Nel secondo contributo del percorso dedicato al danno reputazionale, l’attenzione si sposta su una minaccia sempre più sofisticata e pervasiva: i deepfake. L’Avvocato Riccio analizza l’impatto di questi contenuti sull’identità e reputazione aziendale, evidenziando le criticità legate alla prova del danno, all’individuazione dei responsabili e al ruolo degli intermediari digitali alla luce del Digital Services Act e della recente normativa italiana sull’intelligenza artificiale. Tra evoluzione del quadro giuridico e strumenti tecnologici di difesa, l’articolo offre una chiave di lettura operativa per imprese e professionisti, introducendo il tema della gestione preventiva e reattiva delle crisi reputazionali nell’ecosistema digitale.
Quale impatto dei deepfake sui brand aziendali? Uno dei principali problemi connessi alla diffusione delle tecnologie di intelligenza artificiale è rappresentato dalla produzione e diffusione di contenuti falsi . Le fake news , già da tempo oggetto di attenzione in sede politica e legislativa (in particolare con il Codice di buone pratiche sulla disinformazione , introdotto nel 2018 e rafforzato nel 2022 e con il Digital Services Act ), si collocano oggi in un ecosistema informativo radicalmente trasformato dall’emergere dei deepfake , ossia contenuti audiovisivi generati o manipolati mediante algoritmi di machine learning in grado di simulare realisticamente identità, voci e comportamenti. Il dilagare di questo fenomeno, se osservato dalla prospettiva della tutela della reputazione aziendale , assume una dimensione peculiare, caratterizzata da una maggiore pervasività del danno e da una significativa difficoltà di individuazione dei responsabili. Forse qualcuno ricorderà il caso di Elon Musk che, nel 2022, era stato involontario protagonista di video manipolati in cui l’imprenditore sembrava promuovere truffe legate a criptovalute, inducendo gli utenti a effettuare investimenti fraudolenti. Sebbene questi contenuti fossero destinati principalmente a colpire il pubblico dei potenziali investitori, possiamo davvero escludere un impatto diretto anche sull’ immagine dell’imprenditore e delle sue attività economiche? Peraltro, dal 2022 sembra trascorsa un’era geologica: quanto è semplice, oggi, diffondere contenuti falsi che riguardano imprenditori noti, anche se solo a livello locale, e incidere sulla credibilità dei loro prodotti o servizi e dei loro brand ? Difatti, com’è noto, la specificità dei deepfake risiede nella loro capacità di superare la soglia di credibilità che tradizionalmente consentiva al destinatario medio di distinguere tra vero e falso. Col tempo avevamo imparato a contrastare le fake news testuali , anche mediante strumenti di fact-checking relativamente consolidati; ora, invece, i contenuti audiovisivi sintetici pongono problemi ulteriori, in quanto incidono su meccanismi cognitivi più profondi e generano un impatto reputazionale immediato e difficilmente reversibile. Sul piano giuridico, tali fenomeni sollecitano una riflessione sulla tenuta delle categorie classiche della responsabilità civile , in particolare con riferimento all’individuazione del soggetto responsabile e alla prova del danno. La struttura multilivello dell’ ecosistema digitale rende infatti complesso distinguere tra autore materiale del contenuto, piattaforma di diffusione e eventuali soggetti che ne amplificano la circolazione. In questo scenario, il ruolo degli intermediari digitali assume una centralità crescente. Occorre, però, tenere distinte le responsabilità civili rispetto agli illeciti penali , recentemente introdotti a livello legislativo. Difficoltà nella prova del danno È noto che la responsabilità degli operatori di internet, disciplinata dalla Direttiva 2000/31 , recepita in Italia con il D. Lgs. 70/2003 e, più recentemente, dalla Direttiva 2019/790 e dal Digital Services Act (seppur limitatamente a taluni soggetti), è strutturata secondo modelli di esenzione condizionata , che si fondano sul complesso equilibrio tra libertà di impresa, libertà di espressione e tutela dei diritti fondamentali. Sebbene in questa sede non sia possibile analizzare compiutamente il dato normativo, pare possibile osservare che il D. Lgs. 70/2003 poggiava su di un modello colposo, che mirava a ritenere non responsabili gli internet service provider (ISP) fintantoché il contributo alla diffusione dei contenuti fosse stato di natura meramente intermediaria ossia nel caso in cui gli ISP non avessero inciso su tali contenuti e, una volta informati dell’illiceità degli stessi, li avessero rimossi dai propri servizi. L’evoluzione tecnologica, il passaggio al Web 2.0 , dove gli utenti sono divenuti anche creatori di contenuti, ha determinato un cambio negli originari paradigmi. Come si accennava, un primo intervento è avvenuto con la direttiva Direttiva 2019/790 , il cui articolo 17 introduce un regime di responsabilità rafforzata per i prestatori di servizi di condivisione di contenuti online, i quali sono tenuti a ottenere un’autorizzazione dai titolari dei diritti oppure, in mancanza, a dimostrare di aver compiuto i massimi sforzi per impedirne la disponibilità non autorizzata: tale previsione, seppur tangenzialmente, assume rilievo anche rispetto ai deepfake , nella misura in cui questi ultimi incorporano frequentemente opere protette, quali immagini, video o registrazioni vocali. Successivamente, l’introduzione del Digital Services Act (Regolamento 2022/2065) ha inciso sui rischi sistemici online , introducendo un sistema articolato di obblighi che, pur non essendo specificamente rivolti ai deepfake, risultano particolarmente rilevanti per il loro contrasto. Il Regolamento, infatti, distingue tra diverse categorie di prestatori di servizi, imponendo obblighi più stringenti alle piattaforme di grandi dimensioni, le quali sono tenute a valutare e mitigare i rischi sistemici derivanti dall’uso dei loro servizi, inclusi quelli connessi alla diffusione di disinformazione e contenuti manipolati. In tale contesto, i deepfake possono essere ricondotti nella più ampia categoria dei rischi per il dibattito pubblico, la sicurezza e i diritti fondamentali, rispetto ai quali le piattaforme devono adottare misure adeguate, quali l’implementazione di sistemi di rilevazione automatica, la modifica degli algoritmi di raccomandazione e il rafforzamento dei meccanismi di segnalazione e rimozione. Un ulteriore elemento rilevante è rappresentato dalla previsione di obblighi specifici in materia di tracciabilità dei contenuti . In presenza di contenuti illeciti, comprese le ipotesi in cui i deepfake integrino violazioni della dignità, della reputazione (anche aziendali) o di altri diritti fondamentali, le piattaforme sono tenute ad agire con tempestività, secondo procedure standardizzate che garantiscano al contempo efficienza e rispetto delle garanzie procedurali. Gli scogli maggiori da superare restano, però, l’individuazione dei soggetti che hanno creato e diffuso i deepfake e la prova del danno subito a livello aziendale, che, generalmente, può essere dimostrato mediante il ricorso a presunzioni. Sebbene sia una strada più irta, è possibile allegare anche la documentazione che attesti la perdita di contratti, la diminuzione del fatturato, la contrazione del valore del marchio o la riduzione della fiducia degli investitori. In sede giudiziaria, è poi consigliabile il ricorso ad una consulenza tecnica , che effettui una data analysis anche sulle piattaforme di social network, per valutare sia la riduzione del “traffico” sulle pagine aziendali sia un eventuale mutamento del sentiment (ossia del grado di apprezzamento degli utenti delle piattaforme rispetto ai prodotti o servizi dell’impresa). Legge italiana sull’IA e contrasto ai deepfake La recente Legge 23 settembre 2025, n. 132 ha tentato di porre un argine al fenomeno, introducendo per la prima volta una disciplina espressamente rivolta ai deepfake . L’intervento normativo si caratterizza per una prevalente impostazione penalistica, volta a colmare un vuoto di tutela emerso con l’evoluzione delle tecniche di manipolazione audiovisiva, con l’introduzione di una nuova fattispecie incriminatrice, collocata all’interno del codice penale tra i delitti contro la persona, che punisce la diffusione illecita di contenuti generati o alterati mediante sistemi di intelligenza artificiale . La norma individua come condotta tipica la pubblicazione o diffusione di immagini, video o audio manipolati, in assenza del consenso dell’interessato, quando tali contenuti risultino idonei a trarre in inganno circa la loro autenticità e a cagionare un danno ingiusto. La struttura della fattispecie evidenzia una duplice dimensione offensiva: da un lato, la lesione dell’identità personale, intesa come proiezione sociale dell’individuo; dall’altro, il pregiudizio patrimoniale o non patrimoniale derivante dalla circolazione del contenuto falsificato. La scelta del legislatore di tipizzare autonomamente il deepfake risponde all’esigenza di superare l’inadeguatezza delle categorie tradizionali, quali la diffamazione o la sostituzione di persona, rispetto a fenomeni caratterizzati da un elevato grado di realismo e da una diffusione potenzialmente virale. In tal senso, la nuova disposizione si configura come norma di integrazione del sistema, idonea a ricomprendere condotte che, pur presentando profili di contiguità con fattispecie già esistenti, manifestano un disvalore ulteriore legato all’uso dell’ intelligenza artificiale come strumento di manipolazione. Accanto a tale intervento, la legge ha introdotto una circostanza aggravante generale applicabile ai reati commessi mediante sistemi di intelligenza artificiale . L’inserimento di questa previsione nel catalogo delle aggravanti comuni riflette la consapevolezza che l’AI costituisce un fattore di potenziamento della capacità offensiva della condotta, in quanto consente di realizzare contenuti altamente verosimili, difficilmente distinguibili dal reale e idonei a ostacolare le possibilità di difesa della vittima. Sono sufficienti gli strumenti giuridici? Lo abbiamo già detto nel primo articolo pubblicato sul tema. La crescente sofisticazione delle tecniche di aggressione reputazionale impone l’adozione di strategie di difesa che integrino i tradizionali rimedi giuridici con l’ausilio della tecnologia. In particolare, le aziende devono dotarsi di sistemi di monitoraggio continuo della propria presenza online, in grado di individuare tempestivamente contenuti sospetti o potenzialmente dannosi, che possano rilevare i deepfake prima della loro propagazione virale. In questo senso, accanto ai sistemi di rilevazione, assumono rilievo crescente le tecniche di autenticazione dei contenuti , come l’uso di watermark digitali , firme crittografiche e soluzioni basate su registri distribuiti. Questi strumenti consentono di certificare l’origine e l’integrità dei contenuti ufficiali prodotti dall’azienda, facilitando la distinzione tra comunicazioni autentiche e materiali falsificati e, sempre in un’ottica preventiva, è consigliabile, per le imprese, l’adozione di protocolli interni per la gestione delle crisi reputazionali , che prevedano procedure rapide di risposta, coordinamento con le piattaforme e comunicazione trasparente verso il pubblico. Non meno rilevante è il profilo organizzativo, che implica la formazione del personale e la sensibilizzazione dei vertici aziendali rispetto ai rischi connessi all’uso improprio dell’ intelligenza artificiale . È fondamentale, dunque, che la compliance aziendale includa specifici presidi in materia di gestione dei contenuti digitali e tutela dell’identità aziendale. Se pensi che il danno reputazionale sia una variabile determinante nel successo o nel fallimento di un cliente, restare fermi all’analisi teorica non basta più. Con il Prof. Avv. Giovanni Maria Riccio (Partner Studio Legale E-Lex, Professore ordinario di Diritto comparato, Università di Salerno) puoi acquisire un vantaggio competitivo concreto. Il corso online “Reputazione digitale e rischio giuridico” (9 e 16 giugno 2026) condensa in 6 ore strumenti operativi, casi reali e strategie difensive immediatamente spendibili nella pratica professionale. Dalla diffamazione online al diritto all’oblio, fino alla gestione delle crisi reputazionali e ai rischi legati all’AI, ogni modulo è progettato per farti agire, non solo comprendere. I posti sono limitati e la domanda è alta: non restare indietro. Consulta il programma completo e iscriviti subito con il tuo referente di zona o sul nostro Shop.