AI: le Linee Guida della Commissione europea sulle pratiche proibite previste dall’AI Act

  • Home
  • Blog
  • AI: le Linee Guida della Commissione europea sulle pratiche proibite previste dall’AI Act

AI: le Linee Guida della Commissione europea sulle pratiche proibite previste dall’AI Act

18 febbraio 2025 By In Blog No Comments
Di Massimiliano Pappalardo
partner Studio legale Ughi e Nunziante

L’articolo esamina le recenti Linee Guida della Commissione europea sulle pratiche di intelligenza artificiale proibite, riflettendo anche sul difficile bilanciamento tra esigenze di chiarezza e di semplificazione, alla luce delle indicazioni tracciate nel Competitiveness Compass.

Lo scorso 4 febbraio, la Commissione europea ha pubblicato un primo set di linee guida volte a meglio chiarire alcune disposizioni del 

Regolamento (UE) 2024/1689 (“AI Act”) e, in particolare, le pratiche di intelligenza artificiale proibite previste dall’articolo 5 (“Commission Guidelines on prohibited artificial intelligence practices established by Regulation (EU) 2024/1689”; di seguito le “Linee Guida sulle Pratiche Proibite”).Tali linee guida – volte a garantire un’applicazione uniforme delle norme da parte delle autorità competenti e degli stakeholders – sono particolarmente rilevanti in quanto fanno riferimento ad un articolo dell’AI Act, dallo scorso 2 febbraio già pienamente applicabile.

Le linee guida non sono vincolanti per gli operatori, ma rappresentano uno strumento interpretativo per l’implementazione dell’Articolo 5, e chiariscono come l’applicazione delle proibizioni debba essere basata su una valutazione caso per caso, che tenga conto del contesto e delle circostanze specifiche.

Da tale iniziativa della Commissione europea – alla quale è poi seguito un secondo set di linee guida sulla definizione di sistemi di intelligenza artificiale (Commission Guidelines on the definition of an artificial intelligence system established by Regulation (EU) 2024/1689) – scaturiscono per gli addetti ai lavori alcuni interrogativi non secondari di ordine sistematico:

– Per l’AI Act si seguirà il medesimo percorso del GDPR (ad un provvedimento normativo di soli 99 articoli sono seguite alcune migliaia di pagine interpretative da parte dell’Article 29 Working Party, prima, e dello European Data Protection Board, poi)?

– Se per chiarire un singolo articolo è stato necessario un provvedimento di 140 pagine, quante pagine occorreranno per un’interpretazione compiuta dell’AI Act?

– Un simile approccio è compatibile con le istanze di semplificazioni contenute nel Draghi Report on EU competitiveness, recentemente riprese dal documento della Commissione europea sul Competitiveness Compass?

– In un’ottica di semplificazione, la strada è quella della sottrazione o dell’addizione?

Si deve, infatti, ricordare che tali previsioni vanno calate in un contesto regolamentare in cui l’AI Act non è un testo unico, ma va coordinato e armonizzato con innumerevoli altri testi normativi di matrice euro-unitaria, volti a regolare il settore dei dati e delle tecnologie, dal GDPR al Data Act, al Data Governance Act; dal Digital Services Act al Digital Markets Act.

Di questi temi si è parlato la scorsa settimana a Parigi all’AI Action Summit ed a Cannes al World AI Cannes Festival 2025, dove da parte delle istituzioni e dei rappresentanti delle diverse industry si è levato un comune appello alla semplificazione, che non significa deregolamentazione, ma regole più chiare e di più semplice attuazione.

Venendo ai contenuti delle Linee Guida sulle Pratiche Proibite, esse forniscono una panoramica delle pratiche proibite dall’articolo 5, chiarendo alcuni punti controversi attraverso esempi pratici.

Si riportano di seguito le più significative tra le pratiche proibite esaminate dalle linee guida, associandole ad alcuni degli esempi forniti:

Manipolazione ingannevole e sfruttamento delle vulnerabilità

Sono vietati i sistemi di intelligenza artificiale che usano tecniche subliminali o manipolative per distorcere il comportamento di una persona, inducendola a prendere decisioni dannose. È, altresì, vietato l’uso dell’IA per sfruttare vulnerabilità dovute a età, disabilità o condizioni socio-economiche.

Tra gli esempi forniti, un videogioco basato su neurotecnologie che utilizza interfacce cervello-macchina per raccogliere dati, anche di natura sensibile, senza che il giocatore ne sia consapevole. L’intelligenza artificiale potrebbe, infatti, sfruttare questi dati per influenzare le decisioni di gioco in modo che il giocatore spenda più denaro negli acquisti in-app. Il divieto riguarda i soli casi di manipolazione subliminale significativamente dannosa e non, in generale, le applicazioni di interfaccia macchina-cervello, se progettate in modo sicuro e rispettoso della privacy e dell’autonomia individuale.

Social Scoring

È proibito qualsiasi sistema di classificazione sociale basato su comportamenti o caratteristiche personali che porti a trattamenti discriminatori o sproporzionati.

Tra i casi di pratiche vietate delineati dalla Commissione, l’utilizzo da parte di un’agenzia per l’assistenza sociale di un sistema di IA per valutare la probabilità di frode da parte dei beneficiari di assegni familiari che si basa su caratteristiche raccolte o desunte da contesti sociali, senza alcun collegamento apparente con la frode, come il fatto di avere un coniuge di una certa nazionalità o origine etnica, di avere una connessione a Internet, il comportamento sulle piattaforme sociali o le prestazioni sul posto di lavoro. Al contrario, i dati rilevanti per l’assegnazione delle prestazioni e raccolti legalmente potrebbero essere utilizzati per determinare il rischio di frode, poiché le autorità pubbliche perseguono un obiettivo legittimo nel verificare se le prestazioni sociali sono assegnate correttamente.

Predizione del rischio di reati

Sono vietati i sistemi di IA che valutano o prevedono il rischio di crimini basandosi unicamente su profiling o caratteristiche personali. Sono, invece, consentiti i sistemi che supportano valutazioni umane basate su fatti obiettivi e verificabili.

Per la Commissione è, ad esempio, vietato un software AI based utilizzato dalla polizia per prevedere il rischio che bambini e adolescenti siano coinvolti in “futuri reati violenti e contro la proprietà”, basandosi esclusivamente sulle loro relazioni con altre persone e ai loro presunti livelli di rischio; il che significa che i bambini possono essere considerati a rischio di reato più elevato semplicemente per il fatto di essere collegati a un altro individuo con una valutazione ad alto rischio, come un fratello o un amico. Anche i livelli di rischio dei genitori possono influire sul livello di rischio del bambino. Un simile sistema può portare a discriminazioni razziali e sociali.

Raccolta indiscriminata di immagini facciali

È vietata la creazione di database di riconoscimento facciale tramite scraping non mirato di immagini da Internet o telecamere di sorveglianza.

Le linee guida individuano come vietata la condotta di una società che raccoglie fotografie dai social media attraverso un sistema di scraping automatico, che individua le immagini contenenti volti umani e raccoglie queste immagini con tutte le informazioni associate (come la fonte dell’immagine (URL), la geolocalizzazione e talvolta i nomi delle persone), per consentire agli utenti di ricercare attraverso l’immagine di un individuo se quest’ultimo è presente sul sistema di intelligenza artificiale: un caso molto simile a quello già sanzionato dal Garante Privacy per violazione del GDPR e che ha visto coinvolta la società statunitense ClearView AI.

Riconoscimento delle emozioni in ambito lavorativo e scolastico

È vietato l’uso di sistemi IA per dedurre emozioni sul luogo di lavoro o in contesti educativi.

Tra gli esempi di pratiche vietate fornite dalla Commissione: l’uso di webcam e sistemi di riconoscimento vocale da parte di un call center per tracciare le emozioni dei propri dipendenti, come la rabbia. Se utilizzati solo a scopo di formazione del personale, i sistemi di riconoscimento delle emozioni sono consentiti, solo nella misura in cui i risultati non siano condivisi con i responsabili delle risorse umane e non possano influire sulle valutazioni, sugli avanzamenti di carriera e, più in generale, sul rapporto di lavoro.

Categorizzazione biometrica basata su caratteristiche sensibili

Sono proibiti i sistemi che classificano le persone in base a dati biometrici per dedurne origine etnica, opinioni politiche, religione o orientamento sessuale.

La Commissione considera vietato un sistema di intelligenza artificiale che classifica le persone attive su una piattaforma social in base al loro presunto orientamento sessuale, analizzando i dati biometrici delle foto condivise su tale piattaforma, e su tale base propone a tali persone annunci pubblicitari.

Identificazione biometrica remota in tempo reale a fini di polizia

È vietato l’uso di sistemi di identificazione biometrica in spazi pubblici per finalità di polizia, salvo eccezioni strettamente regolamentate: ricerche mirate per vittime di gravi crimini, prevenzione di attacchi terroristici, localizzazione di sospetti per reati gravi.

Al riguardo, le linee guida chiariscono che possono considerarsi spazi accessibili al pubblico anche luoghi che possono essere utilizzati per il commercio, come negozi, ristoranti e caffè; per i servizi, come banche, attività professionali (uno studio medico così come uno studio contabile) o hotel; per il trasporto, come stazioni di autobus, metropolitana e ferrovie e aeroporti; per l’intrattenimento, come cinema, teatri, musei, sale per concerti e conferenze.

Le linee guida esplorano anche le aree di sovrapposizione tra AI Act ed altre normative europee, l’enforcement dell’articolo 5 dell’AI Act nonché le sanzioni previste per il caso di violazione (fino a 35.000.000 di euro o, se il trasgressore è un’impresa, fino al 7 % del suo fatturato mondiale totale annuo dell’esercizio precedente, se superiore); nonché il perimetro delle esclusioni previste dall’ambito di applicazione dell’AI Act: ad esempio, con riguardo ai sistemi di IA sviluppati per la sicurezza nazionale, difesa o scopi militari; nell’ambito di attività di ricerca e sviluppo; o per l’uso personale e non professionale di sistemi di IA da parte di privati.

In conclusione, è innegabile che le Linee Guida sulle Pratiche Proibite forniscano indicazioni utili per gli operatori intenzionati ad implementare sistemi di AI, superando diversi dubbi interpretativi. È, altrettanto vero che la via delle linee guida porterà ad uno sviluppo del quadro normativo in materia di intelligenza artificiale probabilmente molto articolato e complesso e, quindi, decifrabile dai soli ai professionisti del settore, complicando così l’accessibilità a queste tecnologie soprattutto per le organizzazioni meno strutturate.

Siamo ancora all’inizio (l’AI Act troverà piena applicazione solo a far tempo dal 2 agosto 2026), ma sicuramente occorre interrogarsi sin d’ora se il percorso delle linee guida sia il più rispondente alle esigenze dei diversi stakeholders per conseguire quegli obiettivi di chiarezza e semplificazione posti dalla stessa Commissione europee tra le priorità ai fini della promozione dell’innovazione nel settore dell’intelligenza artificiale.

Copyright © – Riproduzione riservata

Commission Guidelines on prohibited artificial intelligence practices established by Regulation (EU) 2024/1689 (AI Act)

About The Author

Editore

L'Agenzia Legale Wolters Kluwer di Messina ha come obiettivo fornire ai professionisti del mercato legale informazioni, software e servizi di cui hanno bisogno per prendere le decisioni con fiducia e migliorare le perfomance.

©2017 – Wolters Kluwer Agenzia di Messina