Privacy Letters #75

Minori online, GrapheneOs, Deepfake

Dall’eco digitale #75, perso tra protocolli dimenticati. Ecco ciò che resta:

• Social Media e minori in Europa

• GrapheneOS corregge un problema serio di Android

• Un social europeo può davvero esistere?

• Deepfake in tempo reale: Nuove frodi Digitali

---

Social media e minori in Europa: la mappa delle regole nel 2026

L’accelerazione che nessuno si aspettava

Fino a poco tempo fa, la protezione dei minori online era una questione di principio, affrontata con dichiarazioni d’intento e qualche norma sul consenso dei genitori. Nel 2026 qualcosa è cambiato in modo sostanziale. I governi europei non stanno più discutendo se regolare l’accesso dei ragazzi ai social network: stanno leggendo le leggi in Parlamento, fissando scadenze, alzando le soglie d’età. E lo fanno sull’onda di un consenso pubblico che, secondo i dati di Eurobarometro, sfiora il 93% tra i cittadini europei favorevoli ad un intervento urgente delle istituzioni.

Il punto di svolta, paradossalmente, non è arrivato dall’Europa ma dall’Australia. Nel dicembre 2025, il governo di Anthony Albanese ha approvato la prima legge al mondo che vieta l’accesso ai social media ai minori di 16 anni, ponendo la responsabilità della verifica dell’età direttamente sulle piattaforme e non sui genitori o sui ragazzi. Quella legge ha funzionato da catalizzatore. Nel giro di pochi mesi, Francia, Grecia, Spagna, Danimarca e Austria si sono mosse nella stessa direzione. E anche l’Italia, pur con i soliti ritardi legislativi, è ora al centro di un dibattito politico che sembra destinato a produrre risultati concreti entro il 2026.

Questo articolo prova a fare ordine: cosa prevede ogni Paese, dove siamo arrivati davvero e cosa manca ancora per avere una protezione che non resti solo sulla carta.

Il quadro europeo: un mosaico ancora disomogeneo

Prima di scendere nel dettaglio dei singoli Paesi, vale la pena capire il quadro di riferimento. L’Unione europea dispone già di strumenti importanti: il GDPR, che richiede il consenso dei genitori per il trattamento dei dati personali dei minori fino ai 16 anni (con possibilità per gli Stati di abbassare la soglia a 13), e il Digital Services Act, entrato pienamente in vigore a febbraio 2024, che obbliga le grandi piattaforme a valutare e mitigare i rischi per i minori.

Ma queste regole non fissano un’età minima unica per l’accesso ai social. Ogni Paese ha la propria soglia, con risultati molto diversi. Il Parlamento europeo ha approvato una risoluzione — non vincolante — che propone di portare il limite a 16 anni per tutta l’Unione. La Commissione, intanto, sta lavorando su due fronti: un sistema tecnico di verifica dell’età basato su tecnologia zero-knowledge proof (che consente di verificare un’informazione senza rivelare i dati sottostanti) e il Digital Fairness Act, la cui proposta formale è attesa entro la fine del 2026. Quest’ultimo strumento punta a vietare i dark pattern, lo scorrimento infinito, l’autoplay e tutte quelle funzionalità progettate per creare dipendenza — con un’attenzione speciale alle vulnerabilità dei minori.

Il problema è che la Commissione fatica a tenere il passo con le capitali. Mentre Bruxelles elabora, Parigi, Atene e Copenaghen approvano. Il rischio di frammentazione normativa è concreto: che legge si applica a un quindicenne spagnolo che usa i social durante una vacanza in Italia? Per ora non lo sa nessuno.

Paese per Paese: lo stato delle cose

Francia — Divieto approvato, ora tocca al Senato

La Francia è il Paese che ha compiuto il passo più netto. Il 27 gennaio 2026, l’Assemblea Nazionale ha approvato un disegno di legge che vieta l’accesso ai social network ai minori di 15 anni, dichiarando una vera e propria emergenza sanitaria digitale. Il provvedimento, che potrebbe entrare in vigore già da settembre 2026 dopo il passaggio al Senato, impone alle grandi piattaforme sistemi di verifica dell’età realmente efficaci — non le solite caselle in cui si inserisce una data di nascita — e prevede sanzioni fino all’1% del fatturato mondiale in caso di inadempienza. Sono previste esenzioni per enciclopedie online, servizi educativi e messaggistica privata. Il presidente Macron ha sintetizzato la filosofia di fondo con una formula che ha fatto il giro d’Europa: “Il cervello dei nostri figli non è in vendita”.

Spagna — Il più ambizioso, forse il più duro

La Spagna vuole andare oltre la Francia: il governo di Pedro Sánchez ha annunciato il divieto per i minori di 16 anni, allineandosi alla soglia australiana. Ma l’ambizione spagnola non si ferma all’età. Sánchez ha proposto di introdurre la responsabilità penale per i vertici delle grandi piattaforme tecnologiche in caso di danni ai minori, una prospettiva inedita in Europa che apre una frontiera normativa del tutto nuova. “Le reti sociali sono diventate uno Stato fallito, dove si ignorano le leggi e si tollerano i reati”, ha detto il premier al World Government Summit di Dubai. Il ddl è in corso di elaborazione, ma la direzione politica è chiarissima.

Grecia — Legge annunciata, vigenza dal 2027

Il primo ministro greco Kyriakos Mitsotakis ha annunciato l’8 aprile 2026 un divieto di accesso ai social per i minori di 15 anni, motivato da dati allarmanti: il 75% dei bambini delle scuole elementari greche era già attivo sui social, e circa il 48% degli adolescenti riferiva effetti negativi sulla salute mentale. La legge, ancora in attesa dell’approvazione parlamentare, entrerà in vigore il 1° gennaio 2027 e prevede sanzioni economiche per le piattaforme che non rispetteranno gli obblighi di controllo dell’età.

Danimarca — Divieto sotto i 15, con una finestra per i genitori

La Danimarca ha raggiunto un ampio accordo politico per vietare i social ai minori di 15 anni, con la possibilità per i genitori di concedere un’autorizzazione a partire dai 13 anni. Le misure operative potrebbero essere operative entro metà 2026, anche grazie alla partecipazione danese al sistema di verifica dell’età sviluppato dalla Commissione europea.

Austria — Il limite più basso: 14 anni

Vienna ha scelto un approccio differente, fissando il limite a 14 anni e prevedendo una distinzione tra piattaforme ad alto rischio (dove vige il divieto assoluto) e servizi meno problematici (dove potrebbe bastare il consenso dei genitori fino ai 15 anni). I dettagli tecnici sono ancora in fase di definizione.

Irlanda — Il consenso parentale come pilastro

L’Irlanda mantiene un regime di consenso genitoriale obbligatorio fino ai 16 anni per i servizi digitali, senza un divieto assoluto ma con una soglia tra le più alte d’Europa. Il governo sta valutando di inasprire le regole, ma non ha ancora presentato un testo legislativo specifico.

Paesi Bassi — Solo raccomandazione, nessun obbligo

L’Olanda è il caso più soft: il governo ha emesso una forte raccomandazione ai genitori di non permettere l’uso dei social ai figli under 15, ma si tratta di una linea guida sanitaria ed educativa, non di una norma vincolante. Non ci sono obblighi per le piattaforme né sanzioni previste. Un approccio che privilegia la responsabilità familiare rispetto alla regolazione pubblica.

Germania — Consenso parentale tra i 13 e i 16 anni

La Germania consente l’uso dei social tra i 13 e i 16 anni solo con il consenso esplicito dei genitori, mentre dai 16 in poi i ragazzi hanno piena autonomia digitale. Si discute di restrizioni più severe, inclusa l’idea di “versioni giovani” delle piattaforme con funzionalità limitate, ma per ora non è stato introdotto alcun divieto generale.

Italia — Un ddl fermo, un governo che riparte da zero

Il caso italiano merita un paragrafo a parte, perché è il più complicato. La normativa vigente fissa a 14 anni la soglia del consenso digitale autonomo (ai sensi del D.Lgs 101/2018, che ha recepito il GDPR). Sotto quell’età serve il consenso dei genitori. Questo regime è considerato largamente insufficiente e il dibattito per cambiarlo è aperto da mesi.

Il problema è che il percorso legislativo è bloccato. Un disegno di legge bipartisan — il DDL 1136, primo firmatario la senatrice Lavinia Mennuni di Fratelli d’Italia, con 22 co-firmatari meloniani e il via libera delle opposizioni — era fermo da ottobre 2025 in commissione al Senato. A fine marzo 2026, il grave episodio di Trescore Balneario — un tredicenne che ha accoltellato una professoressa trasmettendo l’aggressione in diretta su Telegram, con il link sul suo profilo TikTok — ha rimesso il tema al centro del dibattito pubblico. Il ministro Valditara ha dichiarato che il governo intende riscrivere il testo da zero, per un provvedimento più ampio. Circola una bozza che punterebbe a vietare i social agli under 15 con possibili sanzioni ai genitori, ma il testo ufficiale non è ancora stato depositato. Nel frattempo, la Lega ha depositato una proposta autonoma con divieto sotto i 15 e consenso genitoriale verificabile fino ai 18 anni.

Il risultato, ad oggi, è che l’Italia — uno dei Paesi coinvolti nella sperimentazione del sistema europeo di verifica dell’età — non ha ancora una legge aggiornata.

Il nodo irrisolto: come si verifica l’età davvero?

Tutte le leggi del mondo servono a poco se non si riesce a stabilire in modo affidabile quanti anni ha chi apre un account. È il problema più difficile dell’intera partita normativa, e nessuno lo ha risolto davvero.

Il metodo classico — inserire la data di nascita al momento della registrazione — è facilmente aggirabile. Lo dimostra uno studio della Commissione europea, secondo cui tra il 10 e il 12% dei minori di 13 anni nell’Unione ha già accesso a Instagram o Facebook, nonostante i divieti esistenti. Per eludere la regola basta dichiarare una data di nascita falsa. In Australia, dove il divieto è in vigore dal dicembre 2025, un insegnante ha chiesto ai propri 25 studenti se stessero ancora usando i social: solo tre avevano visto il proprio account effettivamente disabilitato.

La Commissione europea sta testando un sistema alternativo basato su crittografia zero-knowledge proof, che consentirebbe di verificare l’età di un utente senza trasmettere i dati personali alla piattaforma. Le piattaforme non sarebbero obbligate ad adottarlo, ma dovrebbero dimostrare che la propria alternativa è altrettanto efficace. Il sistema dovrebbe essere disponibile negli app store entro la fine del 2026.

C’è però una tensione strutturale che nessuna tecnologia risolve del tutto: più la verifica è accurata, più dati personali vengono raccolti. E più dati vengono raccolti, più si entra in conflitto con i principi di minimizzazione e riservatezza del GDPR. È un equilibrio difficile, e ogni Paese lo trova (o non lo trova) in modo diverso.

Perché serve una legge europea unica

La frammentazione attuale crea problemi su tre livelli.

Per le piattaforme, costruire sistemi di compliance diversi per 27 mercati è costoso e genera inevitabilmente zone grigie. Un’azienda che rispetta le regole in Germania può non rispettarle in Spagna, non per malafede, ma perché le regole sono diverse.

Per le famiglie e le scuole, il mosaico normativo è incomprensibile. I genitori non sanno con certezza cosa è permesso e cosa no, e spesso neanche i ragazzi. Una soglia unica, comunicata chiaramente, avrebbe un impatto educativo che le regole frammentate non possono avere.

Per le autorità di controllo, il rischio è che ciascuna vigili solo sul proprio pezzo, lasciando alle piattaforme ampi margini di manovra. Un quadro europeo con un’unica autorità di enforcement sarebbe molto più efficace.

Il Digital Fairness Act, atteso per fine 2026, è l’occasione per fare quel passo. Non si tratta solo di fissare un’età: si tratta di ridisegnare il rapporto tra piattaforme, minori e responsabilità pubblica in modo che valga per tutti, ovunque, allo stesso modo.

Conclusione

Nel 2026, la domanda non è più se regolare i social per i minori: è come farlo bene. La direzione è chiara, soglie più alte, verifica dell’età reale, responsabilità delle piattaforme ma l’esecuzione è ancora disomogenea. Alcuni Paesi hanno già le leggi, altri hanno fatto solo annunci, altri ancora sono fermi alle raccomandazioni.

L’Europa ha gli strumenti per fare meglio. Manca ancora la volontà politica di usarli in modo coordinato. E ogni mese di ritardo è un mese in cui milioni di ragazzi navigano in ambienti progettati per adulti, senza le protezioni che i loro governi hanno promesso ma non ancora garantito.

---

---

Quando un piccolo progetto corregge ciò che Google lascia aperto

La storia di GrapheneOS racconta molto più di una semplice falla VPN

Ogni tanto esce una notizia tecnica che, se letta con attenzione, racconta qualcosa di molto più grande del fatto in sé. Questa è una di quelle.

Il protagonista è GrapheneOS, un sistema operativo open source basato su Android, nato con un obiettivo molto chiaro: costruire sicurezza reale, non solo percepita.

Il problema, invece, riguarda Android.

Negli ultimi tempi diversi provider VPN — tra cui Proton VPN, Mullvad e WireGuard — hanno segnalato un comportamento preoccupante: in alcune circostanze particolari, come dopo un aggiornamento dell’app o un riavvio di alcuni componenti di rete, parte del traffico può temporaneamente uscire fuori dal tunnel VPN.

Tradotto: alcune richieste DNS o altre connessioni potrebbero passare al di fuori della protezione che l’utente pensa di avere attiva.

In pratica:

credi di navigare protetto, ma una parte del tuo traffico potrebbe non esserlo affatto — senza che tu te ne accorga.

Ed è proprio questo il punto più delicato.

Non compare un errore.
Non c’è un crash.
Non arriva nessun avviso.

Semplicemente, tutto sembra funzionare normalmente.

E questa, nel mondo della sicurezza, è forse la vulnerabilità peggiore: quella invisibile. Quella che crea fiducia proprio mentre la protezione non è completa.

Qui la storia diventa interessante.

Google conosce da tempo questa classe di problemi. Parliamo di una delle aziende più potenti al mondo dal punto di vista tecnologico, con risorse enormemente superiori a qualsiasi progetto indipendente.

Eppure una mitigazione strutturale e completa, almeno finora, non è arrivata.

Nel frattempo, GrapheneOS ha deciso di intervenire da solo.

Il team ha analizzato in profondità lo stack di rete di Android, individuando diversi punti in cui il traffico poteva aggirare la VPN — dai DNS leak ai pacchetti multicast, fino a casi limite che normalmente passano inosservati — e ha sviluppato patch proprie per chiudere queste falle.

Detto in modo semplice:

GrapheneOS ha rafforzato la protezione della VPN in aree dove Android, oggi, non offre ancora coperture complete.

E questa non è solo una storia sulle VPN.

È una storia che racconta una verità scomoda del mondo digitale: essere grandi non significa automaticamente fare meglio sicurezza.

Le grandi piattaforme parlano spesso di privacy e protezione, ma molte volte l’approccio è pratico: si interviene dove il problema è evidente, dove il rischio reputazionale è alto, dove il bug è visibile.

GrapheneOS ragiona in modo diverso.

Si concentra anche su quei problemi che quasi nessuno vede — proprio perché spesso sono i più pericolosi.

È la differenza tra:

• costruire sistemi che sembrano sicuri, e

• costruire sistemi progettati per esserlo davvero.

La lezione, per tutti noi, è semplice.

Molti installano una VPN pensando di aver risolto il problema privacy. Ma una VPN è solo un pezzo del puzzle. Se il sistema operativo sotto non gestisce bene l’isolamento del traffico, quella protezione può diventare parziale — o peggio, illusoria.

Ed è qui che GrapheneOS manda un messaggio forte a tutto l’ecosistema Android:

la privacy non è un’icona in alto sullo schermo. È ciò che succede quando nessuno sta guardando.

E su questo, oggi, un piccolo progetto indipendente sta mostrando a molti — Google compresa — cosa significa prendere davvero sul serio la sicurezza.

---

---

Un social europeo può davvero esistere?

eYou vuole sfidare X, Meta e TikTok partendo da un’idea semplice: ridare fiducia ai social

Ogni tanto nasce un progetto che intercetta perfettamente il momento storico in cui viviamo.
eYou è uno di quelli.

Si presenta come un nuovo social network europeo, ma definirlo così è riduttivo. Perché l’ambizione non è semplicemente costruire “un altro Facebook” o “un altro X”. L’obiettivo dichiarato è molto più grande: ripensare il modo in cui funzionano i social media.

E, onestamente, ce n’era bisogno.

Negli ultimi dieci anni abbiamo visto cosa sono diventati i social:

• algoritmi progettati per massimizzare il tempo di permanenza, non la qualità delle conversazioni;

• contenuti polarizzanti premiati perché generano engagement;

• disinformazione che viaggia più veloce delle correzioni;

• feed opachi che decidono cosa vedere senza spiegarti davvero perché.

In breve: piattaforme costruite per catturare attenzione, non per costruire fiducia.

Ed è proprio qui che eYou prova ad inserirsi.

Fact-checking in tempo reale

La funzione più interessante è anche la più ambiziosa: verifica istantanea dei contenuti tramite AI.

Ogni post può essere analizzato in tempo reale da più modelli linguistici contemporaneamente, non da uno solo. L’idea è semplice: usare più sistemi in parallelo per ridurre bias, errori e “allucinazioni” tipiche di un singolo modello.

Sulla carta è una soluzione intelligente.

Perché il problema dei social oggi non è solo la quantità di fake news, è la velocità con cui si diffondono.
Una bufala virale può raggiungere milioni di persone in poche ore; una correzione arriva spesso troppo tardi.

eYou vuole invertire questo meccanismo.

Non più:

pubblica → viralità → smentita giorni dopo

Ma:

pubblica → verifica → discussione informata

Se funziona davvero, è un cambio di paradigma enorme.

L’algoritmo non è più una scatola nera

Qui c’è forse la novità più radicale.

eYou promette algoritmi trasparenti e modificabili dall’utente.

Tradotto: puoi capire come la piattaforma ti sta profilando, vedere quali interessi ti attribuisce e persino modificare quei parametri per “resettare” la tua bolla informativa.

Pensaci un attimo.

Oggi su Meta, TikTok o X l’algoritmo ti osserva, ti studia, ti classifica… ma tu non vedi nulla.

È una scatola chiusa.

eYou prova a fare l’opposto:

rendere visibile la macchina che decide cosa guardi.

Se mantenuta, questa promessa sarebbe rivoluzionaria.

Dati europei, regole europee

Poi c’è la questione sovranità.

I dati degli utenti vengono conservati in Belgio e trattati sotto standard europei di protezione dati, quindi dentro il perimetro del GDPR e fuori dalla tradizionale dipendenza da infrastrutture americane.

Per chi segue questi temi, questo conta molto.

Perché oggi quasi tutta la nostra vita digitale passa da piattaforme statunitensi o cinesi:

• comunicazione

• socialità

• informazione

• pubblicità

• identità digitale

L’Europa consuma social media, ma non ne controlla quasi nessuna infrastruttura.

eYou prova a colmare quel vuoto.

Il problema vero: non la tecnologia, ma la rete

Fin qui tutto bello.

Ma c’è una domanda brutale: la gente si sposterà davvero?

La storia dice che non è facile.

Abbiamo già visto alternative promettenti:

• Mastodon

• Bluesky

• BeReal

Tutte interessanti. Nessuna davvero in grado di scalzare i giganti.

Perché i social non vincono per tecnologia.
Vincono per network effect:

la piattaforma migliore è inutile se i tuoi amici non ci sono.

Ed è qui che si gioca la partita di eYou.

La vera domanda

Più che chiedersi se eYou avrà successo, forse la domanda giusta è un’altra:

esiste oggi un bisogno reale di un social europeo, più trasparente e meno tossico?

Se la risposta è sì, eYou arriva al momento giusto.

Se la risposta è no, resterà un esperimento interessante.

Ma una cosa è certa:

il fatto che un progetto così nasca proprio in Europa dice molto del nostro tempo.

Vuol dire che qualcuno ha capito che il problema dei social non è solo tecnologico.

È politico.
È culturale.
Ed è sempre più una questione di sovranità digitale.

---

---

Deepfake in tempo reale: la nuova frontiera delle frodi digitali globali

L’evoluzione dell’intelligenza artificiale generativa sta aprendo scenari di straordinaria innovazione, ma al tempo stesso sta abbassando drasticamente la soglia d’accesso a strumenti che, fino a pochi anni fa, richiedevano competenze tecniche elevate, infrastrutture complesse e ingenti risorse economiche. Tra questi, i deepfake in tempo reale rappresentano oggi una delle applicazioni più sofisticate e potenzialmente più pericolose dell’AI applicata all’immagine.

Se in passato i deepfake erano principalmente video manipolati offline, realizzati in post-produzione e spesso riconoscibili per imperfezioni visive o incoerenze nei movimenti, oggi il paradigma è cambiato. Le nuove piattaforme di manipolazione facciale consentono infatti di alterare in diretta l’identità visiva di una persona durante una videochiamata, mantenendo sincronizzazione labiale, espressioni facciali, micro-movimenti del volto e adattamento dinamico a luce, angolazione e occlusioni parziali del viso.

In termini pratici, significa che un soggetto può apparire su una call di lavoro, su una conversazione privata o su una sessione di verifica digitale assumendo le sembianze di un’altra persona con un livello di realismo che, in molti casi, supera la capacità percettiva dell’occhio umano.

Un salto tecnologico nella frode digitale

L’aspetto più rilevante non riguarda soltanto la qualità grafica, ma la fruibilità operativa di questi strumenti.

Software di nuova generazione, sviluppati in ambienti cybercriminali sempre più strutturati, vengono distribuiti come veri e propri prodotti commerciali: installazione guidata, supporto tecnico dedicato, aggiornamenti continui, compatibilità con piattaforme mainstream come WhatsApp, Microsoft Teams, Zoom, TikTok e Instagram.

Questo abbassa radicalmente la barriera tecnica: non è più necessario essere esperti di machine learning o computer vision. È sufficiente disporre di un computer dotato di GPU moderna, un set di immagini del volto target e poche ore di configurazione iniziale.

In altre parole, la sofisticazione della tecnologia non coincide più con la complessità del suo utilizzo.

Ed è proprio questo a renderla un moltiplicatore di rischio.

Dalla manipolazione visiva all’ingegneria sociale avanzata

La vera forza di un deepfake live non risiede nella perfezione estetica, ma nella sua capacità di potenziare tecniche di ingegneria sociale già consolidate.

Un volto credibile in videochiamata aumenta enormemente l’efficacia di schemi fraudolenti come:

• impersonificazione di dirigenti aziendali per autorizzare bonifici urgenti;

• false comunicazioni da parte di forze dell’ordine o enti pubblici;

• frodi sentimentali ad alto coinvolgimento emotivo;

• sequestri virtuali con richiesta di riscatto;

• truffe fiscali e previdenziali;

• bypass di procedure di verifica identitaria (KYC) in ambito fintech, bancario e crypto.

In un contesto in cui molte organizzazioni hanno normalizzato processi decisionali via videocall, la fiducia visiva diventa un vettore d’attacco.

Per decenni abbiamo associato il video alla prova della presenza reale. Oggi questa equivalenza non è più valida.

Un ecosistema criminale industrializzato

Dietro la diffusione di questi strumenti non operano soltanto piccoli gruppi opportunistici, ma intere filiere criminali digitali.

Esistono network clandestini che offrono infrastrutture specializzate: riciclaggio di denaro, malware-as-a-service, toolkit per frodi finanziarie, servizi di traduzione automatizzata per targeting internazionale, sistemi di anonimizzazione e, ora, anche soluzioni avanzate di identità sintetica in tempo reale.

Questo ecosistema funziona secondo logiche quasi aziendali:

• acquisizione clienti;

• onboarding tecnico;

• assistenza dedicata;

• modelli in abbonamento;

• upselling di funzionalità premium;

• supporto operativo post-vendita.

La cybercriminalità sta quindi attraversando una fase di industrializzazione dei servizi fraudolenti, dove l’AI non è più un semplice strumento accessorio, ma un asset strategico.

Le difese tecnologiche sono in ritardo

Le piattaforme digitali stanno investendo in sistemi di rilevamento dei contenuti sintetici, ma il problema è strutturale: l’AI generativa migliora più rapidamente dei sistemi di detection.

I modelli di rilevamento cercano pattern anomali in texture della pelle, blinking rate, sincronizzazione audio-video o artefatti di rendering. Tuttavia, i deepfake di ultima generazione stanno riducendo progressivamente queste anomalie.

Inoltre, in uno scenario live:

• la latenza è minima;

• il contenuto non viene caricato su server per analisi preventiva;

• la manipolazione avviene localmente;

• il flusso video appare come una normale webcam virtuale.

Dal punto di vista tecnico, distinguerlo da una sorgente autentica diventa estremamente complesso.

Il nuovo paradigma: “zero trust visuale”

Per aziende, istituzioni finanziarie e provider digitali, la risposta non può più basarsi esclusivamente sull’analisi dell’immagine.

Servirà un approccio multi-layered identity verification, basato su:

• biometria attiva con challenge-response dinamici;

• analisi comportamentale;

• verifica cross-device;

• autenticazione hardware-based;

• segnali di liveness avanzata;

• controlli contestuali sul comportamento transazionale.

In termini culturali, occorrerà adottare un principio semplice ma radicale:

non fidarsi più automaticamente di ciò che si vede in video.

È un cambiamento profondo, quasi controintuitivo, ma necessario.

Conclusione

I deepfake in tempo reale rappresentano uno spartiacque nell’evoluzione della frode digitale. Non sono un rischio futuro: sono una capacità tecnologica già disponibile, economicamente accessibile e sempre più semplice da utilizzare.

Come accaduto con phishing, ransomware e social engineering, il vantaggio iniziale è oggi nelle mani degli attaccanti.

La differenza, questa volta, è che l’elemento compromesso non è solo un sistema o un’identità digitale, ma la fiducia stessa nella realtà visiva.

E quando anche il volto umano smette di essere una prova, l’intero concetto di autenticità online entra in una nuova fase critica.

---

---