Il 2 febbraio 2025 ha segnato una data cruciale per la regolamentazione dell’intelligenza artificiale (“AI“). In tale data è divenuto pienamente applicabile l’articolo 5 del Regolamento (UE) 2024/1689 (“AI Act“), che individua i sistemi di AI vietati.
Si tratta di un passaggio fondamentale, poiché da tale data la commercializzazione, l’uso o la messa in servizio di sistemi considerati incompatibili con i principi fondamentali dell’Unione Europea vietati è oggetto di sanzioni. Le violazioni più gravi – ivi incluso l’uso di sistemi proibiti – potranno comportare multe fino a 35 milioni di euro o al 7% del fatturato globale annuo, a seconda di quale cifra sia maggiore.
I sistemi vietati dall’articolo 5
L’articolo 5 dell’AI Act identifica con precisione i sistemi di AI che, per natura o finalità, sono considerati inaccettabili. Tra i divieti di maggiore interesse per le imprese private, si segnalano i seguenti:
- Sistemi di punteggio sociale basati su comportamento o caratteristiche personali
Sono vietati i sistemi di intelligenza artificiale progettati per valutare o classificare persone fisiche o gruppi sulla base del loro comportamento sociale o di caratteristiche personali (note, previste o inferite), qualora tali valutazioni comportino:
- un trattamento sfavorevole o pregiudizievole in contesti non collegati a quelli in cui i dati sono stati originariamente generati; oppure
- un trattamento ingiustificato o sproporzionato rispetto al comportamento sociale osservato.
Un aspetto critico di questo divieto è la mancata specificazione del concetto di “trattamento sfavorevole o pregiudizievole”. Tale ambiguità lascia infatti spazio a interpretazioni divergenti. Adottando un’interpretazione restrittiva, il divieto si applicherebbe solo a decisioni con un impatto significativo, come la concessione di mutui o prestiti basati su classificazioni algoritmiche. Tuttavia, un’interpretazione estensiva potrebbe includere qualsiasi decisione rilevante fondata su valutazioni algoritmiche, come l’attribuzione di offerte commerciali personalizzate in base al comportamento online dell’utente. Considerata la portata di un approccio estensivo, è plausibile che l’applicazione venga limitata alle situazioni di maggiore impatto. Tuttavia, rimane fondamentale attendere chiarificazioni interpretative per comprendere l’effettiva portata di tale divieto.
- Sistemi basati sullo scraping indiscriminato di immagini facciali per creare banche dati per il riconoscimento facciale
Il Regolamento vieta l’uso di sistemi di AI che effettuano scraping indiscriminato di immagini facciali da Internet o da filmati di telecamere a circuito chiuso, se finalizzato alla creazione o all’ampliamento di banche dati per il riconoscimento facciale.
In relazione a tale divieto, è fondamentale osservare che l’attività di scraping illegittima viene determinata in ragione delle finalità per cui è effettuata. Di conseguenza, lo scraping per finalità diverse dalla creazione di banche dati di riconoscimento facciale non è vietato dall’AI Act. Tuttavia, perché un’attività di scraping per finalità differenti (e.g. addestramento del sistema di A) possa definirsi lecita, rimarrà comunque fondamentale eseguire una approfondita analisi sia sotto il profilo dell’AI Act – in quanto il sistema potrebbe comunque essere, ad esempio, ad alto rischio – sia sotto il profilo privacy.
- Sistemi che inferiscono emozioni in determinati contesti
Sono vietati i sistemi di AI progettati per inferire emozioni delle persone nei contesti del luogo di lavoro o delle istituzioni educative, salvo per finalità mediche o di sicurezza.
Questo divieto si distingue per la sua rilevanza in ambito lavorativo, rafforzando tutele già previste da normative sulla privacy e giuslavoristiche. L’obiettivo è evitare l’impiego di tecnologie che possano monitorare lo stato emotivo dei dipendenti, prevenendo rischi di sorveglianza eccessiva o discriminazione fondata su dati sensibili non direttamente correlati alla prestazione lavorativa.
- Sistemi di AI manipolativi o che sfruttano vulnerabilità specifiche
Un ulteriore divieto rilevante riguarda i sistemi di AI che:
- utilizzano tecniche subliminali, manipolative o ingannevoli, capaci di influenzare il comportamento di una persona o di un gruppo senza che ne siano consapevoli, inducendoli a prendere decisioni che non avrebbero altrimenti preso, e che possano causare un danno significativo; oppure
- sfruttano le vulnerabilità di una persona fisica o di un gruppo dovute all’età, alla disabilità o alla condizione sociale o economica, con l’effetto di distorcere il loro comportamento, causando un danno significativo.
Queste disposizioni mirano a contrastare pratiche manipolative, ad esempio attraverso contenuti generati da sistemi di AI con finalità decettive. Tuttavia, è importante sottolineare che il divieto si applica solo quando l’azione indotta comporta un danno significativo per il soggetto che la compie. Questo requisito esclude potenzialmente situazioni in cui, pur essendo presente una manipolazione, il danno derivante dalla stessa risulti trascurabile. Ad esempio, un sistema di AI che persuada un consumatore a scegliere un prodotto specifico mediante tecniche subliminali potrebbe non rientrare nel divieto se il danno economico risulta minimo o irrilevante. Rimane dunque fondamentale attendere chiarimenti interpretativi per comprendere la reale portata di questa disposizione.
- Sistemi di categorizzazione biometrica per inferire determinate caratteristiche
L’AI Act vieta l’utilizzo di sistemi di intelligenza artificiale che classificano individui sulla base di dati biometrici al fine di inferire caratteristiche sensibili, quali razza, opinioni politiche, appartenenza sindacale, convinzioni religiose, vita sessuale o orientamento sessuale.
Questo divieto mira a garantire che decisioni attinenti a determinate caratteristiche non siano assunte esclusivamente sulla base di valutazioni algoritmiche biometriche, riducendo il rischio di discriminazioni o trattamenti ingiustificati. Tuttavia, lo scopo è limitato sulla base delle caratteristiche che il sistema intende inferire, di conseguenza è fondamentale valutare caso per caso sia le finalità del sistema sia le caratteristiche che intende inferire, al fine di determinarne la legittimità e l’eventuale compatibilità con il quadro normativo.
Azioni fondamentali per le imprese
L’entrata in vigore di questi divieti richiede alle imprese di adottare misure preventive per garantire la conformità all’AI Act. Tra le azioni prioritarie:
- Mappare tutti i sistemi di AI utilizzati, al fine di poter identificare correttamente i sistemi in uso, sia che siano stati sviluppati internamente che esternamente;
- Effettuare un’analisi approfondita di tutti i sistemi con particolare riguardo ai sistemi che compiono predizioni su comportamenti futuri o altre caratteristiche sensibili, che possano influire sul comportamento dell’utente o utilizzati in ambito lavorativo. Questi sistemi, infatti, potrebbero presentare un rischio maggiore di rientrare in una delle categorie di cui all’Art. 5 dell’AI Act.
- Valutare l’esclusione di quei sistemi che potrebbero qualificarsi quale vietati e condurre, per quei sistemi che pur non qualificandosi quali vietati risultino comunque ad alto rischio, una valutazione dell’impatto sui diritti fondamentali (FRIA) e ogni altra attività necessaria ai sensi della normativa al fine di comprendere se e in quale misura tali sistemi possano essere utilizzati in modo legittimo.
Inoltre, rimane fondamentale monitorare attentamente l’evoluzione normativa e l’interpretazione delle disposizioni da parte delle autorità competenti, per verificare i margini di applicazione concreta dei divieti.
Conclusioni
L’applicabilità dei divieti previsti dall’articolo 5 dell’AI Act rappresenta il primo passo verso una regolamentazione più ampia dell’IA in Europa. Pur essendo molti dei sistemi vietati rivolti alle pubbliche amministrazioni, le implicazioni per le imprese private sono significative.
Alla luce di quanto sopra, è dunque fondamentale che le aziende avvino un processo volto a raggiungere piena conformità con l’AI Act, con un focus iniziale sui sistemi vietati, ma con una visione a lungo termine che includa la piena adesione agli obblighi futuri imposti dalla normativa.
Per approfondire ulteriormente il tema è possibile ascoltare il podcast nel quale Giulio Coraggio e Tommaso Ricci discutono (i) le pratiche di AI ora vietate dall’AI Act; (ii) in che modo il caso DeepSeek è diventato un monito normativo; e (iii) cosa devono fare le aziende ORA per essere conformi ed evitare le multe.
Su un argomento simile può essere d’interesse l’articolo “Che Cos’è l’AI Act e Cosa Prevede?“
