Immagini AI e watermark digitali: la battaglia per il vero

La generazione di immagini tramite modelli di linguaggio ha compiuto un salto qualitativo straordinario in pochi anni.

L’evoluzione della generazione di immagini tramite LLM

Il punto di svolta è arrivato nel gennaio 2021, quando OpenAI ha presentato DALL-E, un modello transformer da 12 miliardi di parametri capace di creare immagini a partire da descrizioni testuali.

Da allora, l’evoluzione è stata rapidissima: DALL-E 2 (2022), DALL-E 3 (fine 2023), con GPT-4o che ha ulteriormente evoluto le capacità di generazione di immagini nel 2025. L’integrazione di GPT-4o con la generazione di immagini ha dato vita a un fenomeno virale, con milioni di utenti che hanno iniziato a trasformare foto personali in illustrazioni in stile Studio Ghibli.

Nel panorama attuale non manca la concorrenza: strumenti come Nano Banana, basato sull’architettura Gemini di Google, offrono editing contestuale avanzato, con consistenza visiva tra più scene. Google ha inoltre espanso le capacità di Imagen e Veo per video e immagini, mentre Stable Diffusion continua a essere un punto di riferimento nell’ecosistema open-source. Nel 2026, la generazione di immagini tramite AI è diventata accessibile, economica e di qualità fotografica quasi perfetta.

Deepfake e la crisi dell’autenticità digitale

La stessa tecnologia che permette di creare arte in stile Ghibli consente anche di produrre deepfake indistinguibili dalla realtà. Le stime suggeriscono che una significativa percentuale di contenuti online potrebbe essere falso, con un aumento dei casi di deepfake rilevati ogni anno. Questa esplosione di contenuti sintetici sta generando una vera e propria crisi di fiducia digitale: le aziende spendono milioni per singolo incidente legato a violazioni di autenticità, misinformazione e frodi con media sintetici.

Il problema è duplice. Da un lato, i deepfake vengono usati per scopi fraudolenti — dalla manipolazione politica alle truffe finanziarie. Dall’altro, anche i contenuti autentici vengono messi in dubbio, perché chiunque può affermare che un’immagine reale sia stata generata dall’AI.

I tre approcci al watermarking digitale

Per provare a distinguere i contenuti reali da quelli generati dall’AI, oggi si usano tre famiglie principali di tecniche: watermark statistici, watermark crittografici e fingerprinting:

Watermark statistici

I watermark statistici non “aggiungono” un segno visibile ma agiscono “dall’interno” del processo generativo. Nel testo, per esempio, il modello sceglie le parole con un leggero bias guidato da una regola nascosta, così da lasciare una traccia rilevabile a posteriori ma impercepibile per chi legge.

Il risultato non è una prova assoluta, ma un’indicazione probabilistica: un detector restituisce una stima di probabilità (più o meno alta) che quel contenuto contenga il watermark. È quindi un indizio misurabile, utile su larga scala, ma non una prova forte come una firma digitale.

Watermark crittografici

Per le immagini, i watermark moderni funzionano più come una vera e propria firma digitale invisibile. L’idea è inserire dentro il file un segnale nascosto che collega l’immagine allo strumento o all’organizzazione che l’ha generata, in modo che un sistema di verifica possa controllare se quella firma è valida. In pratica, l’immagine sembra normale, ma contiene una “targhetta” digitale che può essere letta da chi ha gli strumenti giusti.

A differenza dei watermark statistici, questi schemi puntano a una prova più forte e più facile da standardizzare: possono integrarsi con sistemi di provenienza come C2PA, che aggiungono metadati firmati su chi ha creato il contenuto, quando, con quale dispositivo e quali modifiche ha subito lungo la sua vita.

Fingerprinting

Il fingerprinting fa un lavoro ancora diverso: non modifica il contenuto. Calcola invece un’impronta digitale (un “codice” robusto) a partire da immagine o video e la confronta con un database per capire se quel media è già stato visto. Spesso regge bene compressioni e ridimensionamenti; il ritaglio e modifiche più pesanti possono rendere il match più complesso, a seconda della tecnica. È una tecnologia nata per il copyright e l’anti-abuso: non ti dice se qualcosa è “AI o umano”, ma se è lo stesso contenuto (o molto simile) a uno già registrato.

SynthID di Google

Google ha sviluppato SynthID, un sistema che inserisce un watermark invisibile nei contenuti creati con i suoi modelli di AI, senza cambiare in modo percepibile il testo, le immagini, l’audio o i video per chi li guarda o li legge. Questo watermark può però essere riconosciuto in modo automatico da strumenti dedicati, che così possono segnalare se tutto o parte di un contenuto è stato generato con gli strumenti di Google. A maggio 2025 l’azienda ha lanciato SynthID Detector, un portale che permette di caricare testo, immagini, audio o video e verificare se contengono il watermark SynthID, ed ha dichiarato che oltre 10 miliardi di contenuti sono già stati marcati con questa tecnologia.

I limiti strutturali: onesti vs. malintenzionati

Nessuno di questi approcci è “a prova di attacco” se dall’altra parte c’è un attore motivato. NIST (National Institute of Standards and Technology) lo mette nero su bianco: watermarking e tecniche di trasparenza aiutano, ma hanno limiti pratici e possono essere aggirati con trasformazioni e procedure mirate. Tecniche avanzate come UnMarker e SemanticRegen dimostrano che, in vari scenari, watermark invisibili (inclusi quelli “semantici”) possono essere indeboliti o rimossi mantenendo un output visivamente plausibile.

Un punto critico è che i watermark funzionano principalmente come deterrente per un uso onesto: permettono alle piattaforme di identificare contenuti AI, ai creatori di certificare le proprie opere e alle organizzazioni di tracciare la provenienza dei media. Tuttavia, un attaccante motivato potrebbe rigenerare immagini, rimuovere watermark con strumenti open-source e pubblicare solo i contenuti dove la rimozione ha avuto successo.

Il futuro: verso una “web of trust” basata sulla provenienza

La consapevolezza dei limiti del watermarking sta spingendo l’ecosistema verso un paradigma complementare: la “web of trust”, basata sulla reputazione e sulla provenienza verificabile delle fonti. Questo modello propone che la fiducia non venga assegnata al singolo contenuto, ma alla catena di custodia: chi ha creato il contenuto, con quale strumento, chi lo ha firmato, su quale piattaforma è stato pubblicato.

Se una testata giornalistica pubblica un’immagine con Content Credentials verificabili, firmati da un dispositivo certificato C2PA, quell’immagine guadagna fiducia non per il suo aspetto, ma per la reputazione della fonte. Questo modello è analogo alla web of trust della crittografia, in cui la fiducia è transitiva e si propaga attraverso entità verificate.

Conclusioni

Guardando al futuro, è chiaro che il watermarking e la “web of trust” sono soluzioni complementari fondamentali per garantire l’autenticità dei contenuti digitali. Con l’integrazione di tecnologie come C2PA e l’adozione di un approccio basato sulla provenienza verificabile, il panorama digitale può evolvere verso un sistema più sicuro e affidabile.

FAQ

Cos’è un watermark digitale per immagini AI?

Un watermark digitale è un segnale invisibile incorporato in un’immagine (o testo, audio, video) durante la generazione, progettato per essere rilevato algoritmicamente senza alterare la qualità percepita del contenuto. Tecnologie come SynthID di Google marcano contenuti generati per garantire la provenienza e l’autenticità.

I watermark possono essere rimossi?

Sì. Attacchi avanzati come UnMarker e SemanticRegen possono rimuovere watermark, riducendo il tasso di rilevamento. Per questo motivo si stanno sviluppando difese multi-livello che combinano watermark, blockchain e fingerprinting.

Cos’è lo standard C2PA?

C2PA (Coalition for Content Provenance and Authenticity) è uno standard tecnico aperto che permette di allegare ai contenuti digitali informazioni verificabili su origine, autore e modifiche. È supportato da Adobe, Microsoft, Google, OpenAI, BBC e altri membri.

Che differenza c’è tra watermark e fingerprinting?

Il watermark aggiunge un segnale al contenuto durante la creazione, mentre il fingerprinting genera un’impronta digitale (hash) del contenuto esistente per confrontarla con versioni successive.

Cosa si intende per “web of trust” applicata ai contenuti digitali?

È un modello in cui la fiducia in un contenuto non dipende dall’analisi del singolo file, ma dalla catena verificabile di entità che lo hanno creato, firmato e distribuito. La reputazione della fonte — giornale, piattaforma, dispositivo — diventa il principale indicatore di affidabilità, supportata da strumenti crittografici come i Content Credentials C2PA.

Fonti

Microsoft Research – “Media Authenticity Methods in Practice: Capabilities, Limitations and Directions”, 18 febbraio 2026
https://www.microsoft.com/en-us/research/blog/media-authenticity-methods-in-practice-capabilities-limitations-and-directions/

DeviantArt – “ChatGPT / DALLE: Powerhouse of AI Art in 2026”, 23 gennaio 2026
https://www.deviantart.com/misswatermelonbounce/journal/ChatGPT-DALLE-Powerhouse-of-AI-Art-in-2026-1290796044

C2PA Studio – “Technical Information”
https://c2pa.studio/technical

CreateVision AI – “Best AI Image Generators 2026: GPT-5 vs GPT-4 vs DALL-E 3”, 21 febbraio 2026
https://createvision.ai/guides/best-ai-image-generators-2025

ArXiv – “Diffusion-based Robust Watermark Against Deepfakes”
https://arxiv.org/pdf/2507.01428.pdf

Irdeto – “How C2PA is bringing authenticity back to the Internet”, 7 maggio 2025
https://irdeto.com/blog/how-c2pa-is-bringing-authenticity-back-to-the-internet

Wikipedia – “DALL-E”
https://en.wikipedia.org/wiki/DALL-E

Imigo AI – “Top AI Image Generators for 2025: Best Tools for Stunning Visuals”, 25 novembre 2025
https://imigo.ai/es/media/top-neural-networks-for-image-generation

C2PA – “Verifying Media Content Sources”
https://c2pa.org

OpenAI – “DALL·E: creación de imágenes a partir de texto”, 4 gennaio 2021
https://openai.com/es-419/index/dall-e/

Trust Over IP Foundation – “EGWG 2025-05-15: The C2PA Conformance Program”, 19 maggio 2025
https://trustoverip.org/blog/2025/05/20/egwg-2025-05-15-the-c2pa-conformance-program-scott-perry/

Google Blog – “SynthID Detector — a new portal to help identify AI-generated content”, 19 maggio 2025
https://blog.google/innovation-and-ai/products/google-synthid-ai-content-detector/

ScoreDetect – “AI Attacks on Watermarks: Problems and Solutions”, 30 dicembre 2025
https://www.scoredetect.com/blog/posts/ai-attacks-watermarks-problems-solutions

The Traceability Hub – “Digital Provenance & Content Authentication: Trust in AI Media (2026)”, 17 febbraio 2026
https://thetraceabilityhub.com/digital-provenance-why-content-authentication-matters-in-2026/

QUT GenAI Lab – “Google’s SynthID is the latest tool for catching AI-made content”, 3 giugno 2025
https://research.qut.edu.au/genailab/2025/06/04/googles-synthid-is-the-latest-tool-for-catching-ai-made-content-what-is-ai-watermarking/

NeurIPS 2025 – “The Future Unmarked: Watermark Removal in AI-Generated Images”, 27 gennaio 2026
https://neurips.cc/virtual/2025/loc/san-diego/poster/115149

NIST (Trustworthy and Responsible AI, Report 100-4) – “Reducing Risks Posed by Synthetic Content An Overview of Technical Approaches to Digital Content Transparency”, 20 novembre 2024
https://www.nist.gov/publications/reducing-risks-posed-synthetic-content-overview-technical-approaches-digital-content

Content Authenticity Initiative – “The State of Content Authenticity in 2026”, 29 dicembre 2025
https://contentauthenticity.org/blog/the-state-of-content-authenticity-in-2026

Google DeepMind – “Watermarking AI-generated text and video with SynthID”, 13 maggio 2024
https://deepmind.google/blog/watermarking-ai-generated-text-and-video-with-synthid/

NeurIPS 2025 – “The Future Unmarked: Watermark Removal in AI-Generated Images”, 9 novembre 2025
https://neurips.cc/virtual/2025/poster/115149

Azoma AI – “SynthID: Workarounds and Implications of Google’s AI Detection Mechanism”, 26 maggio 2025
https://www.azoma.ai/insights/synthid-google-ai-detection-mechanism-explained

YouTube – “AI watermarks can never work”, 13 agosto 2025
https://www.youtube.com/watch?v=Fvofw8BEy_E

AI News Hub – “ChatGPT 4o’s Image Generation Goes Viral: Studio Ghibli Style Takes Over in 2025”, 21 giugno 2025
https://www.ainewshub.org/post/chatgpt-4o-s-image-generation-goes-viral-studio-ghibli-style-takes-over-in-2025

Nano Banana – “Revolutionary AI Image Model”
https://nanobanana.pro

Brookings Institution – “Detecting AI fingerprints: A guide to watermarking and beyond”, 11 marzo 2024
https://www.brookings.edu/articles/detecting-ai-fingerprints-a-guide-to-watermarking-and-beyond/

Wald AI – “AI Image Generation: Inside the Ghibli Craze”, 7 settembre 2025
https://wald.ai/blog/chatgpt-4-image-generation-what-nobody-tells-you-about-the-viral-ghibli-trend

[nanobananas] Nano Bananas AI – “Free Nano Banana | AI Image Editing & Video Generation”, 5 gennaio 2026
https://nanobananas.ai

Variety – “OpenAI CEO Responds to ChatGPT Users Creating Studio Ghibli-Style AI Images”, 27 marzo 2025
https://variety.com/2025/digital/news/openai-ceo-chatgpt-studio-ghibli-ai-images-1236349141/