Punti chiave da ricordare
- La minaccia deepfake è reale: 25,5 milioni di dollari sottratti attraverso una videoconferenza falsa, il 70% delle aziende francesi vittime di frode entro il 2022
- Il quadro giuridico europeo si sta rafforzando: eIDAS 2 e l’AI Act forniscono ora un quadro per le prove digitali e l’uso dell’intelligenza artificiale.
- La marcatura temporale elettronica qualificata sta diventando essenziale: certifica la data e l’ora dei documenti, con una presunzione legale di accuratezza.
- Firma elettronica certificata e archiviazione: garantisce l’autenticità, l’integrità e la conservazione a lungo termine delle prove digitali.
- Si affidi a fornitori di fiducia qualificati: operatori certificati dalle autorità nazionali europee in conformità al regolamento eIDAS per massimizzare il valore probatorio.
Deepfakes e AI: la prova digitale di fronte alla realtà manipolabile
Il termine “deepfake” è una contrazione di “deep learning” e “fake”. Questa tecnica si basa sull’analisi da parte dell’AI di molte ore di video o foto di una persona, al fine di ricrearne l’aspetto, la voce e le espressioni con precisione. L’algoritmo può poi far dire o fare qualsiasi cosa a questa persona virtuale.
La democratizzazione di questi strumenti sta rivoluzionando l’ecosistema delleprove. Non è più necessario avere competenze tecniche avanzate o un grande budget per falsificare un documento o un video in modo realistico. La maggior parte degli utenti di Internet può farlo da un semplice personal computer. Esistono persino applicazioni mobili in grado di generare deepfakes in tempo reale.
Tra i settori più esposti a questo tipo di frode ci sono la finanza, con ordini di trasferimento vocale falsi; l’e-commerce, con i deepfake utilizzati per creare falsi video promozionali in cui le celebrità sembrano consigliare prodotti contraffatti o di dubbia qualità; e le risorse umane, coninterviste telefoniche o in videoconferenza.
Legge europea sulle prove digitali
Di fronte a questi sviluppi, il quadro giuridico europeo sta cercando di adattarsi. Il regolamento eIDAS[4], in vigore dal 2016, definisce i servizi fiduciari elettronici. La sua versione rivista, eIDAS 2[5], entrata in vigore nel maggio 2024, rafforza i requisiti di sicurezza e introduce nuovi meccanismi di identità digitale europea.
Questa architettura legale stabilisce una chiara gerarchia tra i diversi livelli di prova elettronica. Una marca temporale elettronica qualificata, emessa da un fornitore di servizi di fiducia approvato dall’ANSSI, si presume legalmente accurata. Spetta alla controparte dimostrare l’eventuale inesattezza.
Allo stesso tempo, la Legge sull’AI[6], entrata in vigore nell’agosto 2024, fornisce un quadro per l’utilizzo dell’intelligenza artificiale. Questa normativa impone obblighi specifici ai sistemi di AI ad alto rischio e vieta alcune pratiche di manipolazione. Crea un quadro giuridico per distinguere i contenuti generati artificialmente, in particolare con obblighi di trasparenza e tracciabilità.
Anche l’ANSSI svolge un ruolo centrale in questa architettura, certificando i fornitori di servizi affidabili e rilasciando linee guida tecniche. Queste certificazioni consentono alle aziende di affidarsi a soluzioni legalmente riconosciute e tecnicamente affidabili.
Le strategie probatorie da implementare nelle aziende che devono affrontare le minacce dei deepfakes e della manipolazione da parte dell’AI
In risposta a queste sfide, le aziende devono ripensare il loro approccio alle prove digitali. Il primo passo è quello di mappare i documenti critici in base al loro potenziale valore probatorio. Non tutti i documenti digitali sono critici e quindi non richiedono lo stesso livello di protezione: un contratto commerciale strategico richiede maggiori garanzie di un semplice scambio di e-mail operative.
La marcatura temporale elettronica qualificata è il primo riflesso da adottare. Questo servizio consente diassociare in modo affidabile una data e un’ora a un documento digitale. Questo crea una prova di anteriorità che può essere utilizzata nei procedimenti legali. La marcatura temporale qualificata è integrata nel documento fin dal momento della sua creazione, semplificando notevolmente la creazione del file probatorio.
Per garantire l’autenticità e l’integrità, anche le firme elettroniche qualificate e i sigilli elettronici qualificati sono strumenti essenziali. Questi meccanismi, definiti dal regolamento eIDAS, consentono diidentificare formalmente l’autore di un documento e di rilevare eventuali modifiche successive. Il loro valore legale è equivalente a quello di una firma autografa tradizionale.
L‘archiviazione elettronica certificata completa questo sistema preservando l’integrità delle prove nel tempo. Un sistema di archiviazione elettronica conforme allo standard NF Z42-013 garantisce l’inviolabilità dei documenti, la registrazione di tutte le operazioni e la reversibilità a lungo termine dei formati.
Proprio per far fronte ai deepfake, si stanno sviluppando soluzioni di autenticazione biometrica e comportamentale . Queste tecnologie analizzano i metadati, confrontano gli indirizzi IP e rilevano le incongruenze invisibili a occhio nudo. Microsoft, Google e altri giganti della tecnologia stanno investendo molto in questi strumenti di rilevamento automatico.
Anche la tracciabilità dei processi di raccolta delle prove sta diventando fondamentale. Una documentazione precisa di chi ha raccolto le prove, quando, dove e come aiuta ad escludere qualsiasi sospetto di manipolazione. Questa documentazione meticolosa, che spesso viene trascurata, può fare la differenza nelle cause legali.
Anticipare le minacce future alle prove digitali
A lungo termine, icomputer quantistici potrebbero rivoluzionare l’intero ecosistema delle prove digitali. Questi super-computer, che sono ancora in fase sperimentale, potrebbero mettere in discussione gli attuali metodi di crittografia che proteggono le nostre comunicazioni e i nostri dati.
Questa minaccia, sebbene remota, richiede oggi una preparazione. Dal 2016, il NIST americano sta lavorando a nuovi algoritmi di crittografia “post-quantum” in grado di resistere agli attacchi quantistici[7]. In Francia, l’ANSSI sta monitorando attentamente questi sviluppi e raccomanda alle aziende di valutare la loro vulnerabilità a questo sviluppo tecnologico.
Conclusione
Con lo sviluppo esponenziale dell’AI e il suo utilizzo a fini fraudolenti, le aziende devono adottare un approccio globale per garantire la loro capacità di fornire prove ammissibili e sicure. Questo approccio combina diversi elementi:
- valutazione del rischio specifica per ogni tipo di documento,
- l’uso sistematico di fornitori di servizi qualificati e di fiducia,
- formare i team per affrontare le nuove minacce
- e l’introduzione di processi di verifica potenziati.
Questo rende particolarmente strategica la collaborazione con terze parti fidate . Questi fornitori di servizi, qualificati dalle autorità competenti del loro Paese (ANSSI in Francia) in conformità al regolamento eIDAS, forniscono le competenze tecniche e le garanzie legali necessarie per stare al passo con gli sviluppi tecnologici. Il loro coinvolgimento consente di spostare l’onere della prova su attori specializzati e certificati.
Anche l’adattamento costante delle pratiche è essenziale. Il panorama tecnologico sta cambiando rapidamente e le aziende devono rimanere vigili di fronte alle nuove minacce. Questa vigilanza tecnologica e normativa, integrata in un approccio di gestione del rischio, è la chiave per una strategia probatoria sostenibile.
Fonti
[1] Filippone D., Piégé par un deepfake en visio, un employé transfère 24 M€ à des escrocs, Le Monde Informatique, 5 février 2024 : https://www.lemondeinformatique.fr/actualites/lire-piege-par-un-deepfake-en-visio-un-employe-transfere-24-meteuro-a-des-escrocs-92875.html
[2] Europol, EU Serious and Organised Crime Threat Assessment (SOCTA) 2021, Un’influenza corruttrice: l’infiltrazione e l’indebolimento dell’economia e della società europea da parte del crimine organizzato: https://www.europol.europa.eu/cms/sites/default/files/documents/socta2021_1.pdf
[3] Osservatorio Industria Digitale Fiducia 2025: https://www.confiance-numerique.fr/wp-content/uploads/2025/06/observatoire-acn-2025-de-la-confiance-numerique.pdf
[4] Regolamento (UE) n. 910/2014 del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la Direttiva 1999/93/CE (eIDAS): https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=celex%3A32014R0910
[5] Regolamento (UE) n. 2024/1183 dell’11 aprile 2024 che modifica il Regolamento (UE) n. 910/2014 per quanto riguarda l’istituzione di un quadro europeo per l’identità digitale (eIDAS 2): https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=OJ:L_202401183
[6] Regolamento (UE) n. 2024/1689 del 13 giugno 2024 che stabilisce norme armonizzate sull’intelligenza artificiale: https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=OJ:L_202401689
[7] https://csrc.nist.gov/projects/post-quantum-cryptography
Esonero di responsabilità
Le opinioni, le presentazioni, le cifre e le stime presentate sul sito web, compreso il blog, sono solo a scopo informativo e non devono essere considerate come consulenza legale. Per una consulenza legale, deve contattare un professionista del settore nella sua giurisdizione.
L’uso del contenuto di questo sito web, compreso il blog, per scopi commerciali, inclusa la rivendita, è vietato senza il previo consenso di Evidency. La richiesta di autorizzazione deve specificare lo scopo e la portata della riproduzione. Per scopi non commerciali, tutto il materiale di questa pubblicazione può essere citato o ristampato liberamente, ma è necessario un riconoscimento e un link a questo sito web.
