Immaginate una donna, sposata da anni, che un mattino si sveglia e decide di chiedere il divorzio, fare le valigie e attraversare l’intero Paese. Il motivo? Una relazione clandestina e passionale con un attore famosissimo. La realtà, agghiacciante: l’attore non ha la più pallida idea di chi lei sia. L’uomo di cui la donna si è innamorata non è altro che un deepfake, un fantasma digitale, un’illusione iperrealistica generata da un’intelligenza artificiale e manovrata da truffatori per svuotarle il conto corrente e manipolarne gli affetti. Non è un distopico copione di Black Mirror, ma la cronaca di quanto accaduto nel marzo 2025 in Cina, che ha coinvolto il noto attore Jin Dong, la cui identità è stata clonata per colpire donne vulnerabili.

Dall’altra parte del mondo l’inganno algoritmico assume contorni prettamente economici e colpisce il portafoglio con una precisione chirurgica (o algoritmica). Prendete il caso del fallimento di Joann Fabrics: poche ore dopo la chiusura, un gruppo di sciacalli digitali ha clonato l’intero e-commerce dell’azienda. Senza scrivere una riga di codice, hanno messo in piedi un sito specchio in più lingue, attirando migliaia di clienti con sconti fittizi al solo scopo di rastrellare i dati delle carte di credito.

Per chi, come me, si occupa quotidianamente di protezione dei dati e diritto dell’IA, queste storie non sono anomalie: sono il sintomo di una patologia sistemica.

I dati dell’AI Index Report 2026 fotografano una realtà inequivocabile: i sistemi di intelligenza artificiale si stanno evolvendo e diffondendo a una velocità che ridicolizza i nostri sistemi di governance e le nostre leggi che non riescono (e non possono) eguagliarne la velocità.

Nel solo 2025, gli incidenti documentati legati all’IA sono schizzati a 362 (erano 233 l’anno precedente). Siamo di fronte a una “democratizzazione della frode”: oggi clonare un’identità o creare un sito di phishing perfetto non richiede più le competenze di un hacker d’élite, ma è un’arma alla portata di qualunque dilettante allo sbaraglio, nemmeno “criminale” nel genio.

La schizofrenia normativa: tra proibizionismo e far west

Di fronte a questa escalation, qual è la risposta del legislatore? Un caotico mosaico globale. Le direzioni intraprese dagli Stati sono diametralmente opposte. Mentre l’Unione Europea da “un colpo al cerchio e uno alla botte” da un lato implementando i primi divieti previsti dall’AI Act e dall’altro dilazionando con il Digital Omnibus, gli Stati Uniti hanno virato verso la deregolamentazione aggressiva. Un recente ordine esecutivo della Casa Bianca ha infatti smantellato le precedenti direttive sulla sicurezza, nel tentativo (forse miope?) di eliminare ogni “ostacolo normativo” alla supremazia tecnologica americana.

Questo vuoto federale ha scatenato il panico nei singoli Stati, che stanno cercando di “tappare i buchi” creando un mosaico di leggi scoordinate: lo Utah ha promulgato una legge per regolamentare i chatbot per la salute mentale; il Texas ha approvato il Responsible Artificial Intelligence Governance Act (seppur fortemente depotenziato rispetto alle bozze originali) per limitare gli usi ad alto impatto dell’IA, e lo Stato di Washington, insieme alla California, sta imponendo obblighi di trasparenza e watermarking per i contenuti generati artificialmente. Il risultato è un incubo di compliance per le aziende e una tutela a macchia di leopardo per i cittadini, tutela che dipende dal codice postale.

Oltre il “Whack-a-Mole”: serve un nuovo paradigma di responsabilità

Il punto, però, è che, come giuristi, stiamo sbagliando approccio. Il diritto non può inseguire le specifiche tecniche dei modelli: è una battaglia persa in partenza. Dobbiamo smettere di giocare a “colpisci la talpa” con ogni nuova funzione e spostare il focus sul cuore del problema: l’assegnazione della responsabilità civile (liability).

I framework di “Responsible AI” dimostrano una vulnerabilità inquietante: i modelli più avanzati, pur essendo sicuri in condizioni standard, crollano non appena vengono sottoposti a jailbreak, tramite prompt avversariali. E allora la domanda è squisitamente giuridica: se un truffatore usa un modello commerciale per clonare un sito in tre minuti, la colpa è solo dell’utente malintenzionato o anche dello sviluppatore che ha immesso sul mercato un prodotto strutturalmente vulnerabile?

I colossi del tech non possono più trincerarsi dietro la definizione di “meri fornitori di tecnologia”. È tempo di ipotizzare una responsabilità oggettiva, o quantomeno aggravata, per i danni causati da modelli le cui barriere di sicurezza si dimostrano inefficaci by design. Parallelamente, l’obbligo di watermarking e la trasparenza sulla provenienza dei dati sono gli unici argini immediati.

Il cittadino deve avere il diritto di sapere se sta interagendo con un essere umano o con una macchina, esattamente come deve poter verificare l’autenticità di un prodotto acquistato.

Il caso Jin Dong e la truffa Joann Fabrics ci dicono che l’IA non solo sta automatizzando il lavoro: sta automatizzando l’inganno e plasmando la realtà.

Se non ancoriamo in modo serio e saldo questa tecnologia a principi di responsabilità civile e obblighi di trasparenza, rischiamo di trasformare l’innovazione digitale in un far west dove la verità è solo un’opzione tra tante e la manipolazione è la certezza. E in un mondo in cui non possiamo più credere ai nostri occhi o alle nostre orecchie, la legge rimane l’ultimo, indispensabile baluardo della realtà, dei nostri diritti e – in fondo – dell’essere umano.