Deepfake, il Garante Privacy lancia un avvertimento sull’uso di voci e immagini nei servizi di IA

Deepfake e rischi. Il Garante per la protezione dei dati personali, con il provvedimento n. 10207132 del 18 dicembre 2025, interviene sui rischi legati ai servizi di intelligenza artificiale che generano contenuti basati su voci e immagini reali.

L’Autorità richiama utenti, aziende e PA: l’uso di dati biometrici senza base giuridica adeguata può violare il GDPR e comportare sanzioni.

Un tema cruciale per le smart city, dove l’IA generativa entra sempre più nei servizi digitali urbani.

Un richiamo che riguarda anche le città intelligenti

Il provvedimento del Garante Privacy del 18 dicembre 2025 affronta un fenomeno in rapida espansione: i servizi che permettono di generare contenuti audio, fotografici o video utilizzando voci o immagini reali di terzi, spesso senza che gli interessati ne siano consapevoli.

Per le smart city, dove l’IA è sempre più integrata in piattaforme urbane, servizi di comunicazione, assistenti vocali e sistemi di sicurezza, il tema è tutt’altro che marginale.

Il Garante evidenzia come tali tecnologie, basate su modelli di intelligenza artificiale capaci di manipolare la realtà (deepfake), possano attribuire a una persona parole, idee o comportamenti mai espressi, compromettendo la sua autodeterminazione informativa.

Dati biometrici e rischi elevati: cosa dice il provvedimento

Il documento chiarisce che voce e immagine rientrano nella definizione di dato personale e, in determinate condizioni, possono essere classificati come dati biometrici, soggetti a tutele rafforzate ai sensi degli articoli 6 e 9 del GDPR.

Il Garante sottolinea diversi rischi:

– usurpazione d’identità
– diffamazione e manipolazione
– frodi digitali
– pregiudizio alla reputazione
– perdita di controllo sui propri dati

Si tratta di rischi particolarmente rilevanti in ecosistemi urbani digitalizzati, dove la circolazione di contenuti multimediali è continua e amplificata dai social.

L’avvertimento dell’Autorità: attenzione a chi usa IA basata su voci e immagini

Il provvedimento contiene un avvertimento formale rivolto a tutti i soggetti che utilizzano servizi di IA per generare contenuti basati su voci o immagini reali:

– senza una base giuridica valida
– senza informative trasparenti agli interessati
– senza adeguate misure di sicurezza

il trattamento può costituire una violazione del GDPR, con conseguenze anche sanzionatorie.

Per le smart city, questo significa che amministrazioni, aziende tecnologiche e gestori di piattaforme urbane devono valutare con attenzione l’uso di strumenti di IA generativa, soprattutto quando integrati in servizi pubblici o comunicazioni istituzionali.

Implicazioni per le smart city: governance, trasparenza e progettazione responsabile

Il provvedimento richiama principi chiave che diventano fondamentali nei progetti urbani digitali:

Privacy-by-design e privacy-by-default

Ogni servizio che utilizza IA deve essere progettato considerando fin dall’inizio la protezione dei dati personali.

Valutazioni d’impatto (DPIA)

Obbligatorie quando si trattano dati biometrici o quando i rischi sono elevati, come nel caso dei deepfake.

Informazione e consapevolezza dei cittadini

Il Garante richiama il considerando 39 del GDPR: gli utenti devono essere messi in condizione di comprendere rischi e diritti.

Prevenzione delle frodi digitali

Le città intelligenti devono rafforzare i sistemi di sicurezza per evitare che contenuti manipolati vengano usati per inganni, truffe o sostituzioni di persona.

Perché questo provvedimento è strategico per l’ecosistema urbano digitale

L’intervento del Garante non è solo un richiamo normativo: rappresenta un punto di svolta per l’uso etico e sicuro dell’IA nelle città intelligenti.

Le smart city che integrano tecnologie di generazione vocale o visiva devono:

– garantire trasparenza
– adottare misure tecniche adeguate
– definire ruoli e responsabilità
– prevenire abusi e manipolazioni
– tutelare la fiducia dei cittadini

In un contesto in cui l’IA generativa diventa parte della vita urbana quotidiana, la protezione dell’identità digitale è un elemento essenziale di sicurezza pubblica.

Il provvedimento n. 10207132 del Garante Privacy segna un passaggio cruciale nella regolazione dell’IA generativa.

Per le smart city rappresenta un invito a sviluppare tecnologie innovative senza sacrificare diritti fondamentali come identità, autodeterminazione e sicurezza digitale.

Un equilibrio necessario per costruire città intelligenti davvero umane, sicure e affidabili.