novo con l’IA.
• Diffamazione aggravata (art. 595, comma 3 c.p.): scatta quando l’immagine o il video lesivo viene diffuso su social o chat.
• Atti persecutori / stalking (art. 612-bis c.p.): quando i deepfake si inseriscono in condotte ripetute di minaccia, controllo, molestie.
• Estorsione, minaccia, pornografia minorile: se il contenuto viene usato per ricattare, o se riguarda minori, le pene si alzano drasticamente e il quadro diventa quello dei reati a tutela dei minori, con “tolleranza zero”.

La pubblicazione di immagini sessualmente esplicite può integrare il reato di revenge porn (art. 612-ter c.p.), anche se le immagini sono artificialmente create. La legge guarda all’effetto lesivo sulla dignità della persona, non allo strumento tecnico usato.

Va tenuto presente che la giurisprudenza su 612-quater è ancora agli inizi: molti profili interpretativi (ad esempio il rapporto preciso con il revenge porn o con la satira politica) saranno chiariti dai primi processi.

Deepfake non consensuali: i rischi concreti per chi crea e condivide

Se provo a “giocare” con il volto di una persona reale, cosa rischio in pratica?

Polimeni è netto: “Se creo un’immagine falsa e la mando a colleghi, amici, compagni di classe, o la pubblico su un social, posso finire in un procedimento penale vero, con il rischio concreto di una condanna”.

Gli scenari tipici sono tre.

Procedimento penale e concorso di reati

• 612-quater (deepfake IA) con pena fino a 5 anni.
• Eventuale concorso con diffamazione, revenge porn, atti persecutori, estorsione.
• Se coinvolge minori, si entra nel campo della pornografia minorile, con pene molto più severe e indagini particolarmente invasive.

Causa civile per risarcimento danni

L’immagine e la dignità della persona sono protette dalla legge. Se io metto il volto di qualcuno su un corpo nudo e lo diffondo, sto violando il diritto all’immagine e alla riservatezza e posso essere condannato a risarcire il danno.

Oltre al danno all’immagine, c’è il danno da diffamazione. I giudici liquidano cifre che possono andare da qualche migliaio di euro fino a decine di migliaia, in base alla gravità dell’offesa e alla diffusione.

Per un gruppo WhatsApp di circa dieci persone, con un’immagine sessuale falsa di una persona conosciuta, è realistico un risarcimento nell’ordine dei 20-30 mila euro.

Sanzioni privacy e intervento del Garante

Generare contenuti usando immagini o voci reali di terzi è, a tutti gli effetti, un trattamento di dati personali ai sensi del Gdpr.

Se manca una base giuridica (in pratica, il consenso) e un’informativa corretta, si rischiano provvedimenti di blocco, cancellazione, limitazione del trattamento.

Si rischiano anche sanzioni amministrative che, per organizzazioni, piattaforme e soggetti “semi-professionali”, possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo mondiale, oltre a ordini di rimozione.

Il punto critico è che il “solo scherzo” non è una difesa. E il fatto che l’immagine sia falsa “conta poco”, perché l’offesa nasce dall’attribuire a una persona reale un contenuto sessuale che non le appartiene.

Deepfake non consensuali e responsabilità del privato: la “zona rossa” della condivisione

Sul piano privacy, spesso si pensa che “i problemi sono delle piattaforme”.

In realtà, spiega Polimeni, la distinzione più concreta non è tra azienda e privato, ma tra “mi è rimasta sul telefono” e “l’ho condivisa”.

Se creo un deepfake e lo tengo sul mio dispositivo senza mostrarlo a nessuno, il profilo penale e quello privacy restano più sfumati, anche se l’operazione è comunque discutibile sul piano etico.

Nel momento in cui invio l’immagine anche solo a due persone, su una chat o su un social, entro già nella “zona rossa”: la condotta può integrare 612-quater, diffamazione e violazione del diritto all’immagine.

Non serve essere un’organizzazione o un “professionista”. Bastano uno smartphone, un’app IA e qualche inoltro su WhatsApp.

Deepfake non consensuali: come proteggersi

Per chi subisce un deepfake non consensuale, il quadro può sembrare schiacciante: il contenuto viaggia velocemente, spesso su piattaforme estere, e la rimozione totale è quasi impossibile.

Gli strumenti però ci sono, a tre livelli: penale, civile e regolatorio. Il fattore decisivo è il tempo.

Denuncia e querela

Questi comportamenti, nella maggior parte dei casi, integrano reati perseguibili a querela, quindi presentare denuncia è un passaggio fondamentale, anche perché abbiamo un termine di tre mesi per farlo.

La querela serve a attivare l’indagine penale, cristallizzare subito i fatti (date, contenuti, persone coinvolte) e mettere in moto i meccanismi di collaborazione internazionale quando la piattaforma è estera.

Per alcuni reati (pornografia minorile, estorsione, talune forme di stalking) si procede invece d’ufficio: qui la denuncia è comunque utile, ma non è giuridicamente indispensabile per far partire il procedimento.

Raccolta prove e segnalazioni alle piattaforme

In parallelo, è fondamentale documentare il più possibile: screenshot di immagini, commenti, nickname; link, url, data e ora; nomi delle persone che hanno visto o ricevuto i contenuti e che potrebbero testimoniare.

Con un dossier minimo di questo tipo, le segnalazioni alle piattaforme (tramite gli strumenti interni di “segnala” e, se possibile, canali dedicati agli abusi sessuali) hanno molte più chance di produrre una reazione rapida.

Qui entra in gioco una figura relativamente nuova: i segnalatori attendibili.

Si tratta di enti qualificati previsti dal Digital Services Act europeo e riconosciuti in Italia dall’Agcom. Le loro segnalazioni di contenuti illegali – come deepfake, pornografia non consensuale, abuso di minori – devono essere trattate con priorità dalle piattaforme e decise “senza indebito ritardo”.

Per un caso grave, rivolgersi a un segnalatore attendibile, in particolare se specializzato nella tutela dei minori, può fare la differenza fra una rimozione in poche ore e contenuti che restano online per settimane.

Tutele per i minori contro i deepfake non consensuali: privacy e cyberbullismo

Sul fronte privacy, il Garante può intervenire non solo contro le piattaforme, ma anche – nei casi più gravi – per bloccare la diffusione di contenuti illeciti.

Dal 2017, con la legge n. 71 sul cyberbullismo, il Garante ha un ruolo specifico per la tutela dei minori.

Il ragazzo che ha almeno 14 anni, o i genitori se è più piccolo, può chiedere a social e siti l’oscuramento, la rimozione o il blocco dei contenuti considerati atti di cyberbullismo.

Se il gestore non interviene entro breve, ci si può rivolgere al Garante, che deve intervenire entro 48 ore dal ricevimento della richiesta.

Sul sito del Garante è disponibile un modello specifico per la segnalazione/reclamo in materia di cyberbullismo, da compilare e inviare, anche via e-mail, all’Autorità.

Questo strumento è pensato proprio per situazioni che vanno dalla denigrazione sui social alle manipolazioni delle immagini del minore o dei suoi familiari, con l’obiettivo di isolarlo, umiliarlo o ridicolizzarlo.

Deepfake non consensuali: non è un gioco, e il tempo conta

In pratica, chi crea e diffonde deepfake non consensuali rischia tre conseguenze molto concrete: un procedimento penale, con pene anche detentive; un risarcimento danni potenzialmente pesante; l’intervento delle autorità di protezione dati, con ordini di blocco e sanzioni.

Per le vittime gli strumenti ci sono, ma non sono automatici. Occorrono sangue freddo e rapidità: raccogliere prove, segnalare subito, attivare querela e tutele privacy, possibilmente con l’aiuto di un avvocato o di associazioni specializzate.

Resta una domanda aperta, che riguarda più le piattaforme che i singoli utenti: se sappiamo che il primo uso di molti strumenti di IA è “spogliare” qualcuno senza consenso, quanto è accettabile affidarsi solo alla punizione ex post, invece di progettare servizi che rendano molto più difficile – o impossibile – questo tipo di abuso fin dall’inizio?