Sul riconoscimento biometrico l’Italia recepisce l’AI Act europeo ma con meno rigore

Ci sono un paio di passaggi dello schema di decreto legislativo da poco approvato in Consiglio dei Ministri con cui il governo intende adeguare l’ordinamento italiano all’AI Act europeo che meritano più attenzione di quella ricevuta finora. Non riguardano le grandi promesse dell’intelligenza artificiale né i rischi evocati dal dibattito pubblico. Riguardano qualcosa di molto più concreto: chi controlla l’uso del riconoscimento biometrico da parte delle forze di polizia e quali garanzie restano ai cittadini quando l’intelligenza artificiale entra nelle attività di prevenzione e investigazione. Il punto è paradossale. Mentre l’Unione europea, attraverso l’AI Act, ha costruito una delle discipline più rigorose al mondo sull’impiego dei sistemi di identificazione biometrica, il decreto italiano che dovrebbe adeguarsi a quel quadro sembra introdurre, in alcuni passaggi, soluzioni meno garantiste di quelle costruite a Bruxelles.

Il decreto disciplina l’identificazione biometrica remota in tempo reale. Si tratta dei sistemi di sorveglianza capaci di raccogliere e confrontare istantaneamente i volti ripresi da telecamere con immagini presenti in banche dati. Una tecnologia che l’Europa considera talmente invasiva e “ad alto rischio” da consentirne l’uso solo in circostanze eccezionali e sotto stretto controllo. Lo schema italiano affida l’autorizzazione al procuratore della Repubblica del capoluogo di distretto. Nei casi urgenti, addirittura, il sistema potrebbe essere attivato dopo una semplice comunicazione, anche orale, al pubblico ministero. Qui si apre il problema. L’AI Act richiede che l’autorizzazione provenga da un’autorità giudiziaria o amministrativa indipendente. Non è una sottigliezza lessicale. È una scelta di principio. Chi autorizza deve essere terzo rispetto all’interesse operativo perseguito dall’indagine o dall’attività di prevenzione. Ma il pubblico ministero, per definizione, non è un soggetto estraneo all’attività investigativa. Ne è il titolare. La giurisprudenza europea ha già affrontato casi analoghi escludendo che un pubblico ministero possa essere considerato un’autorità sufficientemente indipendente quando autorizza attività che incidono su diritti fondamentali. La stessa giurisprudenza italiana si è ormai allineata a questo orientamento.

Per questo la soluzione più lineare sembrerebbe un’altra: affidare il potere autorizzatorio al giudice per le indagini preliminari. In fondo, nel sistema italiano il Gip autorizza già strumenti investigativi meno invasivi sotto il profilo della sorveglianza tecnologica, come le intercettazioni o l’acquisizione dei tabulati telefonici. Ma lo schema di decreto va oltre disciplinando il riconoscimento facciale “a posteriori” e consentendo di integrare sistemi di videosorveglianza già esistenti con tecnologie capaci di identificare soggetti attraverso l’analisi successiva delle immagini registrate. Lo schema attribuisce la responsabilità dell’attivazione a un ufficiale di pubblica sicurezza designato dal questore. Nessun giudice. Nessuna autorità indipendente. Nessun controllo preventivo. Eppure, l’AI Act stabilisce che, come regola generale, l’identificazione biometrica a posteriori debba essere autorizzata da un’autorità terza, con decisione vincolante e soggetta a controllo giurisdizionale.

La differenza non è burocratica. È costituzionale. Una catena gerarchica interna all’amministrazione non equivale a un controllo indipendente. L’ufficiale di pubblica sicurezza risponde alla stessa logica operativa dell’apparato che utilizza lo strumento. Non rappresenta quella distanza dall’interesse investigativo che il legislatore europeo considera essenziale. Ma il decreto solleva perplessità ancor più profonde. La disposizione consente infatti la raccolta preventiva e la conservazione per sette giorni dei dati biometrici di tutti coloro che accedono a luoghi o eventi caratterizzati da esigenze di ordine pubblico. Tradotto in termini concreti: stazioni, piazze, manifestazioni, concerti, eventi sportivi. Luoghi frequentati da cittadini che non sono sospettati di alcun reato, diventano teatri di raccolta “a strascico” di informazioni biometriche. Qui non si parla più di identificare l’autore di un fatto già avvenuto. Si parla di costruire preventivamente un archivio di volti. Un archivio temporaneo, certo, ma alimentato in modo generalizzato e indipendentemente dall’esistenza di un’indagine.

E qui torna utile ricordare il caso Equalize e gli accessi abusivi che hanno sistematicamente interessato banche dati istituzionali come lo S.d.I ovvero il sistema di indagine delle forze di polizia. Non perché riguardasse l’intelligenza artificiale, ma perché ha mostrato qualcosa di più semplice: ogni banca dati, una volta creata, genera un problema di potere. Chi vi accede? Con quali controlli? Con quali responsabilità? Se questo vale per gli archivi tradizionali, vale ancora di più per un archivio biometrico costruito raccogliendo i volti di migliaia di cittadini che non sono sospettati di alcun reato. L’AI Act ammette l’uso dell’identificazione biometrica a posteriori ma solo in relazione a uno specifico reato e a una specifica indagine. Non contempla una raccolta indiscriminata di dati biometrici su una popolazione indistinta nella prospettiva di un utilizzo futuro. La distanza col modello italiano sembra significativa. Da una parte c’è un utilizzo mirato e reattivo. Dall’altra una logica preventiva che rischia di avvicinarsi alla sorveglianza generalizzata.

Naturalmente nessuno mette in discussione la necessità di fornire alle forze dell’ordine strumenti adeguati alle nuove sfide della sicurezza. Sarebbe irrealistico pensare che la criminalità utilizzi l’intelligenza artificiale mentre lo Stato rinuncia a farlo. La questione è un’altra: quali contrappesi devono accompagnare questi poteri. Per questo le modifiche necessarie sembrano relativamente semplici. Sostituire il pubblico ministero con il Gip come autorità autorizzante. Introdurre per il riconoscimento facciale a posteriori un meccanismo di autorizzazione indipendente, preventiva o tempestivamente successiva. E soprattutto eliminare la raccolta preventiva e massiva di dati biometrici sganciata dall’accertamento di uno specifico reato.