Le scuole adorano le belle foto, che si tratti di una gita a un castello, della cerimonia di premiazione di un concorso scientifico o della giornata dello sport immortalata da tre diverse angolazioni. Per vent’anni, immagini celebrative come queste sono finite direttamente sui siti web delle scuole, accompagnate da una didascalia con il nome e la classe dello studente. Ma quei tempi sono finiti, perché siamo nel 2026 e su Internet non si può più avere nulla di bello.
Come riportato in anteprima dal Guardian, gli esperti stanno ora esortando le scuole a rimuovere tali immagini. Secondo la National Crime Agency britannica, l’Internet Watch Foundation e un organo consultivo denominato Early Warning Working Group (EWWG), i ricattatori hanno raccolto foto scolastiche comuni, le hanno elaborate tramite deepfake basati sull’intelligenza artificiale per produrre materiale pedopornografico (CSAM) e hanno chiesto un riscatto per non rendere pubbliche le immagini.
Una scuola, 150 immagini
Alla fine dello scorso anno, alcuni criminali informatici hanno contattato una scuola secondaria britannica, di cui non è stato reso noto il nome, avanzando tale richiesta. L'IWF ha classificato 150 delle immagini risultanti come materiale pedopornografico (CSAM) ai sensi della legislazione britannica e ha generato impronte digitali per ciascuna immagine, in modo che le principali piattaforme potessero bloccarne il caricamento.
L'IWF non ha reso noti né il nome della scuola né quello delle forze dell'ordine, e non ritiene che si tratti di un caso isolato. L'EWWG sostiene che sia «solo questione di tempo» prima che altre scuole si trovino a dover affrontare richieste simili.
Jess Phillips, ministro britannico per la tutela dei minori, l’ha definita una «minaccia emergente profondamente preoccupante». Nel febbraio 2025, il Regno Unito è diventato il primo Paese a vietare gli strumenti di intelligenza artificiale progettati specificamente per generare materiale pedopornografico.
Come siamo arrivati a questo punto
Questa minaccia non è comparsa dall'oggi al domani e non si limita al Regno Unito. Si tratta dell'evoluzione di un fenomeno di lunga data: la sextortion, ovvero quando qualcuno usa immagini intime per ricattarti. In passato, la sextortion si basava su immagini intime reali che venivano rubate o diffuse, ma deepfake ha cambiato tutto.
L'Internet Crime Complaint Center (IC3) dell'FBI ha registrato oltre 16.000 denunce di sextortion nella prima metà del 2021, con perdite superiori agli 8 milioni di dollari. A giugno 2023, l'FBI ha avvertito che le modalità operative erano cambiate: gli aggressori utilizzavano normali foto pubblicate sui social media per creare immagini esplicite false e ricattare i minori.
Childline, il servizio di assistenza telefonica britannico dedicato ai minori, ha registrato cambiamenti simili con la crescente diffusione deepfake . Ogni anno riceve già numerose segnalazioni di casi di sextortion, molti dei quali riguardano bambini che sono stati manipolati affinché condividessero immagini intime di se stessi. Ora, l’organizzazione sta ricevendo chiamate da bambini ai quali vengono inviate immagini deepfake che li ritraggono, senza che vi sia stato alcun contatto precedente.
Ad esempio, a una ragazza di 15 anni è stata inviata una foto di nudo falsa «davvero convincente», realizzata utilizzando Instagram sue Instagram .
Secondo l'IWF, a novembre 2025 le segnalazioni relative a materiale pedopornografico generato dall'intelligenza artificiale erano più che raddoppiate rispetto all'anno precedente, passando da 199 a 426. Le bambine rappresentavano il 94% delle vittime. Secondo l'organizzazione, i casi segnalati riguardavano bambini di età compresa tra i neonati e i due anni.
L'ecosistema che ruota attorno a questi strumenti è di natura industriale. Nell'aprile 2025, un ricercatore ha scoperto un bucket AWS S3 accessibile pubblicamente appartenente all'app sudcoreana "nudify" GenNomis, contenente 93.485 immagini generate dall'intelligenza artificiale insieme ai prompt utilizzati per crearle.
Cosa viene comunicato alle scuole
Il gruppo di lavoro EWWG raccomanda di sostituire le foto ravvicinate e riconoscibili con immagini scattate da lontano, immagini sfocate o foto scattate di spalle. Consiglia inoltre alle scuole di rimuovere i nomi completi dalle didascalie, di verificare le immagini esistenti e di chiedere ai genitori di firmare nuovamente i moduli di consenso.
Infatti, invita le scuole a valutare se sia davvero necessario pubblicare le foto dei bambini online.
Alcune scuole hanno già preso provvedimenti. Secondo il Guardian, la Loughborough Schools Foundation, un gruppo di tre scuole private che condividono un sito web, lo scorso anno ha eliminato completamente le immagini degli alunni in cui questi fossero riconoscibili.
L'Ufficio del Commissario per l'informazione del Regno Unito (ICO) afferma che «in linea di massima ci si aspetterebbe comunque che venga offerta ai genitori la possibilità di opporsi» quando si pubblica una foto identificabile di un minore, ma precisa che dal punto di vista giuridico ciò non equivale al consenso, per il quale sono richiesti requisiti più rigorosi.
La situazione si fa più complessa negli Stati Uniti, dove gli Stati dispongono spesso di proprie leggi in materia di privacy degli studenti. In linea di massima, tuttavia, ai sensi del Family Educational Rights and Privacy (FERPA), le scuole includono solitamente le foto identificative degli studenti nella categoria delle informazioni di elenco. Tale categoria comprende anche nome, indirizzo, numero di telefono, data e luogo di nascita, partecipazione ad attività e sport ufficialmente riconosciuti, nonché le date di frequenza.
Ai sensi del FERPA, le scuole possono pubblicare questo tipo di informazioni a meno che il tutore del minore non si opponga espressamente. Sono tenute a informare il tutore quando intendono pubblicarle, ma tale procedura potrebbe non essere applicabile a tempo indeterminato dopo che lo studente ha lasciato la scuola.
Ciò significa che le foto e le informazioni degli studenti possono rimanere online per molto tempo dopo che le famiglie pensano che siano state cancellate.
Cosa succederà dopo
Nel Regno Unito, il servizio "Report Remove" di Childline permette ai minori di segnalare immagini o video espliciti che li ritraggono e che sono stati pubblicati online. Lo scorso anno il servizio ha ricevuto 394 segnalazioni di ricatti da parte di minori di 18 anni, con un aumento di un terzo rispetto al 2024.
Nel frattempo, il governo britannico sta modificando il disegno di legge sulla criminalità e le forze dell'ordine, obbligando le piattaforme a rimuovere entro 48 ore le immagini intime segnalate, pena multe pari al 10% del fatturato globale.
Prevediamo una corsa al rialzo tra le autorità di regolamentazione e i criminali informatici che sfruttano l'intelligenza artificiale. Al momento, gli hacker devono ancora cercare manualmente le foto. Il timore è che questo processo possa presto diventare automatizzato, consentendo ai criminali di estrarre nomi e foto dai siti web delle scuole e dalle piattaforme dei social media su larga scala.
Per i genitori, la misura di protezione più semplice potrebbe essere quella di limitare il numero di foto identificabili dei propri figli disponibili online. Ciò significa prestare attenzione non solo alla scuola dei propri figli, ma anche alle loro squadre sportive, alle attività extrascolastiche e ai loro profili sui social media.
