Omdat vrouwen steeds vaker het doelwit zijn van de verspreiding van deepfake-pornografische afbeeldingen online, worstelen internationale en nationale wetgevers met het creëren van wetgeving die slachtoffers effectief beschermt tegen deze aanvallen.
Deepfake Amy Smith, een Amerikaanse die momenteel in Parijs studeert, bereidde zich in haar appartement voor op een tentamen toen een vreemde haar een Instagram-bericht stuurde met een onheilspellende dreiging: “Reageer, anders worden deze overal naartoe gestuurd.” Ze aarzelde even, klikte op de melding en scrolde voorbij zijn eerste tekst om door AI gegenereerde afbeeldingen van zichzelf te zien, naakt.
Smith, die vroeg om haar naam te veranderen, maakte zich in eerste instantie geen zorgen. De afbeeldingen waren zo slecht bewerkt dat iedereen kon zien dat ze nep waren. Ze blokkeerde de messenger nadat ze had gezegd dat ze hem bij de politie zou aangeven als hij verder zou gaan.
Maar de intimidatie ging door.
Een week nadat de 20-jarige het eerste bericht had ontvangen, gebruikte Smiths online stalker meerdere sociale media-accounts om steeds realistischere beelden naar haar familieleden te sturen. Hij plaatste deze op de Facebookpagina’s van haar en haar vader en bedreigde haar zelfs in berichten die hij naar haar persoonlijke telefoonnummer stuurde.
Tot op de dag van vandaag zijn zijn motieven onbekend. Na een gesprek met de politie denkt Smith dat de aanvaller er misschien gewoon plezier in heeft om mensen op deze manier te manipuleren.
De broer van Smith, die een IT-enthousiasteling is, probeerde de locatie van haar aanvaller te vinden met behulp van een goedkope zaktelefoon nadat hij een grove tekst had ontvangen met een deepfake-foto van Smith erbij. Een van de berichten kon worden herleid tot Azië, maar andere waren verspreid over de hele wereld, wat suggereert dat de aanvaller verschillende elektronica en telefoonnummers gebruikte om anoniem te blijven.
“Alleen zijn in Parijs maakte het een stuk enger voor me,” zei Smith. “Als ik bij mijn familie had kunnen zijn, had ik me veiliger gevoeld.”
In de afgelopen twee jaar hebben mensen met kwade bedoelingen steeds vaker beroemdheden, kinderen en jonge vrouwen aangevallen met neppe naaktfoto’s en -video’s. Deze foto’s, deepfakes genoemd, nemen eerdere foto’s van een persoon en maken met behulp van kunstmatige intelligentie (AI) synthetische afbeeldingen die op die persoon lijken. Een rapport uit 2023 van het Amerikaanse cybersecuritybedrijf Home Security Heroes ontdekte dat 98 procent van de deepfake-video’s online pornografisch is en dat de slachtoffers van deze cybercriminaliteit bijna uitsluitend vrouwen zijn.
Vorig jaar waarschuwde de FBI het publiek voor deze deepfakes en merkte een toename op van ‘sextortion-regelingen’, waarbij een dader aangepaste afbeeldingen gebruikt om slachtoffers te chanteren om grote sommen geld te betalen of hen echte naaktfoto’s te sturen.
“Kwaadaardige actoren gebruiken technologieën en diensten voor het manipuleren van inhoud om foto’s en video’s te exploiteren – meestal vastgelegd via het sociale media-account van een individu, het open internet of opgevraagd bij het slachtoffer – tot seksueel getinte afbeeldingen die levensecht lijken op een slachtoffer, en deze vervolgens te verspreiden op sociale media, openbare forums of pornografische websites”, aldus de FBI. “Veel slachtoffers, waaronder minderjarigen, zijn zich er niet van bewust dat hun afbeeldingen zijn gekopieerd, gemanipuleerd en verspreid totdat het door iemand anders onder hun aandacht werd gebracht.”
Het grote publiek wordt zich vooral bewust van dit probleem als het om beroemdheden gaat.
Deepfake-pornografische afbeeldingen van Taylor Swift verspreidden zich in januari bijna een hele dag snel op X voordat ze werden verwijderd.
De verspreiding van intieme deepfake-afbeeldingen op sociale media is echter niet beperkt tot beroemde mensen.
Nadat de aanvaller een bericht naar Smiths persoonlijke telefoonnummer had gestuurd waarin hij zei dat hij wist waar ze woonde en dat ze in groot gevaar was, schakelde ze de politie in voor bescherming. Ze nam contact op met de Amerikaanse ambassade in Frankrijk, meldde de misdaad bij de Franse politie en de politie in haar thuisstaat Florida en meldde de chantagepoging zelfs bij de FBI. Niemand wist hoe ze haar konden helpen. Elke keer kreeg ze hetzelfde antwoord: de kans dat ze haar aanvaller zou vinden was nihil.
“Ik was super overweldigd,” zei Smith, “ik snap nog steeds niet wat deze persoon van mij wilde. Het moeilijkste was toen ze achter mijn familie aan gingen.”
In de VS hebben slechts 10 staten wetgeving aangenomen die deepfakes specifiek noemt. In Florida stelt een wet uit 2022 dat het plaatsen van door AI gecreëerde naaktfoto’s zonder toestemming van de persoon een misdrijf van de derde graad is , het minst ernstige type misdrijf — slechts één stap hoger dan een overtreding — met een maximale straf van 5 jaar.
Momenteel zijn er in Frankrijk geen nationale wetten die AI rechtstreeks reguleren. De voorgestelde wetgeving zou AI-systemen echter dwingen om de auteursrechtwetten te respecteren en bekend te maken wanneer een afbeelding door AI is gegenereerd.
Maar wetten die zich richten op individuele handelingen zijn niet genoeg, aldus Sara Jodka, advocaat voor gegevensprivacy en cybersecurity in Michigan. Nieuwe ontwikkelingen in AI-technologie zullen voortdurend voorlopen op wetten die problemen met terugwerkende kracht oplossen, zei ze, wat betekent dat proactieve wetgeving de enige manier is om echt te controleren hoe AI kan worden gebruikt.
“De wet zal altijd achter technologie staan,” zei Jodka. “Het zal altijd achter social media staan.”
Hoewel ze aanvankelijk dacht dat de foto’s alleen naar mensen met wie ze een connectie had waren gestuurd, ontving Smith een ander direct bericht van een vreemde op Instagram met de waarschuwing dat haar foto’s waren gelekt naar een Telegram-kanaal dat naaktfoto’s van willekeurige vrouwen deelt. De beheerder, die hoorde dat de afbeeldingen nep waren, gooide de oorspronkelijke poster uit het kanaal en verwijderde de afbeeldingen.
Na deze gebeurtenis stopten de bedreigingen abrupt en zijn ze sindsdien niet meer voorgekomen.
Smiths onzekerheid over wat er nu gaat gebeuren is echter niet verdwenen.
“Ik weet niet of hij het heeft opgegeven, of dat hij iets anders van plan is”, zei Smith.
Zelfs als de identiteit van de aanvaller bekend zou zijn, zijn er zeer beperkte paden die de autoriteiten kunnen bewandelen wanneer een slachtoffer een zaak heeft zoals die van Smith. Maar zelfs deze oplossingen schieten tekort. De eerste en veiligste optie voor advocaten is om een cease-and-desist-brief te sturen, ervan uitgaande dat de aanvaller zich bezighield met “wraakporno” (wanneer naaktfoto’s van een slachtoffer zonder toestemming worden gelekt). En in de meeste gevallen van deepfake-pornografische afbeeldingen is alleen het gezicht van de persoon echt, wat de effectiviteit van deze aanpak ernstig beperkt.
Het grootste probleem is dat bij de meeste deepfake-pornografische bedreigingen, zoals in het geval van Smith, de aanvaller volledig anoniem is.
“Hoe kunnen we een anonieme dader aanpakken? Dat kunnen we niet,” zei Jodka. En zelfs als de staat, federale of internationale overheden ingrijpen, “als die dader zich niet in de staat bevindt die hem beschermde, wat moeten we dan doen?”
Maar Taylor Swifts schandaal spoorde wetgevers aan om de aanval van deepfake-pornografie serieus te nemen. Twee bipartisan wetsvoorstellen, de Defiance Act en de Take it Down Act , werden dit jaar in de Senaat ingediend. Als ze worden aangenomen, kunnen slachtoffers civiele boetes eisen tegen degenen die deze ‘digitale vervalsingen’ hebben geproduceerd of in bezit hebben gehad met de bedoeling ze te verspreiden. De wetgeving zou ook vereisen dat internetsites deepfake-pornografische afbeeldingen binnen 48 uur verwijderen.
“Veel vrouwen en meisjes worden voor altijd geschaad door deze misdaden, en moeten leven met het feit dat ze keer op keer het slachtoffer worden”, aldus senator Ted Cruz (R-TX), de sponsor van de Take It Down Act. “Door een gelijk speelveld te creëren op federaal niveau en de verantwoordelijkheid bij websites te leggen om procedures in te stellen om deze afbeeldingen te verwijderen, zal ons wetsvoorstel alle slachtoffers van deze afschuwelijke misdaad beschermen en machtiger maken.”
En in oktober 2023 gaf president Joe Biden een uitvoerend bevel over AI uit dat probeert dit onderliggende probleem aan te pakken door zich te richten op wat er kan gebeuren na publicatie. Het bevel instrueert het ministerie van Handel om een technologie te creëren die deepfake-content detecteert en deze naar de oorsprong volgt.
In de meest basale vorm zal deze technologie de maker de AI-content laten ‘ondertekenen’ met een cryptografische code. Webbrowsers, socialemediaplatforms en andere sites kunnen dan aan gebruikers signaleren dat specifieke content door AI is gegenereerd. Zie het als iets als advertentie-openbaarmakingen, waarbij berichten die betaalde promoties bevatten, als advertentie moeten worden gemarkeerd.
Maar deze technologie kan eenvoudig worden gemanipuleerd, zeggen sommige experts . En aangezien basis-AI-modellen altijd meerdere stappen voor zullen zijn op de technologie die detecteert wat ze produceren, zal het moeilijk zijn om methoden te creëren die deze problemen in de toekomst effectief zullen aanpakken.
Buiten de Verenigde Staten heeft de EU in maart van dit jaar de AI Act aangenomen , die gelaagde regelgeving voor AI-systemen vaststelt die zijn onderverdeeld in vier categorieën: onaanvaardbaar, hoog risico, beperkt risico en laag risico. Deepfakes worden momenteel geclassificeerd als “beperkt risico”, wat betekent dat makers van deepfakes de kunstmatige oorsprong van hun werk moeten bekendmaken om kijkers minder vatbaar te maken voor manipulatie.
Hoewel experts erkennen dat deze maatregel een grote stap voorwaarts is, bekritiseren velen het feit dat het document geen aansprakelijkheidskader bevat dat voorschrijft wie verantwoordelijk is voor misbruik van deepfakes of dat er juridische consequenties zijn voor personen die deepfakes maken met kwade bedoelingen.
“De preventieve maatregelen van de AI Act kunnen kwaadaardig gebruik van deepfakes slechts in zeer beperkte mate stoppen”, zei Philipp Hacker, de leerstoel Recht en Ethiek van de Digitale Samenleving aan de European University, toen hem werd gevraagd naar de beperkingen van de wet. “Het is moeilijk om alle misbruik te voorkomen zonder het gedrag van gebruikers te monitoren, wat aanzienlijke problemen met privacy en gegevensbescherming met zich meebrengt.”
Ondanks deze potentiële technologieën en nieuwe regelgeving is Smith er niet van overtuigd dat ze aanvallers ervan zullen weerhouden AI-pornografie te maken en te verspreiden.
“De persoon die dit heeft gedaan is niet slim,” zei Smith. “Maar als ze deze beelden nog steeds kunnen reproduceren, dan kan iedereen het. Ik kan me voorstellen dat het gebruikt wordt als een middel om mensen te controleren, en het is eng.”