Negli anni scorsi diversi comuni italiani hanno sperimentato progetti di “cittadinanza a punti” che ricordavano da vicino il tanto criticato modello di controllo sociale cinese: wallet del cittadino virtuoso, patenti digitali, carte a punteggio. Oggi quel dibattito ha una cornice normativa nuova: dal 2 febbraio 2025 il social scoring è una pratica di IA vietata dall’articolo 5 dell’AI Act. Cosa resta di quei progetti, e cosa devono sapere gli enti locali?
Sono diversi i comuni italiani che, negli anni scorsi, si sono lasciati invogliare dall’idea di misurare l’affidabilità dei cittadini nei rapporti con le pubbliche amministrazioni, al fine di sollecitarli ad adottare scelte virtuose. Progetti futuristici che ricordavano molto da vicino il criticato modello di controllo sociale cinese. Riteniamo questa sia la sede opportuna per riprendere quel filo, tenuto conto del fatto che il quadro giuridico è nel frattempo profondamente mutato.
La stagione della “cittadinanza a punti”
Giova ripercorrere i casi più significativi di quella stagione.
Nel Comune di Bologna si registravano due progetti singolari. Il primo, il progetto Pollicino, patrocinato dalla Commissione europea, in collaborazione con SRM – Reti e Mobilità Srl e Tper – Trasporto Passeggeri Emilia-Romagna: «briciole digitali lasciate cadere dai cittadini come traccia dei loro spostamenti in città, come nella favola di Pollicino», queste le parole utilizzate per descrivere l’iniziativa, promossa dall’Osservatorio nazionale sulla sharing mobility. Il secondo, lo Smart Citizen Wallet, introduceva la patente digitale per i cittadini virtuosi che utilizzano i servizi amministrativi in tema di energia, circolazione stradale e raccolta differenziata dei rifiuti.
A Roma, invece, veniva presentato il progetto Citizen Wallet, un portafoglio ricco di premi per i cittadini che raggiungono determinati livelli positivi di comportamento.
Nel mondo dei wallet e delle fidelity card non mancava il circuito ideato dal Comune di Fidenza: qui la gestione e l’assegnazione degli alloggi di Edilizia Residenziale Pubblica – ERP rientravano nel progetto Carta dell’assegnatario, con i comportamenti dei nuclei familiari valutati secondo un punteggio, dal quale potevano derivare premi o sanzioni, ivi comprese la risoluzione e la decadenza del contratto di locazione.
A Bergamo, tecniche di nudging per sollecitare i cittadini a muoversi di più e ad essere più green oriented: «GAMIFICATION PIN BIKE: PIÙ PEDALI, PIÙ VIENI PREMIATO», questo l’opt-in del progetto Pin Bike, programma sperimentale nazionale di mobilità sostenibile casa-scuola e casa-lavoro. Da ultimo, il Comune di Ivrea, con lo Smart Ivrea Project presentato nel 2020 dalla stessa Agenzia per l’Italia Digitale – AGID quale landscape community nazionale per la gestione delle comunità intelligenti.
Il primo altolà: le istruttorie del Garante
Già nel 2022 l’Autorità Garante per la protezione dei dati personali aveva giudicato preoccupanti i meccanismi di social scoring che premiano i cittadini “virtuosi«, avviando tre istruttorie nei confronti dei comuni di Bologna e di Fidenza. Nel relativo comunicato, l’Autorità osservava che »gli interventi dell’Autorità si sono resi necessari a causa dei rischi connessi a meccanismi di profilazione che comportino una sorta di ‘cittadinanza a punti’ e dai quali possano derivare conseguenze giuridiche negative sui diritti e le libertà degli interessati, inclusi i soggetti più vulnerabili”, richiamando «tutti gli enti locali a valutare con la massima attenzione eventuali future adozioni di progetti di ‘social scoring’ o sue derivazioni» e ribadendo «la necessità che queste iniziative siano sempre e comunque anticipate da puntuali valutazioni di impatto».
All’epoca, l’Autorità invitava ad attendere la finalizzazione dell’AI Act. Quell’attesa è finita.
Il punto di svolta: l’articolo 5 dell’AI Act
Il Regolamento (UE) 2024/1689, c.d. AI Act, ha inserito il social scoring nel novero delle pratiche di IA vietate. L’articolo 5, paragrafo 1, lettera c), dispone infatti che sono vietati «l’immissione sul mercato, la messa in servizio o l’uso di sistemi di IA per la valutazione o la classificazione delle persone fisiche o di gruppi di persone per un determinato periodo di tempo sulla base del loro comportamento sociale o di caratteristiche personali o della personalità note, inferite o previste, in cui il punteggio sociale così ottenuto comporti il verificarsi di uno o di entrambi gli scenari seguenti: i) un trattamento pregiudizievole o sfavorevole di determinate persone fisiche o di gruppi di persone in contesti sociali che non sono collegati ai contesti in cui i dati sono stati originariamente generati o raccolti; ii) un trattamento pregiudizievole o sfavorevole di determinate persone fisiche o di gruppi di persone che sia ingiustificato o sproporzionato rispetto al loro comportamento sociale o alla sua gravità».
E, per ciò che attiene alla decorrenza, l’articolo 113 non lascia margini: il Regolamento «si applica a decorrere dal 2 agosto 2026. Tuttavia: a) I capi I e II si applicano a decorrere dal 2 febbraio 2025». Il capo II è, per l’appunto, quello delle pratiche vietate: il divieto di social scoring è dunque già pienamente applicabile dal 2 febbraio 2025, e non è stato toccato dai differimenti introdotti dal c.d. Digital Omnibus, che hanno riguardato gli obblighi per i sistemi ad alto rischio, non i divieti.
La precisazione ha rilievo diretto per gli enti locali: il discrimine tracciato dalla norma non colpisce ogni meccanismo premiale, ma quei sistemi il cui punteggio produca trattamenti pregiudizievoli in contesti scollegati da quello di raccolta dei dati, ovvero sproporzionati rispetto al comportamento. Come può facilmente comprendersi, è esattamente il terreno su cui si muovevano le esperienze più problematiche della stagione della cittadinanza a punti: si pensi a un punteggio comportamentale da cui discenda la decadenza da un alloggio ERP, ove sganciato dal contesto originario di raccolta o sproporzionato.
Conclusioni
La parabola della “cittadinanza a punti” italiana è, a ben vedere, un caso di scuola: progetti nati sotto l’insegna dell’innovazione e della gamification si sono trovati, nel volgere di un triennio, dapprima sotto la lente del Garante e, oggi, innanzi a un divieto europeo direttamente applicabile e assistito dalle sanzioni più severe dell’intero impianto dell’AI Act. Per i comuni, la lezione è duplice: ogni meccanismo premiale fondato su sistemi di IA va vagliato, prima, alla luce dell’articolo 5 e, in ogni caso, preceduto da puntuali valutazioni di impatto sulla protezione dei dati.
Alla luce di quanto esposto, ci si domanda se la stagione dei cittadini “meritevoli” possa dirsi davvero archiviata, o se essa non rischi di riproporsi sotto vesti nuove e più sofisticate; agli enti locali il compito di distinguere l’incentivo lecito dal punteggio sociale vietato, senza far discendere da un comportamento conseguenze pregiudizievoli sganciate dal contesto di raccolta o sproporzionate rispetto ad esso.
