Skip to main content

AI Act europeo e investigazioni biometriche: quali novità?

AI Act europeo e investigazioni biometriche
| Luca Lampis | News

L’AI Act europeo ha cambiato il modo in cui bisogna guardare alle tecnologie biometriche in ambito investigativo. Non solo perché ha introdotto un impianto normativo nuovo, ma perché ha spostato il baricentro della discussione: non basta più chiedersi se uno strumento sia utile o accurato; bisogna chiedersi se sia lecito, proporzionato, tracciabile e difendibile.

In un settore come quello investigativo, dove i dati possono incidere su reputazione, diritti e procedimenti, questa distinzione è decisiva.

Dal 2 febbraio 2025 sono diventati applicabili i divieti dell’Articolo 5 e gli obblighi di AI literacy; dal 2 agosto 2025 sono entrate in applicazione le regole di governance e quelle sui modelli di IA per finalità generali; dal 2 agosto 2026 si applicherà la maggior parte delle regole, comprese quelle sui sistemi ad alto rischio dell’Allegato III e gli obblighi di trasparenza dell’Articolo 50.

In parallelo, la Commissione ha pubblicato a febbraio 2025 le linee guida sulle pratiche vietate, per chiarire l’interpretazione di concetti particolarmente sensibili come remote biometric identification, categorizzazione biometrica ed eccezioni per il law enforcement.

Indice dei contenuti

  1. Perché l’AI Act è centrale per chi fa investigazioni
    1. Dalla logica “si può fare” alla logica “si può usare così?”
    2. Il vero punto: utilità investigativa e liceità non coincidono
  2. Le pratiche biometriche che l’AI Act vieta davvero
    1. Categorizzazione biometrica sensibile
    2. Scraping indiscriminato per costruire database facciali
    3. Emotion recognition e predictive policing basata solo sulla profilazione
  3. Riconoscimento facciale e identificazione biometrica remota: cosa è vietato e cosa no
    1. Il divieto sul real-time negli spazi pubblici
    2. Le eccezioni non sono un lasciapassare per il privato
    3. La differenza tra real-time e post-remote
  4. Dai divieti ai sistemi ad alto rischio: FRIA, black box e prova
    1. Quando la biometria diventa high-risk
    2. FRIA: non un adempimento formale, ma un test di tenuta sui diritti
    3. Black box, affidabilità e utilizzabilità della prova
  5. Cosa cambia in Italia con la Legge 132/2025
    1. La decisione resta al magistrato
    2. Deepfake, aggravanti e uso insidioso dell’IA
  6. Cosa può fare davvero un’agenzia investigativa oggi

Perché l’AI Act è centrale per chi fa investigazioni

Chi lavora con dati, immagini, video, tracciati digitali e analisi automatizzata sa che il confine tra innovazione utile e uso illegittimo può diventare sottile. L’AI nelle investigazioni non è più soltanto una questione di efficienza: è una questione di compliance, di tenuta probatoria e di impatto sui diritti fondamentali.

Dalla logica “si può fare” alla logica “si può usare così?”

L’AI Act adotta un approccio risk-based: alcune pratiche sono vietate perché considerate incompatibili con i valori dell’Unione; altre restano ammesse, ma vengono collocate nel perimetro dei sistemi ad alto rischio, con obblighi più stringenti su sorveglianza umana, documentazione, accuratezza, tracciabilità e valutazione d’impatto.

Per chi opera nelle investigazioni, questo significa che non ogni uso di biometria o analisi automatizzata è proibito, ma quasi nessuno può più essere trattato come neutro o “solo tecnico”.

Il vero punto: utilità investigativa e liceità non coincidono

Uno strumento può essere molto efficace nel filtrare un database di immagini, riconoscere pattern video, classificare volti o correlare identità digitali, ma questo non lo rende automaticamente legittimo.

In un’indagine privata o aziendale, la domanda giusta non è solo “funziona?”, ma “con quale base giuridica, per quale finalità, con quali limiti e con quale possibilità di verifica ex post?”.

È qui che l’AI Act si intreccia con il GDPR, con la protezione dei dati biometrici e, nei contesti di contrasto, con la direttiva LED.

Le pratiche biometriche che l’AI Act vieta davvero

Per capire cosa cambia, bisogna distinguere tra pratiche vietate e pratiche ad alto rischio. La confusione nasce spesso proprio qui: molte tecnologie biometriche non sono vietate in assoluto, ma vengono sottoposte a condizioni molto più severe.

Categorizzazione biometrica sensibile

L’Articolo 5 vieta i sistemi di categorizzazione biometrica che, partendo da dati biometrici, deducono o inferiscono caratteristiche sensibili come razza, opinioni politiche, appartenenza sindacale, convinzioni religiose o filosofiche, vita sessuale o orientamento sessuale.

Questo è un punto fondamentale per il settore investigativo: la biometria non può diventare una scorciatoia per profilare persone sulla base di attributi protetti o per costruire segmentazioni invasive e discriminatorie.

Scraping indiscriminato per costruire database facciali

È vietata anche la creazione o espansione di database di riconoscimento facciale mediante untargeted scraping di immagini prese da internet o da sistemi CCTV. In altre parole, non si può legittimare la costruzione di archivi biometrici massivi rastrellando volti dal web o da videosorveglianza diffusa.

È una norma che colpisce un nodo molto concreto: l’idea che “più immagini uguale più accuratezza” non può travolgere i principi di proporzionalità e liceità.

Emotion recognition e predictive policing basata solo sulla profilazione

L’AI Act vieta inoltre il riconoscimento delle emozioni nei luoghi di lavoro e nelle istituzioni educative, salvo casi medici o di sicurezza, e proibisce l’uso di sistemi per prevedere il rischio che una persona commetta un reato quando il giudizio si basa esclusivamente sulla profilazione o sui tratti di personalità.

Questo tocca direttamente il tema della predictive policing e dei modelli di risk scoring: il legislatore europeo prova a fermare l’uso dell’algoritmo come macchina di sospetto sganciata da fatti oggettivi e verificabili.

Riconoscimento facciale e identificazione biometrica remota: cosa è vietato e cosa no

Qui si concentra il dubbio più forte: capire se il riconoscimento facciale sia vietato sempre, oppure solo in alcuni casi. La risposta corretta è: dipende dal tipo di uso, dal soggetto che lo usa e dal contesto.

Il divieto sul real-time negli spazi pubblici

L’uso di sistemi di identificazione biometrica remota in tempo reale in spazi accessibili al pubblico per finalità di law enforcement è vietato, salvo eccezioni limitate.

Le eccezioni riguardano soltanto tre ipotesi: ricerca mirata di vittime specifiche o persone scomparse; prevenzione di una minaccia specifica, sostanziale e imminente alla vita o alla sicurezza fisica, o di un attacco terroristico; localizzazione o identificazione di sospettati per reati gravi indicati nell’Allegato II, punibili con una pena massima di almeno quattro anni nello Stato membro interessato.

Inoltre servono necessità, proporzionalità, autorizzazione preventiva di un’autorità giudiziaria o amministrativa indipendente, FRIA e registrazione/notifica.

Le eccezioni non sono un lasciapassare per il privato

Questo punto è fondamentale per un’agenzia investigativa: le deroghe dell’Articolo 5 sono costruite per attività di law enforcement e, secondo le linee guida della Commissione, riguardano le autorità competenti o soggetti che agiscono per loro conto, sotto istruzioni e supervisione.

Un operatore privato che agisce in proprio non può leggere quelle eccezioni come una disponibilità ordinaria dell’uso del riconoscimento facciale in tempo reale.

La differenza tra real-time e post-remote

Diverso è il caso dell’identificazione biometrica remota su materiale già raccolto, cioè l’uso a posteriori. Qui il sistema non ricade nel divieto assoluto del real-time, ma entra nell’area dell’alto rischio.

La FAQ ufficiale della Commissione chiarisce che l’identificazione su materiale precedentemente raccolto non è vietata, ma richiede comunque autorizzazione preventiva e notifica alle autorità competenti.

È il punto su cui si giocheranno molte questioni pratiche nei prossimi anni, anche perché la distanza tra “tempo reale” e “ritardo significativo” non è solo tecnica: è giuridica.

Dai divieti ai sistemi ad alto rischio: FRIA, black box e prova

Non tutto ciò che non è vietato è semplice da usare. Una parte consistente delle applicazioni biometriche e investigative resta possibile, ma sotto il regime dei sistemi high-risk.

Quando la biometria diventa high-risk

L’Allegato III include tra i sistemi ad alto rischio quelli biometrici destinati a remote biometric identification, biometric categorisation e emotion recognition, nei limiti in cui il loro uso sia consentito dal diritto UE o nazionale.

Include anche sistemi usati nel law enforcement per valutare l’affidabilità delle prove, profilare persone o stimare il rischio di commissione o reiterazione di reati, nonché sistemi usati nell’amministrazione della giustizia per assistere l’autorità giudiziaria nella ricerca e interpretazione di fatti e diritto.

FRIA: non un adempimento formale, ma un test di tenuta sui diritti

La Fundamental Rights Impact Assessment serve proprio a questo: descrivere il contesto d’uso, i soggetti coinvolti, i rischi, le misure di controllo umano e le mitigazioni.

L’Articolo 27 chiarisce anche che la FRIA si coordina con le valutazioni d’impatto in materia di protezione dati: quando esiste una DPIA ai sensi dell’Articolo 35 GDPR o dell’Articolo 27 LED, la FRIA la completa.

Per chi tratta immagini, template biometrici, audio, video e dati di contesto, il messaggio è chiaro: la compliance non si improvvisa a valle, si costruisce prima dell’uso.

Black box, affidabilità e utilizzabilità della prova

Sul piano investigativo, il problema non è solo riconoscere qualcuno, ma poter spiegare come si è arrivati a quel risultato. Più il sistema è opaco, più cresce il rischio di black box, falsi positivi difficili da contestare e compressione del diritto di difesa.

Per questo, in un contesto serio, servono documentazione, log, supervisione umana, verificabilità dell’output e una solida chain of custody della prova digitale.

Lo stesso vale quando l’IA viene usata per correlare fonti OSINT, tracce da social, dati forensi o informazioni provenienti da deep web e dark web: l’automazione non sterilizza gli obblighi di pertinenza, finalità e proporzionalità.

Cosa cambia in Italia con la Legge 132/2025

Il quadro italiano aggiunge un secondo livello di attenzione. La Legge 23 settembre 2025, n. 132, entrata in vigore il 10 ottobre 2025, non sostituisce l’AI Act, ma lo affianca, soprattutto sul fronte della giustizia e delle ricadute penali dell’uso insidioso dell’IA.

La decisione resta al magistrato

L’Articolo 15 della legge stabilisce che, nell’attività giudiziaria, resta sempre riservata al magistrato ogni decisione sull’interpretazione e applicazione della legge, sulla valutazione dei fatti e delle prove e sull’adozione dei provvedimenti. È la formalizzazione della cosiddetta riserva di umanità: l’algoritmo può assistere, ma non sostituire il giudizio.

Per chi produce dossier, relazioni, analisi video o evidenze tecniche, questo significa che l’output automatizzato non può pretendere di chiudere da solo il ragionamento probatorio.

Deepfake, aggravanti e uso insidioso dell’IA

L’Articolo 26 della stessa legge introduce l’aggravante comune dell’uso di sistemi di IA quando costituiscano mezzo insidioso o ostacolino la difesa, e inserisce il nuovo Art. 612-quater c.p. sull’illecita diffusione di contenuti generati o alterati con sistemi di intelligenza artificiale: immagini, video o voci falsificati, idonei a indurre in inganno sulla loro genuinità, con pena da uno a cinque anni.

Per il settore investigativo è un passaggio importante: l’IA non è solo strumento di analisi, ma può anche essere vettore di manipolazione della prova e di danno reputazionale.

Cosa può fare davvero un’agenzia investigativa oggi

La risposta più seria è questa: può usare l’IA come supporto analitico, non come scorciatoia per aggirare regole su biometria, sorveglianza e trattamento dei dati.

Può impiegarla per triage informativo, clustering, analisi documentale, supporto alla digital forensics, rilevazione di anomalie, comparazione e prioritizzazione di elementi; ma ogni volta che entra in gioco la biometria, il livello di attenzione deve alzarsi drasticamente.

In concreto, il punto non è inseguire la promessa del “riconoscimento automatico”, ma costruire un metodo: mandato chiaro, finalità delimitata, minimizzazione dei dati, tracciabilità, controllo umano, verifica indipendente del risultato e presidio normativo continuo.

È questo che separa un uso professionale della tecnologia da una pratica esposta a contestazioni legali, inutilizzabilità probatoria o danni reputazionali.

Conclusione

L’AI Act europeo e le investigazioni biometriche non raccontano la fine della tecnologia nelle indagini, ma la fine dell’idea che biometria, riconoscimento facciale e analisi automatizzata siano strumenti neutri.

In Europa il messaggio è ormai netto: alcune pratiche sono vietate, altre restano possibili solo entro un perimetro di diritti fondamentali, autorizzazioni, trasparenza e controllo umano.

Per chi investiga, la vera competenza non sarà usare più IA degli altri, ma usarla con più metodo, più disciplina probatoria e più consapevolezza giuridica.

Per una consulenza gratuita e senza impegno, non esitare a contattarci!
Contattaci adesso

Categorie del Blog

Articoli Correlati

Desideri ricevere le news e i contenuti esclusivi di Phersei Investigazioni?