Deepfake phishing: non dimentichiamo l’importanza della formazione
La cantante Taylor Swift che in un video molto condiviso sui social, regala tremila set di pentole di Le Creuset ai suoi fan; l’attore Tom Hanks che, in un video virale promuove un’assicurazione dentale; Joe Biden che invita gli elettori a non andare a votare alle primarie; Zelensky che invita gli Ucraini a deporre le armi.
Non si tratta di barzellette ma di immagini e voci che hanno circolato molto sul web e che sono state riprese e condivise con la velocità con cui oggi si usano i social.
Anche il Italia il fenomeno è molto diffuso.
Basti pensare al Governatore della Banca d’Italia Fabio Panetta che promuove investimenti finanziari sicuri e profittevoli e a molti altri personaggi della politica e dello spettacolo che sono stati clonati: Elly Schlein, Giuseppe Conte, Giorgia Meloni, Mara Venier, che si è ritrovata a fianco di Elon Musk per promuovere un investimento truffa o Fabio Fazio che pubblicizza una piattaforma finanziaria per ottenere molto denaro in pochi mesi.
Un fenomeno che fa molta paura è quello del Deepfake Phishing, una tecnologia utilizzata per creare immagini e video falsi o per riprodurre lo stesso tono o timbro di voce e la cui la sua applicazione più inquietante è quella utilizzata per imitare alla perfezione amministratori delegati e dirigenti di aziende che impartiscono ordini ai loro sottoposti.
Si tratta di attacchi che possono avere un effetto devastante.
Ad esempio, nel 2021, i criminali informatici hanno utilizzato la clonazione della voce per imitare l’amministratore delegato di una grande azienda e hanno indotto con l’inganno il direttore della banca dell’organizzazione a trasferire 35 milioni di dollari su un altro conto per completare una “acquisizione”.
Un incidente simile si è verificato nel 2019. Un truffatore ha chiamato l’amministratore delegato di un’azienda britannica imitando l’amministratore delegato della società madre tedesca dell’azienda e chiedendo un trasferimento urgente di $243.000 a un fornitore ungherese.
Quella della clonazione di immagini e voci per diffondere messaggi falsi è una tendenza sempre più utilizzata e raffinata e rappresentano una preoccupazione significativa per la privacy, la sicurezza e la veridicità delle informazioni nonché per la reputazione e la dignità delle persone. La diffusione non consensuale di deepfake ha assunto proporzioni allarmanti, coinvolgendo non solo personaggi pubblici ma anche cittadini comuni, con particolare attenzione al fenomeno della pornografia deepfake che colpisce principalmente le donne.
Per questo alcuni Stati stanno correndo ai ripari velocemente. Tra questi in pole position troviamo la Danimarca che si prepara a diventare il primo paese europeo ad affrontare sistematicamente il problema dei deepfake attraverso una riforma radicale della legislazione sul copyright.
La proposta danese
La riforma prevede che il corpo, i tratti somatici e la voce di ognuno siano coperti dal ‘diritto d’autore’. Un approccio che equipara l’identità fisica e vocale di una persona a un’opera d’arte, creando una protezione legale che fino ad ora non esisteva. Quella allo studio a Copenaghen, può diventare, così, la prima legge in Europa a proteggere le persone contro le imitazioni digitali della loro identità. La proposta ha già raccolto un ampio consenso politico, segno della trasversalità del problema e della necessità di un intervento legislativo urgente.
I dettagli della riforma
Il percorso legislativo è già tracciato: il Ministero della Cultura prevede di presentare una proposta di modifica della legge vigente prima della pausa estiva e di sottoporre in autunno l’emendamento al voto del Parlamento. Il ministro della Cultura danese, Jakob Engel-Schmidt, ha chiarito che il disegno di legge dovrebbe trasmettere il “messaggio inequivocabile” che tutti hanno diritto al proprio aspetto e alla propria voce, proteggendole dall’IA generativa.
Le modifiche alla legge danese sul copyright daranno teoricamente ai cittadini danesi il diritto di chiedere alle piattaforme online di rimuovere tali contenuti se condivisi senza consenso. La protezione si estenderà anche al mondo dello spettacolo, coprendo le “imitazioni realistiche generate digitalmente” della performance di un artista senza il suo consenso.
La nuova legge non si limita a riconoscere diritti teorici, ma prevede anche meccanismi di enforcement efficaci. In caso di violazione delle norme, gli interessati potrebbero chiedere anche un risarcimento. Un aspetto fondamentale perché trasforma la tutela dell’identità digitale da una mera questione di principio a un diritto azionabile con concrete conseguenze economiche per i trasgressori.
Per quanto riguarda le piattaforme tecnologiche, il governo danese ha annunciato un approccio deciso: Se le piattaforme tecnologiche non si adeguano alla nuova legge, potrebbero essere soggette a “multe severe“. Questa minaccia di sanzioni economiche significative dovrebbe incentivare le piattaforme a sviluppare sistemi di rilevamento e rimozione dei deepfake più efficaci.
Equilibrio tra tutela e libertà di espressione
Una delle sfide principali nella regolamentazione dei deepfake è trovare il giusto equilibrio tra la protezione dei diritti individuali e la libertà di espressione. La proposta danese affronta questa questione prevedendo specifiche eccezioni: la legge esclude dalla sua applicazione la satira e le parodie, riconoscendo l’importanza della libertà artistica e del dibattito pubblico.
Una distinzione cruciale perché evita di trasformare la legge in uno strumento di censura, mantenendo invece il focus sulla protezione contro gli abusi malintenzionati. In generale, il successo di questa iniziativa dipenderà dalla capacità di bilanciare efficacemente la protezione dei diritti individuali con la necessità di non ostacolare né l’innovazione tecnologica né la libertà di espressione.
La Danimarca si posiziona così tra i primi Paesi europei ad affrontare a tutto tondo e in modo sistemico il fenomeno, superando l’approccio finora concentrato soprattutto sulla pornografia deepfake. Un nuovo paradigma normativo che rappresenta un passo in avanti che si spera influenzi significativamente lo sviluppo della legislazione europea e internazionale sui deepfake e che ridefinisca gli standard per la protezione dell’identità digitale nel XXI secolo.
Bene il nuovo trend legislativo ma non scordiamo il ruolo della formazione
Il nuovo trend legislativo lanciato dalla Danimarca è senz’altro una buona notizia che fa ben sperare in un futuro in cui ci saranno l’identità digitale, la privacy, e la sicurezza nei confronti dei deepfake saranno maggiormente tutelate.
Ma questo non deve farci dimenticare l’importanza del ruolo di una corretta formazione, soprattutto di una sua integrazione nei programmi delle aziende e delle organizzazioni.
Gli utenti dovranno sempre più essere in grado di identificare i segnali comuni di allarme, come ad esempio la mancata sincronizzazione tra il movimento delle labbra e l’audio, o di scoprire indicatori come distorsioni, deformazioni o incoerenze nelle immagini e nei video.
Ma avere queste conoscenze teoriche non è sufficiente.
Bisogna anche continuamente allenarsi a riconoscere i segnali sospetti. Cosa che implica un costante lavoro di training. Il concetto è che per stare al sicuro bisogna essere un passo avanti al cyber criminale e per farlo bisogna correre molto veloce. Stiamo infatti parlando di maratoneti del crimine informatico. Non è un obiettivo impossibile come può sembrare, tutt’altro. L’importante è studiare, conoscere, allenarsi e stare sempre sul pezzo.
