Abbiamo visionato la bozza del decreto legislativo che sarà analizzato dal pre-consiglio dei ministri oggi alle 18:00. E andrà in Consiglio dei ministri nei prossimi giorni.

L’uso positivo dell’intelligenza artificiale per le attività di Polizia. Lo prevede uno schema del decreto legislativo che punta ad adeguare la normativa italiana al Regolamento europeo AI ACT.

Cybersecurity Italia ha visionato la bozza che sarà analizzata dal pre Consiglio dei ministri convocato oggi alle ore 18:00, poi sarà sul tavolo del Consiglio dei ministri nei prossimi giorni.

Le principali misure introduttive

Il provvedimento reca disposizioni in materia di utilizzo di sistemi di intelligenza artificiale da parte degli organi, uffici e comandi delle Forze di Polizia, in relazione alle specifiche funzioni esercitate. 

Il testo prevede disposizioni in materia di:

• ricerca,
• sviluppo,
• addestramento,
• formazione,
• sperimentazione e utilizzo dei sistemi di intelligenza artificiale nelle attività di polizia.

E ancora, sistemi di intelligenza artificiale utilizzati nell’attività di polizia per:

• l’etichettatura,
• il filtraggio e la categorizzazione di dati biometrici,
• l’identificazione biometrica remota in tempo reale per finalità di prevenzione o di protezione e per il riconoscimento facciale a posteriori a fini di contrasto dei reati e Disposizioni penali, sostanziali e processuali, in materia di realizzazione e impiego illeciti dei sistemi di intelligenza artificiali e disposizioni processuali civili in materia di risarcimento dei danni cagionati dall’utilizzo dei medesimi sistemi.

Pubblichiamo l’articolo 8, che punta ad introdurre “sistemi di intelligenza artificiale per l’identificazione biometrica remota in tempo reale per finalità di prevenzione, nonché di ricerca delle persone scomparse e delle vittime di specifici reati” (con tutte le salvaguardie previste)

L’articolo 8, “Sistemi di intelligenza artificiale per l’identificazione biometrica remota in tempo reale per finalità di prevenzione, nonché di ricerca delle persone scomparse e delle vittime di specifici reati” dispone:

1. Fermo restando quanto previsto dall’articolo 359-ter del codice di procedura penale, l’utilizzo di sistemi di intelligenza artificiale per l’identificazione biometrica remota in tempo reale in luoghi pubblici o aperti al pubblico da parte degli organi, uffici e comandi delle Forze di polizia è ammesso per le finalità di prevenzione di cui all’articolo 5, paragrafo 1, lettera h), punto ii), del regolamento IA. I sistemi di cui al periodo precedente possono essere utilizzati, altresì, per la ricerca di una persona scomparsa o di persone specifiche, vittime dei reati di sequestro di persona, tratta di esseri umani o sfruttamento sessuale, ai sensi dell’articolo 5, paragrafo 1, lettera h), punto i), del regolamento IA.
2. L’utilizzo dei sistemi di IA di cui al comma 1 è consentito esclusivamente per confermare l’identità delle persone specificamente interessate ovvero per la ricerca mirata, anche in modo dinamico e compresa la localizzazione, di persone specificamente individuate o individuabili in relazione alla minaccia da prevenire o alla ricerca da eseguire.
3. Il confronto biometrico avviene esclusivamente con una banca dati di riferimento adeguata per ciascuna delle finalità di cui al comma 1, contenente i dati biometrici e le relative informazioni identificative, ove disponibili, riferiti alle persone, anche non identificate anagraficamente, di cui al comma 2. La banca dati di cui al primo periodo può essere derivata da dati contenuti in banche dati in uso alle Forze di polizia o tenute da altre pubbliche amministrazioni e accessibili alle predette Forze, ovvero da immagini, filmati o altri elementi biometrici acquisiti legalmente nell’ambito dell’attività di polizia. È in ogni caso vietato l’uso di banche dati biometriche alimentate, in tutto o in parte, mediante tecniche di scraping non mirato, ovvero costituite in violazione delle disposizioni vigenti in materia di protezione dei dati personali.
4. L’utilizzo dei sistemi di AI di cui al comma 1 è subordinato a una richiesta del questore o del comandante provinciale dell’Arma dei carabinieri e della Guardia di finanza, ovvero dei responsabili dei Servizi centrali di cui all’articolo 12 del decreto-legge 13 maggio 1991, n. 152, convertito, con modificazioni, dalla legge 12 luglio 1991, n. 203, al procuratore della Repubblica presso il Tribunale del capoluogo del distretto nel quale sono emerse le esigenze di prevenzione ovvero di ricerca, con indicazione della finalità perseguita, della durata prevista, dell’area territoriale interessata, delle persone interessate e ricercate, delle banche dati di riferimento utilizzate e dei sistemi e delle tecnologie impiegati;
5. L’autorizzazione deve essere concessa con riguardo a uno specifico evento o per il tempo strettamente necessario, in ogni caso non superiore a quindici giorni, prorogabili dal pubblico ministero, con decreto motivato per periodi successivi di quindici giorni qualora permangano le condizioni di cui al comma 1, nonché con riferimento ad una area territoriale delimitata e alla indicazione delle persone specificamente interessate e ricercate. La medesima autorizzazione può essere concessa, altresì, soltanto previa effettuazione delle valutazioni di cui all’articolo 5, paragrafo 2, del regolamento IA.
6. Nei casi d’urgenza, quando vi è fondato motivo di ritenere che dal ritardo possa derivare un pregiudizio grave e irreparabile per le finalità di cui al comma 1, l’utilizzo del sistema di AI può essere avviato, su disposizione del questore, dei comandanti o dei responsabili indicati al comma 4, lettera a), dall’organo di polizia procedente, previa comunicazione, anche in forma orale, al pubblico ministero, e a condizione che sia limitato a quanto strettamente necessario, in ogni caso con delimitazione dell’area interessata e indicazione delle persone ricercate.
7. Nei casi di cui al comma 6, la richiesta di autorizzazione è trasmessa al pubblico ministero senza ritardo e in ogni caso entro dodici ore dall’inizio delle operazioni. Il pubblico ministero, ove ritenga sussistenti le condizioni di cui al medesimo comma, provvede nelle successive dodici ore.
8. Se non sono osservate le condizioni e i termini previsti dai commi 4, 5, 6 e 7, ovvero in caso di mancata autorizzazione, l’uso del sistema di intelligenza artificiale oggetto dell’autorizzazione è immediatamente interrotto e tutti i dati personali, i risultati e gli output acquisiti e prodotti sono cancellati, fatti salvi gli elementi acquisiti legittimamente sotto altra base giuridica. I risultati forniti dai sistemi di intelligenza artificiale in violazione delle disposizioni del presente articolo non possono essere utilizzati. 

L’altra grande novità del decreto è l’articolo 10, “disposizioni in materia di sistemi di videosorveglianza dotati della tecnologia di riconoscimento facciale a posteriori, integrata dall’intelligenza artificiale, per il contrasto dei reati“

1. In tutti i casi in cui è consentita da specifiche disposizioni di legge l’installazione di sistemi di videosorveglianza, tali sistemi possono essere integrati, ove ricorrono esigenze di ordine e sicurezza pubblica, con componenti di intelligenza artificiale, in conformità alla normativa sul trattamento dei dati personali e nel rispetto del regolamento IA, che, in presenza dei presupposti di cui al comma 2, consentono l’attivazione successiva di tecnologie di riconoscimento facciale, con un intervallo di tempo tale da non configurare una identificazione biometrica remota in tempo reale ai sensi del regolamento IA.
2. Le tecnologie di cui al comma 1 sono utilizzate, in conformità con quanto previsto dall’articolo 26, paragrafo 10, primo comma, del regolamento IA, esclusivamente dopo la commissione di un fatto di reato, anche nell’ipotesi tentata, al solo fine della identificazione delle persone già indiziate della commissione del reato sulla base di documentazione video-fotografica e di elementi oggettivi e verificabili. L’utilizzo di tali sistemi è effettuato sotto la diretta ed esclusiva responsabilità dell’ufficiale di pubblica sicurezza designato dal questore a gestire l’ordine e la sicurezza pubblica.
3. In caso di accesso a luoghi o ad eventi rispetto ai quali sussistono esigenze di ordine e sicurezza pubblica, l’utilizzo dei sistemi di videosorveglianza di cui al comma 1 comporta il trattamento automatizzato dei dati biometrici rilevati dalle immagini del volto delle persone che accedono ai predetti luoghi o eventi, memorizzati a livello locale nella base dati di riferimento di cui al comma 11, lettera a).  Nella medesima base dati sono altresì memorizzati, senza l’utilizzo delle tecnologie biometriche di intelligenza artificiale, i corrispondenti dati anagrafici e, ove vi sia un posto assegnato, il relativo identificativo ottenuto con la scansione elettronica dei titoli di accesso. Nell’ipotesi di commissione di un fatto di reato ai sensi del comma 2, l’utilizzo dei sistemi di cui al comma 1 con l’attivazione delle tecnologie di riconoscimento facciale comporta il trattamento automatizzato dei dati biometrici estratti dalle immagini del volto delle persone da identificare poiché indiziate di aver commesso il fatto anzidetto, per il confronto biometrico a posteriori con i dati presenti nella base dati di cui al primo e al secondo periodo.
4. Il titolare del trattamento dei dati personali effettuato con l’utilizzo dei sistemi di cui al comma 1 è il Ministero dell’interno – Dipartimento della pubblica sicurezza.
5. Per i trattamenti di dati personali svolti con i sistemi anzidetti, il titolare del trattamento di cui al comma 4 effettua in via preventiva la valutazione d’impatto sulla protezione dei dati e consulta il Garante per la protezione dei dati personali ai sensi degli articoli 23 e 24 del decreto legislativo 18 maggio 2018, n. 51. È possibile effettuare un’unica valutazione d’impatto sulla protezione dei dati valida per tutti i sistemi analoghi.
6. I dati personali trattati con i sistemi di cui al comma 1 sono conservati nella base dati di riferimento individuata ai sensi del comma 11, lettera a), per sette giorni dalla raccolta e sono cancellati automaticamente decorso tale termine.
7. Gli accessi e le operazioni di trattamento sui sistemi di cui al presente articolo devono essere effettuati esclusivamente dalle persone autorizzate e registrati automaticamente in appositi file di log, non modificabili, conformemente a quanto previsto dall’articolo 12, paragrafo 3, del regolamento IA. I file di log sono conservati per cinque anni dall’accesso e dall’operazione, e resi accessibili per finalità di verifica della liceità del trattamento, di controllo interno e nell’ambito di un procedimento penale.
8. Restano fermi i termini di conservazione dei dati personali previsti, per finalità di polizia, dall’articolo 10 del decreto del Presidente della Repubblica 15 gennaio 2018, n. 15.
9. Nessuna decisione che produca effetti giuridici negativi sulla persona cui si riferiscono i dati oggetto del trattamento può essere basata unicamente sui risultati forniti dall’applicazione di riconoscimento facciale.
10. I sistemi di cui al comma 1 non possono essere in alcun caso utilizzati con l’attivazione delle tecnologie di riconoscimento facciale in modo non mirato, senza alcun collegamento con un reato o con un procedimento penale, ovvero a fini di controllo e di identificazione biometrica generalizzati o indiscriminati delle persone.
11. Con decreto del Ministro dell’interno, sentito il Garante per la protezione dei dati personali, da emanare entro tre mesi dalla data di entrata in vigore delle disposizioni di cui al presente articolo, sono individuati: a) le modalità del trattamento automatizzato dei dati biometrici estratti o rilevati dalle immagini del volto delle persone che accedono ai luoghi o agli eventi di cui al comma 3, e della loro memorizzazione a livello locale, ai sensi del primo e del secondo periodo del comma anzidetto, in una base dati di riferimento per il confronto biometrico a posteriori; b) le misure tecniche e organizzative necessarie a garantire un adeguato livello di sicurezza del trattamento; c) gli adempimenti cui il titolare del trattamento è tenuto in conformità a quanto previsto dal regolamento IA.
12. All’installazione e alla manutenzione dei sistemi di cui al comma 1 possono provvedere, senza nuovi o maggiori oneri per la finanza pubblica, i gestori dei luoghi di cui al comma 3, gli organizzatori o promotori degli eventi di cui al medesimo comma, ovvero chi ha la disponibilità delle strutture ove tali eventi si svolgono, in accordo con i proprietari degli stessi luoghi o strutture. Nelle ipotesi di cui al periodo precedente, i predetti sistemi sono concessi in comodato gratuito alla questura, che ne acquisisce la completa ed esclusiva disponibilità.
13. Dall’attuazione delle disposizioni di cui al presente articolo non devono derivare nuovi o maggiori oneri per la finanza pubblica.

Formazione e sviluppo di software

Infine, le ultime due novità importanti dello schema di decreto legislativo riguardano il Capo II, “Ricerca, sperimentazione, sviluppo, addestramento, convalida e utilizzo di sistemi e modelli di intelligenza artificiale per le attività di polizia”.

Ai sensi dell’articolo 6, comma 1, “le Forze di polizia provvedono ad attivare, presso i rispettivi istituti di formazione, specifici corsi in materia di intelligenza artificiale applicata all’attività di polizia, secondo modalità stabilite da ciascuna amministrazione nell’ambito delle risorse disponibili a legislazione vigente“.

Per la prima volta, inoltre, ai sensi dell’articolo 5, comma 2, la polizia potrà partecipare “allo sviluppo, alla realizzazione e alla prova di sistemi di IA, in particolare ad alto rischio, destinati alle attività di polizia, nel rispetto della protezione dei dati personali e della tutela dei diritti e delle libertà fondamentali“.

Vai al sito di Cybersecurity Italia.

L'articolo Polizia, ecco come potrebbe usare l’AI, anche per l’identificazione biometrica remota in tempo reale (con tutte le salvaguardie) sembra essere il primo su CyberSecurity Italia.