AI manipolatorie e decettive: le Linee guida della Commissione Europea sulle pratiche pubblicitarie vietate 

di Michele Di Salvo

La Commissione europea ha approvato, il 4 febbraio 2025 le Linee Guida per favorire la compliance all’articolo 5 del Regolamento AI ACT. La norma enumera quali sono le pratiche vietate nell’utilizzo di sistemi di intelligenza artificiale.

Il divieto di cui all’articolo 5, I paragrafo, lettere 1 (a) and (b) dell’AI Act riguarda in modo specifico il divieto di immissione sul mercato, messa in servizio o uso di sistemi di AI di carattere manipolatorio o ingannevole e/o che sfruttino vulnerabilità, influenzando il comportamento di singoli utenti o categorie.

La norma mira a proteggere gli utenti di sistemi di AI (specialmente quelli più vulnerabili per età, disabilità o condizioni economico-sociale) dai potenziali effetti dannosi di manipolazione e sfruttamento di questa tecnologia, che potrebbero minare la loro autonomia decisionale, la libera scelta e, in generale, la libertà (gli articoli si inseriscono nel novero del diritto alla dignità). Tali divieti si interessano in maniera particolare di quei sistemi che impiegano tecniche subliminali, volontariamente manipolatorie o ingannevoli.

Il focus di questa norma sono le tecniche che agiscono alla soglia della consapevolezza cosciente dell’individuo, e il loro impatto sulla capacità di una persona o di un gruppo di prendere decisioni informate.

L’articolo vieta la creazione e la commercializzazione di sistemi che impiegano tecniche subliminali per orientare/manipolare le opinioni di qualcuno con l’effetto finale di distorcere il suo comportamento compromettendo la sua abilità di prendere decisioni informate, manovrandolo a comportarsi in modi che in altre circostanze non avrebbe adottato.

Perché scatti il divieto, tuttavia, devono ricorrere almeno queste due condizioni, collegate tra esse:

1. il sistema di AI deve essere messo sul mercato (quindi sono suscettibili di divieto sia i provider che i suoi distributori – in questo caso ad esempio il requisito verrebbe arginato semplicemente parlando di prodotto “in test”, versione demo, e non è chiaro se “in forma gratuita” rientri in questa categoria).

2. il sistema deve impiegare tecniche subliminali, manipolatorie e ingannevoli. (Le tecniche subliminali agiscono bypassando le difese razionali dell’individuo, con effetti sui suoi processi decisionali – proprio perché “subliminali” appare sin da subito particolarmente complesso nonché oneroso provare tale sistema).

Le linee guida esemplificano queste tecniche in categorie “macro”: – messaggi subliminali visivi: troppo veloci per essere registrati dal cervello; – messaggi subliminali audio: a volume troppo basso per essere percepiti; – segnali subvisivi e subaudio: nascosti o impercettibili; – immagini “nascoste” in altre immagini; – depistaggio: il sistema fa concentrare l’utente su determinate informazioni/stimoli nascondendone degli altri; – manipolazione temporale: il sistema altera la percezione del tempo dell’utente provocando dipendenza/impazienza.

Le tecniche volutamente manipolative mirano a influenzare, alterare o controllare il comportamento di un individuo minando la sua autonomia individuale. Sono tipicamente progettate per sfruttare i bias cognitivi, le vulnerabilità psicologiche o altri fattori situazionali.

Non è necessario che il fornitore, il distributore o lo stesso sistema intendano causare danno; dunque, se il sistema impara questa tipologia di tecnica attraverso le risposte degli utenti o il materiale di ricerca, il fornitore e il distributore sono soggetti all’articolo solo se, consapevoli delle tecniche adottate, non agiscono con misure preventive/mitiganti.

Quindi, in sintesi: la tecnica deve essere subliminale, può essere “acquisita” e tramite machine learning e messa in atto autonomamente dalla macchina, e il produttore – se e quando consapevole – è esente da responsabilità se non interviene ex-post.

Ci si chiede se non era – ed è – più semplice prevedere delle procedure di blocco ex-ante a queste pratiche in modo che la macchina, anche quando e se “trovasse e applicasse in autonomia” queste strategie, venga ex ante inibita dal metterle in pratica?

Le tecniche ingannevoli sovvertono o danneggiano l’autonomia, la capacità di decisione o le scelte libere di una persona, presentando informazioni false o fuorvianti con l’obiettivo o l’effetto di ingannare gli individui e influenzare il loro comportamento.

Queste tecniche devono avere la finalità o l’effetto finale di distorcere il comportamento di una persona o gruppo, causando comportamenti o decisioni che non si sarebbero prese in altre circostanze.

Quello che non viene affrontato, e quindi chiarito, è limite di “atmosfera”. Creare un ambiente familiare, confortevole, prossimo all’utente, non ha implicazioni dirette in senso deterministico, ma certamente favoriscono la scelta dell’utente. Si pensi ad una voce umana finanche “familiare” con un volto umano, semmai “amico”, in un’interazione specifica per luogo/orario.

Affinché scatti il divieto deve esserci una correlazione causale  ragionevole e plausibile tra le tecniche manipolatorie dell’AI e la potenziale distorsione materiale del comportamento o del subconscio della persona, ovvero un’influenza nella sua abilità di prendere decisioni informate, causando dunque che si comporta o prenda decisioni che non avrebbero preso altrimenti.

Proprio per questo il non affrontare il tema di “atmosfera ambientale” generata dall’AI è un vulnus che accresce le complessità e l’onerosità della prova.

Inoltre il divieto è applicabile se la finalità del fornitore o distributore è effettivamente quella di ingannare gli utenti o anche se semplicemente quello risulta essere l’effetto finale.

Secondo le linee guida per evitare di fornire sistemi AI che potenzialmente potrebbero essere vietati, sviluppatori e fornitori dovrebbero intervenire con misure appropriate come: trasparenza e salvaguardia dell’autonomia individuale, conformità con le norme applicabili, aderire ad attività di due diligence e agli standard del settore.

Rispetto a questo “carico burocratico” sarebbe bastato prevedere dei “blocchi” esplicitamente ed ex ante di cose che il sistema “non può fare” rispetto alla verifica ex post di un teorico adeguamento a “standard” (che per ora non esistono) nell’ambito di policy soggette comunque ad ampi margini di interpretazione.

Il comportamento “distorto” deve provocare danno significativo per la persona, altre persone o per il/un gruppo.

Non vengono forniti gli estremi per definire “danno significativo”, che pertanto è necessario valutare caso per caso.

Vengono specificate alcune considerazioni da fare nella valutazione del danno: gravità del danno, il contesto della persona e gli effetti cumulativi del danno, scala e intensità del danno (quante persone ha coinvolto il danno), la vulnerabilità del gruppo coinvolto, durata e reversibilità.

Ancora una volta sembra che chi scrive la norma non conosca il fenomeno, e si limiti ad estendere principi tipizzati del danno materiale.

In questi casi invece, proprio la tipicità delle attività dinamiche di AI deve prevedere un’ipotesi di danno e di prova del danno anch’essa ampia a dinamica anche nel contesto di classi di danno quali la “perdita dell’alternativa plausibile”.

I danni individuati possono essere:

• o fisici (a persone o cose);

• o psicologici (hanno un impatto sulla salute mentale della persona e sul suo benessere psicologico ed emotivo à più difficili da valutare perché le loro conseguenze si notano nel lungo periodo);

• o finanziari ed economici.

Il focus di questa norma è la protezione di persone particolarmente vulnerabili per età, disabilità, o situazioni economico-culturali specifiche, più suscettibili allo sfruttamento da parte dei sistemi di AI.

Anche in questo caso si tratta di categorie standard, replicate da altri contesti normativi in cui questi sono i requisiti “normali” per le cd. categorie vulnerabili.

Ci si dimentica – sembra – che nel contesto della subliminalità siamo tutti vulnerabili, con il paradosso finanche che una eventuale disabilità che limiti alcune forme di utilizzo (si pensi alla cecità visiva) può addirittura ridurre la vulnerabilità stessa a tali sistemi.

L’articolo che sto commentando vieta la creazione e la commercializzazione di sistemi che sfruttano le vulnerabilità di persone o gruppi di persone per la loro età, disabilità, situazioni economico-sociali specifiche con l’obiettivo o l’effetto di manipolare o distorcere il loro comportamento che causa o ragionevolmente potrebbe causare danno significante a quella persona o gruppo. Per essere applicato deve accadere che:

• il sistema deve essere messo sul mercato e in uso o potenzialmente utilizzabile;

• il sistema deve sfruttare vulnerabilità per età (bambini al di sotto dei 18 anni, anziani), disabilità (persone affette da problemi fisici, mentali, intellettivi e sensoriali di lungo periodo), situazioni socio-economiche (es.: persone che vivono in povertà estrema o appartenenti a minoranze religiose o etniche, migranti o rifugiati); quindi riguarda individui che tendenzialmente hanno meno capacità di rendersi conto/resistere la manipolazione dei sistemi AI e per questo hanno bisogno di maggiore protezione;

• lo sfruttamento deve essere oggettivo o oggettivo deve essere l’effetto di distorsione materiale del comportamento della persona o gruppo (qui si fa un passo in più rispetto al precedente articolo, che si focalizza sulla abilità della persona di prendere decisioni informate: qui si dà per scontato che le decisioni non possano essere informate in quanto si parla di gruppi vulnerabili);

• il comportamento distorto deve essere causa o potenzialmente poter causare danno significante (anche qui si parla di danni fisici, psicologici, finanziari, economici) alla persona o gruppo (anche la soglia di quello che può essere considerato danno grave si abbassa, considerando che si parla di individui vulnerabili).

Dunque, nel valutare quale articolo applicare bisogna prendere in considerazione l’aspetto dominante dello sfruttamento: si sta targettizando uno specifico gruppo?

Le linee guida esemplificano alcune pratiche che non rientrano nel divieto di manipolazione, inganno ed exploitative AI, se non causano danni significativi. 

Due le categorie principali:

• persuasione lecita (Lawful Persuasion);

• tecniche di persuasione basate su informazioni trasparenti e verificabili non sono vietate.

Mirano a informare e convincere, in un dialogo in cui l’utente è a conoscenza del tentativo di influenza e può scegliere se accettarlo autonomamente. Rispetta quindi formalmente i quadri normativi.

Gli esempi che vengono portati sono la pubblicità tradizionale: messaggi pubblicitari che usano tecniche di persuasione senza manipolare le emozioni o distorcere la capacità decisionale dell’utente; oppure sistemi AI per il coaching e il supporto motivazionale, che aiutano a migliorare la produttività o le abitudini di vita, senza usare tecniche ingannevoli. 

Sul punto però si omette di specificare che una grande conquista è stata quella di definire chiaramente (in televisione e sui giornali deve essere scritto con chiarezza) che si tratta di pubblicità, cosa che non è prevista nei contesti di AI.

Inoltre – proprio per la loro peculiarità tecnica e tecnologica – i sistemi generativi di adv targettizzata con  sistemi di Ai integrata spesso creano forme di “spot ad personam” il che rende estremamente complesso il discrimine oggettivo.

Sono inoltre esclusi:

• sistemi AI manipolativi o ingannevoli che non causano danni significativi;

• un sistema AI che utilizza tecniche manipolative senza effetti gravi sulla capacità decisionale o senza causare danni materiali o psicologici significativi può non rientrare nel divieto.

L’esclusione ex-ante di questi sistemi di fatto inibisce un’azione di verifica ex-post della veridicità di tali assunti? Non è chiaro, specie se queste esclusioni sono previste direttamente nelle linee guida che in vece dovrebbero offrire sistemi chiari – e possibilmente semplici ed immediati – di verifica del limite. Prevedere in questa sede una esclusione ab origine di fatto crea limiti alla verifica stessa.

Vengono poi proposti degli esempi di AI escluse da queste limitazioni: AI che suggerisce acquisti basati sulle preferenze dell’utente (senza ingannarlo o spingerlo ad acquisti dannosi). Sistemi di compagnia AI progettati in modo antropomorfico con calcolo affettivo per renderlo più attraente ed efficace nel coinvolgere gli utenti, ma che non adotta pratiche manipolative o ingannevoli; chatbot terapeutico che usa tecniche subliminali per orientare gli utenti a uno stile di vita più sano; piattaforma musicale online con riconoscimento emotivo; tecniche manipolative in formazione sulla sicurezza online (tipo esempi di tentativi di phishing).

In tutti questi casi “esclusi a priori” non è chiaro a chi possa competere la verifica della condizione espressa. Una volta autodichiarato da parte del soggetto che il proprio sistema di “AI suggerisce acquisti basati sulle preferenze dell’utente senza ingannarlo o spingerlo ad acquisti dannosi”, quali sono gli strumenti preposti alla verifica in concreto di questa condizione?

Sembra invece più efficace l’introduzione di un sistema improntato al principio di precauzione che avesse stabilito ad esempio che quando un soggetto soggetto intenda adottare e immettere sul mercato un sistema di “AI che suggerisce acquisti basati sulle preferenze dell’utente” debba dimostrare con  chiarezza e trasparenza e in concreto ex ante che lo stesso agisca “senza ingannarlo o spingerlo ad acquisti dannosi”.

Ciò al fine anche di evitare una sproporzione nel costo e nella posizione di verifica e di contestazione ex post, semmai dopo che tale sistema sia stato adottato nei confronti di un pubblico potenzialmente molto vasto e per un tempo non indifferente.

Infine le linee guida si preoccupano di ricordare che queste norme non pregiudicano ma integrano il quadro previsto in altri atti comunitari. Nello specifico: legge di protezione dei consumatori (UCPD); leggi sulla protezione dei dati (GDPR); leggi contro la discriminazione; legge sui servizi digitali (DSA); direttiva 2010/13/EU (AVMSD); leggi sulla sicurezza dei prodotti; leggi penali.

Il che in ultima analisi finisce con il demandare a queste ultime normative – ed alle autorità preposte al loro rispetto – anche la verifica dei contenuti normati nelle linee guida.