L'ascesa di modelli di intelligenza artificiale (IA) capaci di generare immagini ultra realistiche e testi credibili ha accentuato l'urgenza di distinguere i contenuti creati dalle macchine da quelli realizzati dagli esseri umani. Tra le soluzioni proposte, quella del "watermarking", ovvero l'inserimento di una firma digitale, invisibile nei risultati prodotti dall'IA, si posiziona al centro dell'attenzione. Tuttavia, gli studi condotti fino ad ora evidenziano la difficoltà d'efficacia di questo approccio di fronte alle sofisticate tecniche di elusione sviluppate.
Il watermarking, o filigranatura digitale, consiste nell' incorporare un messaggio, metadati, logo o firma in un oggetto digitale per determinarne l'origine e la fonte. Questa pratica è applicata da tempo ad oggetti materiali come banconote e francobolli per provarne l'autenticità e oggi esistono tecniche per inserire filigrane invisibili in contenuti digitali come immagini, file audio e video, con l'obiettivo di marcare i contenuti generati da IA. Questa pratica si diversifica in due approcci: il "model watermarking", che modifica il modello di IA stesso e il "dataset watermarking", che agisce sui dati di addestramento per identificarne univocamente la provenienza e contrastare l'uso non autorizzato.
Nonostante le entusiastiche premesse, l'applicazione pratica di queste tecniche rivela vulnerabilità significative specialmente per le immagini generate dall'IA: ad esempio è stata osservata la relativa facilità con cui i watermark invisibili (modifiche impercettibili a pixel) possono essere compromessi attraverso manipolazioni mirate dei bit meno significativi dell'immagine.
Per ovviare, un approccio innovativo propone di manipolare i bit creando pattern riconoscibili da software dedicati ma invisibili all'occhio umano, sebbene queste tecniche si scontrino poi con la problematica di resistere ad interventi di modifica più radicale come rotazioni o ridimensionamenti.
Vari studi hanno inoltre dimostrato la fallibilità dei watermark visibili (logo sovrimpressi), con l’aggravante che è relativamente facile generare falsi positivi inserendo watermark in foto autentiche scattate da esseri umani.
Parallelamente, l'approccio all'autenticazione del contenuto propone una direzione alternativa suggerendo l'aggiunta di metadati e firme crittografiche alle immagini reali per confermarne l'autenticità. Questo metodo punta a ridurre l'incentivo alla rimozione dei watermark sostenendo l'importanza dell'origine autentica delle immagini nel contesto digitale.
Alcune aziende stanno esplorando vie alternative per dimostrare l'autenticità dei contenuti, ad esempio aggiungendo metadati alle immagini generate da fotocamere e utilizzando firme crittografiche per provare l'autenticità di questi metadati, anziché concentrarsi sul watermarking delle immagini generate dall'IA.
Lasciamo un attimo le immagini per concentrarci invece sui testi prodotti dall'intelligenza artificiale: la sfida si amplifica notevolmente. L'efficacia delle tecniche attuali, come l'enfatizzazione di determinate parole o l'inserimento di sequenze di token crittografati (proposta da OpenIA), si rivela limitata poiché questi “watermark linguistici” possono essere elusi con modifiche testuali minime. Una proposta avanzata tempo fa era quella di analizzare le scelte lessicali tipiche di un autore, purtroppo risultate facilmente aggirabili.
Sempre OpenIA ha presentato, più recentemente, un approccio sperimentale al watermarking per ChatGPT che prevede l'utilizzo di una funzione crittografica per influenzare la scelta dei token, rendendo possibile l'identificazione dei contenuti generati dall'IA mediante una chiave crittografica conosciuta solo da OpenIA.
Questa metodologia solleva però comprensibili dubbi sulla reale utilità del watermarking per contrastare fake news e disinformazione online, portando alla luce la necessità di esplorare soluzioni alternative e più resilienti: stanno infatti nascendo servizi come GPTZero e TurnItIn che promettono di rilevare testi generati automaticamente da IA. Purtroppo i numerosi test di utilizzo in condizioni reali hanno messo in mostra la loro grande imprecisione, con il rischio di produrre falsi positivi che possono poi portare ad accuse ingiuste di plagio o frode.
L'evoluzione del watermarking nell'era dell'IA non si ferma tuttavia a queste constatazioni. L'esplorazione di metodi avanzati, come l'utilizzo di "dati radioattivi" per il tracciamento dei dataset di addestramento, apre nuove prospettive per la protezione dei modelli IA da utilizzi non autorizzati, evidenziando l'importanza della ricerca continua per affrontare con efficacia le sfide poste dalla tecnologia.
Oltre ai problemi tecnici, una diffusione su larga scala del watermarking porrebbe spinose questioni etiche perché potrebbe minacciare la privacy tracciando l'utilizzo individuale dell'IA, alterare la qualità degli output oppure distogliere risorse da soluzioni più complesse come l’educazione digitale.
Tali questioni sollecitano un dibattito aperto e costruttivo che includa non solo la comunità tecnologica ma anche la società nel suo insieme, per garantire che l'evoluzione della filigranatura e delle tecnologie di IA proceda in modo responsabile e sostenibile.
Secondo alcuni esperti, con i dovuti criteri, il watermarking potrebbe comunque contribuire a smascherare i tentativi più semplicistici di disinformazione basata sull'IA.
La strada appare ancora lunga, la ricerca è solo agli inizi e si stanno inoltre valutando approcci alternativi quali sistemi di autenticazione tramite metadati e firme crittografiche.
In definitiva, trovare soluzioni davvero efficaci per distinguere contenuti artificiali da quelli autenticamente umani si conferma una sfida aperta che richiederà nuove idee, approcci interdisciplinari e molti test sul campo.
Non possiamo però delegare tutto alla tecnologia: serve un cambio di prospettiva che rimetta l'uomo al centro. Dobbiamo interrogarci sinceramente su concetti messi in discussione dall'IA come identità e libero arbitrio. È una sfida epocale, che va affrontata senza demonizzare la tecnologia ma comprendendone rischi e potenzialità. Se sapremo farlo, dalla crisi emergeranno nuove inimmaginabili opportunità.