Claudio Marchesini

Deepfake: la nuova frontiera della manipolazione digitale

Negli ultimi anni la diffusione di contenuti generati o alterati tramite intelligenza artificiale ha trasformato radicalmente il panorama delle prove digitali. I cosiddetti deepfake - termine nato dalla fusione di deep learning e fake - sono immagini, video o tracce audio sintetiche in grado di riprodurre con sorprendente fedelta' il volto, la voce e i gesti di una persona reale. Cio' che fino a pochi anni fa richiedeva costosi studi di post-produzione oggi e' alla portata di chiunque grazie a modelli generativi accessibili online.

Per un perito informatico forense questa evoluzione comporta una sfida tecnica e metodologica: stabilire, con criteri scientifici e ripetibili, se un contenuto multimediale sia autentico, alterato o interamente sintetizzato. Si tratta di un'attivita' sempre piu' richiesta in ambito penale, civile e aziendale, dove un video falso puo' ribaltare l'esito di un procedimento o danneggiare in modo irreparabile la reputazione di una persona.

Perche' i deepfake interessano la giustizia

I contesti in cui un deepfake puo' diventare oggetto di perizia informatica sono molteplici:

• Diffamazione e revenge porn: volti reali innestati su corpi altrui o in scene compromettenti, con possibili profili di rilievo penale ai sensi degli articoli del codice penale in materia di diffamazione e di trattamento illecito di immagini intime.
• Truffe e frodi: video o audio che impersonano dirigenti aziendali per autorizzare bonifici (il cosiddetto CEO fraud evoluto) o falsi messaggi vocali di parenti in difficolta'.
• Cause di lavoro e separazioni: registrazioni prodotte come prova che potrebbero essere state ritoccate o ricostruite artificialmente.
• Disinformazione e reati d'opinione: dichiarazioni mai pronunciate attribuite a personaggi pubblici o testimoni.

In tutti questi casi l'autenticita' del file diventa il fulcro dell'intera vicenda processuale. Per questo motivo la catena di custodia e l'aderenza agli standard ISO/IEC 27037 e ISO/IEC 27042 sulla gestione delle prove digitali sono il presupposto indispensabile di qualunque analisi.

Come si riconosce un deepfake: gli indizi tecnici

Anche se i modelli generativi sono in continuo miglioramento, lasciano ancora una serie di tracce che un occhio esperto, supportato da strumenti specifici, puo' individuare. Una perizia informatica su video manipolati segue di norma piu' livelli di analisi.

1. Analisi percettiva e biometrica

Il primo passaggio e' uno studio attento del contenuto, fotogramma per fotogramma. Gli elementi che piu' frequentemente tradiscono un deepfake sono:

• Incongruenze dello sguardo: riflessi corneali asimmetrici, pupille di forma irregolare, ammiccamenti innaturali o assenti.
• Bordi del volto: transizioni sfocate fra pelle, capelli, orecchie e collo, soprattutto nei movimenti rapidi.
• Illuminazione e ombre: direzione della luce che non coincide con quella dell'ambiente circostante.
• Sincronia labiale: fonemi che non combaciano con i movimenti della bocca, in particolare sulle consonanti bilabiali.
• Texture della pelle: assenza di pori, nei o micro-imperfezioni, oppure ripetizione di pattern.

2. Analisi dei metadati e del contenitore

Ogni file multimediale porta con se' un insieme di informazioni tecniche: codec utilizzato, dimensioni, frame rate, dati EXIF, software di creazione, hash crittografici. Il confronto fra i metadati dichiarati e le caratteristiche reali del flusso video aiuta a identificare:

• ricodifiche multiple tipiche dei contenuti modificati;
• incongruenze fra data di creazione e modifica;
• tracce di software di editing o di generative AI.

Va ricordato pero' che i metadati possono essere facilmente alterati: la loro analisi e' un indizio, non una prova autonoma.

3. Analisi del segnale e delle compressioni

Tecniche come l'Error Level Analysis, l'analisi delle Photo Response Non-Uniformity (rumore caratteristico del sensore) e lo studio delle compressioni JPEG/H.264 permettono di evidenziare zone del fotogramma che hanno subito una storia di compressione diversa rispetto al resto. Sono particolarmente utili per individuare regioni in cui un volto e' stato sostituito o sovrapposto.

4. Analisi con modelli di intelligenza artificiale

Esistono ormai strumenti specifici - sia open source sia commerciali - addestrati per riconoscere i pattern statistici tipici dei contenuti generati da reti generative. La loro efficacia dipende dal dataset di addestramento: per questo motivo nessun risultato automatico va accettato in modo acritico. Il perito ha il dovere di descrivere il modello impiegato, la sua versione, i limiti dichiarati e il margine di errore.

Il metodo forense: dalla copia bit-stream alla relazione

Una corretta analisi forense di un video deepfake non puo' prescindere da un metodo rigoroso, ripetibile e contestabile dalla controparte. In sintesi le fasi sono:

1. Acquisizione del materiale originale tramite copia bit-stream e calcolo degli hash (SHA-256 o superiori).
2. Documentazione della fonte, del dispositivo, della piattaforma (es. WhatsApp, Telegram, social network), tenendo conto delle inevitabili ricompressioni introdotte dai servizi.
3. Analisi su copia di lavoro, mai sull'originale, applicando i livelli descritti sopra.
4. Validazione incrociata mediante piu' strumenti indipendenti.
5. Redazione della perizia, in cui il consulente espone metodo, strumenti, risultati e grado di confidenza, distinguendo cio' che e' tecnicamente provato da cio' che e' solo indiziario.

Le buone pratiche di riferimento sono quelle dell'ENFSI (European Network of Forensic Science Institutes) per il digital image authentication e degli standard ISO/IEC gia' citati.

Profili giuridici: privacy, prova e responsabilita'

L'utilizzo di un deepfake puo' integrare diverse fattispecie penali: dalla diffamazione alla sostituzione di persona, dall'estorsione alla frode informatica, fino al trattamento illecito di dati personali ai sensi del Regolamento UE 2016/679 (GDPR) e del Codice Privacy. L'AI Act europeo, in vigore in modo progressivo, introduce inoltre obblighi specifici di trasparenza per i contenuti sintetici, imponendo - salvo eccezioni - l'etichettatura come materiale generato artificialmente.

Sul piano processuale, la prova digitale e' ammessa ma deve superare il vaglio di autenticita' e integrita'. Una perizia informatica ben strutturata e' spesso decisiva per stabilire se un contenuto possa essere posto a fondamento di una decisione del giudice o se debba essere considerato inattendibile.

Come comportarsi se si sospetta un deepfake

Privati, aziende e legali che si trovino di fronte a un contenuto sospetto dovrebbero seguire alcune cautele essenziali, prima ancora di rivolgersi a un consulente tecnico:

• Non cancellare il file ne' i messaggi che lo veicolano: ogni elemento, comprese le conversazioni, e' potenzialmente utile.
• Conservare l'originale nella forma in cui e' stato ricevuto, evitando inoltri che introducono nuove compressioni.
• Annotare data, ora e fonte della ricezione.
• Evitare diffusioni ulteriori, che potrebbero aggravare il danno e complicare le indagini.
• Rivolgersi a un perito informatico forense per una valutazione preliminare e, se necessario, per il deposito in un procedimento.

Conclusioni

I deepfake non sono una minaccia astratta: sono gia' oggi parte integrante di contenziosi, indagini e crisi reputazionali. Riconoscerli richiede competenze multidisciplinari che uniscono elaborazione del segnale, intelligenza artificiale, diritto e metodologia forense. La buona notizia e' che, accanto al progresso delle tecniche di generazione, cresce anche la capacita' degli strumenti di analisi e l'esperienza dei professionisti del settore. Affidarsi tempestivamente a un perito informatico forense e' il modo piu' efficace per trasformare un sospetto in una valutazione tecnica solida, utilizzabile in giudizio e rispettosa dei diritti di tutte le parti coinvolte.