⚠️ Fonte ufficiale: Questo articolo si basa sul comunicato stampa del Garante Privacy del 6 maggio 2026 (docweb 10246345, garanteprivacy.it) e sul provvedimento di avvertimento del 18 dicembre 2025 (docweb 10207132). Il Digital Omnibus AI Act, con accordo provvisorio PE-Consiglio del 7 maggio 2026, introduce il divieto esplicito di nudifier dal 2 dicembre 2026.

Deepfake AI generativa rischi PMI: cosa dice il Garante e cosa fare in azienda

I deepfake AI generativa rischi PMI non riguardano solo i casi eclatanti che finiscono sui giornali. Il 6 maggio 2026 il Garante per la protezione dei dati personali ha pubblicato un nuovo avvertimento ufficiale: chiunque utilizzi servizi di AI generativa capaci di manipolare immagini, voci o video di persone reali – anche in un contesto professionale apparentemente innocuo – può incorrere in gravi violazioni del GDPR e in possibili fattispecie di reato. Per una PMI o un freelance che usa tool AI per creare contenuti di marketing, video aziendali o assistenti vocali, il rischio è concreto e immediato.

Cosa ha detto il Garante il 6 maggio 2026

Il comunicato stampa ufficiale (docweb 10246345, gpdp.it) ribadisce quanto già anticipato nel provvedimento di dicembre 2025 (docweb 10207132): l’uso di servizi di AI generativa che consentono di creare o modificare immagini e voci di persone reali – inclusi i cosiddetti servizi di “nudify”, che simulano artificialmente corpi nudi a partire da fotografie ordinarie – determina gravi violazioni dei diritti fondamentali e può configurare reati penali, oltre alle sanzioni GDPR.

Il Garante ha citato esplicitamente tre piattaforme già oggetto di intervento: Grok (il chatbot AI di X/Twitter), ChatGPT di OpenAI e Clothoff, già bloccata dall’Italia nell’ottobre 2025. E ha rinnovato la richiesta al legislatore di ottenere il potere di interdire dall’Italia l’accesso a questi servizi in modo rapido e diretto, senza dover attendere procedimenti lunghi.

Il punto giuridico centrale è questo: un deepfake non è solo un contenuto “falso”. È un trattamento di dati biometrici e dati personali (l’immagine del volto, la voce, le caratteristiche fisiche di una persona identificabile) effettuato senza base giuridica valida e senza consenso. Questo lo rende una violazione diretta degli artt. 5, 6 e 9 del GDPR, con sanzioni fino al 4% del fatturato mondiale annuo per chi lo produce o distribuisce in modo professionale.

Il collegamento con il Digital Omnibus AI Act: divieto nudifier dal 2 dicembre 2026

L’avvertimento del Garante non arriva da solo. Il 7 maggio 2026, un giorno dopo il comunicato, Parlamento europeo e Consiglio UE hanno raggiunto l’accordo provvisorio sul Digital Omnibus AI Act, che introduce tra le pratiche vietate dall’AI Act (art. 5) un divieto esplicito dei sistemi di nudificazione non consensuale: i tool di AI che creano o manipolano immagini sessualmente esplicite di persone identificabili senza il loro consenso saranno vietati dal 2 dicembre 2026.

Questo significa che il quadro normativo si sta chiudendo su due fronti contemporaneamente: il GDPR (già oggi applicabile) e l’AI Act (con scadenza dicembre 2026). Per chi usa strumenti AI generativi in azienda, non è più una questione di futura compliance – è un rischio operativo attuale.

Quali strumenti AI sono a rischio: la mappa concreta per le PMI

Non tutti gli strumenti AI generativi presentano lo stesso livello di rischio. Ecco una mappa operativa:

Rischio alto – da evitare o verificare immediatamente:

• App di nudificazione o “face swap” sessualmente esplicito (già vietate di fatto dal GDPR, vietate dall’AI Act dal 2 dicembre 2026)
• Tool che clonano la voce di persone reali senza consenso scritto (es. per creare spot audio che simulano voci di clienti o testimonial)
• Generatori di video che inseriscono volti reali identificabili in scene non autorizzate
• Tool che creano avatar video realistici di persone reali per contenuti pubblicitari senza accordo contrattuale esplicito

Rischio moderato – serve consenso esplicito e documentazione:

• Generatori di immagini che includono volti di persone reali identificabili nei prompt (es. “genera un’immagine di [nome cliente] che presenta il nostro prodotto”)
• Tool di sintesi vocale usati per creare contenuti con la voce di dipendenti o collaboratori
• Sistemi di AI per video marketing che usano riprese reali di persone per generare varianti sintetiche

Rischio basso – gestibile con le normali cautele GDPR:

• Generatori di immagini con soggetti completamente fittizi o non identificabili
• Sintesi vocale con voci artificiali non riconducibili a persone reali
• Strumenti di editing video che non manipolano l’identità delle persone riprese

Tre scenari pratici per PMI e freelance italiani

Scenario 1 – L’agenzia di marketing che usa AI per i video dei clienti

Roberto gestisce un’agenzia di comunicazione a Roma. Per ridurre i costi di produzione video, ha iniziato a usare un tool di AI che prende il video originale di un testimonial cliente e ne genera varianti con testi e ambientazioni diverse, mantenendo il volto e la voce della persona reale. Il cliente ha firmato un contratto di utilizzo dell’immagine per i social, ma il contratto non menziona esplicitamente l’uso di AI generativa per creare varianti sintetiche.

Problema GDPR: il volto e la voce sono dati biometrici (art. 9 GDPR). Il consenso originale copriva la pubblicazione del video, non la generazione di varianti sintetiche tramite AI. Ogni variante generata è un nuovo trattamento che richiede una base giuridica autonoma – in questo caso, un consenso esplicito e specifico per l’uso AI.

Cosa fare subito: aggiornare i contratti di utilizzo dell’immagine con una clausola specifica che menzioni l’uso di AI generativa per la creazione di varianti. Per i contratti già firmati, ottenere un’integrazione scritta prima di continuare a usare il tool.

Scenario 2 – Il consulente che usa ChatGPT con immagini di clienti o colleghi

Carla è una consulente aziendale che usa ChatGPT per preparare presentazioni. In alcune occasioni ha caricato fotografie di colleghi o clienti chiedendo al modello di “migliorare” l’immagine, rimuovere lo sfondo o inserire la persona in un contesto diverso. Non ha mai pensato che questa operazione potesse avere implicazioni legali.

Problema GDPR: caricare su ChatGPT (o qualsiasi altro servizio AI cloud) fotografie di persone identificabili costituisce un trasferimento di dati personali – potenzialmente dati biometrici – a un titolare esterno. Senza una base giuridica valida (consenso della persona ritratta, DPA con OpenAI firmato, e finalità compatibile), questo trasferimento viola l’art. 6 e potenzialmente l’art. 9 del GDPR. Il Garante ha già avvertito che l’uso di ChatGPT per manipolare immagini di persone reali rientra nel perimetro del suo avvertimento.

Cosa fare subito: non caricare mai fotografie di persone identificabili su tool AI cloud senza consenso esplicito della persona ritratta. Verificare le policy di OpenAI sul trattamento dei dati caricati e, se si usa ChatGPT in ambito professionale, assicurarsi che il DPA con OpenAI sia attivo. Per una guida completa, consulta il nostro articolo su ChatGPT e GDPR per le aziende.

Scenario 3 – Il creatore di contenuti che usa voce sintetica per i video aziendali

Marco è un social media manager freelance. Per velocizzare la produzione di video per i suoi clienti, usa un tool di clonazione vocale che riproduce la voce del titolare dell’azienda cliente su script scritti da lui. Il titolare ha dato il via libera verbalmente. I video vengono pubblicati sui canali social aziendali come se fossero parlati direttamente dal titolare.

Problema GDPR e AI Act: la voce è un dato personale e, se usata per identificare una persona, può configurarsi come dato biometrico (art. 4 e 9 GDPR). Il via libera verbale non costituisce consenso valido ai sensi del GDPR, che richiede un consenso libero, specifico, informato e inequivocabile – preferibilmente in forma scritta quando si trattano dati particolari. Inoltre, l’art. 50 dell’AI Act (già in vigore dal 2 agosto 2025) richiede che i contenuti audio sintetici siano etichettati come tali. Pubblicare video con voce sintetica senza indicarlo espone Marco e il suo cliente a violazioni di entrambe le normative.

Cosa fare subito: far firmare al titolare un consenso scritto specifico per la clonazione vocale. Aggiungere in descrizione o nei metadati del video l’indicazione che contiene voce sintetica generata da AI, in conformità con gli obblighi di trasparenza dell’AI Act.

Il quadro normativo: GDPR, AI Act e codice penale italiano

Chi produce o distribuisce deepfake in modo professionale rischia su tre fronti distinti:

GDPR (già applicabile): i dati biometrici e i dati relativi all’immagine e alla voce di persone identificabili sono dati personali (art. 4) e, se elaborati per identificare univocamente una persona, dati di categoria particolare (art. 9). Trattarli senza consenso esplicito o altra base giuridica valida espone a sanzioni fino al 4% del fatturato mondiale annuo o 20 milioni di euro (la cifra più alta).

AI Act (scadenze 2025-2026): l’obbligo di etichettare i contenuti sintetici (audio, immagini, video) è già in vigore dall’agosto 2025 per i deployer di sistemi GPAI. Il divieto di nudifier diventa esplicito dal 2 dicembre 2026 con il Digital Omnibus. Chi usa sistemi AI per generare contenuti che imitano persone reali senza etichettatura rischia sanzioni fino a 15 milioni di euro o al 3% del fatturato.

Codice penale italiano: il Garante ha ricordato che la produzione e diffusione di deepfake – in particolare di contenuti sessualmente espliciti non consensuali – può configurare reati penali. Il riferimento normativo principale è l’art. 612-ter c.p. (diffusione illecita di immagini o video sessualmente espliciti), introdotto nel 2019 e recentemente rafforzato. Le pene vanno fino a 6 anni di reclusione in caso di aggravanti.

Checklist operativa: cosa fare adesso se usi AI generativa in azienda

1. Censisci tutti i tool AI generativi in uso – immagini, video, voce, avatar. Se non hai ancora una mappatura, usa la nostra guida alla mappatura degli strumenti AI
2. Verifica che nessuno strumento consenta nudificazione o face swap sessualmente esplicito – se lo consente, smetti di usarlo immediatamente: è già una violazione GDPR oggi, e sarà vietato dall’AI Act dal 2 dicembre 2026
3. Non caricare mai fotografie o audio di persone identificabili su tool AI cloud senza consenso scritto della persona e senza verificare le condizioni di trattamento del provider
4. Aggiorna i contratti con testimonial, modelli e collaboratori per includere una clausola esplicita sull’uso di AI generativa per creare varianti sintetiche della loro immagine o voce
5. Etichetta i contenuti AI generativi già pubblicati – aggiungi una nota esplicita in descrizione o nei metadati che il contenuto contiene elementi generati da AI
6. Verifica il DPA con ogni provider AI che usi – se carichi dati di clienti o collaboratori, il Data Processing Agreement deve essere firmato prima di usare il servizio. Consulta la nostra guida ai contratti con fornitori AI
7. Aggiorna l’informativa privacy se la tua azienda usa AI generativa per creare contenuti che coinvolgono persone. Uno strumento come iubenda può aiutarti a mantenere i documenti legali aggiornati

Domande frequenti

Posso usare Midjourney o DALL-E per generare immagini di persone per il mio marketing?

Dipende. Se generi persone completamente fittizie (non identificabili e non somiglianti a persone reali specifiche), il rischio GDPR è minimo. Se invece inserisci nel prompt il nome o le caratteristiche di una persona reale identificabile, stai trattando dati personali e ti serve una base giuridica valida. Il rischio cresce ulteriormente se le immagini generate vengono usate per scopi commerciali senza il consenso della persona.

Il Garante ha bloccato ChatGPT per i deepfake?

No, il blocco di ChatGPT del 2023 era per ragioni diverse (mancanza di base giuridica per il training). Il comunicato del 6 maggio 2026 cita ChatGPT come uno dei servizi già oggetto del provvedimento di avvertimento di dicembre 2025, ma non ha emesso un nuovo provvedimento di blocco. Il Garante ha chiesto al legislatore il potere di bloccare rapidamente le piattaforme che consentono la generazione di deepfake non consensuali – potere che al momento non ha in forma diretta.

Se un mio dipendente usa un tool di nudificazione per uso personale dal pc aziendale, sono responsabile io?

Potenzialmente sì, se non hai adottato misure organizzative adeguate (policy di uso accettabile degli strumenti aziendali, formazione, controlli). Il titolare del trattamento – ovvero l’azienda – risponde delle violazioni GDPR che avvengono attraverso i propri sistemi, anche se causate da un singolo dipendente, salvo che abbia preso tutte le misure ragionevoli per prevenirle. L’obbligo di AI literacy (già in vigore) include proprio la formazione del personale su questi rischi.

Il divieto di nudifier del Digital Omnibus vale solo per i produttori del tool o anche per chi lo usa?

L’AI Act si rivolge principalmente ai fornitori e ai deployer dei sistemi AI. Chi usa attivamente un tool di nudificazione per generare contenuti non consensuali è già oggi esposto alle sanzioni GDPR e al codice penale italiano (art. 612-ter c.p.), indipendentemente dal divieto AI Act che scatterà a dicembre 2026.

Come faccio a sapere se un tool AI che uso supporta già l’etichettatura dei contenuti sintetici?

Consulta la documentazione tecnica del provider e cerca riferimenti a C2PA (Coalition for Content Provenance and Authenticity), il principale standard per i metadati di provenienza dei contenuti AI. I principali provider (Adobe, Google, Microsoft, OpenAI) hanno già aderito. Se il tool che usi non ha documentazione su questo punto, contatta il supporto e richiedi informazioni scritte – la risposta (o l’assenza di risposta) è già un elemento di valutazione del rischio.

Approfondisci

Fonti e riferimenti ufficiali

• Garante Privacy italiano – Comunicato stampa deepfake AI, 6 maggio 2026 (docweb 10246345): garanteprivacy.it
• Garante Privacy italiano – Provvedimento di avvertimento, 18 dicembre 2025 (docweb 10207132): garanteprivacy.it
• Consiglio UE – Accordo provvisorio Digital Omnibus AI Act, 7 maggio 2026: consilium.europa.eu
• Regolamento (UE) 2016/679 (GDPR) – Artt. 4, 5, 6, 9: eur-lex.europa.eu
• Regolamento (UE) 2024/1689 (AI Act) – Artt. 5 e 50: eur-lex.europa.eu
• EDPB – Statement sui rischi dei sistemi AI generativi per le persone identificabili, 23 febbraio 2026: edpb.europa.eu
• Codice penale italiano – Art. 612-ter (diffusione illecita di immagini sessualmente esplicite)

Questo articolo non costituisce consulenza legale.