La prima volta che ho visto Lie to Me, la serie con Tim Roth nei panni del dottor Cal Lightman, l’esperto capace di smascherare bugiardi seriali, assassini e probabilmente anche il responsabile della scomparsa di Atlantide, semplicemente osservando un sopracciglio che si contraeva per tre millisecondi, ho pensato: ma figuriamoci. Cioè, carina, divertente, pure ben scritta. Però figuriamoci davvero se basta un occhio che trema leggermente, una piega della bocca o un’esitazione di mezzo secondo per capire che la persona seduta davanti a te sta mentendo, nasconde qualcosa o magari ha sterminato la famiglia e pure il presidente Kennedy.
E invece, più o meno, il mercato tecnologico degli ultimi anni ha deciso di prendere quella fantasia televisiva terribilmente sul serio.
Oggi esistono software progettati per analizzare le espressioni facciali dei candidati durante i colloqui di lavoro, piattaforme che monitorano il livello di attenzione degli studenti attraverso webcam e movimenti oculari, sistemi di analisi vocale che attribuiscono punteggi di coinvolgimento, motivazione o affidabilità ai dipendenti sulla base del tono utilizzato nelle call aziendali. Ed è proprio contro questa forma di sorveglianza algoritmica della sfera emotiva che l’Unione europea ha scelto di intervenire con uno dei divieti più significativi contenuti nel Regolamento (UE) 2024/1689, il cosiddetto AI Act. In tema, abbiamo anche pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon
Indice
- 1. Il cambio di prospettiva dell’AI Act
- 2. Il presupposto fragile del riconoscimento delle emozioni
- 3. Dalla tecnologia al problema giuridico
- 4. Dignità umana e protezione della sfera emotiva
- 5. Lavoro e scuola come contesti a rischio
- 6. Workplace analytics e controllo del lavoratore
- 7. Il confine culturale tracciato dal diritto europeo
- Vuoi ricevere aggiornamenti costanti?
1. Il cambio di prospettiva dell’AI Act
La scelta del legislatore europeo è particolarmente interessante perché segna un cambio di prospettiva nel modo in cui il diritto guarda alle nuove tecnologie. Per anni il dibattito giuridico si è concentrato prevalentemente sulla raccolta e circolazione dei dati personali; oggi, invece, il problema si sposta progressivamente sulla capacità degli algoritmi di inferire aspetti profondi della personalità e del comportamento umano, trasformando emozioni, vulnerabilità e stati psicologici in variabili computabili, classificabili e monetizzabili.
L’articolo 5 dell’AI Act include infatti tra le pratiche vietate i sistemi di riconoscimento delle emozioni utilizzati nei luoghi di lavoro e negli istituti scolastici o educativi, salvo limitate eccezioni legate a finalità mediche o di sicurezza. Non si tratta, tuttavia, di un divieto genericamente rivolto a qualsiasi forma di analisi automatizzata del linguaggio o del sentiment. Il bersaglio della norma è molto più specifico e riguarda quei sistemi che pretendono di dedurre stati emotivi o caratteristiche psicologiche delle persone attraverso l’analisi di dati biometrici e comportamentali, quali immagini del volto, modulazioni della voce, postura, movimenti oculari, gestualità o parametri fisiologici.
Ed è proprio qui che emerge il nodo più problematico. In tema, abbiamo anche pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon
NIS 2 ed Evoluzione della Cybersicurezza Nazionale
Il volume offre una ricostruzione completa e aggiornata della Direttiva NIS 2 e del suo recepimento nel D.Lgs. 4 settembre 2024, n. 138, mettendoli in relazione con l’architettura della cybersicurezza nazionale, il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN) e le più recenti riforme europee in materia.Curato da Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri, con contributi di dirigenti ACN e prefazione del Direttore Generale Bruno Frattasi, il testo unisce in un’unica guida quadro teorico, prassi applicativa e impatti operativi per soggetti essenziali e importanti. – Quadro normativo europeo “all-in-one”Dalla NIS 1 alla NIS 2, passando per Cybersecurity Act, DORA, Direttiva CER, Cyber Resilience Act e Cyber Solidarity Act, il volume ricostruisce in modo sistematico la strategia UE sulla cybersicurezza e la colloca nel contesto del mercato digitale e delle infrastrutture critiche.- Focus sull’ambito di applicazione e sull’autovalutazione NIS 2Una sezione dedicata aiuta a capire se e come si rientra tra i soggetti essenziali o importanti, illustrando le eccezioni, i poteri di ACN e proponendo un vero e proprio strumento di autovalutazione (giurisdizione, dimensione, tipologia di soggetto).- Requisiti minimi e misure di sicurezza spiegati punto per puntoAmpio commento alle misure di gestione del rischio informatico per soggetti essenziali e importanti, con analisi della determinazione ACN 14 aprile 2025 n. 164179 e delle misure di sicurezza di base (governance, asset, gap analysis, rafforzamento dell’assetto di cybersicurezza, gestione incidenti).- Protezione dei dati personali, domini e obblighi di notificaIntegrazione tra NIS 2, disciplina privacy e gestione dei data breach: procedure di notifica, ruolo dei nomi a dominio, sinergie e possibili sovrapposizioni tra i diversi regimi di segnalazione.- Governance aziendale e responsabilità degli organi di gestioneCapitoli dedicati ai doveri dell’organo di gestione in materia di cybersicurezza, alle responsabilità degli amministratori e degli organi direttivi e alla necessità di strutture interne dedicate (referente per la cybersicurezza, ruoli chiari, accountability).- Condivisione delle informazioni e notifiche degli incidenti al CSIRT ItaliaAnalisi degli obblighi di divulgazione coordinata delle vulnerabilità, degli accordi di condivisione delle informazioni, della rete CSIRT nazionale e delle nuove regole sulla notifica degli incidenti (soggetti obbligati, eventi da notificare, termini, tassonomia cyber, sanzioni ed esenzioni).- Crittografia e transizione post-quantumApprofondimento sul rafforzamento delle misure di sicurezza dei dati tramite crittografia, sul Centro Nazionale di Crittografia, sulle linee guida ACN e Garante Privacy e sui rischi della futura “rottura crittografica” nell’era quantistica, con indicazioni operative per la transizione post-quantum.- Vigilanza ACN, ispezioni e sanzioniCommento ai poteri di monitoraggio e valutazione della conformità dell’ACN, alle verifiche e ispezioni, agli esiti delle attività di controllo e alle misure di esecuzione. Il volume illustra inoltre la funzione delle sanzioni nel quadro della cybersicurezza europea, i criteri di proporzionalità e gli strumenti deflativi del contenzioso.- Cooperazione nazionale, CSIRT e gestione delle crisiTrattazione del ruolo dei CSIRT, del sistema delle autorità di settore NIS, del Tavolo NIS, del Quadro nazionale di gestione delle crisi informatiche e dei meccanismi di coordinamento tra ACN, Procura nazionale antimafia e antiterrorismo, polizia giudiziaria, servizi di informazione e autorità UE (gruppo di cooperazione NIS, EU-CyCLONe).- Riforma dei reati informatici e del D.Lgs. 231/2001Una parte finale è dedicata alle modifiche al codice penale e al codice di procedura penale (accesso abusivo, danneggiamento informatico, estorsione tramite reati informatici, truffa, intercettazioni, testimoni e collaboratori di giustizia) e all’aggiornamento del catalogo dei reati presupposto ex D.Lgs. 231/2001. Perché non puoi farne a meno oraCon l’entrata in vigore del D.Lgs. 138/2024 e delle più recenti determinazioni dell’Agenzia per la Cybersicurezza Nazionale, oltre 20.000 entità pubbliche e private sono già coinvolte dagli obblighi NIS 2, con impatti diretti su governance, misure di sicurezza, notifiche di incidente e sanzioni.Questo volume fornisce il quadro completo e operativo per impostare o rivedere il proprio modello di compliance, ridurre il rischio di non conformità e presentarsi preparati a verifiche, ispezioni e richieste informative. Acquista ora “NIS 2 ed evoluzione della cybersicurezza nazionale” e utilizza la guida per mappare correttamente i tuoi obblighi, adeguare processi e controlli interni e trasformare la conformità NIS 2 da adempimento formale a leva strategica di sicurezza e affidabilità per la tua organizzazione.
Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri | Maggioli Editore 2025
34.20 €
2. Il presupposto fragile del riconoscimento delle emozioni
Una parte significativa dei sistemi di emotion recognition si fonda infatti sull’idea — molto diffusa nella cultura popolare anche grazie a prodotti come Lie to Me — che esistano correlazioni universali e affidabili tra determinate espressioni corporee ed emozioni interne. L’assunto, in sostanza, è che l’algoritmo possa leggere il volto umano come una sorta di codice emotivo standardizzato, capace di rivelare ansia, entusiasmo, aggressività, sincerità o disinteresse attraverso pattern comportamentali riconoscibili.
Il problema è che tale premessa scientifica è oggi fortemente contestata.
Numerosi studi evidenziano infatti come le emozioni umane siano profondamente influenzate da fattori culturali, contestuali, relazionali e individuali, rendendo estremamente fragile l’idea di una corrispondenza automatica e universalmente interpretabile tra espressioni facciali e stati interiori. Una persona può evitare il contatto visivo per ansia sociale, neurodivergenza, stanchezza o semplice timidezza; un sorriso può esprimere tensione, disagio, paura o imbarazzo molto più che serenità o approvazione. Eppure, molti sistemi di intelligenza artificiale continuano a essere addestrati proprio sull’idea opposta: quella secondo cui il comportamento umano sarebbe riducibile a una serie di segnali standardizzati da classificare automaticamente.
3. Dalla tecnologia al problema giuridico
È questo il punto in cui il problema smette di essere esclusivamente tecnologico e diventa profondamente giuridico.
Se infatti il sistema inferenziale su cui si fonda la decisione algoritmica è fragile o pseudoscientifico, anche le valutazioni adottate sulla base di quei risultati rischiano di diventare arbitrarie, discriminatorie o gravemente lesive della persona. Un candidato potrebbe essere considerato “poco affidabile” perché evita il contatto visivo; uno studente potrebbe essere classificato come “disattento” sulla base di parametri comportamentali standardizzati; un dipendente potrebbe ricevere valutazioni negative perché il sistema interpreta determinate inflessioni vocali come indice di scarso coinvolgimento emotivo.
La questione, dunque, non riguarda soltanto la privacy in senso tradizionale.
Riguarda il rischio che l’essere umano venga progressivamente reinterpretato come un insieme di segnali biometrici da sottoporre a monitoraggio continuo, all’interno di un modello culturale nel quale perfino emozioni, esitazioni e vulnerabilità tendono a trasformarsi in dati economicamente sfruttabili.
4. Dignità umana e protezione della sfera emotiva
Non è casuale, allora, che il divieto previsto dall’AI Act trovi il proprio fondamento in una tradizione giuridica europea fortemente orientata alla tutela della dignità umana. La Carta dei diritti fondamentali dell’Unione europea colloca proprio la dignità, all’articolo 1, come valore fondativo dell’intero sistema, mentre gli articoli 7 e 8 tutelano rispettivamente la vita privata e la protezione dei dati personali. A ciò si aggiungono le garanzie previste dal GDPR in materia di dati biometrici, profilazione e processi decisionali automatizzati.
L’aspetto più innovativo dell’AI Act, tuttavia, sembra essere un altro: il Regolamento mostra di voler proteggere non soltanto i dati personali in quanto tali, ma la stessa sfera mentale ed emotiva dell’individuo contro forme invasive di sorveglianza algoritmica. È un passaggio culturale enorme, perché implica il riconoscimento implicito di un limite: esistono dimensioni della persona che non possono essere integralmente trasformate in oggetti di analisi automatizzata.
In questo senso il dibattito sull’emotion recognition si avvicina sempre più al tema della cosiddetta libertà cognitiva, ossia il diritto dell’individuo a non subire intrusioni indebite nei propri processi mentali, emotivi e decisionali. Un concetto che fino a pochi anni fa sembrava appartenere quasi esclusivamente alla riflessione filosofica o fantascientifica e che oggi, invece, inizia a entrare concretamente nel diritto positivo europeo.
5. Lavoro e scuola come contesti a rischio
La scelta di vietare questi sistemi proprio nei contesti lavorativi e scolastici appare, sotto questo profilo, particolarmente significativa. Si tratta infatti di ambienti caratterizzati da un forte squilibrio di potere, nei quali il consenso dell’interessato rischia di essere più teorico che reale. Nel rapporto di lavoro il dipendente si trova strutturalmente subordinato al datore; nel contesto scolastico, invece, lo studente è inserito in una dinamica valutativa che incide direttamente sulla formazione della personalità e sulla libertà di comportamento.
Il rischio più insidioso non è nemmeno quello di essere semplicemente osservati. È quello di essere progressivamente educati ad assumere il comportamento che l’algoritmo considera emotivamente corretto: il lavoratore sempre motivato, il candidato sempre positivo, lo studente sempre attento, la persona sempre performante.
Ed è proprio qui che il tema dell’intelligenza artificiale incontra quello, molto più profondo, della conformazione sociale prodotta dalla tecnologia.
6. Workplace analytics e controllo del lavoratore
Negli ultimi anni, del resto, il mercato delle cosiddette workplace analytics e degli strumenti di people monitoring è cresciuto enormemente. Sempre più aziende utilizzano software destinati ad analizzare produttività, engagement, modalità comunicative, tempi di risposta e comportamenti dei dipendenti, spesso presentando tali strumenti come tecnologie di ottimizzazione organizzativa o benessere aziendale. Tuttavia, il confine tra gestione efficiente delle risorse umane e controllo invasivo del lavoratore diventa sempre più sottile, soprattutto quando l’analisi si estende alla dimensione emotiva e psicologica della persona.
Nel mercato del lavoro italiano, inoltre, entrano inevitabilmente in gioco anche le tutele previste dall’articolo 4 dello Statuto dei lavoratori, i principi di minimizzazione e proporzionalità del GDPR, gli obblighi di trasparenza e la necessità di effettuare valutazioni d’impatto nei casi di trattamenti ad alto rischio. Ma il punto centrale resta un altro: il lavoratore non può essere trasformato in un soggetto costantemente profilato sotto il profilo emotivo e comportamentale, perché ciò altererebbe inevitabilmente la libertà, la spontaneità e persino la dimensione relazionale dell’ambiente professionale.
7. Il confine culturale tracciato dal diritto europeo
L’aspetto più interessante dell’intervento europeo, allora, non è soltanto tecnologico o regolatorio. È culturale.
Per anni il capitalismo digitale ha monetizzato l’attenzione; oggi il rischio è che inizi progressivamente a monetizzare anche gli stati emotivi, le vulnerabilità psicologiche e le reazioni comportamentali degli individui. L’AI Act prova a tracciare una linea di confine prima che questo modello si normalizzi completamente, affermando un principio destinato probabilmente a diventare centrale nel diritto delle tecnologie dei prossimi anni: non tutto ciò che può essere tecnicamente analizzato deve necessariamente diventare oggetto di sorveglianza, classificazione o sfruttamento economico.
Perché il problema non è soltanto essere osservato da un algoritmo. È iniziare, lentamente, a comportarsi come l’algoritmo si aspetta che facciamo.
Vuoi ricevere aggiornamenti costanti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento