Studio Sottocasa
STUDIO LEGALE SOTTOCASA
Privacy

Deepfake intimi e rimozione in 48 ore: cosa insegna all’Italia la nuova stretta USA

Il 19 maggio 2026 segna una data da osservare con attenzione anche fuori dagli Stati Uniti. Da oggi, infatti, la Federal Trade Commission può far valere la parte civile del TAKE IT DOWN Act, una legge federale che affronta in modo molto concreto la diffusione non consensuale di immagini intime, comprese le immagini manipolate o generate artificialmente, cioè quelle che la normativa americana qualifica come digital forgeries.

La notizia è giuridicamente interessante non perché arrivi da un altro ordinamento e quindi “faccia tendenza”, ma perché mette in evidenza il punto più difficile del problema: quando un contenuto intimo falso o manipolato circola online, il danno non dipende solo dalla sua esistenza, ma dalla sua velocità di propagazione, dalla facilità di replica e dalla difficoltà di fermarlo in tempo utile. Per questo la questione non è soltanto se il contenuto sia illecito, ma anche chi debba intervenire, con quali procedure e in quanto tempo.

Secondo la guida pubblicata dalla FTC, le piattaforme coperte dalla legge devono mettere a disposizione un meccanismo chiaro per ricevere richieste valide di rimozione e, una volta ricevuta una segnalazione conforme, devono agire entro 48 ore per rimuovere il contenuto e le copie identiche note. La stessa guida richiama anche aspetti organizzativi molto pratici: visibilità della procedura, accessibilità per gli utenti, tracciabilità interna delle richieste e uso di strumenti tecnici idonei a limitare la ricomparsa del materiale, come l’hashing.

Questa impostazione merita attenzione perché sposta il baricentro dalla sola proibizione del fatto illecito alla costruzione di un dovere operativo di risposta. In altri termini, il legislatore americano sembra dire che, davanti ai deepfake intimi, non basta sanzionare a valle il responsabile della creazione o della pubblicazione: occorre anche pretendere un’infrastruttura minima di reazione da parte dei soggetti che rendono il contenuto disponibile, lo ospitano o ne facilitano la permanenza online.

Per capire la portata del tema, occorre fare un passo indietro. I deepfake intimi sono una delle forme più aggressive di lesione della persona nell’ecosistema digitale. Possono colpire identità, reputazione, vita relazionale, attività professionale e libertà personale. Quando il contenuto è costruito con IA generativa, il problema aumenta, perché la falsificazione può essere più credibile, più economica da produrre e più rapida da distribuire. Inoltre, la vittima si trova spesso a dover provare non solo il danno, ma persino la falsità del materiale, mentre il contenuto continua a circolare.

Nel contesto italiano, il tema è già emerso con forza sul versante privacy. Il Garante per la protezione dei dati personali, nel comunicato del 6 maggio 2026, ha ribadito la gravità dei rischi connessi ai deepfake e ha chiesto poteri più incisivi per intervenire rapidamente. Questo è un passaggio importante, perché mostra che anche nel nostro ordinamento il problema centrale non è soltanto qualificare l’illecito, ma rendere effettiva la tutela. Una lesione che corre online richiede strumenti che corrano almeno allo stesso ritmo.

Sul piano normativo, però, il quadro europeo e italiano resta più frammentato. Esistono certamente strumenti rilevanti: il GDPR per i profili di trattamento illecito dei dati personali; la tutela civilistica dei diritti della personalità, dell’immagine, dell’onore e della reputazione; le regole sui servizi digitali; in prospettiva, alcuni obblighi di trasparenza e governance dell’AI Act. Ma questi strumenti non sempre convergono in una procedura semplice, chiara e veloce come quella che oggi la FTC pretende dalle piattaforme statunitensi.

Qui sta il vero interesse comparato della notizia. Il modello americano, almeno per come emerge dalle fonti ufficiali oggi disponibili, non si limita a dire che la diffusione di immagini intime non consensuali è illecita. Pretende che chi gestisce il servizio abbia una porta d’ingresso per la richiesta, una tempistica di risposta e una capacità organizzativa adeguata. In termini di compliance, questo significa che la responsabilità non viene letta solo come eventuale colpa per aver creato il danno, ma anche come possibile inadeguatezza della struttura di gestione del rischio.

Sul piano interpretativo, questa è una lezione utile anche per l’Europa. L’AI Act, da solo, non risolve il problema dei deepfake intimi. È vero che il quadro europeo si è fatto più severo verso certe pratiche e che il dibattito regolatorio sui contenuti artificiali è molto avanzato. Ma il punto decisivo, per le vittime e per gli operatori, resta pratico: come si ottiene una rimozione rapida; chi valuta la segnalazione; con quali standard minimi; con quale coordinamento tra privacy, tutela consumeristica, disciplina dei servizi digitali e responsabilità civile.

Per un’impresa o una piattaforma, il messaggio è netto. Non basta predisporre una policy generica o un disclaimer. Servono procedure leggibili, canali di segnalazione accessibili, istruttorie rapide, personale formato, criteri di escalation interna, strumenti per limitare la ri-pubblicazione e sistemi documentali che dimostrino cosa è stato fatto e quando. Quando il danno è connesso a contenuti intimi falsificati, il fattore tempo pesa quasi quanto il merito giuridico della decisione finale.

Per i professionisti del diritto, la notizia suggerisce anche un altro punto. Nei contenziosi che verranno, conterà sempre di più la prova dell’adeguatezza organizzativa. Una domanda non riguarderà solo se il contenuto fosse illecito, ma anche se il gestore del servizio avesse previsto una procedura ragionevole per reagire, se l’avesse resa davvero utilizzabile e se l’avesse attivata con tempestività. Questo sposta l’attenzione dalla sola responsabilità per il fatto alla responsabilità per il processo.

Naturalmente, bisogna evitare semplificazioni. Non si può trasferire automaticamente il modello statunitense nel diritto italiano. Le categorie giuridiche sono diverse, così come sono diversi il rapporto tra autorità, i margini di intervento sulle piattaforme e le basi normative disponibili. Però il confronto resta prezioso, perché illumina un problema comune: la tutela contro i deepfake intimi diventa reale solo quando l’ordinamento costruisce non soltanto divieti, ma anche meccanismi rapidi di emersione, valutazione e rimozione del danno.

Un esempio concreto aiuta a capire. Se una professionista scopre online un video intimo falsificato costruito con IA a partire da sue immagini pubbliche, la lesione non è differita, ma immediata. Ogni ora di permanenza online aggrava il danno reputazionale, lavorativo e relazionale. In casi come questo, avere solo un quadro di principi generali è importante ma non sufficiente. Ciò che conta davvero è sapere a chi rivolgersi, con quale procedura, in quali tempi e con quale probabilità di bloccare la nuova diffusione del contenuto.

La vera lezione del 19 maggio 2026, dunque, è questa: nell’era dell’IA generativa, la tutela giuridica della persona non può fermarsi alla qualificazione dell’illecito. Deve misurarsi con l’architettura della risposta. Chi progetta, gestisce o distribuisce servizi digitali che possono essere usati per creare, ospitare o propagare deepfake lesivi non può più considerare il tema come un rischio reputazionale laterale. È ormai un problema di compliance, governance e responsabilità.

La conclusione che ne possiamo trarre è che il TAKE IT DOWN Act offre un indicatore molto chiaro della direzione regolatoria: contro i deepfake intimi non bastano allarmi, informative o divieti astratti. Servono procedure rapide, doveri organizzativi e capacità concreta di rimozione. Chi in Italia ed Europa si occupa di IA, piattaforme, privacy o tutela della persona farebbe bene a leggere questa notizia non come curiosità americana, ma come anticipazione di una domanda giuridica che qui è già aperta: quanto è davvero tempestiva, oggi, la nostra tutela?

Fonti principali