Il 4 febbraio 2025, la Commissione UE ha approvato le Linee Guida sulle pratiche di IA vietate ai sensi del Regolamento UE 2024/1689 (AI Act). Questo documento, pur non avendo carattere vincolante, fornisce indicazioni essenziali per l’interpretazione e l’applicazione dell’articolo 5 del Regolamento (intitolato Pratiche di IA vietate). Il focus principale dei divieti è la protezione dei diritti fondamentali e dell’autonomia decisionale degli individui, prevenendo usi manipolatori, ingannevoli o discriminatori dell’intelligenza artificiale. Le Linee Guida offrono un quadro chiaro per le imprese, suggerendo modelli di compliance e strategie contrattuali volte a garantire che i sistemi di IA non vengano utilizzati per finalità vietate.
Uno dei temi più rilevanti affrontati riguarda il trattamento del credit scoring.
Il divieto previsto all’art. 5(1)(c) dell’AI Act si applica esclusivamente ai sistemi di IA che valutano o classificano le persone fisiche generando un punteggio sociale in modo generalizzato e senza giustificazione, con conseguenze dannose o sproporzionate. Il Considerando 31 del Regolamento chiarisce che ciò non impedisce le valutazioni lecite delle persone fisiche effettuate per uno scopo specifico e in conformità con il diritto dell’Unione e nazionale[1].
Di conseguenza, il credit scoring utilizzato da istituti finanziari, agenzie di credito e imprese assicurative, se basato su dati pertinenti e trattato nel rispetto della normativa vigente, non rientra tra le pratiche vietate. Analogamente, restano leciti la valutazione del rischio di frode, la sottoscrizione assicurativa, l’analisi per una gestione efficiente dei sinistri, la valutazione dei dipendenti, le attività di prevenzione delle frodi e lo scoring del comportamento degli utenti sulle piattaforme online.
Ebbene, i sistemi di IA che classificano gli individui per generare punteggi sociali sono leciti se sviluppati e utilizzati per scopi specifici e giustificati. La chiave di legittimità risiede nella proporzionalità e nella trasparenza del trattamento dei dati, nonché nella garanzia che qualsiasi conseguenza negativa derivante dall’utilizzo del punteggio sia equa e fondata su parametri obiettivi. Le Linee Guida sottolineano che il rispetto della legislazione settoriale dell’UE, come quella sul credit scoring e sull’antiriciclaggio, rappresenta un elemento cruciale per escludere determinate pratiche dall’ambito del divieto dell’articolo 5(1)(c). Ciò significa che, se i dati utilizzati sono adeguati, pertinenti e limitati allo scopo legittimo di valutazione, e se vengono adottate adeguate garanzie per la protezione dei consumatori, i sistemi di scoring rimangono conformi alla normativa.
A livello operativo, l’AI Act impone obblighi stringenti, rendendo complesso il rispetto della normativa. Infatti, i fornitori e gli operatori che implementano e utilizzano sistemi di IA devono inserire nei contratti clausole che vietino l’uso della tecnologia per finalità non conformi e definire chiaramente gli obblighi di supervisione umana. Le Linee Guida sottolineano inoltre la necessità di riorganizzare la governance aziendale per garantire un’adeguata gestione del rischio lungo l’intero ciclo di vita dei sistemi di IA. In questo contesto, nuove figure professionali, come il Chief Artificial Intelligence Officer e il Model Owner, avranno il compito di assicurare che ogni fase, dalla progettazione all’implementazione operativa, sia soggetta a controlli adeguati e trasparenti, riducendo il rischio di violazioni e potenziali sanzioni.
Questa pubblicazione precede l’entrata in vigore delle disposizioni dell’AI Act, applicabili progressivamente. Dal febbraio 2025 sono già in vigore i divieti relativi alle applicazioni a rischio inaccettabile, mentre da agosto 2025 entreranno in operatività le norme di governance per i modelli di IA. Le Linee Guida del 4 febbraio 2025 rappresentano un importante strumento interpretativo per le imprese, offrendo indicazioni fondamentali per la definizione di modelli organizzativi e framework di compliance. Le aziende sono chiamate ad affrontare una nuova sfida, dovendo adeguarsi alle recenti disposizioni normative e garantire la massima trasparenza e responsabilità nell’impiego dell’intelligenza artificiale, al fine di sfruttarne appieno le potenzialità senza compromettere principi etici e standard di sicurezza.
[1] In particolare le linee guida segnalano la Direttiva (EU) 2023/2225 of 18 October 2023 on credit agreements for consumers and repealing Directive 2008/48/EC and the European Banking Authority’ Guidelines on loan origination and monitoring from 29 May 2020, EBA/GL/2020/06.
19.02.2025
