Come riconoscere le immagini generate dall'IA (Guida 2026)

Risposta rapida: Controlla tre cose in quest'ordine. (1) Metadati: trascina il file in un Visualizzatore EXIF gratuito. Make/Model della fotocamera mancanti, un tag Software come "Midjourney", "Stable Diffusion" o "Adobe Firefly" e nessun GPS sono forti indizi di IA. (2) Pixel: esegui la mappa di rumore e il gradiente di luminanza nel nostro strumento di Analisi forense. Le immagini IA mostrano spesso rumore di sensore sospettosamente uniforme e illuminazione incoerente. (3) Content Credentials C2PA: trascina il file in contentcredentials.org/verify. Se lo strumento IA ha scritto una credenziale, vedrai il nome del generatore. Nessun controllo è conclusivo da solo; combina tutti e tre.

I generatori di immagini IA hanno raggiunto la qualità fotorealistica nel 2024 e nel 2026 la distanza tra reale e sintetico è praticamente colmata per l'osservatore comune. Questo rende la rilevazione un problema reale: frodi assicurative, giornalismo, verifica dei profili d'incontri e catena di custodia delle prove si scontrano oggi con immagini generate dall'IA. Questa guida illustra i metodi pratici di rilevazione che funzionano nel 2026, cosa rivelano e dove ciascuno fallisce.

I tre livelli: metadati, pixel, provenienza

Ogni tecnica di rilevazione rientra in uno di tre livelli. Il flusso affidabile usa tutti e tre perché ciascuno cattura ciò che gli altri si lasciano sfuggire.

Livello metadati sono i blocchi EXIF, IPTC e XMP dentro il file. Gli strumenti IA li lasciano quasi vuoti (niente fotocamera, niente GPS, niente obiettivo) oppure li riempiono con la propria firma (Software: "Midjourney v8", Software: "Stable Diffusion XL", Software: "Adobe Firefly"). È il controllo più rapido ma anche il più facile da aggirare: chiunque può rimuovere i metadati con uno strumento da 5 secondi. Utile per beccare fake IA poco curati, inutile contro quelli accurati.

Livello pixel è l'analisi forense dei dati immagine reali: pattern di rumore, artefatti di compressione JPEG, peculiarità nel dominio della frequenza, coerenza dell'illuminazione. I generatori IA producono un rumore statisticamente diverso da quello dei veri sensori. È più difficile da aggirare, ma i difensori stanno recuperando: i modelli di generazione 2026 aggiungono rumore di sensore sintetico apposta per ingannare l'analisi della mappa di rumore. Utile per beccare fake di qualità media.

Livello provenienza sono le Content Credentials C2PA (Coalition for Content Provenance and Authenticity), un manifesto firmato crittograficamente incorporato nel file che registra chi ha creato l'immagine e con quale strumento. Adobe, OpenAI, Microsoft, Google e la maggior parte dei produttori di fotocamere supportano ora C2PA. Quando la credenziale è intatta, è il segnale più affidabile. Quando manca o è stata rimossa, si ripiega sugli altri due livelli.

Controlli sui metadati: il filtro gratuito da 90 secondi

Apri la foto nel nostro Visualizzatore EXIF (o un qualsiasi lettore EXIF). Cerca questi segnali:

Tag di fotocamera mancanti. Una vera foto di fotocamera ha Make, Model, LensModel, FNumber, ExposureTime, ISO. Le immagini generate dall'IA li saltano del tutto o contengono solo il minimo (solo Make e Model, senza info di esposizione). Se una "foto di un edificio scattata all'aperto" non ha GPS né fotocamera, è insolito.

Tag Software generico o di IA. Il tag Software EXIF spesso svela il gioco. Le fotocamere vere scrivono versioni del firmware ("8.0.1", "iOS 19.2"). Adobe Lightroom scrive "Adobe Lightroom 14.3 (Macintosh)". I generatori IA scrivono cose come "Midjourney v8", "Stable Diffusion XL", "Adobe Firefly", "DALL·E 3", "Sora", "Gemini Image". Se vedi il nome di un generatore nel campo Software, il file è dichiaratamente generato dall'IA.

Niente GPS, niente data di scatto. Le fotocamere vere con i servizi di localizzazione attivi scrivono coordinate GPS e un DateTimeOriginal preciso (al secondo, spesso con info sotto il secondo). Le immagini IA non hanno GPS e possono avere solo il timestamp di scrittura del file, non un vero istante di scatto. La sola assenza di GPS non è prova (potrebbe essere un telefono con localizzazione disattivata), ma combinata con Make/Model mancante è sospetta.

Lo schema "ripulito". Un file davvero sospetto non ha praticamente metadati: niente Make, niente Model, niente GPS, niente Software, niente eccetto le dimensioni. Così appare un'immagine IA dopo essere stata salvata tramite Photoshop o un rimotore di metadati. Le fotocamere vere quasi mai producono EXIF vuoto.

Campi DateTime non corrispondenti. Le foto modificate o generate mostrano spesso DateTimeOriginal, CreateDate e ModifyDate discordanti. Uno scatto vero appena fatto li ha tutti e tre quasi identici.

Per una rassegna completa di ogni tag EXIF e cosa significa, consulta il nostro riferimento dei tag EXIF o la guida per principianti cosa sono i dati EXIF?.

Controlli sui pixel: quando i metadati sono spariti

Se il file è privo di metadati (o è solo uno screenshot di un'immagine IA), bisogna guardare i pixel. Apri il nostro strumento di Analisi forense e prova queste tre viste:

Mappa di rumore sottrae una sfocatura a piccolo raggio dall'immagine lasciando solo il rumore ad alta frequenza. Un vero sensore produce un rumore abbastanza uniforme su tutto il fotogramma, con leggere variazioni legate a ISO ed esposizione. Le immagini generate dall'IA nel 2026 mostrano spesso un rumore troppo uniforme (il passo di denoising del generatore ha levigato in eccesso) o rumore uniforme iniettato artificialmente privo della texture naturale di uno scatto da telefono. Cerca pelle e zone di sfondo irrealisticamente pulite.

Gradiente di luminanza applica un filtro Sobel al canale di luminosità e mostra la magnitudine del gradiente. La direzione della luce in una scena reale è coerente: le ombre cadono nello stesso modo su tutti i soggetti, le luci si allineano. Le immagini IA hanno spesso illuminazione incoerente tra primo piano e sfondo (una persona illuminata da sinistra davanti a un edificio illuminato da destra). La vista gradiente lo rende evidente.

Error Level Analysis (ELA) ricodifica il file come JPEG a una qualità nota e amplifica la differenza. Le foto vere mostrano una luminosità ELA coerente su tutto il fotogramma. Le immagini IA mostrano talvolta un ELA a chiazze, dove il processo di diffusione del generatore ha lasciato artefatti a blocchi sottili che non corrispondono a una vera compressione JPEG. (ELA è meno affidabile sull'IA che sui montaggi; trattalo come spareggio, non come segnale primario.)

Il problema: i modelli di generazione 2026 sono sempre più consapevoli di queste difese. L'addestramento adversarial dell'IA mira espressamente a ingannare l'analisi della mappa di rumore e l'ELA. Per fake IA di alta qualità (di quelli che produrrebbe un attore statale o un esperto deepfaker), la sola analisi forense dei pixel può non bastare. Combina con metadati + C2PA + controlli visivi.

Content Credentials C2PA: il segnale crittografico

C2PA (Coalition for Content Provenance and Authenticity, sostenuta da Adobe, Microsoft, Google, Intel, OpenAI e dalla maggior parte dei grandi produttori di fotocamere) incorpora un manifesto firmato crittograficamente nei file immagine. Il manifesto registra il nome del generatore, la versione del modello, la catena di creazione (modifiche, esportazioni) e l'editore.

A metà 2026, la maggior parte dei grandi strumenti di immagine IA allega le Content Credentials C2PA per default:

• Adobe Firefly, Photoshop generative AI, funzioni IA di Lightroom
• OpenAI DALL·E 3, Sora
• Google Gemini Image
• Microsoft Designer (in precedenza Image Creator)
• Molti fork e front-end di Stable Diffusion

Per controllare, trascina il file in contentcredentials.org/verify. Se una credenziale è intatta, vedrai un piccolo badge con il nome del generatore, la data di creazione dell'immagine e (spesso) il prompt o un hash dello stesso.

Il problema: C2PA è opt-in. Uno screenshot di un'immagine IA, un'immagine IA ricaricata o un'immagine generata con uno strumento che non ha allegato la credenziale non avranno nulla da verificare. C2PA è prova solida quando presente ma non è prova di autenticità quando assente.

Indizi visivi (ancora utili nel 2026)

Nonostante i progressi enormi, i generatori di immagini IA nel 2026 ancora inciampano su alcuni dettagli ostinati. Vale la pena scandagliare ogni immagine sospetta per:

Mani, dita, gioielli. La geometria a più dita resta difficile. Cerca mani con cinque dita e mezzo, unghie puntate al contrario, anelli che attraversano le dita, cinturini di orologi che non si chiudono, mani fuse agli oggetti. Era un grande indizio nel 2023 ed è meno comune nel 2026 ma ancora presente nelle uscite generate veloci.

Orecchie. Le forme delle orecchie sono uniche e complesse. Le orecchie IA hanno spesso volute dell'elice strane, asimmetria tra orecchio sinistro e destro (quando dovrebbero corrispondere) o orecchini che fluttuano nel vuoto.

Testo piccolo. Loghi, cartelli stradali, copertine di libri, tatuaggi. L'IA di solito rende un testo di lettere mescolate illeggibili invece di parole vere. Se la foto contiene una scritta visibile e non è una parola reale, è quasi certamente IA.

Riflessi e ombre. I riflessi negli occhi della stessa persona spesso non concordano sulla sorgente di luce. I riflessi in specchi e finestre non corrispondono alla scena. La direzione delle ombre differisce tra soggetti nello stesso fotogramma.

Pattern ripetuti e folle. Persone sullo sfondo, foglie di un albero, ciocche di capelli, trame di tessuto, muri di mattoni. Le immagini IA hanno spesso ripetizioni innaturali o sbavature nei pattern ripetuti.

Texture della pelle. La pelle IA può apparire troppo liscia (troppo levigata) o troppo uniformemente perfetta. La pelle vera ha pori, sebo, leggere variazioni di colore, peluria fine. La pelle IA manca di micro-dettaglio in close-up.

Coerenza dello sfondo. Architettura che strutturalmente non sta in piedi (finestre disallineate, balconi sospesi, porte che non portano da nessuna parte). Folle dove individui si fondono l'uno nell'altro.

Cosa NON prova che una foto sia vera

Alcuni segnali sono citati come "prova" ma nel 2026 non significano nulla:

• Alta risoluzione. I generatori IA ormai producono immagini 4K+.
• EXIF con nome di fotocamera vero. Facile da falsificare; esistono strumenti che copiano EXIF da una foto vera a un'immagine IA.
• Coordinate GPS. Anche queste facili da aggiungere a mano con un qualsiasi editor EXIF.
• Un timestamp. Regolabile al secondo con un qualsiasi editor di date.
• "Sembra troppo bella per essere falsa". Sì, lo è. È proprio il problema.

L'autenticità reale richiede il livello di provenienza crittografica (C2PA + credenziali firmate dalla fotocamera) o la catena di custodia dal sensore originale.

Una checklist pratica da 5 minuti

Quando una foto ti arriva nella casella e devi capire se è reale, esegui:

1. Visualizzatore EXIF (/it/exif-viewer): Make/Model della fotocamera presenti? GPS presente? Tag Software, fotocamera vera o "Midjourney"?
2. Analisi forense (/it/photo-forensics): la mappa di rumore appare uniforme e pulita? Il gradiente di luminanza è coerente su tutto il fotogramma?
3. C2PA verify (contentcredentials.org/verify): c'è una credenziale qualsiasi?
4. Scansione visiva: mani, orecchie, testo, riflessi. Qualche glitch?
5. Controllo della fonte: chi l'ha mandata? C'era una catena? Il mittente la sostiene?

Se 1-4 sono tutti puliti e la fonte è fidata, probabilmente è vera. Se anche solo uno è dubbio, tratta l'immagine come non verificata e cerca una seconda fonte.

E la ricerca inversa delle immagini?

Google Lens, TinEye, Bing Visual Search restano utili nel 2026 ma per una domanda diversa: questa immagine è già stata pubblicata altrove? Non ti dicono direttamente se un'immagine è generata dall'IA. A volte intercettano IA palese quando la stessa immagine è stata postata su gallerie d'arte IA (Civitai, ArtStation, vetrina Midjourney), nel qual caso la fonte è la prova. Vale la pena come quinto controllo.

Dove sta andando tutto questo

Tra la fine 2026 e il 2027 stanno succedendo due cose:

1. C2PA diventa lo standard. Le fotocamere iPhone di Apple, dall'iOS 18, allegano Content Credentials firmate allo scatto. La maggior parte delle fotocamere pro (Sony, Nikon, Canon, Leica) ha ora una modalità C2PA. La regola "niente credenziale, niente fiducia" diventa praticabile.
2. Corsa agli armamenti nella rilevazione IA. La rilevazione forense a livello di pixel (rumore, ELA, analisi in frequenza) diventa meno affidabile man mano che i generatori imparano a ingannarla. I watermark (Google SynthID, firme Microsoft) aiutano, ma solo quando rispettati dal generatore.

Il miglior consiglio per il 2026: fidati della provenienza, verifica con più livelli, dubita di qualunque cosa manchi di una catena di custodia.

Strumenti usati in questa guida

• Visualizzatore EXIF: vedi i metadati nel browser.
• Analisi forense: mappa di rumore, gradiente di luminanza, ELA, tutto nel browser.
• Rimotore EXIF: rimuovi i metadati prima di condividere le tue foto vere.
• C2PA Verify (esterno): contentcredentials.org/verify per la provenienza crittografica.
• Ricerca inversa delle immagini (esterno): Google Lens, TinEye, Bing.

In sintesi

Nel 2026 nessun singolo test cattura tutte le immagini generate dall'IA e nessun singolo test prova che una foto sia vera. Il flusso affidabile combina metadati, forense dei pixel, provenienza C2PA e scansione visiva. Eseguili tutti e quattro in ordine su qualunque immagine sospetta. Quando qualcosa conta davvero (assicurazione, giornalismo, prove, profilo d'incontri), pretendi le Content Credentials C2PA e tratta la loro assenza come bandiera gialla, non come via libera.