Regolamento UE sull'IA, Articolo 5: le otto pratiche di IA vietate spiegate
L'Articolo 5 dell'AI Act UE vieta in assoluto otto specifiche pratiche di IA. A differenza degli obblighi per i sistemi ad alto rischio (che richiedono adempimenti di conformità ma consentono al sistema di operare), i divieti dell'Articolo 5 sono assoluti. Nessuna valutazione della conformità, nessuna documentazione, nessuna misura di salvaguardia può rendere lecita una pratica vietata. Il massimale sanzionatorio è di €35M o il 7% del fatturato mondiale — il più elevato previsto dal Regolamento. L'Articolo 5 è entrato in vigore il 2 febbraio 2025 ed è pertanto già applicato.
Gli otto divieti
Articolo 5(1)(a): tecniche subliminali al di fuori della consapevolezza di una persona, o tecniche volutamente manipolative o ingannevoli, con l'obiettivo o l'effetto di distorcere materialmente il comportamento, causando o potendo causare un danno significativo.
Articolo 5(1)(b): sfruttamento delle vulnerabilità dovute all'età, alla disabilità o a una specifica situazione sociale o economica, con l'obiettivo o l'effetto di distorcere materialmente il comportamento, causando un danno significativo.
Articolo 5(1)(c): categorizzazione biometrica di persone fisiche per dedurre razza, opinioni politiche, appartenenza sindacale, credenze religiose, vita sessuale o orientamento sessuale.
Articolo 5(1)(d): attribuire punteggi sociali (social scoring) da parte di autorità pubbliche o per loro conto, che comportino un trattamento pregiudizievole o sfavorevole in contesti non correlati alla raccolta dei dati o che risulti ingiustificato o sproporzionato.
Articolo 5(1)(e): valutazione del rischio di persone fisiche per prevedere la commissione di reati basandosi esclusivamente sulla profilazione o su tratti della personalità (polizia predittiva in assenza di altri elementi di prova).
Articolo 5(1)(f): raccolta non mirata (untargeted scraping) di immagini del volto da internet o da filmati di videosorveglianza (CCTV) per creare o ampliare banche dati di riconoscimento facciale.
Articolo 5(1)(g): inferenza delle emozioni in ambienti lavorativi o in istituti di istruzione, salvo per ragioni mediche o di sicurezza.
Articolo 5(1)(h): identificazione biometrica remota in tempo reale in spazi accessibili al pubblico da parte delle autorità di contrasto, salvo in specifiche circostanze limitate.
Quali divieti riguardano il SaaS
La maggior parte delle soluzioni SaaS non sarà mai interessata dagli Articoli 5(1)(d), (e), (f) o (h) — questi si applicano principalmente all'IA del settore pubblico. I divieti che possono riguardare il SaaS commerciale sono il 5(1)(a) (manipolazione), il 5(1)(b) (sfruttamento delle vulnerabilità), il 5(1)(c) (categorizzazione biometrica che deduce attributi protetti) e il 5(1)(g) (riconoscimento delle emozioni sul luogo di lavoro o in ambito scolastico).
Casi SaaS di prossimità frequenti
Casi frequenti che si avvicinano ai divieti dell'Articolo 5: motori di prezzi dinamici che apprendono i segnali di acquisto d'impulso e innescano pressioni di urgenza (territorio del 5(1)(a)); algoritmi di targeting pubblicitario che identificano e sfruttano segnali di difficoltà finanziaria (5(1)(b)); strumenti di analisi vocale che inferiscono emozioni o stati d'animo dalle telefonate al servizio clienti in ambito lavorativo (5(1)(g)); strumenti HR-tech che classificano i candidati in base a dimensioni della personalità dedotte da caratteristiche biometriche come il tono della voce (sovrapposizione di 5(1)(c) e 5(1)(g)). Ciascuno richiede un'attenta revisione progettuale.
Applicazione e sanzioni
I divieti dell'Articolo 5 sono applicati dal 2 febbraio 2025. Il massimale sanzionatorio previsto dall'Articolo 99(3) è pari a €35M o al 7% del fatturato mondiale, a seconda di quale importo sia superiore. Si applica la proporzionalità per le PMI, ma raramente porta la sanzione al di sotto di €100.000 per violazioni sostanziali. Le autorità nazionali possono inoltre ordinare la cessazione immediata della pratica vietata, il ritiro dal mercato e la pubblicità correttiva. In alcuni Stati membri è possibile la responsabilità penale per violazioni gravi o reiterate.
Conformità pratica
Per le soluzioni SaaS, effettuare una revisione formale ai sensi dell'Articolo 5 una volta l'anno e dopo ogni modifica rilevante del prodotto. Documentare ciascuna funzionalità rispetto a ogni divieto con una motivazione scritta. Conservare il fascicolo di revisione nell'archivio di conformità per eventuali richieste da parte dell'autorità di vigilanza. Se una funzionalità si avvicina a un divieto, riprogettarla o aggiungere misure di salvaguardia (consenso esplicito, limitazione per età, rilevamento delle vulnerabilità). Se non è possibile allontanare la funzionalità dalla zona di prossimità, consultare un esperto esterno di conformità — l'esposizione sanzionatoria è sufficientemente grave da giustificare un parere legale.
Frequently asked questions
Quando è entrato in vigore l'Articolo 5?
Il 2 febbraio 2025 — l'Articolo 5 è già applicato.
Qual è la sanzione per le violazioni dell'Articolo 5?
Fino a €35M o al 7% del fatturato mondiale, a seconda di quale importo sia superiore. Sono previsti inoltre ordini di cessazione immediata ed eventuale ritiro dal mercato.
L'Articolo 5 si applica al SaaS commerciale?
Sì — in particolare il 5(1)(a) manipolazione, il 5(1)(b) sfruttamento delle vulnerabilità, il 5(1)(c) categorizzazione biometrica e il 5(1)(g) riconoscimento delle emozioni sul luogo di lavoro.
Esistono eccezioni all'Articolo 5(1)(g)?
Sì — le ragioni mediche o di sicurezza sono esenti. Un sistema di monitoraggio dello stress in ambito lavorativo utilizzato nell'ambito di un programma di salute occupazionale può essere lecito; lo stesso sistema utilizzato per valutare le prestazioni dei dipendenti non lo è.
Posso ottenere l'esonero dalla sanzione se cesso la pratica vietata?
La cessazione riduce l'esposizione continuativa ma non elimina le sanzioni per la condotta pregressa. Le autorità nazionali hanno il potere discrezionale di ridurre le sanzioni in caso di cooperazione e di pronta adozione di misure correttive.
Sources
Last updated: 2026-05-28