Checklist sulle pratiche di IA vietate per founder e responsabili compliance

Le pratiche di IA vietate sono usi dell'IA da bloccare, ridisegnare o escalare prima della produzione. Per un team SaaS la domanda utile non e solo se si applica l'articolo 5 dell'AI Act. La domanda utile e se l'azienda sa individuare presto un uso inaccettabile e documentare la decisione prima di lancio, rollout fornitore o review cliente.

Usa questa checklist quando costruisci funzionalita IA, integri IA di terze parti, acquisti strumenti interni, servi clienti regolamentati o cambi il modo in cui un output IA incide sulle persone.

1. Conferma il caso d'uso

Registra sistema, prodotto, workflow, owner, fornitore, modello o servizio, finalita, utenti, persone interessate, dati, geografia e se l'output influenza una decisione. Chiedi se l'azienda costruisce, compra, integra, configura o usa il sistema; se e interno o customer-facing; se valuta, classifica, influenza o tratta dati biometrici; e se puo interessare utenti, lavoratori, candidati, studenti o clienti UE.

Se e chiaramente fuori ambito, conserva la motivazione. Se e incerto, continua.

2. Verifica manipolazione o inganno

L'articolo 5 riguarda certi sistemi che usano tecniche subliminali, manipolative o ingannevoli che distorcono materialmente il comportamento, compromettono decisioni informate e causano o possono causare danni significativi.

Controlla journey, personalizzazione, raccomandazioni e nudges. Il sistema nasconde informazioni rilevanti? Adatta pressione su una persona? Spinge verso decisioni dannose? L'uso dell'IA e comprensibile?

Conserva screenshot, logica di personalizzazione, gruppi interessati, analisi del danno e decisione di redesign. Se emergono pressione nascosta o influenza ingannevole, ferma il lancio finche non e rivisto.

3. Escludi sfruttamento di vulnerabilita

L'AI Act tratta anche lo sfruttamento di vulnerabilita legate a eta, disabilita o situazione sociale o economica specifica quando il comportamento viene distorto e puo derivarne danno significativo.

Valuta se la funzione targetizza, profila o mette pressione su persone vulnerabili: minori, pazienti, studenti, lavoratori, consumatori in difficolta, persone con disabilita o utenti di servizi essenziali. Serve revisione dedicata quando il sistema personalizza persuasione, priorita, idoneita, prezzo, supporto o enforcement.

4. Escludi social scoring

Il rischio di social scoring nasce quando un sistema valuta persone nel tempo sulla base di comportamento sociale o caratteristiche personali e produce trattamento sfavorevole in contesti non collegati o sproporzionato.

Anche SaaS B2B puo toccare questi schemi in trust, fraud, safety, HR, education, community o marketplace. Documenta uso del punteggio, persone fisiche coinvolte, relazione con il contesto originario dei dati e proporzionalita dell'effetto.

5. Escala biometria, emozioni e rischio penale

Escala se il sistema valuta rischio di reato solo da profiling o tratti di personalita, crea database di riconoscimento facciale con scraping non mirato, inferisce emozioni in lavoro o istruzione salvo motivi medici o di sicurezza, usa biometria per tratti sensibili o supporta identificazione biometrica remota in tempo reale in spazi pubblici per finalita di law enforcement.

Guarda la funzione reale, non l'etichetta del fornitore come engagement, insight, safety o identity.

6. Nomina owner e reviewer

L'owner fornisce i fatti. Il reviewer decide se continuare, ridisegnare o bloccare. Il record deve includere nome sistema, finalita, persone interessate, fornitore, domande risposte, conclusione, razionale, modifiche richieste, approvatore e trigger di nuova revisione.

7. Collega ai gate

Inserisci la checklist in product intake, security review, privacy review, onboarding fornitori, approvazione strumenti interni e documentazione IA per clienti. Nessun uso IA dovrebbe partire senza screen completo o conferma che non serve.

8. Definisci re-review

Riapri la decisione se cambiano finalita, mercato, utenti, fornitore, dati, automazione, configurazione cliente o nuove linee guida UE.

FAQ

Qual e lo scopo pratico?

Bloccare usi IA inaccettabili prima che entrino in prodotto, fornitore, workflow interno o impegno con clienti.

Quando conta per SaaS?

Quando il team costruisce, compra, integra, vende, configura o usa IA che puo manipolare persone, sfruttare vulnerabilita, assegnare punteggi tra contesti, trattare biometria o inferire emozioni.

Cosa documentare prima?

Intake, owner, reviewer, template di conclusione e gate di lancio, collegati a vendor review, privacy, security e customer trust.

Fonti

• Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence.
• European Commission guidelines on prohibited artificial intelligence practices established by Regulation (EU) 2024/1689.