Fakeyou: l’app deepfake che “preoccupa” il Garante Privacy

Stefano Gazzella : 14 Ottobre 2022 08:00

Autore: Stefano Gazzella

L’Autorità garante per la protezione dei dati personali ha aperto un’istruttoria nei confronti di Fakeyou, un’app che si presenta come in grado di convertire un testo in un audio in una voce selezionabile fra più fonti all’interno delle quali rientrano personaggi di videogiochi, personaggi pubblici e, in particolare, voci clonate da un file audio caricato.

L’iniziativa fa seguito al dilagare dell’impiego dell’app su alcuni social network e principalmente TikTok, nonché ad alcune notizie diffuse da alcune testate giornalistiche.

Nel comunicato stampa del Garante trovano particolare enfasi i “potenziali rischi che potrebbero determinarsi da un uso improprio di un dato personale, quale è appunto la voce”, e da ciò consegue la richiesta di trasmissione alla società The Storyteller Company – Fakeyou di tutte le informazioni per chiarire l’iniziativa e in particolare:

• i dettagli riguardanti il software di “deep fake tech” impiegato;
• le categorie di dati trattati e le finalità del trattamento di dati riferiti a personaggi noti e utenti dell’app;
• l’ubicazione dei dati center;
• le misure di sicurezza applicate.

Andando a leggere i termini d’uso dell’app, il progetto viene presentato come una “research technology for fun” non destinata a scopi di lucro.

Viene prevista la possibilità di richiede il takedown di contenuti protetti da diritto d’autore, nonché la possibilità di riportare eventuali abusi allo staff su Discord. Inoltre, viene annunciato lo sviluppo imminente di uno strumento per verificare gli audio generati e poterne tracciare la sorgente.

Non si trova però alcuna informativa privacy e dunque si potrà apprendere solo dagli esiti dell’istruttoria ogni informazioni relativa alle attività di trattamento svolte.

Ciò che maggiormente deve preoccupare, però, è quanto non è stato sufficientemente posto in evidenza. C’è un annuncio che campeggia nella home page del sito in cui viene offerta la disponibilità a pagare “anche $150 USD a voce!”. Insomma: si presenta la possibilità di svolgimento di un vero e proprio mercimonio di dati personali, ragion per cui forse ci si sarebbe potuti attendere un approccio maggiormente prudenziale da parte dell’Authority con un provvedimento di limitazione provvisoria dei trattamenti fino al riscontro circa la richiesta di informazioni.

Volendo guardare al di fuori del perimetro dell’istruttoria, lo scenario è tutt’altro che confortante dal momento che qualsivoglia esito della stessa non sembra poter incidere a riguardo.

Ad oggi è infatti noto che all’interno dei marketplace delle underground i servizi di deepfake sono diventati oggetto di vendita, con la conseguente previsione di un significativo aumento degli attacchi ibridi in cui tali tecnologie potranno ben trovare impiego. E questa non rappresenta affatto una novità, dal momento che ENISA nel report di inizio 2022 aveva segnalato tali minacce evidenziando un trend di crescita rilevato già in corso a partire dagli anni precedenti.

Stefano Gazzella
Privacy Officer e Data Protection Officer, specializzato in advisoring legale per la compliance dei processi in ambito ICT Law. Formatore e trainer per la data protection e la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Giornalista pubblicista, fa divulgazione su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.