Cosa dice sui deepfake la proposta di Regolamento UE sull’Intelligenza Artificiale

Navigando in Internet ogni giorno, appare sempre più evidente l’approvazione di una serie di regole in grado di normare tutto quel che coinvolge il macro-settore dell’intelligenza artificiale. Il tema del presente e del futuro, infatti, a oggi non conosce delle leggi specifiche e comunitaria, al netto di quanto indicato all’interno del GDPR. Di recente, infatti, abbiamo assistito al moltiplicarsi di immagini realizzate attraverso programmi text-to-image: foto non reali ma che ingannano facilmente l’utente. Ma è possibile mettere dei paletti al fenomeno del deepfake, almeno secondo quanto previsto dalla proposta dell’AI Act dell’Unione Europea va proprio in quella direzione.

LEGGI ANCHE > AI, l’Apparenza che Inganna: le immagini che stanno ingannando il mondo

Prima di entrare nel dettaglio della proposta di legge europea, occorre dare una definizione per comprendere bene il concetto di cui stiamo parlando. Per farlo, utilizzeremo la spiegazione pubblicata sul sito del Garante per la Protezione dei dati personali:

«I deepfake sono foto, video e audio creati grazie a software di intelligenza artificiale (AI) che, partendo da contenuti reali (immagini e audio), riescono a modificare o ricreare, in modo estremamente realistico, le caratteristiche e i movimenti di un volto o di un corpo e a imitare fedelmente una determinata voce».

Dunque, si tratta di contenuti non reali che vengono generati attraverso software o applicazioni basate sull’intelligenza artificiale. Negli ultimi mesi sono stati largamente diffuse foto fake generate da programmi “text-to-image” (ovvero quelli in cui si inserisce un comando testuale, un prompt, per “stimolare” l’AI a sviluppare un concetto di immagine rispettando quelle indicazioni) come Midjourney e Stable Diffusion. Tutto ciò ha generato un grande caos, con utenti che hanno creduto che alcune fotografie (come il Papa che indossa un piumino bianco, Vladimir Putin inginocchiato davanti a Xi Jinping e Donald Trump arrestato dopo una resistenza ai pubblici ufficiali) fossero reali. Invece, si trattava di contenuti generati dalla AI.

Deepfake AI Act, cosa prevede la proposta di regolamento UE

Fatta questa doverosa promessa, possiamo entrare nel dettaglio del rapporto Deepfake-AI Act. La proposta di regolamento è stata presentata nell’aprile del 2021 e il testo è ancora in discussione, anche se siamo alle battute finali per la sua approvazione (ma non è ancora stato calendarizzato il voto). Ma scandagliando all’interno del testo, troviamo i 4 commi dell’articolo 52 (che si occupa degli “Obblighi di trasparenza per determinati sistemi di IA”) che ci spiegano come l’Europa voglia normare gli usi (ma soprattutto gli abusi) dell’Intelligenza Artificiale applicata.

1. I fornitori garantiscono che i sistemi di IA destinati a interagire con le persone fisiche siano progettati e sviluppati in modo tale che le persone fisiche siano informate del fatto di stare interagendo con un sistema di IA, a meno che ciò non risulti evidente dalle circostanze e dal contesto di utilizzo. Tale obbligo non si applica ai sistemi di IA autorizzati dalla legge per accertare, prevenire, indagare e perseguire reati, a meno che tali sistemi non siano a disposizione del pubblico per segnalare un reato.
2. Gli utenti di un sistema di riconoscimento delle emozioni o di un sistema di categorizzazione biometrica informano le persone fisiche che vi sono esposte in merito al funzionamento del sistema. Tale obbligo non si applica ai sistemi di IA utilizzati per la categorizzazione biometrica, che sono autorizzati dalla legge per accertare, prevenire e indagare reati.
3. Gli utenti di un sistema di IA che genera o manipola immagini o contenuti audio o video che assomigliano notevolmente a persone, oggetti, luoghi o altre entità o eventi esistenti e che potrebbero apparire falsamente autentici o veritieri per una persona (“deep fake”) sono tenuti a rendere noto che il contenuto è stato generato o manipolato artificialmente.
   Tuttavia il primo comma non si applica se l’uso è autorizzato dalla legge per accertare, prevenire, indagare e perseguire reati o se è necessario per l’esercizio del diritto alla libertà di espressione e del diritto alla libertà delle arti e delle scienze garantito dalla Carta dei diritti fondamentali dell’UE, e fatte salve le tutele adeguate per i diritti e le libertà dei terzi.
4. I paragrafi 1, 2 e 3 lasciano impregiudicati i requisiti e gli obblighi di cui al titolo III del presente regolamento.

Il comma che potrebbe avere degli effetti tangibili nel rapporto tra utenti e intelligenza artificiale, ma anche tra utenti e altri utenti, è il numero 4. Nello specifico, l’AI Act imporrà ai creatori di immagini (anche video) deepfake di rendere noto agli altri (in caso di pubblicazione o condivisione online) che quel contenuto non è reale. Una dichiarazione che dovrebbe mettere al riparo da inganni e facili fraintendimenti.

Il ruolo del GDPR

Questo aspetto fondamentale, all’interno del quadro Deepfake-AI Act viene corroborato dalle violazioni al Regolamento Europeo sulla Protezione dei dati personali (GDPR). Perché, spesso e volentieri, per far generare al programma basato sull’Intelligenza Artificiale un contenuto fotografico, vengono utilizzate immagini (all’interno del database) di persone reali. Dunque, come nei casi di cui abbiamo parlato in precedenza, Papa Francesco, Vladimir Putin, Donald Trump (e tanti altri, anche persone non famose) potrebbero rivendicare il proprio diritto alla protezione della propria immagine. Non a caso, infatti, il Garante Privacy italiano aveva pubblicato nel dicembre del 2020 un vademecum con tutte le indicazioni per difendersi e denunciare deepfake. Poi alcuni consigli su come riconoscere un contenuto reale da uno generato dall’intelligenza artificiale e come proteggersi dagli inganni:

• Evitare di diffondere in modo incontrollato immagini personali o dei propri cari. In particolare, se si postano immagini sui social media, è bene ricordare che le stesse potrebbero rimanere online per sempre o che, anche nel caso in cui si decida poi di cancellarle, qualcuno potrebbe già essersene appropriato.
• Anche se non è semplice, si può imparare a riconoscere un deepfake. Ci sono elementi che aiutano: l’immagine può appare pixellata (cioè un pò “sgranata” o sfocata); gli occhi delle persone possono muoversi a volte in modo innaturale; la bocca può apparire deformata o troppo grande mentre la persona dice alcune cose; la luce e le ombre sul viso possono apparire anormali.
• Se si ha il dubbio che un video o un audio siano un deepfake realizzato all’insaputa dell’interessato, occorre assolutamente evitare di condividerlo (per non moltiplicare il danno alle persone con la sua diffusione incontrollata). E si può magari decidere di segnalarlo come possibile falso alla piattaforma che lo ospita (ad esempio, un social media).
• Se si ritiene che il deepfake sia stato utilizzato in modo da compiere un reato o una violazione della privacy, ci si può rivolgere, a seconda dei casi, alle autorità di polizia (ad esempio, alla Polizia postale) o al Garante per la protezione dei dati personali.

Quattro tasselli utili per interrompere quella catena di condivisioni che danno vita a fenomeni di disinformazione di massa. Il tutto, ovviamente, con un occhio rivolto anche alla protezione dei dati personali.