:Ecco come l’Italia recepisce le deroghe biometriche previste dall’AI Act.
Di Michele Mavino
Il Consiglio dei Ministri del 10 giugno 2026 ha approvato in esame preliminare due importanti schemi di decreto legislativo destinati a completare l’attuazione della Legge 23 settembre 2025, n. 132 e ad adeguare l’ordinamento italiano alle disposizioni del Regolamento (UE) 2024/1689, meglio conosciuto come AI Act.
Tra i numerosi profili affrontati dai provvedimenti, uno dei più rilevanti riguarda certamente l’utilizzo dell’intelligenza artificiale nelle attività di polizia e, in particolare, il delicatissimo tema del riconoscimento biometrico remoto.
Si tratta di una materia che negli ultimi anni è stata al centro di accesi dibattiti, alimentati da provvedimenti del Garante Privacy, posizioni delle istituzioni europee e preoccupazioni legate ai rischi di sorveglianza generalizzata. Con questo decreto il Governo prova a tracciare una linea di equilibrio tra esigenze di sicurezza pubblica e tutela dei diritti fondamentali.
Cade il tabù del riconoscimento facciale, ma solo in casi eccezionali
La novità più significativa consiste nell’introduzione di una disciplina nazionale che consente, entro limiti rigorosi, l’utilizzo di sistemi di identificazione biometrica. Non si tratta di una liberalizzazione del riconoscimento facciale. Al contrario, il decreto recepisce fedelmente l’impostazione dell’AI Act, che continua a considerare queste tecnologie come pratiche normalmente vietate, ammettendole soltanto in presenza di specifiche deroghe.L’identificazione biometrica in tempo reale potrà infatti essere utilizzata esclusivamente per finalità di prevenzione di gravi minacce alla sicurezza pubblica, per la ricerca di persone scomparse e per l’individuazione di vittime di particolari reati, quali il sequestro di persona, la tratta di esseri umani e lo sfruttamento sessuale.
L’utilizzo richiederà una preventiva autorizzazione dell’autorità giudiziaria, sarà limitato a specifiche aree territoriali e dovrà riguardare persone previamente individuate o individuabili. La durata massima dell’autorizzazione non potrà superare quindici giorni, salvo proroghe motivate.
Niente “Grande Fratello”: vietate le banche dati biometriche indiscriminate
Uno degli aspetti più importanti del provvedimento riguarda il divieto di creare archivi biometrici alimentati attraverso raccolte massive e indiscriminate di immagini. La bozza vieta espressamente l’utilizzo di banche dati biometriche costruite mediante tecniche di scraping non mirato dal web o da sistemi di videosorveglianza. In altre parole, non sarà possibile raccogliere indiscriminatamente immagini facciali da Internet o da telecamere per costruire giganteschi archivi destinati al riconoscimento automatico delle persone.
Non è casuale che il Ministro dell’Interno Matteo Piantedosi abbia voluto precisare che il decreto non introduce alcuna forma di sorveglianza di massa e che non esiste alcun progetto di “Grande Fratello” nazionale. La filosofia del testo è infatti diametralmente opposta a quella di un monitoraggio generalizzato della popolazione: l’utilizzo delle tecnologie biometriche è consentito esclusivamente per ricerche mirate e per finalità determinate.
Particolarmente significativa è la scelta del legislatore di ribadire il principio della supervisione umana.
Le Forze di polizia potranno utilizzare sistemi di intelligenza artificiale per elaborare dati, formulare previsioni, individuare correlazioni e fornire indicazioni operative, ma l’algoritmo non potrà sostituire il decisore umano.
Il decreto afferma espressamente che i sistemi di IA devono operare in funzione strumentale e di supporto all’attività di polizia e che ogni risultato prodotto deve essere sottoposto a revisione umana qualificata prima di incidere sulla sfera giuridica delle persone interessate. La revisione dovrà essere documentata e tracciabile. Lo stesso principio viene ribadito anche per i sistemi di riconoscimento facciale a posteriori: nessuna decisione che produca effetti giuridici negativi potrà essere fondata esclusivamente sull’esito dell’elaborazione automatica. Si tratta della concreta attuazione del principio di “human oversight” previsto dall’AI Act europeo.
Videosorveglianza intelligente e riconoscimento facciale a posteriori
Un ulteriore elemento di interesse riguarda i sistemi di videosorveglianza. La bozza apre infatti alla possibilità di integrare impianti di videosorveglianza già legittimamente installati con componenti di intelligenza artificiale capaci di effettuare riconoscimento facciale a posteriori. La logica è quella del cosiddetto “post-event facial recognition”: non una identificazione biometrica continua e in tempo reale, ma uno strumento investigativo attivabile esclusivamente dopo la commissione di un reato e nei confronti di soggetti già individuati come possibili autori sulla base di elementi oggettivi e verificabili. Anche in questo caso il decreto vieta ogni forma di controllo biometrico generalizzato della popolazione.
Il decreto introduce inoltre una serie di garanzie procedurali particolarmente rigorose. Prima dell’utilizzo dei sistemi di identificazione biometrica remota in tempo reale dovrà essere effettuata una specifica valutazione d’impatto sui diritti fondamentali prevista dall’articolo 27 dell’AI Act. Sono inoltre previsti obblighi di registrazione automatica delle operazioni, conservazione dei log per cinque anni e notificazione dell’utilizzo al Garante per la protezione dei dati personali.
È un passaggio che conferma come la tutela dei diritti fondamentali stia progressivamente assumendo un ruolo centrale nella governance dell’intelligenza artificiale.
Accanto alle norme dedicate alle attività di polizia, il provvedimento interviene anche sul tema della responsabilità civile e penale derivante dall’utilizzo dei sistemi di intelligenza artificiale. Viene introdotto il nuovo articolo 437-bis del codice penale, che punisce l’omessa adozione delle misure di sicurezza nei sistemi di IA ad alto rischio e l’alterazione illecita degli stessi quando ne derivino pericoli concreti per la vita, l’incolumità pubblica o la sicurezza dello Stato.
Sul piano civile, invece, il legislatore tenta di superare quella che spesso viene definita “probatio diabolica” del danneggiato. Vengono introdotti strumenti che facilitano l’accesso alle prove relative al funzionamento dei sistemi di IA e viene prevista una presunzione del nesso causale quando il danno deriva dalla violazione degli obblighi imposti dall’AI Act, salvo prova contraria.
L’attuazione del nuovo quadro normativo sarà affidata principalmente all’Agenzia per l’Italia Digitale (AgID) e all’Agenzia per la Cybersicurezza Nazionale (ACN), già individuate dalla Legge 132/2025 quali Autorità nazionali per l’intelligenza artificiale. Il sistema di governance vedrà inoltre il coinvolgimento del Garante Privacy, della Banca d’Italia, della Consob e dell’IVASS, secondo un modello di cooperazione istituzionale volto a garantire vigilanza, controlli e uniformità applicativa.
