Verifyco
LinguaEnglishTürkçeEspañolDeutschFrançaisItalianoPortuguêsالعربية
Scarica sull’App Store

Content Credentials (C2PA), spiegato: l'etichetta nutrizionale delle foto

Cosa sono le Content Credentials? Come funziona la provenienza C2PA, come verificare l'origine di una foto, cosa può provare e cosa no — e perché sta diventando lo strato di fiducia del web.

Verifica delle Content Credentials C2PA di una foto su iPhone

Ogni immagine online ormai solleva la stessa domanda: da dove viene davvero? Le Content Credentials sono la risposta dell’industria — un’“etichetta nutrizionale” a prova di manomissione che viaggia dentro una foto o un video e registra chi l’ha creata, con cosa, e cosa le è stato fatto da allora. Produttori di fotocamere, Adobe, Google, OpenAI e le grandi piattaforme hanno aderito tutte — il che la rende la cosa più vicina a uno standard di provenienza che il web possieda.

Ecco come funziona, come verificarla e — altrettanto importante — cosa non può dirti.

Cosa sono esattamente le Content Credentials?

Content Credentials è il nome rivolto al pubblico di C2PA (Coalition for Content Provenance and Authenticity), uno standard tecnico aperto. Quando un dispositivo o un’app lo supporta, allega al file un manifesto firmato che registra:

  • Origine — la fotocamera, il telefono o lo strumento IA che l’ha creato;
  • Cronologia — le modifiche lungo il percorso (ritaglio, ritocco, riempimento generativo…);
  • Firma — un sigillo crittografico che rende rilevabile ogni manomissione del registro.

Pensala come una catena di custodia. Una fotocamera compatibile firma lo scatto; Photoshop aggiunge “ritagliato, colore regolato”; un generatore IA dichiara “creato dall’IA”. Chiunque può poi leggere quella catena e verificare che nessun anello sia stato contraffatto.

Cosa prova C2PA — e cosa no

Questa è la parte che la maggior parte delle cronache racconta male, in entrambe le direzioni.

Può provare: che un file è stato firmato da un certo strumento o dispositivo; che la cronologia di modifica registrata non è stata manomessa; che un generatore IA ha dichiarato sintetico il proprio output.

Non può provare: che un file senza etichetta sia generato dall’IA o autentico. Le credenziali si perdono con le azioni più ordinarie di internet — screenshot, risalvataggi, app di messaggistica e piattaforme che eliminano i metadati. Quindi:

La presenza delle credenziali è una prova solida. L’assenza non è alcuna prova.

Un verdetto onesto su un file senza credenziali richiede una vera analisi forense dei pixel e del contenitore — ci arriviamo sotto.

Come verificare le Content Credentials di una foto

  1. Siti di verifica. Lo strumento web ufficiale Verify di C2PA/Adobe legge il manifesto di qualsiasi file e mostra l’intera catena.
  2. Sul tuo iPhone. L’app Foto mostra informazioni di provenienza di base sui file compatibili, e alcune piattaforme espongono ormai un badge “CR” da toccare.
  3. App forensi. Il controllo di provenienza è il primo dei cinque segnali che Verifyco esegue — legge il manifesto C2PA sul dispositivo e poi, questo è il punto cruciale, continua l’analisi quando non c’è. La nostra guida completa per iPhone: come verificare su iPhone se una foto è reale o IA.

Perché conta di più ogni anno

Due forze convergono. I modelli generativi stanno cancellando la differenza visiva tra reale e sintetico — la caccia agli artefatti descritta in come capire se un’immagine è generata dall’IA diventa più difficile a ogni release. E arriva la regolamentazione: le regole di trasparenza dell’AI Act europeo spingono il contenuto sintetico verso l’etichettatura obbligatoria leggibile dalle macchine — in pratica, manifesti in stile C2PA.

Il probabile punto d’arrivo è un internet con due tipi di media: contenuti che portano con sé lo scontrino e contenuti che non lo portano. Quelli senza scontrino non saranno automaticamente falsi — ma porteranno un onere della prova crescente, e l’analisi forense è il modo in cui quell’onere viene esaminato.

Provenienza + forense: perché servono entrambe

I due approcci falliscono in modi opposti e complementari:

Provenienza (C2PA) Analisi forense
Quando funziona Il file ha conservato il manifesto Qualsiasi file, anche spogliato
Cosa dà Certezza crittografica sull’origine Prove statistiche dai pixel
Debolezza Facile da rimuovere, adozione incompleta Mai una prova assoluta
Falsificabile? La contraffazione è rilevabile Ingannare tutti i segnali insieme è difficile

Ecco perché Verifyco fonde entrambe: lo scontrino firmato quando esiste, e cinque segnali forensi indipendenti — metadati, analisi neurale dei volti, movimento, impronte di frequenza — quando non esiste (come funziona la pipeline sul dispositivo).

Domande frequenti

Le Content Credentials sono la stessa cosa di una filigrana? No. Una filigrana è incorporata nei pixel (visibile o invisibile); le credenziali sono un manifesto di metadati firmato che viaggia col file. Le filigrane sopravvivono ad alcuni risalvataggi ma sono proprietarie; le credenziali sono uno standard aperto ma spariscono con i metadati. Complementari, non concorrenti.

Una credenziale mancante significa che la foto è falsa? No — anche la maggior parte delle foto legittime online non ha credenziali, perché piattaforme e screenshot le rimuovono. L’assenza non ti dice nulla; ti dice solo che serve l’analisi forense.

I truffatori possono falsificare le credenziali C2PA? Possono rimuoverle, ma contraffare un manifesto firmato valido richiederebbe di compromettere le chiavi di firma — la crittografia rende la manomissione rilevabile. L’attacco realistico è la rimozione, non la contraffazione — esattamente il motivo per cui l’assenza va trattata come neutra.

I generatori IA etichettano le loro immagini? I grandi sempre di più — OpenAI, Adobe Firefly e Google allegano manifesti C2PA e/o filigrane invisibili come SynthID. I modelli open source, e chiunque faccia uno screenshot dell’output, no. Quel divario è il motivo per cui l’etichettatura da sola non risolve il rilevamento.

Conclusione

Le Content Credentials sono lo strato di fiducia emergente del web: quando lo scontrino c’è, verificarlo richiede secondi e chiude la questione dell’origine. Quando non c’è — cioè la maggior parte delle volte — si torna alla forense. Coltiva entrambe le abitudini e verifica prima di fidarti.

← Tutti gli articoli