AI Act e Diritto Penale: opportunità e sfide per il futuro della giustizia
L’intelligenza artificiale (IA o, con gli anglicismi che vanno di moda, AI) sta rivoluzionando il mondo, portando con sé una serie di opportunità ma anche di rischi.
L’Unione Europea, con il Regolamento sull’Intelligenza Artificiale, noto anche come AI Act (regolamento n. 1689 del 13 giugno 2024), fa un tentativo di disciplinare l’uso di queste tecnologie avanzate, con l’obbiettivo di garantire sicurezza e protezione per i cittadini.
Tale normativa europea crea cruciali e complesse implicazioni con il diritto penale.
Cerchiamo di immaginare le implicazioni possibilmente più rilevanti, facendo riferimento agli articoli dell’AI Act che trattano questi aspetti.
Identificazione biometrica e sorveglianza: profili di responsabilità penale e tutela della privacy (Articolo 5)
L’AI Act vieta l’uso di sistemi di identificazione biometrica remota “in tempo reale” in spazi pubblici per finalità di contrasto al crimine (art. 5, par. 1, lett. d), salvo in casi eccezionali come la prevenzione di atti terroristici o la ricerca di minori scomparsi (art. 5, lett. h).
Sono vietati, infatti:
“l’uso di sistemi di identificazione biometrica remota «in tempo reale» in spazi accessibili al pubblico a fini di attività di contrasto a meno che, e nella misura in cui, tale uso sia strettamente necessario per uno degli obiettivi seguenti:
a) la ricerca mirata di specifiche vittime di sottrazione, tratta di esseri umani o sfruttamento sessuale di esseri umani, nonché la ricerca di persone scomparse;
b) la prevenzione di una minaccia specifica, sostanziale e imminente per la vita o l’incolumità fisica delle persone fisiche o di una minaccia reale e attuale o reale e prevedibile di un attacco terroristico;
c) la localizzazione o l’identificazione di una persona sospettata di aver commesso un reato, ai fini dello svolgimento di un’indagine penale, o dell’esercizio di un’azione penale o dell’esecuzione di una sanzione penale per i reati di cui all’allegato II, punibile nello Stato membro interessato con una pena o una misura di sicurezza privativa della libertà della durata massima di almeno quattro anni.”
Questi sistemi, trattando dati altamente sensibili come le caratteristiche fisiche uniche di una persona, possono potenzialmente violare il principio di riservatezza e la libertà personale garantiti dalla legislazione europea.
Dal punto di vista penale, il rischio di abusi nell’uso di tali tecnologie è concreto: l’uso non autorizzato di queste tecnologie per fini di sorveglianza di massa può violare i diritti fondamentali delle persone, per esempio in tema di reati legati alla violazione della riservatezza.
L’impiego improprio o sproporzionato di tali tecnologie, senza le dovute autorizzazioni, potrebbe ricondursi a condotte configuratrici di gravi illeciti, con conseguenti responsabilità sia per gli operatori che per i responsabili della progettazione di tali sistemi.
Manipolazione psicologica: IA e “crimini invisibili” (Articolo 5, par. 1, lett. a)
L’AI Act vieta l’uso di sistemi di IA progettati per manipolare le persone sfruttando le loro vulnerabilità (art. 5, par. 1, lett. a). Questa disposizione riguarda specificamente i sistemi che inducono comportamenti indesiderati, specialmente quando si tratta di persone vulnerabili, come minori o soggetti con disabilità.
Dal punto di vista del diritto penale, l’utilizzo di intelligenze artificiali che manipolano la volontà degli individui potrebbe costituire reati come la truffa (ex art. 640 c.p.) o la circonvenzione di incapace (art. 643 c.p.). Ad esempio, un sistema IA che sfrutti tecniche psicologiche subliminali, qualificabili in artifici o raggiri, per convincere un individuo ad acquistare un prodotto o a rivelare dati personali sensibili può dar luogo a conseguenze di natura penale, soprattutto se causa danni materiali o psicologici.
Profilazione e discriminazione: i rischi del profiling biometrico (Articoli 5 e 10)
Il profiling biometrico è un altro tema cruciale trattato dall’AI Act. L’articolo 5, par. 1, lett. c, vieta l’uso di sistemi di IA per categorizzare individui in base a caratteristiche come opinioni politiche, orientamento religioso, sessuale o appartenenza etnica, utilizzando dati biometrici come volto o impronte digitali. L’articolo 10 impone specifici requisiti sui dati usati per l’addestramento dei sistemi di IA, con l’obiettivo di prevenire discriminazioni.
Nell’ambito del diritto penale, l’uso improprio delle tecnologie biometriche per pratiche di profilazione discriminatoria o sorveglianza illegittima può configurare una serie di reati. In primo luogo, una lettura dell’AI ACT in combinato disposto con l’art. 167 del Codice Privacy potrebbe punire il trattamento illecito di dati personali, compresi quelli biometrici, soprattutto se utilizzati senza consenso o in violazione della normativa sulla protezione dei dati.
Inoltre, se il sistema di IA viene utilizzato da un ente per discriminare in base a etnia, religione o orientamento politico, potrebbe configurarsi il reato di discriminazione razziale o religiosa (art. 604 bis c.p.). Infine, la falsificazione o l’alterazione di dati biometrici può configurare il reato di falsità in documenti informatici (art. 491 bis c.p.).
Responsabilità penale per i danni causati dall’IA (Articolo 28 e ss.)
L’articolo 28 dell’AI Act introduce obblighi chiari per i fornitori e utilizzatori di sistemi di IA ad alto rischio, imponendo la conformità a determinati standard di trasparenza e sicurezza, istituendo degli “Organismi di notifica”. Ma cosa succede se un sistema di IA causa danni? Chi è responsabile?
Nel contesto del diritto penale, se un sistema di IA ad alto rischio causa danni fisici o psicologici, si potrebbe configurare una potenziale responsabilità per i fornitori o gli utilizzatori. Ad esempio, un sistema di IA che valuta erroneamente il rischio di recidiva di un detenuto, o un sistema di sorveglianza biometrica che identifica in modo errato una persona come sospetta, potrebbe portare a danni significativi e a responsabilità penali per coloro che hanno implementato o gestito tali sistemi.
Un caso che dovrebbe far riflettere è avvenuto in Italia: a Roma un operaio romeno di 44 anni è stato ingiustamente arrestato a causa di un errore legato a un sistema di sorveglianza potenzialmente basato su intelligenza artificiale. Accusato di due furti avvenuti in Svizzera, l’uomo è stato arrestato nonostante fosse al lavoro a Roma nei giorni dei crimini, come confermato dai registri aziendali.
L’errore sembra essere stato aggravato da un algoritmo che ha analizzato erroneamente le immagini delle telecamere di sicurezza, contribuendo all’accusa ingiusta. Il caso ha evidenziato i rischi legati all’uso distorto dell’AI in ambito giudiziario, sollevando dubbi sulla sua affidabilità e accuratezza.
Secondo l’articolo 28 dell’AI Act, in un caso analogo, i creatori del software responsabile dell’errore potrebbero affrontare sanzioni per non aver garantito trasparenza, affidabilità e correttezza nei dati utilizzati dal sistema di IA, con possibili responsabilità civili o penali. Anche chi ha analizzato le immagini potrebbe rispondere per uso improprio dell’IA, poiché l’AI Act impone che gli operatori comprendano i limiti del sistema. Entrambe le parti potrebbero essere ritenute responsabili per i danni causati dall’errore ingiusto nell’identificazione.
Conclusioni: AI e il rischio di derive penali.
L’AI Act tenta di disciplinare l’uso dell’intelligenza artificiale, ma la sua implementazione nel contesto penale solleva preoccupazioni critiche.
Gli errori di identificazione biometrica, le manipolazioni psicologiche e il profiling discriminatorio rischiano di generare violazioni dei diritti fondamentali e condotte penalmente rilevanti, spostando il confine tra giustizia e ingiustizia.
Laddove un sistema di IA non garantisca trasparenza e affidabilità, può diventare uno strumento di ingiusta sorveglianza o responsabilità penale, compromettendo la libertà personale e la dignità umana.
Il diritto penale dovrà evolversi per fronteggiare queste nuove sfide tecnologiche, vigilando affinché l’uso della tecnologia non si traduca in nuove forme di abuso o violazione dei diritti.
Mi auguro, tuttavia, che non prolifichino, come spesso accade, riforme e riformine. Come ammoniva Tacito:
“corruptissima re publica plurimae leges” – quando lo Stato è corrotto, le leggi si moltiplicano.
Un monito a non perdere di vista la centralità dell’uomo e la necessità di controllare gli strumenti che pretendiamo di usare per la giustizia.
Alla fine, non dovremmo mai dimenticare che un errore tecnologico può costare molto più di un semplice clic sbagliato.
Avv. Niccolò Zampaolo