Quando si parla di riconoscimento facciale nei luoghi pubblici, il punto non è la tecnologia in sé. Il punto è cosa succede quando un sistema progettato per identificare, classificare o tracciare persone viene inserito in stazioni, piazze, aeroporti, strade e accessi aperti alla collettività. In quel momento la questione smette di essere solo tecnica e diventa operativa, giuridica e istituzionale.
Per chi osserva il tema con un taglio pragmatico, la domanda utile non è se il riconoscimento facciale sia “avanzato”. La domanda è più semplice: chi lo usa, con quale base giuridica, con quale margine di errore, su quali dati, per quanto tempo e con quali possibilità di controllo da parte degli interessati.
Cosa si intende per riconoscimento facciale nei luoghi pubblici
L’espressione viene spesso usata in modo generico, ma copre scenari diversi. Un conto è il confronto uno-a-uno, per esempio quando una persona sceglie volontariamente di verificare la propria identità per accedere a un servizio. Un altro conto è il confronto uno-a-molti, in cui il volto rilevato da una telecamera viene comparato con un database per cercare una corrispondenza. È questo secondo caso a generare le maggiori criticità nei luoghi pubblici.
Dal punto di vista tecnico, il sistema acquisisce un’immagine, estrae caratteristiche biometriche e produce un modello matematico. Quel modello viene poi confrontato con altri modelli presenti in una base dati. Anche quando non viene registrata l’immagine completa, il trattamento resta sensibile perché riguarda dati biometrici, cioè informazioni che possono consentire l’identificazione univoca di una persona fisica.
Nei contesti pubblici la scala cambia tutto. Una soluzione installata in un’area aperta non riguarda un numero limitato di utenti che hanno scelto di partecipare. Intercetta invece flussi eterogenei, spesso composti da persone che non hanno una relazione diretta con il titolare del trattamento e che possono non aspettarsi quel livello di analisi.
Perché il contesto pubblico cambia il livello di rischio
In un luogo pubblico non esiste una simmetria reale tra chi osserva e chi è osservato. L’infrastruttura appartiene a un soggetto pubblico o privato, il software è opaco per chi transita, e la persona ripresa non ha quasi mai la possibilità concreta di negoziare il trattamento. Questo sposta il baricentro dalla comodità alla proporzionalità.
Il primo rischio è il tracciamento sistematico. Se più telecamere vengono integrate, si può passare dalla semplice sorveglianza alla ricostruzione dei movimenti individuali. Il secondo rischio è l’errore di identificazione. Anche un tasso di falso positivo apparentemente basso, applicato a migliaia di passaggi, può produrre segnalazioni errate con impatto reale su persone che non hanno fatto nulla.
C’è poi un rischio meno visibile ma più strutturale: la normalizzazione. Una volta installato, il sistema tende a espandere il proprio perimetro d’uso. Quello che nasce come misura eccezionale per uno scopo delimitato può trasformarsi in una funzione ordinaria di controllo, con finalità che si allargano nel tempo.
Il quadro normativo su riconoscimento facciale nei luoghi pubblici
In Europa il trattamento dei dati biometrici ricade in un’area ad alta protezione. Il GDPR considera questi dati una categoria particolare quando sono trattati per identificare in modo univoco una persona. Questo non significa divieto assoluto in ogni caso, ma significa soglia di legittimità molto più alta, soprattutto quando il trattamento è massivo o non strettamente necessario.
Nel contesto italiano il Garante per la protezione dei dati personali ha assunto nel tempo una linea cauta e restrittiva. La logica di fondo è chiara: non basta invocare sicurezza o efficienza per giustificare strumenti che incidono in modo così diretto su libertà individuali, anonimato nello spazio pubblico e presunzione di non essere sottoposti a identificazione continua.
A questo si aggiunge il quadro europeo sull’intelligenza artificiale. L’AI Act affronta in modo specifico alcuni usi dell’identificazione biometrica remota, soprattutto in tempo reale e negli spazi accessibili al pubblico. Qui il criterio non è solo privacy, ma anche rischio sistemico. In sostanza, più il sistema opera su larga scala, in tempo reale e senza intervento significativo dell’interessato, più cresce la probabilità di limitazioni severe o di veri e propri divieti, salvo eccezioni molto circoscritte.
Dove si concentrano i problemi operativi
Molte discussioni si fermano al livello astratto dei diritti. È corretto, ma non basta. Nei progetti reali i problemi emergono in fase di implementazione.
Il primo nodo è la qualità del dato. Telecamere con angoli imperfetti, illuminazione variabile, visi parzialmente coperti, folla, movimento e condizioni meteo riducono l’affidabilità del matching. Un sistema che in laboratorio mostra buone performance può degradare rapidamente quando viene esposto a un ambiente urbano reale.
Il secondo nodo è il dataset di confronto. Bisogna chiedersi da dove provengano i template biometrici, se siano aggiornati, se siano stati raccolti legittimamente e con quale finalità originaria. Un archivio costruito per il controllo accessi interno non può essere riutilizzato automaticamente per il monitoraggio in spazi pubblici.
Il terzo nodo è la governance. Chi decide le soglie di corrispondenza? Chi valida un alert? Chi risponde in caso di errore? In assenza di processi verificabili, il rischio non è solo legale ma amministrativo. Un sistema di identificazione senza catena decisionale chiara produce opacità, e l’opacità in questi casi è già un problema.
L’argomento sicurezza non chiude la discussione
Il ricorso al riconoscimento facciale viene spesso giustificato con esigenze di prevenzione. È un argomento serio, ma non autosufficiente. La sicurezza è una finalità legittima solo se la misura adottata è necessaria, proporzionata e idonea rispetto allo scopo. Se esistono strumenti meno invasivi con efficacia comparabile, la scelta del riconoscimento facciale diventa difficile da sostenere.
C’è anche un punto metodologico. Molti sistemi vengono presentati come soluzioni di supporto, non come meccanismi decisionali autonomi. Nella pratica, però, l’output tecnologico tende a influenzare fortemente l’operatore umano. Questo effetto di automazione parziale può far sembrare neutrale una segnalazione che invece dipende da parametri, soglie e dati di addestramento non immediatamente visibili.
Per questo la domanda corretta non è se la macchina “decida” da sola. La domanda è quanto il processo umano sia davvero indipendente dal suggerimento generato dal sistema.
Casi d’uso: quando il confine si fa sottile
Non tutti gli impieghi hanno lo stesso profilo di rischio. Un varco chiuso con accesso volontario e base giuridica chiara è diverso da una rete di telecamere distribuite in una stazione. Anche all’interno dei luoghi pubblici esistono gradazioni.
Un aeroporto, per esempio, combina esigenze elevate di sicurezza, infrastrutture controllate e percorsi più tracciabili. Una piazza urbana, invece, è uno spazio aperto per definizione, attraversato da residenti, turisti, minori e soggetti del tutto estranei a qualsiasi procedura di identificazione. Trattare questi due ambienti come se fossero equivalenti porta a errori di valutazione.
Lo stesso vale per la distinzione tra analisi post-evento e identificazione in tempo reale. Nel primo caso il trattamento può comunque essere critico, ma il livello di intrusività e il tipo di impatto non coincidono con quelli di una scansione continua su persone in movimento.
Cosa dovrebbe verificare chi valuta un progetto
Se un ente, un operatore o un consulente deve esaminare una proposta che coinvolge riconoscimento facciale nei luoghi pubblici, la verifica iniziale dovrebbe essere molto concreta. Servono almeno cinque domande: qual è la finalità precisa, qual è la base normativa, perché non bastano misure meno invasive, quali dati vengono trattati e per quanto tempo, quali garanzie esistono per audit, contestazione ed error correction.
Se una sola di queste risposte resta vaga, il progetto è già fragile. Non perché la tecnologia sia sempre da escludere, ma perché in questo ambito la vaghezza operativa coincide quasi sempre con rischio elevato.
Va considerata anche la dimensione reputazionale. Un sistema formalmente installabile ma comunicato male, compreso male o controllato male può generare contestazioni pubbliche, richieste di accesso, ispezioni e blocchi. La conformità, qui, non è un allegato finale: è parte del disegno iniziale.
Una questione di architettura del potere
Il tema non riguarda solo il volto. Riguarda il modello di spazio pubblico che si accetta come normale. Un ambiente in cui ogni passaggio può essere associato a un’identità verificabile cambia il rapporto tra cittadino, infrastruttura e autorità. Anche quando il sistema viene presentato come limitato, la sua semplice disponibilità amplia le capacità di controllo.
Per questo il dibattito serio sul riconoscimento facciale non dovrebbe oscillare tra entusiasmo tecnologico e rifiuto istintivo. Dovrebbe restare ancorato a domande verificabili: necessità reale, limiti tecnici, basi giuridiche, supervisione indipendente, possibilità di rimedio. Se queste condizioni non sono solide, il problema non è che la tecnologia sia imperfetta. Il problema è che viene introdotta in uno spazio dove l’errore e l’eccesso hanno un costo pubblico molto alto.
La soglia giusta, quindi, non è chiedersi quanto il sistema riesca a vedere. È chiedersi quanto una società democratica sia disposta a farsi vedere, riconoscere e classificare senza perdere pezzi essenziali della propria libertà di movimento.