Riconoscimento biometrico in Italia: la proroga al 2027 e il vuoto normativo che nessuno vuole colmare

Il 25 febbraio 2026 il Senato ha approvato il Milleproroghe che sposta al 2027 il divieto di riconoscimento facciale nei luoghi pubblici. Una buona notizia. Ma è la quinta volta in cinque anni che si proroga qualcosa che avrebbe dovuto diventare una legge vera. E questa differenza non è una questione tecnica: è il cuore del problema.

Immaginate di essere riconosciuti, tracciati e schedati ogni volta che attraversate un corridoio del supermercato o passate davanti a un cinema. Non da un agente di sicurezza che vi guarda in faccia, ma da un algoritmo che confronta il vostro volto con un database in meno di un secondo, silenziosamente, mentre guardate le offerte del reparto pasta. Questo è esattamente lo scenario che la normativa italiana cerca di tenere a distanza. Almeno per ora.

Con la legge 27 febbraio 2026, n. 26, il Parlamento ha convertito il decreto Milleproroghe 2026 estendendo fino al 31 dicembre 2027 la sospensione dell'installazione e dell'utilizzo di sistemi di riconoscimento facciale in luoghi pubblici o aperti al pubblico. La norma si applica sia alle autorità pubbliche sia ai soggetti privati. Un supermercato, un cinema, un centro commerciale, una stazione: nessuno di questi può legalmente dotarsi di telecamere biometriche in grado di identificare le persone in transito.

Cosa dice esattamente la norma

Vale la pena essere precisi, perché la distinzione tra cosa è vietato e cosa non lo è non è sempre chiara nel dibattito pubblico. Il divieto riguarda i sistemi di riconoscimento facciale che operano attraverso l'analisi di dati biometrici per identificare univocamente una persona. Non riguarda la videosorveglianza tradizionale: registrare immagini per consultarle dopo un reato è tutt'altra cosa rispetto all'identificazione automatizzata e in tempo reale delle persone presenti in uno spazio pubblico.

La norma prevede però una deroga esplicita: polizia, carabinieri e guardia di finanza possono ricorrere a questi sistemi per finalità di prevenzione e repressione dei reati, a condizione che intervenga il parere favorevole del Garante per la protezione dei dati personali. Questa distinzione è importante. E, come vedremo, è anche il punto più fragile dell'intera architettura.

Un dato biometrico non è una password

Prima di affrontare il nodo delle forze dell'ordine, conviene fermarsi un momento su cosa sia davvero un dato biometrico. Lo spieghiamo spesso male, e l'incomprensione alimenta una sottovalutazione del rischio.

Una password si può cambiare. Un numero di telefono si può cambiare. Anche un documento d'identità, in caso di furto, si può bloccare e sostituire. Il vostro volto no. La distanza tra gli occhi, la forma dello zigomo, il profilo del mento sono caratteristiche fisiche stabili per tutta la vita, praticamente impossibili da modificare. Quando questi dati vengono acquisiti e inclusi in un database, quella perdita è irreversibile. Non esiste, nel mondo fisico o digitale, un'operazione equivalente al cambio di password che vi restituisca l'anonimato biometrico.

Il diritto europeo lo riconosce esplicitamente. Il GDPR classifica i dati biometrici come categoria speciale di dati personali, assieme ai dati sanitari, genetici e alle informazioni sull'orientamento sessuale o le opinioni politiche. Non perché siano semplicemente "più privati" degli altri, ma perché il danno che deriva dalla loro compromissione è strutturalmente diverso: è permanente, non rimediabile, e crea una vulnerabilità che persiste nel tempo indipendentemente da qualsiasi misura di sicurezza adottata successivamente.

Il vostro volto non è un documento che si può bloccare. È l'unico tratto che non potrete mai cambiare, e la legge deve tenerlo in conto come tale.

La zona grigia: le forze dell'ordine e il parere del Garante

Questa è la parte della norma su cui mi soffermo di più, perché è quella che mi convince meno. Il meccanismo appare ragionevole in astratto: le forze di polizia possono usare il riconoscimento biometrico, ma devono prima ottenere il parere del Garante. Una forma di controllo esterno, un filtro istituzionale che evita abusi. Peccato che nella pratica questo schema presenti alcune criticità strutturali che è onesto segnalare.

Il Garante per la protezione dei dati personali è un'autorità amministrativa indipendente, non un organo giudiziario. Le sue decisioni sono importanti e vincolanti, ma il controllo che esercita non è lo stesso di quello di un giudice che autorizza una misura investigativa. Non c'è un contraddittorio, non c'è un fascicolo di indagine con un imputato specifico, non c'è la stessa struttura di garanzie che circonda, per esempio, una richiesta di intercettazione telefonica. La domanda che ogni persona dovrebbe porsi è semplice: se vogliamo autorizzare una tecnologia potenzialmente in grado di sorvegliare migliaia di persone simultaneamente, un parere amministrativo è una garanzia sufficiente?

C'è anche un problema di perimetro. La norma dice "prevenzione e repressione dei reati". Ma quali reati? Tutti? Solo quelli gravi? La norma non stabilisce una soglia. In assenza di una legge organica che definisca le condizioni, i limiti temporali dell'utilizzo, le modalità di conservazione dei dati e il diritto di accesso per chi è stato identificato, il parere del Garante rischia di operare nel vuoto: approva o nega singole richieste senza un quadro normativo di riferimento che le inquadri sistematicamente.

Il Garante stesso, nelle sue linee guida e nei suoi provvedimenti più recenti, ha dimostrato una postura molto attenta su questi temi. Ha bloccato sistemi di riconoscimento facciale negli aeroporti, ha sanzionato università che lo usavano per verificare la presenza degli studenti, ha chiarito ripetutamente che il biometrico richiede una base giuridica esplicita e proporzionata. È una buona notizia. Ma non può essere il Garante a supplire da solo a un vuoto legislativo che spetta al Parlamento colmare.

La proroga è un cerotto, non una tutela

Arrivo al punto che considero centrale. L'Italia ha introdotto la prima moratoria sul riconoscimento facciale in luoghi pubblici nel 2021, diventando il primo paese dell'Unione europea a farlo. Era una scelta coraggiosa, riconoscibile, che collocava l'Italia in una posizione avanzata nel panorama europeo della tutela dei diritti digitali. Quella moratoria era però pensata come misura temporanea, nell'attesa che il Parlamento elaborasse una disciplina organica sulla materia.

Sono passati cinque anni. La legge organica non esiste ancora. Ogni anno, o ogni due anni, arriva il Milleproroghe a rinnovare il divieto come si rinnova un abbonamento in scadenza, senza che nessuno si preoccupi di trasformarlo in qualcosa di strutturale. Il meccanismo è noto a chi, come me, segue la legislazione digitale italiana: si usano le proroghe per gestire l'urgenza e si rimanda il problema strutturale a data da destinarsi. È la stessa dinamica che si osserva, per ragioni diverse, in molti altri ambiti del diritto tecnologico nazionale.

Il rischio concreto di questo approccio è che quando una proroga non viene rinnovata, per ragioni politiche, di calendario parlamentare o semplicemente per distrazione, si ricade nel Far West normativo da un giorno all'altro. Senza una legge che stabilisca in modo permanente cosa si può e non si può fare, quali garanzie devono accompagnare ogni utilizzo, quali diritti hanno i cittadini nei confronti di chi li ha identificati, la tutela resta precaria per definizione.

Il contesto europeo: l'AI Act non basta ancora

Si potrebbe obiettare che il problema verrà risolto dall'AI Act europeo, il regolamento sull'intelligenza artificiale entrato in vigore nell'agosto 2024. In parte è vero: l'AI Act classifica i sistemi di identificazione biometrica in tempo reale in luoghi pubblici come sistemi ad alto rischio, con vincoli molto stringenti su chi può usarli e in quali condizioni. Ma ci sono due complicazioni da tenere a mente.

La prima è che le norme sui sistemi ad alto rischio non sono ancora pienamente operative. Il Parlamento europeo, proprio in questi giorni di marzo 2026, sta discutendo un ulteriore rinvio delle scadenze per questi sistemi, con alcune voci che propongono di posticipare l'entrata in vigore piena fino al dicembre 2027. Il motivo dichiarato è che gli standard tecnici necessari per la compliance non sono ancora pronti. È una ragione comprensibile, ma allontana ulteriormente una disciplina sistemica.

La seconda complicazione riguarda l'applicazione pratica. Un regolamento europeo definisce i principi e i divieti generali, ma la sua applicazione concreta richiede che ogni stato membro si doti di strutture di enforcement, autorità nazionali competenti e, soprattutto, di norme di recepimento che riempiano i margini di discrezionalità lasciati dal testo europeo. Senza una legge nazionale di riferimento, anche l'AI Act rischia di restare un insieme di principi nobili difficili da tradurre in tutele reali per il cittadino italiano.

La proroga approvata dal Milleproroghe 2026 è dunque una buona notizia, ma è una buona notizia di tipo difensivo: evita un peggioramento, non costruisce qualcosa di stabile. La vera partita si gioca altrove, e per ora nessuno sembra avere fretta di giocarla. Nel frattempo, il vostro volto resta, almeno sulla carta, al sicuro fino al 31 dicembre 2027.