Rischio inaccettabile e pratiche vietate
Il rischio inaccettabile e' il livello piu' alto della scala dei rischi dell'AI Act, quello che riguarda un gruppo ristretto di usi dell'intelligenza artificiale considerati cosi' pericolosi per i diritti e la sicurezza delle persone da essere semplicemente vietati. L'elenco di questi usi prende il nome di pratiche vietate ed e' contenuto nell'art. 5 del Reg. UE 2024/1689. A differenza dei sistemi ad alto rischio, che sono permessi ma soggetti a obblighi e controlli stringenti, le pratiche vietate non si possono usare, vendere o mettere a disposizione in nessun caso, neanche con la migliore documentazione del mondo.
L'AI Act ragiona per livelli di rischio. In cima a tutto c'e' una fascia di pratiche che l'Unione europea ha deciso di mettere fuori legge senza eccezioni commerciali. Sono elencate nell'art. 5 e il considerando 28 ne spiega il motivo, vale a dire che alcuni usi dell'AI contraddicono i valori fondamentali dell'Unione, come la dignita', la liberta' e la non discriminazione, al punto da non essere recuperabili con nessuna misura tecnica.
Vale la pena vedere cosa rientra in questa fascia. L'art. 5 vieta i sistemi che manipolano le persone con tecniche subliminali o ingannevoli per spingerle a fare scelte che le danneggiano, quelli che sfruttano le vulnerabilita' di una persona legate all'eta', alla disabilita' o alla situazione economica, il cosiddetto punteggio sociale che classifica i cittadini in base al comportamento, la previsione del rischio che una persona commetta un reato basata solo sulla profilazione, la creazione di banche dati di riconoscimento facciale raccogliendo immagini a strascico da internet o dalle telecamere, il riconoscimento delle emozioni sul posto di lavoro e nelle scuole salvo motivi medici o di sicurezza, la categorizzazione biometrica che deduce dati sensibili come l'origine etnica, le opinioni politiche o l'orientamento sessuale, e l'identificazione biometrica in tempo reale negli spazi pubblici da parte delle forze dell'ordine, ammessa solo in casi eccezionali e molto delimitati.
Qui arriva la parte che molte aziende sottovalutano. Questo divieto e' gia' pienamente operativo. Si applica dal 2 febbraio 2025, prima di quasi tutto il resto del Regolamento, perche' l'art. 5 fa parte del Capo II e l'art. 113 anticipa a quella data l'applicazione dei Capi I e II. Il pacchetto di modifiche noto come Digital Omnibus, che riguarda soprattutto lo slittamento delle scadenze per l'alto rischio, non tocca ne' questa data ne' il contenuto dell'art. 5. Le sanzioni sono le piu' pesanti previste dall'intero impianto. L'art. 99, paragrafo 3, prevede per chi viola l'art. 5 sanzioni amministrative pecuniarie fino a 35 milioni di euro oppure, se l'autore della violazione e' un'impresa, fino al 7 per cento del fatturato mondiale totale annuo dell'esercizio precedente, e si applica l'importo piu' alto tra i due. Per le PMI, comprese le start-up, vale invece il contrario, cioe' la sanzione e' pari al massimo alla percentuale o all'importo fisso se inferiore, quindi si applica il minore tra i due, un correttivo di proporzionalita' pensato per non schiacciare le realta' piccole.
In Italia la governance delle pratiche vietate non fa capo a un'unica autorita'. La Legge 132/2025 designa due Autorita' nazionali per l'intelligenza artificiale, ovvero l'Agenzia per la cybersicurezza nazionale (ACN) e l'Agenzia per l'Italia digitale (AgID). L'ACN e' l'autorita' di vigilanza del mercato e cura le attivita' ispettive e sanzionatorie sui sistemi di IA, mentre l'AgID e' l'autorita' di notifica e si occupa di accreditamento e monitoraggio degli organismi di valutazione della conformita'. Restano ferme le competenze del Garante per la protezione dei dati personali sugli aspetti privacy, e nel settore finanziario la vigilanza del mercato resta a Banca d'Italia, CONSOB e IVASS. Sui divieti dell'art. 5, quindi, il riferimento per vigilanza e sanzioni e' l'ACN.
La buona notizia e' che la stragrande maggioranza delle aziende non fa nulla di tutto questo. Difficilmente la tua impresa sta costruendo un sistema di punteggio sociale. Il punto vero, quando formo un'azienda, e' un altro, cioe' assicurarsi di sapere riconoscere questi confini, soprattutto se compri software di terzi che promettono di "leggere lo stato d'animo" dei dipendenti o dei candidati.
Termini correlati
Questo contenuto ha finalità informative e divulgative e riflette il quadro normativo alla data di ultima revisione indicata. Non costituisce parere o consulenza legale sul tuo caso specifico. Per l'inquadramento giuridico formale lavoriamo con professionisti abilitati.