Pratiche IA vietate: cosa la tua azienda non può più fare

Le linee rosse dell’intelligenza artificiale

Ancora prima di affrontare i sistemi ad alto rischio, gli obblighi di trasparenza o la competenza in IA, il Regolamento Europeo sull’Intelligenza Artificiale (Regolamento 2024/1689) traccia delle linee rosse assolute. L’Articolo 5 elenca le pratiche di IA semplicemente vietate nell’Unione Europea.

Questi divieti sono in vigore dal 1° febbraio 2025. Non sono scadenze future: si applicano ora.

Articolo 5, paragrafo 1 — Règlement (UE) 2024/1689

Sono vietate le seguenti pratiche di intelligenza artificiale: […] l’immissione sul mercato, la messa in servizio o l’uso di un sistema di IA che utilizza tecniche subliminali […] o tecniche deliberatamente manipolative o ingannevoli, con l’obiettivo o l’effetto di distorcere materialmente il comportamento di una persona […] in modo da causare o essere ragionevolmente suscettibile di causare un danno significativo a tale persona o a un’altra persona.

Le sei categorie di pratiche vietate

1. Il social scoring

L’AI Act vieta i sistemi che valutano o classificano le persone fisiche sulla base del loro comportamento sociale o di caratteristiche personali, quando tale punteggio comporta un trattamento sfavorevole in contesti non correlati alla raccolta dei dati, o sproporzionato rispetto al comportamento in questione.

Attenzione: contrariamente a quanto si crede spesso, questo divieto non si rivolge solo ai governi. Si applica anche agli attori privati. Un’azienda che costruisse un “punteggio di affidabilità” dei propri clienti aggregando dati di pagamento, comportamento online e interazioni con il servizio clienti — e utilizzasse tale punteggio per rifiutare servizi — sarebbe in violazione.

Esempi concreti di pratiche ora illegali:

• Un assicuratore che aggrega dati dai social media per valutare il “profilo di rischio comportamentale” di un cliente
• Un locatore che utilizza un punteggio che combina storico dei pagamenti, attività online e dati di geolocalizzazione per selezionare gli inquilini
• Un datore di lavoro che costruisce un “punteggio di engagement” automatizzato che condiziona l’accesso a benefit aziendali

2. La manipolazione subliminale e le tecniche ingannevoli

Qualsiasi sistema di IA progettato per alterare il comportamento di una persona a sua insaputa è vietato. Questo copre le tecniche subliminali (stimoli impercettibili alla coscienza) e le tecniche deliberatamente manipolative o ingannevoli.

Esempi:

• Un sistema che adatta l’interfaccia di un sito e-commerce per sfruttare bias cognitivi identificati dall’IA (dark pattern alimentati dall’IA)
• Uno strumento di negoziazione automatizzato che analizza le micro-espressioni in tempo reale per manipolare l’interlocutore
• Un sistema di prezzi dinamici che sfrutta lo stato emotivo rilevato dell’utente

3. Lo sfruttamento delle vulnerabilità

I sistemi di IA che sfruttano le vulnerabilità legate all’età, alla disabilità o alla situazione sociale o economica di una persona per distorcerne materialmente il comportamento sono vietati.

Esempi:

• Un chatbot commerciale che si rivolge specificamente alle persone anziane con tecniche di persuasione adattate alle loro vulnerabilità cognitive
• Un sistema di pubblicità mirata rivolto a persone in situazione di sovraindebitamento per offrire loro crediti al consumo
• Un gioco online che utilizza l’IA per identificare e sfruttare i comportamenti di dipendenza nei minori

4. L’identificazione biometrica in tempo reale negli spazi pubblici

L’uso di sistemi di identificazione biometrica a distanza “in tempo reale” negli spazi accessibili al pubblico a fini di contrasto è vietato, con tre eccezioni rigorosamente circoscritte:

• La ricerca mirata di vittime di rapimento, tratta di esseri umani o sfruttamento sessuale
• La prevenzione di una minaccia terroristica specifica e imminente
• La localizzazione o identificazione di una persona sospettata di aver commesso determinati reati gravi

Anche in questi casi, l’uso richiede un’autorizzazione giudiziaria preventiva ed è soggetto a garanzie rigorose. In Italia, il Garante per la protezione dei dati personali ha già assunto una posizione rigorosa su queste tematiche, come dimostrato dalle sue decisioni sul riconoscimento facciale in contesti pubblici.

5. Il riconoscimento delle emozioni sul lavoro e nell’istruzione

Articolo 5, paragrafo 1, lettera f — Règlement (UE) 2024/1689

[È vietata] l’immissione sul mercato, la messa in servizio o l’uso di sistemi di IA per dedurre le emozioni di una persona fisica sul luogo di lavoro e negli istituti di istruzione, tranne quando l’uso del sistema di IA è destinato a essere introdotto o immesso sul mercato per motivi medici o di sicurezza.

Questo divieto è particolarmente rilevante per le aziende. Copre:

• Strumenti di analisi delle emozioni in videoconferenza: sistemi che analizzano le espressioni facciali dei partecipanti durante le riunioni
• Sistemi di sorveglianza emotiva: telecamere o software che rilevano stress, frustrazione o disimpegno dei dipendenti
• Analisi delle emozioni nella formazione: strumenti che misurano lo stato emotivo dei partecipanti per adattare i contenuti

Le uniche eccezioni: usi a finalità medica (rilevamento del dolore in pazienti non comunicanti, per esempio) o di sicurezza (rilevamento della fatica nei conducenti professionisti).

6. La creazione di database facciali tramite scraping

L’AI Act vieta la creazione o l’ampliamento di database di riconoscimento facciale attraverso la raccolta non mirata di immagini da internet o da filmati di videosorveglianza. È una risposta diretta alle pratiche di aziende come Clearview AI, che aveva costruito un database di miliardi di volti raccogliendo foto pubbliche. In Italia, il Garante per la protezione dei dati personali aveva già sanzionato Clearview AI con una multa di 20 milioni di euro nel 2022 per violazione del GDPR — l’AI Act rafforza ora ulteriormente questo divieto.

📄Rischi dell'IA in azienda: identificare e gestire efficacemente→

Come verificare se la tua azienda è in violazione

La maggior parte delle aziende pensa istintivamente che questi divieti non la riguardino. Ma certi utilizzi, in particolare nelle risorse umane e nel marketing, possono avvicinarsi pericolosamente.

Checklist di verifica

Poniti queste domande:

• Scoring e classificazione: Assegni punteggi automatizzati a individui (clienti, dipendenti, candidati) che combinano dati provenienti da contesti diversi?
• Persuasione e personalizzazione: I tuoi sistemi di raccomandazione o marketing sfruttano vulnerabilità identificate (età, situazione finanziaria, stato emotivo)?
• Sorveglianza emotiva: Utilizzi strumenti che analizzano le espressioni facciali, la voce o il comportamento dei tuoi collaboratori per scopi diversi da quelli medici o di sicurezza?
• Biometria: Utilizzi il riconoscimento facciale nei tuoi locali? Se sì, in quali condizioni?
• Dati facciali: I tuoi fornitori di IA hanno costruito i loro database di addestramento tramite scraping di immagini online?

Se la risposta a una di queste domande è “sì” o “forse”, è necessaria un’analisi approfondita.

Il ruolo della formazione

La conoscenza di questi divieti da parte dei collaboratori è essenziale. L’obbligo di competenza in IA (Articolo 4) include necessariamente la comprensione di ciò che è vietato. Un collaboratore che non sa che è illegale utilizzare il riconoscimento delle emozioni in contesto professionale non può segnalare un utilizzo non conforme.

La formazione dei team su questi divieti non è opzionale — è una condizione preliminare per qualsiasi governance dell’IA responsabile.

📄AI Act Articolo 4: l'obbligo di formazione sull'IA spiegato→

Le sanzioni

Le pratiche vietate sono soggette al livello più elevato di sanzioni dell’AI Act: fino a 35 milioni di euro o il 7% del fatturato annuo mondiale, prevalendo l’importo più elevato. Sono le sanzioni più pesanti mai previste da una regolamentazione digitale europea — superiori a quelle del GDPR.