AI Act Art. 5: Pratiche Vietate, Manipolazione, Biometria, Social Scoring
L'Art. 5 dell'AI Act (Reg. UE 2024/1689) vieta 7 pratiche di IA considerate inaccettabili: manipolazione subliminale, sfruttamento di vulnerabilità, social scoring governativo, biometria di massa, polizia predittiva, riconoscimento emozioni sul lavoro e categorizzazione biometrica discriminatoria. Guida operativa.
Ordine degli Avvocati di Sciacca n. 747 · Avvocato & Sviluppatore · IT Law
Nota metodologica. La presente analisi è aggiornata al 17 giugno 2026. L'Art. 5 del Regolamento (UE) 2024/1689 (AI Act) è in vigore dal 2 febbraio 2025. Il Digital Omnibus del 7 maggio 2026 non ha modificato le pratiche vietate, che restano pienamente applicabili. In Italia, la Legge 132/2025 designa l'ACN come autorità di vigilanza per le pratiche vietate. Il contenuto ha finalità esclusivamente informativa e non costituisce parere legale.
Fonti primarie: Reg. UE 2024/1689 (AI Act) Art. 5, EUR-Lex · Legge 132/2025, Normattiva · EU AI Office
Quali sistemi di intelligenza artificiale sono vietati dall'AI Act? Devo verificare la mia app o il mio dispositivo?
L'Art. 5 dell'AI Act vieta sette categorie di pratiche considerate contrarie ai valori europei e ai diritti fondamentali. I divieti sono in vigore dal 2 febbraio 2025 e non sono stati modificati dal Digital Omnibus del maggio 2026. Le violazioni sono punite con sanzioni fino a €35 milioni o al 7% del fatturato mondiale annuo. I divieti riguardano principalmente: manipolazione comportamentale inconsapevole, sfruttamento di vulnerabilità, social scoring, identificazione biometrica di massa, polizia predittiva, riconoscimento delle emozioni sul lavoro/istruzione e categorizzazione biometrica discriminatoria. Chiunque sviluppi, importi o utilizzi un sistema AI nell'UE deve verificare che la propria applicazione non integri una di queste pratiche vietate.
1. Perché i divieti dell'Art. 5 sono già applicabili
Mentre gli obblighi per i sistemi ad alto rischio hanno scadenze differite (2026-2027), i divieti dell'Art. 5 sono in vigore dal 2 febbraio 2025 senza alcuna proroga. Questo significa che:
- Qualsiasi sistema AI che integri una pratica vietata è illecito dal giorno della sua immissione sul mercato o messa in servizio dopo il 2 febbraio 2025
- I sistemi già immessi sul mercato prima di tale data non sono "sanati" retroattivamente, ma le autorità possono ordinare la modifica o il ritiro
- L'ACN e le altre autorità nazionali possono avviare ispezioni e procedimenti sanzionatori già dal 2025
2. Le sette pratiche vietate nel dettaglio
1. Manipolazione subliminale o ingannevole (Art. 5.1.a)
"Sistemi AI che utilizzano tecniche subliminali o ingannevoli per alterare o distorcere materialmente il comportamento di una persona, causando un danno significativo."
Rientrano in questo divieto:
- Sistemi di pubblicità subliminale che alterano l'inconscio senza che la persona ne sia consapevole
- Interfacce vocali (chatbot, assistenti vocali) che utilizzano stimoli impercettibili per orientare le decisioni
- Sistemi di design persuasivo che distorcono la capacità di scelta consapevole (es. dark pattern algoritmici)
Caso pratico: un chatbot che alterna la velocità e il tono della voce in modo impercettibile per spingere l'utente ad acquistare un prodotto o accettare condizioni sfavorevoli.
2. Sfruttamento di vulnerabilità (Art. 5.1.b)
"Sistemi AI che sfruttano le vulnerabilità di una persona legate all'età, alla disabilità fisica o mentale, o alla situazione sociale o economica, per alterarne materialmente il comportamento."
Rientrano in questo divieto:
- Sistemi di marketing aggressivo rivolti a minori o persone con disabilità cognitiva
- Giochi online con tecniche di persuasione predatoria verso bambini
- Pubblicità personalizzata che sfrutta la vulnerabilità economica o sociale della persona
Caso pratico: un videogioco che spinge sistematicamente minori ad acquisti in-app attraverso meccanismi di pressione psicologica calibrati sulla loro età.
3. Social scoring governativo (Art. 5.1.c)
"Sistemi di valutazione o classificazione sociale da parte di autorità pubbliche basati su comportamenti sociali o caratteristiche personali, quando la valutazione porta a un trattamento sfavorevole o sproporzionato."
Rientrano in questo divieto:
- Sistemi di credito sociale che attribuiscono punteggi ai cittadini in base al comportamento
- Algoritmi governativi che classificano le persone in fasce di affidabilità per l'accesso ai servizi
- Sistemi di profilazione sociale per la concessione di benefici pubblici
Il divieto non copre i sistemi di scoring nel settore privato (es. credit scoring bancario), che restano disciplinati dalle norme sui sistemi ad alto rischio.
4. Identificazione biometrica remota in tempo reale in spazi pubblici (Art. 5.1.d)
"Sistemi di identificazione biometrica remota in tempo reale in spazi accessibili al pubblico per finalità di contrasto."
Rientrano in questo divieto:
- Telecamere con riconoscimento facciale in tempo reale collegate a database di ricercati
- Sistemi di videosorveglianza con identificazione biometrica automatica in piazze, stazioni, aeroporti
- Droni con riconoscimento biometrico per il monitoraggio di folle
Eccezioni tassative (Art. 5.2): il divieto non opera per specifiche finalità di contrasto:
- Ricerca di vittime di reato (es. sequestri di persona, persone scomparse)
- Prevenzione di minacce terroristiche imminenti
- Individuazione di autori di reati gravi (reati con pena massima di almeno 3 anni)
In tutti i casi è necessaria autorizzazione giudiziaria preventiva e notifica all'autorità di vigilanza.
5. Polizia predittiva basata su profilazione (Art. 5.1.e)
"Sistemi AI che valutano il rischio di una persona di commettere un reato basandosi esclusivamente sulla profilazione o sulle caratteristiche della personalità."
Rientrano in questo divieto:
- Sistemi che analizzano tratti della personalità per prevedere la probabilità di recidiva
- Algoritmi che classificano le persone in "potenziali criminali" in base a dati biometrici o psicologici
- Sistemi di polizia predittiva non basati su fatti oggettivi ma su stereotipi
Restano leciti (non vietati) i sistemi di analisi statistica basati su dati oggettivi di criminalità, purché non discriminatori e conformi alle altre disposizioni dell'AI Act e del GDPR.
6. Riconoscimento delle emozioni sul lavoro e nell'istruzione (Art. 5.1.f)
"Sistemi AI che inferiscono le emozioni di una persona sul posto di lavoro o nelle istituzioni educative, salvo per motivi medici o di sicurezza."
Rientrano in questo divieto:
- Sistemi di employee monitoring che analizzano le espressioni facciali per rilevare stress, noia o insoddisfazione
- Piattaforme di e-learning che rilevano le emozioni degli studenti per adattare il contenuto
- Software di video-colloqui che valutano le emozioni del candidato durante l'assunzione
Caso concreto: il caso Myndoor (blocco del Garante Privacy, giugno 2026) ha riguardato un sistema che analizzava le conversazioni su Slack per inferire lo stress dei dipendenti, configurando una violazione sia dell'Art. 5 AI Act (riconoscimento emozioni sul lavoro) sia del GDPR.
7. Categorizzazione biometrica discriminatoria (Art. 5.1.g)
"Sistemi di categorizzazione biometrica che deducono o inferiscono dati sensibili come razza, opinioni politiche, appartenenza sindacale, convinzioni religiose o filosofiche, orientamento sessuale, sulla base di dati biometrici."
Rientrano in questo divieto:
- Sistemi che analizzano i tratti del viso per dedurre l'orientamento sessuale o l'etnia
- Riconoscimento biometrico che classifica le persone in base a caratteristiche protette
- Sistemi di analisi della voce per inferire opinioni politiche
3. Tabella riassuntiva
| Pratica vietata | Art. 5 | In vigore dal | Sanzione max |
|---|---|---|---|
| Manipolazione subliminale | 5.1.a | 2/2/2025 | €35M o 7% |
| Sfruttamento vulnerabilità | 5.1.b | 2/2/2025 | €35M o 7% |
| Social scoring governativo | 5.1.c | 2/2/2025 | €35M o 7% |
| Biometria remota in tempo reale | 5.1.d | 2/2/2025 | €35M o 7% |
| Polizia predittiva | 5.1.e | 2/2/2025 | €35M o 7% |
| Riconoscimento emozioni lavoro/istruzione | 5.1.f | 2/2/2025 | €35M o 7% |
| Categorizzazione biometrica discriminatoria | 5.1.g | 2/2/2025 | €35M o 7% |
4. Cosa fare subito
- Verificare la conformità dei propri sistemi AI all'Art. 5: ogni sistema sviluppato, importato o utilizzato nell'UE deve essere scrutinato per verificare che non integri una delle pratiche vietate
- Per i sistemi già in produzione: interrompere immediatamente l'uso e avviare le modifiche necessarie per eliminare le componenti vietate
- Per le piattaforme SaaS che offrono AI emotion recognition: se il sistema opera in contesto lavorativo o scolastico, la configurazione deve essere adattata per non violare il divieto
- Documentare l'assenza di pratiche vietate: includere nella documentazione tecnica e nella gap analysis una sezione specifica sull'Art. 5
Domande Frequenti (FAQ)
Il divieto di riconoscimento delle emozioni si applica anche ai call center che registrano le conversazioni? Il divieto riguarda i sistemi che inferiscono le emozioni di una persona attraverso l'analisi di dati biometrici o comportamentali sul posto di lavoro. La registrazione delle conversazioni per finalità di controllo qualità è lecita se non utilizza sistemi AI per inferire lo stato emotivo del lavoratore. Il confine tra analisi della soddisfazione del cliente e analisi delle emozioni del dipendente è sottile: la prima è generalmente lecita, la seconda è vietata.
Cosa rischia un'azienda che utilizza un sistema di social scoring manuale (non algoritmico)? Il divieto dell'Art. 5 colpisce i sistemi AI di social scoring. Una valutazione manuale, non basata su sistemi di intelligenza artificiale, non è coperta dal divieto. Tuttavia, se la valutazione si basa su dati personali trattati illecitamente o discriminatori, possono applicarsi il GDPR e la normativa antidiscriminatoria nazionale.
Il Digital Omnibus di maggio 2026 ha modificato i divieti dell'Art. 5? No. Il Digital Omnibus (7 maggio 2026) ha spostato al 2027-2028 le scadenze per alcuni sistemi ad alto rischio e per i modelli GPAI, ma non ha toccato i divieti dell'Art. 5, che restano in vigore dal 2 febbraio 2025 senza modifiche. Le pratiche vietate rimangono vietate.
Un sistema di polizia predittiva basato su dati statistici oggettivi (es. orari e luoghi dei reati) è vietato? Il divieto riguarda i sistemi che valutano il rischio di una persona specifica di commettere un reato basandosi esclusivamente sulla profilazione o sui tratti della personalità. I sistemi di analisi statistica che non mirano a identificare singoli individui ma a prevedere pattern di criminalità su aree geografiche o fasce orarie non sono vietati, ma restano soggetti agli obblighi dell'AI Act se configurano sistemi ad alto rischio.
Approfondimenti consigliati:
- AI Act: Guida Completa al Regolamento Europeo IA
- Riconoscimento Biometrico: Liceità e Valutazioni
- Caso Myndoor: Garante Blocca IA Monitoraggio
- Spiegabilità Algoritmica: Obblighi Legge 132/2025
Fonti: Reg. UE 2024/1689 (AI Act) Art. 5, EUR-Lex; Legge 132/2025, Normattiva; EU AI Office.
Autore
Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.
Profilo completo e competenze