Il Governo apre la porta al riconoscimento facciale nel rispetto dell’AI Act e della legge 132/2025
Leggi lo schema di decreto legislativo: Scarica il documento PDF
Dopo mesi di dibattito politico e giuridico, il Governo prova a sciogliere uno dei nodi più delicati dell’AI Act europeo: come utilizzare l’intelligenza artificiale nelle attività di polizia senza comprimere oltre misura i diritti fondamentali.
Lo fa attraverso uno schema di decreto legislativo che rappresenta probabilmente il primo tentativo organico di adattare l’ordinamento nazionale alle nuove regole europee in materia di intelligenza artificiale applicata alla sicurezza pubblica.
Il testo si muove lungo due direttrici principali. Da un lato disciplina l’utilizzo dei sistemi di IA da parte delle Forze di polizia; dall’altro introduce nuove forme di responsabilità civile e penale connesse alla progettazione, gestione e impiego dei sistemi di intelligenza artificiale.
Si tratta di un intervento particolarmente significativo perché affronta un tema che fino ad oggi è stato regolato soprattutto attraverso provvedimenti del Garante per la protezione dei dati personali, orientamenti europei e interpretazioni giurisprudenziali.
La fine del tabù sul riconoscimento facciale
L’aspetto più innovativo è certamente rappresentato dall’apertura, sia pure molto circoscritta, all’impiego di sistemi di identificazione biometrica remota in tempo reale.
Il decreto recepisce una delle eccezioni previste dall’articolo 5 dell’AI Act e consente alle Forze di polizia di utilizzare sistemi di riconoscimento facciale in tempo reale per finalità di prevenzione di specifiche minacce alla sicurezza pubblica, per la ricerca di persone scomparse e per l’individuazione di vittime di particolari reati come il sequestro di persona o la tratta di esseri umani.
Tuttavia, l’utilizzo non è libero né generalizzato. È richiesto un articolato sistema di autorizzazioni che coinvolge il pubblico ministero e, nei casi di indagine penale, anche il giudice per le indagini preliminari. Sono inoltre previsti limiti temporali rigorosi, delimitazioni territoriali e l’individuazione preventiva delle persone da ricercare.
Il legislatore tenta quindi di collocarsi in una posizione intermedia tra due opposti estremismi: il divieto assoluto del riconoscimento facciale e la sua liberalizzazione indiscriminata.
Videosorveglianza intelligente e riconoscimento facciale a posteriori
Di particolare interesse pratico è l’articolo dedicato ai sistemi di videosorveglianza integrati con tecnologie di riconoscimento facciale a posteriori.
Il decreto consente infatti che impianti di videosorveglianza già legittimamente installati possano essere integrati con componenti di intelligenza artificiale capaci di effettuare confronti biometrici successivamente alla commissione di un reato.
Il modello scelto è quello del cosiddetto post-event facial recognition: non una sorveglianza biometrica continua e generalizzata, ma uno strumento investigativo utilizzabile soltanto dopo la commissione di un fatto penalmente rilevante e nei confronti di soggetti già individuati come possibili autori sulla base di elementi oggettivi e verificabili.
Il decreto esclude espressamente ogni forma di identificazione biometrica indiscriminata della popolazione.
Per chi si occupa di videosorveglianza pubblica, il dato è rilevantissimo. Per la prima volta viene delineata una possibile architettura normativa nazionale per l’utilizzo di tecnologie biometriche applicate alle reti di telecamere esistenti.
Il ruolo centrale della supervisione umana
Un altro elemento di equilibrio è rappresentato dalla riaffermazione del principio di controllo umano.
Il decreto chiarisce che i sistemi di IA devono operare esclusivamente come strumenti di supporto alle attività di polizia e che ogni decisione incidente sulla sfera giuridica delle persone deve essere sottoposta a revisione umana qualificata, tracciata e documentata.
Nessuna decisione può essere fondata esclusivamente sull’output generato dall’algoritmo.
Si tratta di una scelta pienamente coerente con la filosofia dell’AI Act, che continua a considerare l’essere umano come il centro del processo decisionale, anche nei contesti caratterizzati da elevata automazione.
DPIA e valutazione d’impatto sui diritti fondamentali
Particolarmente apprezzabile appare la scelta di affiancare agli strumenti tradizionali di protezione dei dati personali una vera e propria valutazione d’impatto sui diritti fondamentali.
Prima dell’utilizzo dei sistemi di identificazione biometrica remota in tempo reale, il titolare del trattamento dovrà infatti completare una specifica valutazione prevista dall’articolo 27 dell’AI Act. A ciò si aggiungono obblighi di logging, conservazione delle registrazioni e notifiche al Garante privacy.
È il segnale di una progressiva evoluzione culturale: non più soltanto privacy by design, ma una più ampia fundamental rights by design.
Le nuove responsabilità penali
Sul versante penalistico emerge una novità destinata a far discutere.
Viene introdotto nel codice penale il nuovo articolo 437-bis, che punisce l’omessa adozione di misure di sicurezza nei sistemi di IA ad alto rischio e l’alterazione illecita degli stessi quando ne derivi un pericolo concreto per la vita, l’incolumità individuale, l’incolumità pubblica o la sicurezza dello Stato.
La norma rappresenta uno dei primi tentativi di costruire una responsabilità penale specificamente collegata ai rischi derivanti dall’intelligenza artificiale. Parallelamente viene estesa la responsabilità amministrativa degli enti ai nuovi reati commessi mediante sistemi di IA.
Un testo destinato a incidere anche sugli enti locali
Pur essendo formalmente rivolto alle Forze di polizia statali, il decreto è destinato a produrre effetti indiretti anche sugli enti locali e sui sistemi di videosorveglianza urbana.
Molte delle logiche introdotte — dalla supervisione umana alla valutazione dei rischi, dalla documentazione delle attività fino alla gestione dei sistemi biometrici — diventeranno inevitabilmente punti di riferimento interpretativi per i Comuni che stanno affrontando il difficile percorso di adeguamento delle proprie infrastrutture di videosorveglianza all’AI Act.
La vera sfida, tuttavia, non sarà tecnologica. Sarà organizzativa.
Il testo conferma infatti che l’intelligenza artificiale non può essere considerata una scorciatoia per sostituire la responsabilità umana. Al contrario, più cresce l’automazione, più aumenta la necessità di governance, competenze, accountability e controlli.
In questo senso il decreto sembra lanciare un messaggio chiaro agli operatori della sicurezza pubblica: l’algoritmo può aiutare a vedere meglio, ma non può essere lasciato libero di decidere da solo.