Intelligenza artificiale e attività di polizia: il nuovo decreto legislativo attuativo dell'AI Act

Il Consiglio dei Ministri, nella riunione n. 177 del 10 giugno 2026, ha approvato in esame preliminare lo schema di decreto legislativo che disciplina l’utilizzo dei sistemi di intelligenza artificiale nelle attività delle Forze di polizia, in attuazione del Regolamento (UE) 2024/1689 (AI Act) e della legge 23 settembre 2025, n. 132. Il provvedimento introduce regole su identificazione biometrica remota in tempo reale, riconoscimento facciale a posteriori, nuovi reati nel codice penale e strumenti processuali civili per il risarcimento dei danni da IA.

Il Governo ha varato un provvedimento che segna una svolta nell’utilizzo dell’intelligenza artificiale da parte delle Forze dell’ordine italiane, definendo per la prima volta un quadro organico di regole, limiti e garanzie. Lo schema di decreto legislativo, esaminato in via preliminare dal Consiglio dei Ministri presieduto dalla premier Giorgia Meloni, si articola in due titoli principali: l’utilizzo dei sistemi di IA per l’attività di polizia e le disposizioni penali e processuali civili connesse.

Identificazione biometrica remota in tempo reale, solo per casi tassativi

L’articolo 8 del decreto consente l’uso di sistemi di identificazione biometrica remota in tempo reale in luoghi pubblici esclusivamente per finalità di prevenzione di minacce specifiche, oppure per la ricerca di persone scomparse e di vittime di sequestro, tratta di esseri umani o sfruttamento sessuale. Il confronto biometrico deve avvenire con banche dati di riferimento adeguate, ed è espressamente vietato l’uso di database alimentati tramite scraping non mirato di immagini dal web o da telecamere a circuito chiuso.

L’utilizzo richiede l’autorizzazione del pubblico ministero su richiesta del questore, del comandante provinciale dell’Arma dei carabinieri o della Guardia di finanza, per un periodo massimo di quindici giorni rinnovabili. In casi d’urgenza è prevista una procedura semplificata, con comunicazione successiva al pubblico ministero entro dodici ore.

Riconoscimento facciale a posteriori nella videosorveglianza

L’articolo 10 disciplina l’integrazione di componenti di IA nei sistemi di videosorveglianza già autorizzati, consentendo l’attivazione di tecnologie di riconoscimento facciale solo dopo la commissione di un reato, per identificare le persone indiziate sulla base di documentazione video-fotografica. I dati biometrici raccolti devono essere cancellati automaticamente dopo sette giorni, e nessuna decisione con effetti giuridici negativi può basarsi unicamente sui risultati del riconoscimento facciale.

Nuovo reato nel codice penale, l’articolo 437-bis c.p.

Il Titolo II introduce nel codice penale il nuovo articolo 437-bis, che punisce con la reclusione da uno a cinque anni chi, nella progettazione, addestramento o utilizzo professionale di sistemi di IA ad alto rischio, omette misure di sicurezza o di sorveglianza umana, qualora ne derivi un pericolo concreto per la vita o l’incolumità individuale. Le pene salgono da due a otto anni se il pericolo riguarda l’incolumità pubblica o la sicurezza dello Stato. È inserita anche una nuova fattispecie di alterazione illecita dei sistemi di IA ad alto rischio.

Il nuovo articolo 359-ter del codice di procedura penale

Viene introdotto l’articolo 359-ter c.p.p., che disciplina l’identificazione e localizzazione tramite sistemi di IA per l’identificazione biometrica remota in tempo reale nell’ambito delle indagini penali, su autorizzazione del giudice per le indagini preliminari, richiesta dal pubblico ministero, con le medesime cautele temporali e territoriali previste per l’ambito amministrativo.

Strumenti civilistici per il risarcimento dei danni da IA

Il Capo II del Titolo II introduce un foro speciale per il consumatore danneggiato da sistemi di IA, un meccanismo di accesso alle prove sul funzionamento del sistema, la presunzione del nesso di causalità in caso di violazione degli obblighi dell’AI Act, e l’azione diretta nei confronti dell’impresa di assicurazione del responsabile del danno.

Le garanzie e il percorso futuro

Come sottolineato nella nota del Governo, il decreto non introduce nuovi obblighi rispetto a quanto già previsto dall’AI Act, ma ne assicura l’attuazione nell’ordinamento nazionale secondo un approccio antropocentrico, proporzionato e fondato sul rischio. Lo schema dovrà ora essere sottoposto al parere del Garante per la protezione dei dati personali, della Conferenza unificata e delle Commissioni parlamentari competenti, prima dell’approvazione definitiva.