Deepfake e tutela della dignità personale: profili giuridici della nuova legge federale USA sul divieto di contenuti intimi sintetici non consensuali

Deepfake e tutela della dignità personale: profili giuridici della nuova legge federale USA sul divieto di contenuti intimi sintetici non consensuali

 

Il 21 maggio 2025, il Presidente Donald J. Trump ha firmato il “Artificial Intimacy Manipulation Prohibition Act” (AIMPA), una legge federale che tipizza per la prima volta negli Stati Uniti la creazione e diffusione non consensuale di contenuti intimi deepfake come reato autonomo. Tale norma interviene in un contesto normativo lacunoso, ove l’assenza di uno strumento giuridico organico ha sinora impedito una risposta efficace alla crescente diffusione di materiali pornografici generati o manipolati tramite tecnologie di intelligenza artificiale generativa (IAG). Questa analisi esamina in dettaglio la struttura della nuova disciplina statunitense, i suoi presupposti tecnico-giuridici e la sua armonizzazione (o disallineamento) rispetto al quadro giuridico internazionale e comparato.
 

Struttura normativa e fondamento costituzionale

L’AIMPA si articola in sei sezioni. Gli articoli centrali sono: Art. 2: definizione di Synthetic Non-Consensual Intimate Media (SNIM), come “qualsiasi rappresentazione visiva, statica o dinamica, ottenuta tramite processi computazionali, che raffiguri in maniera credibile una persona reale in atti sessuali o nuda, laddove tale contenuto sia stato generato o modificato tramite tecnologie di deep learning senza il consenso esplicito dell’interessato”; Art. 4: stabilisce la rilevanza penale della condotta: creazione, distribuzione o detenzione ai fini di diffusione di SNIM costituisce felony federale punibile con pena detentiva fino a 10 anni, oltre a sanzioni civili accessorie e obbligo di rimozione. La norma si fonda giuridicamente sulla Commerce Clause (Art. I, Sez. 8, Cost. USA), che consente al Congresso di legiferare su materie che impattano il commercio interstatale. L’impatto transstatale dei deepfake digitali, diffusi tramite server e piattaforme globali, giustifica quindi la giurisdizione federale. È stato inoltre esplicitato che la normativa non viola il Primo Emendamento sulla libertà di espressione, in quanto rientra in una categoria tradizionalmente esclusa dalla protezione costituzionale, ovvero la pornografia non consensuale, come confermato in casi come United States v. Stevens, 559 U.S. 460 (2010), che ha distinto il discorso privo di valore sociale rilevante. La giurisprudenza federale, a partire da People v. Bollaert (2014), ha anche riconosciuto la lesività intrinseca delle immagini intime diffuse senza consenso, ponendo le basi per una regolamentazione federale.
 

Coordinamento con il diritto internazionale e comparato

Normativa europea: GDPR e AI Act. L’Unione Europea si è mossa con strumenti differenti ma affini nei presupposti. Il Regolamento (UE) 2016/679 (GDPR) considera la rappresentazione biometrica sintetica come dato personale sensibile, rendendo illegittima la creazione e diffusione di contenuti sintetici sessualmente espliciti senza base giuridica (artt. 4, 9 e 17 GDPR). L’AI Act (Regolamento UE 2024/XXXX), approvato nel 2025, classifica i sistemi IA capaci di generare immagini iperrealistiche di individui in contesti sessuali non consensuali come “sistemi ad alto rischio” (Titolo III, Capo 2), sottoponendoli a obblighi di trasparenza, tracciabilità e audit. A differenza della norma statunitense, però, l’UE predilige un approccio ex ante, focalizzato sulla regolazione dei produttori di IA e sulla responsabilità dell’ecosistema tecnologico.

 

Convenzione di Budapest e aggiornamenti

La Convenzione sulla criminalità informatica del Consiglio d’Europa (ETS n. 185, Budapest, 2001) è lo strumento multilaterale principale in materia. Sebbene non menzioni espressamente i deepfake, il Secondo Protocollo Addizionale del 2021, sulla cooperazione e la divulgazione delle prove elettroniche, amplia la protezione contro i crimini digitali lesivi dell’identità. L’articolo 6 del Protocollo menziona esplicitamente reati contro la dignità personale online. La normativa AIMPA potrebbe costituire una best practice per la futura armonizzazione, specie nel contesto della bozza di trattato ONU sulla criminalità informatica (UN Cybercrime Treaty – Draft 2024), dove il deepfake è menzionato tra le tecnologie emergenti a rischio di uso criminale (art. 5, par. 2, lett. f).
 

Diritto comparato: Regno Unito, Canada e Asia-Pacifico

-Regno Unito: il Online Safety Act 2023 attribuisce alla Ofcom poteri regolatori sulle piattaforme online, imponendo la rimozione tempestiva dei contenuti deepfake dannosi. È stato applicato nel 2024 contro RedRoom.ai, piattaforma che ospitava deepfake pornografici di celebrità britanniche.

-Canada: il progetto di legge C-27, che modifica il Privacy Act, include una definizione estesa di image-based sexual abuse, includendo contenuti generati da IA. Nel caso R. v. J.D. (2023), un imputato è stato condannato per aver creato contenuti deepfake di ex partner e diffusi su Reddit.

-Corea del Sud e Giappone: la Corea del Sud ha introdotto nel 2022 la legge “Act on Special Cases Concerning the Punishment of Sexual Crimes”, che prevede fino a 5 anni di reclusione per deepfake sessuali non consensuali. Il Giappone, nel 2024, ha approvato emendamenti al Penal Code (art. 175 e seguenti) per includere le immagini deepfake tra i contenuti osceni prodotti illegalmente, già applicati nel caso Tokyo v. Sato (2024).
 

Criticità e sfide di implementazione

Dal punto di vista procedurale, l’AIMPA impone la sfida della prova tecnica dell’autenticità sintetica, affidata agli standard del National Institute of Standards and Technology (NIST) e alle linee guida FBI/CISA per il riconoscimento di contenuti digitalmente alterati. Tuttavia, la carenza di strumenti forensi universali – già emersa nel caso U.S. v. Nguyen (2025), in cui un processo è stato sospeso per mancanza di strumenti tecnici certi – rende l’onere probatorio difficile da sostenere. Un’altra criticità risiede nella territorialità digitale: molti deepfake sono generati all’estero, da soggetti non sottoposti alla giurisdizione statunitense. L’AIMPA prevede l’estensione extraterritoriale in caso di danni a cittadini o residenti USA (Art. 5), ma ciò comporta scenari complessi di cooperazione giudiziaria internazionale, già ostici nel contesto del cybercrime. L’“Artificial Intimacy Manipulation Prohibition Act” rappresenta uno degli interventi normativi più sofisticati e repressivi al mondo in materia di abuso dell’intelligenza artificiale per finalità di violenza sessuale digitale. La sua rilevanza trascende i confini statunitensi, aprendo un nuovo capitolo nel diritto penale digitale e nella protezione della dignità personale nell’era delle tecnologie sintetiche. Il futuro richiederà armonizzazione normativa multilivello, sviluppo di standard tecnici condivisi e cooperazione giudiziaria transnazionale per rendere efficaci simili strumenti. In gioco non vi è solo la tutela della privacy, ma il presidio della dignità umana nell’ecosistema algoritmico globale.