Volto maschile a metà reale e a metà frammentato in pixel digitali, su sfondo scuro: metafora dell'identità nell'era dei deepfak
 |  |  |  | 

L’identità in vendita: perché la legge danese sui deepfake è un’arma a doppio taglio

DiStefano Nardini
Letture: 82

Dimenticate la privacy, è un concetto del secolo scorso, romantico ma drammaticamente inutile contro un’IA che ti clona la voce e il volto mentre ordini un caffè.
In Danimarca lo hanno capito e, per difendervi, hanno deciso di trasformarvi in un’opera d’arte.

Non è un complimento, è una spietata strategia di sopravvivenza commerciale.

Ci sono situazioni che si ripetono in migliaia di chat private, qualcuno riceve un’immagine di sé stesso il volto è il suo, il corpo è il suo, ma il contesto non esiste, non è mai esistito.

Marie Watson, streamer danese di videogiochi, nel 2021 ha ricevuto da un account sconosciuto un’immagine che la ritraeva nuda.
Il volto era il suo, preso da una foto di vacanze, il resto era generato artificialmente. “Mi ha travolta”, ha raccontato, “sono scoppiata in lacrime, perché all’improvviso ero lì, nuda.”

È da storie come questa, e non dai salotti accademici, che nasce la proposta di legge danese sui deepfake. Vale la pena capire bene cosa prevede, perché l’approccio scelto da Copenaghen è radicalmente diverso da qualunque altra soluzione adottata finora. Così diverso da sollevare domande scomode che nessun comunicato stampa ministeriale ha voglia di rispondere.

Cosa ha fatto la Danimarca, esattamente

Il 26 giugno 2025, il governo danese e i partiti di opposizione hanno raggiunto un accordo politico trasversale per proteggere i cittadini dalla riproduzione non autorizzata delle loro caratteristiche fisiche in contenuti digitali.

La proposta introduce due nuovi articoli.
Il 73-a tutela chiunque: vieta di rendere pubbliche imitazioni digitali realistiche delle caratteristiche fisiche di una persona — volto, voce, aspetto — senza il suo consenso.
Il 65-a fa lo stesso ma con un perimetro specifico: protegge le performance artistiche di attori, musicisti e performers da imitazioni sintetiche non autorizzate.

Elementi che fino ad oggi erano protetti solo dal diritto alla riservatezza o dall’onore, strumenti lenti, costosi, costruiti per un mondo in cui la violazione del diritto all’immagine era un giornale che pubblicava una foto senza consenso, non un video sintetico generato in diciotto secondi e distribuito su cinque piattaforme contemporaneamente.

In concreto il tuo volto, la tua voce, il tuo corpo diventano una sorta di opera protetta da diritto d’autore.

Tu sei l’autore di te stesso, che per l’ego di molti creator è un sogno, ma per il diritto civile è una cosa molto più complicata.

Chiunque riproduca digitalmente la tua identità senza consenso viola quel diritto, la protezione durerebbe per tutta la vita della persona e per cinquant’anni dalla morte (esattamente come le canzoni di Battisti).

La Danimarca non ha inventato una procedura da zero, ha agganciato questa legge all’Articolo 16 del Digital Services Act europeo, il regolamento che già oggi obbliga le grandi piattaforme a gestire le segnalazioni di contenuti illegali con tempi e obblighi definiti.

La piattaforma diventa il punto di applicazione della tutela, non il tribunale, è questo il salto di paradigma.

Perché il copyright e non la privacy

Il GDPR, con tutta la sua nobiltà d’intenti, contro l’intelligenza artificiale generativa è sostanzialmente inerme.

Ragiona di dati personali, entità statiche, identificabili, archiviabili, ma un deepfake non è un dato, è un’opera. È qualcosa che non contiene la tua immagine, la produce ed è prodotto in modo creativo, dinamico, tendenzialmente inarrestabile.

L’AI Act europeo, che pure è un passo avanti, si è concentrato sull’etichettatura.

Se un contenuto è generato dall’IA, devi dirlo, metti il bollino.
Il problema è che alla vittima di un deepfake pornografico, o di una truffa costruita con la sua voce clonata, non interessa il bollino, Interessa che quel video sparisca, subito.
Non tra sei mesi, non dopo una sentenza.

Il copyright, in tutta Europa, ha le procedure di rimozione più rapide che esistano, è il coltello svizzero del diritto digitale: imperfetto, ma sempre in tasca.

La Danimarca ha fatto una scelta brutale ma pragmatica, usare le regole del mercato per difendere le persone dal mercato stesso.

Il caso che spiega tutto

C’è una storia che racconta il problema meglio di qualsiasi statistica.

David Bateson è un doppiatore danese, voce del protagonista di Hitman, uno dei franchise videoludici più venduti al mondo, e degli spot internazionali Lego.

A un certo punto ha scoperto che migliaia di utenti condividevano online cloni della sua voce generati dall’intelligenza artificiale, non campioni, non citazioni: repliche funzionali, usate per produrre contenuti a suo nome senza che lui sapesse nulla.

Quando lui e la Danish Rights Alliance hanno provato a segnalare il problema alle piattaforme, la risposta è stata disarmante nella sua onestà: “Va bene, ma a quale normativa fate riferimento?” .

Non c’era dolo in quella risposta, c’era semplicemente un vuoto.

Le piattaforme non rimuovono per ragioni etiche, rimuovono quando c’è una norma che le obbliga a farlo e per i deepfake vocali, quella norma non esisteva.

Il copyright sull’identità è esattamente la risposta a quella domanda.

L’idea brillante e il suo rovescio

Il diritto d’autore è, per natura, un diritto economico.

Si cede, si licenzia, si vende.

È stato costruito per proteggere le opere, non le persone che invece hanno diritti della personalità, inalienabili e non commerciabili per definizione.

Quando si mescola quel piano con la logica proprietaria del copyright, si compie quella che in filosofia del diritto si chiama reificazione.

Non che l’immagine personale sia oggi intoccabile, già adesso si può cederne lo sfruttamento economico, ed è quello che fanno ogni giorno atleti, attori, influencer.

La legge danese estenderebbe questo perimetro alla riproduzione sintetica dell’identità (voce clonata, volto generato, gestualità simulata) con un’ampiezza d’uso che il diritto attuale non contempla e che è molto più difficile da circoscrivere contrattualmente.

Chi è in difficoltà economica, chi non legge quello che firma, chi si fida di chi non dovrebbe, sono loro i più esposti, di certo non le star che hanno avvocati.

Come ha osservato Alice Lana del Copyright Observatory Institute, applicare il copyright all’identità di una persona rischia di trasformare volti e voci in beni commerciabili su scala industriale: “Le aziende sono più interessate a difendere il copyright che i diritti umani.”

Il problema della satira che nessuno sa dove mettere

La legge prevede eccezioni per satira, parodia, caricatura e critica sociale.

Sulla carta è una scelta sensata, nella pratica è un labirinto.

Chi decide se un deepfake è satira o disinformazione?
La piattaforma, in prima istanza.

Una piattaforma che deve rimuovere entro 48 ore per evitare sanzioni non ha interesse a fare sottili distinzioni tra satira politica e disinformazione, ha interesse a rimuovere e non rischiare.

Stiamo per affidare il delicatissimo bilanciamento tra critica al potere e manipolazione dell’informazione a un algoritmo di moderazione.

Chi conosce le dinamiche delle piattaforme sa già com’è andata con il GDPR: compliance a pioggia, rimozioni preventive, e alla fine i contenuti più difficili da difendere erano quelli che più valeva la pena proteggere.

Il limite territoriale che tutti fanno finta di non vedere

La normativa sarà applicabile solo all’interno dei confini danesi e avrà effetto sulle piattaforme solo per i contenuti accessibili dal paese.

Un deepfake vietato a Copenaghen è accessibile da Parigi, da Berlino, da Buenos Aires in pochi secondi.

La vittima subisce il danno indipendentemente da dove il contenuto sia ospitato.

La Danimarca ne è consapevole e ha scelto il momento politico con cura.

Copenaghen ha assunto la presidenza del Consiglio dell’Unione Europea nella seconda metà del 2025 e ha già annunciato che proporrà il proprio modello a livello europeo.

L’ambizione dichiarata è trasformare un esperimento legislativo nazionale in uno standard continentale, è una mossa politicamente intelligente.

Ma siamo ancora lontani da un quadro normativo armonizzato, e nel frattempo i deepfake continuano a proliferare: nel solo secondo trimestre del 2025, sono stati registrati quasi 500 attacchi documentati, con un aumento di oltre il 300% su base annuale.

Il confronto che rivela la scelta di fondo

Vale la pena guardare cosa ha fatto l’Italia nello stesso periodo, perché la differenza è illuminante.

Mentre la Danimarca ha scelto di attribuire alle persone fisiche il diritto d’autore sul proprio corpo, sul proprio volto e sulla propria voce, l’Italia, con la Legge 23 settembre 2025 n. 132 sull’intelligenza artificiale, ha introdotto l’articolo 612-quater del codice penale, che punisce l’illecita diffusione di contenuti generati con sistemi di IA.

Sono due filosofie radicalmente diverse.

Il modello italiano punisce chi ha già fatto il danno, ma arriva tardi e non restituisce nulla alla vittima nel breve periodo.

Il modello danese dà alla persona gli strumenti per agire subito, autonomamente, senza dipendere dalla volontà di un pubblico ministero di aprire un fascicolo ma abilita anche cessioni di diritti che il modello penale non prevede affatto.

I danesi hanno sacrificato la purezza dogmatica del diritto della personalità sull’altare dell’efficienza informatica, è un compromesso che disturba, e dovrebbe disturbare.

Se questo sia un progresso

La Danimarca sta per scegliere.

La legge, notificata alla Commissione Europea il 31 ottobre 2025, è attesa al voto parlamentare entro la primavera 2026 e dovrebbe entrare in vigore entro il 1° luglio 2026. L’iter è agli sgoccioli, ma fino all’approvazione definitiva, quello che esiste è ancora solo un accordo politico, non una norma.

Questa proposta ha il merito di tentare una risposta strutturale a un problema che sta devastando vite reali. Ha il coraggio (o la spregiudicatezza, dipende dai punti di vista) di affermare che l’identità digitale merita protezione giuridica specifica, non affidabile alla combinazione, talvolta caotica, di GDPR, codici penali e regole delle piattaforme.

Marie Watson voleva una cosa sola: che quel video sparisse, la legge danese gliene darebbe finalmente la possibilità. Il prezzo è che la sua identità, da quel momento, avrebbe una struttura giuridica perfettamente compatibile con un contratto di licenza commerciale.

Da avvocato, una certezza almeno ce l’ho: quel contratto non lo scriverete voi.

YouTube player

Uso strumenti di intelligenza artificiale nel mio lavoro editoriale.
Le fonti, le verifiche e le scelte di contenuto sono mie.

🔔 Vuoi restare aggiornato ogni settimana su contenuti legali, attualità e consigli pratici?

Iscriviti gratuitamente a uno dei miei canali:

– 🟢 WhatsApp → https://avvocatonardini.it/whatsapp
– 🔵 Telegram → https://t.me/stefano_nardini
– 🔴 YouTube → https://www.youtube.com/@StefanoNardiniStudio

Foto dell'Avv. Stefano Nardini, esperto in diritto digitale e privacy

Autore: Avv. Stefano Nardini

Avvocato, esperto in diritto delle nuove tecnologie, privacy e sicurezza informatica. Opera da oltre 20 anni nella consulenza per imprese, professionisti ed enti pubblici su GDPR, compliance e innovazione digitale. Data Protection Officer e Privacy Officer certificato.
Si occupa inoltre di diritto civile e penale, con esperienza in contenzioso, contrattualistica, responsabilità civile, reati connessi all’ambito digitale (cybercrime, trattamento illecito dei dati) e difesa penale tradizionale.
Lavora sul fronte della prevenzione e della gestione pratica dei rischi, unendo competenza tecnica e attenzione ai principi di giustizia ed etica.

🔗 Scopri di più sull’autore

Condividi, scegli il tuo social network!

NEWSLETTER

Ti è piaciuto questo articolo? Ricevi via email i nuovi contenuti su privacy, tecnologia e diritto digitale.
Niente spam, solo contenuti di valore.
Cancellazione immediata quando vuoi.

Articoli simili