Immagina di candidarti a un lavoro ben retribuito, di avere il profilo adatto, e di essere scartato in pochi secondi da un sistema automatizzato. Nessun essere umano ha letto il tuo curriculum. Un algoritmo ha calcolato un punteggio e ha deciso. E lo ha fatto basandosi su dati storici che riflettevano decenni di discriminazioni pregresse: più uomini assunti in quel settore, più giovani preferiti, più persone di certa provenienza geografica selezionate. Il pregiudizio umano si è cristallizzato nel codice, e il codice lo ha riprodotto su scala industriale.
Questo è il cuore del bias algoritmico: un fenomeno giuridicamente rilevante, spesso ignorato da chi lo subisce, e oggi al centro di un'evoluzione normativa e giurisprudenziale che l'ordinamento italiano non può più rinviare.
Il bias algoritmico si verifica quando un algoritmo produce risultati sistematicamente distorti a causa dei pregiudizi presenti nei dati di addestramento o nelle scelte di progettazione, derivanti dalla selezione dei dati, dalle modalità di raccolta e dalle ipotesi implicite fatte durante lo sviluppo del modello. La distorsione non è casuale: un algoritmo di selezione del personale addestrato su dati storici che riflettono una predominanza di assunzioni di uomini bianchi potrebbe discriminare candidati di altre etnie o generi, perpetuando le disuguaglianze esistenti e creando nuove forme di discriminazione.
Il problema non è teorico. Il caso Amazon del 2018 — un algoritmo di recruiting che aveva «imparato» a preferire candidati maschi perché addestrato su dataset storici dove le donne erano sottorappresentate — non è un aneddoto: è l'archetipo di un rischio che ogni organizzazione che utilizza AI nel processo di selezione deve saper riconoscere, valutare e mitigare. E la discriminazione può emergere anche in forme meno evidenti, attraverso correlazioni statistiche che sfuggono all'osservazione diretta.
Il quadro normativo: GDPR, AI Act e Legge 132/2025
Il diritto italiano e il diritto europeo offrono oggi una rete di tutele articolata, ma non ancora pienamente coordinata, che il cittadino deve conoscere per poterla usare.
Il punto di partenza è l'art. 22 del GDPR: il GDPR ha introdotto specifiche tutele contro le decisioni interamente automatizzate. L'art. 22 stabilisce che l'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
La norma è fondamentale perché sposta il confronto dal piano dell'intenzione al piano dell'effetto: la circostanza che la decisione discriminatoria sia stata assunta da un algoritmo anziché da un essere umano non costituisce elemento idoneo a escludere la responsabilità del soggetto che ha scelto di utilizzare tale sistema. Anche la giurisprudenza ha chiarito che integra discriminazione il comportamento apparentemente neutro con effetti pregiudizievoli nei confronti di determinate categorie di persone.
Sul piano del diritto antidiscriminatorio specifico, il D.Lgs. n. 215/2013, emanato in attuazione della direttiva 2000/43/CE, vieta qualsiasi discriminazione diretta o indiretta fondata sulla razza o l'origine etnica, mentre il D.Lgs. n. 198/2006 — il Codice delle pari opportunità — vieta le discriminazioni fondate sul sesso. Dette discipline trovano applicazione anche quando la discriminazione è generata da sistemi automatizzati.
A questa base si sovrappone ora il Regolamento UE 2024/1689 (AI Act), il cui art. 13 impone requisiti di trasparenza per i sistemi ad alto rischio: l'art. 13 dell'AI Act dispone che rispetto al sistema di IA ad alto rischio venga garantita una trasparenza «adeguata», ma ci si domanda quale rilevanza possa avere l'omissione di tale informazione sull'esercizio di difesa dell'interessato che, nella procedura di decisione automatizzata — il cui meccanismo è a lui sconosciuto — potrebbe essere stato esposto a una discriminazione algoritmica. Il nodo è strutturale: anche la trasparenza «adeguata» non è trasparenza piena, e chi subisce un bias spesso non dispone degli strumenti tecnici per smascherarlo.
La risposta italiana è arrivata con la Legge 23 settembre 2025, n. 132. La legge sull'intelligenza artificiale segna un momento di convergenza tra protezione dei dati personali e regolamentazione dell'AI, e il rapporto tra il GDPR e la nuova normativa italiana non è solo di coesistenza, ma di vera e propria integrazione funzionale. In particolare, l'art. 13 della Legge 132/2025 introduce il «Principio di Riserva di Umanità», imponendo che l'uso di inferenze algoritmiche per prendere decisioni incidenti sui diritti della persona sia soggetto a garanzie specifiche. Parallelamente, la valutazione d'impatto sulla protezione dei dati (DPIA) deve essere estesa per includere i rischi specifici dell'intelligenza artificiale, come la discriminazione algoritmica e l'erosione dell'autonomia decisionale umana.
Sul fronte lavorativo, il Decreto Ministeriale n. 180 del 17 dicembre 2025 del Ministero del Lavoro e delle Politiche Sociali stabilisce le linee guida per l'adozione responsabile dell'AI nel contesto lavorativo, con obblighi informativi specifici per i datori di lavoro: i parametri e le metriche utilizzati per la valutazione o la profilazione, i possibili effetti delle decisioni automatizzate sul rapporto di lavoro, il livello di accuratezza e robustezza del sistema e i potenziali rischi di bias o discriminazioni devono essere comunicati, per assicurare trasparenza e consapevolezza nell'uso delle tecnologie.
La giurisprudenza conferma la direzione. Con Cass. civ., Sez. I, ord. 6 marzo 2025, n. 6067, la Suprema Corte ha accolto il ricorso del Garante Privacy contro un'azienda sanitaria regionale che aveva implementato un sistema algoritmico di stratificazione e classificazione dei pazienti in base al rischio di complicanze: la profilazione dell'utente effettuata dal servizio sanitario, determinando un trattamento automatizzato di dati personali volto ad analizzare e prevedere l'evoluzione della situazione sanitaria del singolo assistito, può essere effettuata solo in presenza di un idoneo presupposto normativo, nel rispetto di requisiti specifici e garanzie adeguate per i diritti e le libertà degli interessati. Il caso è emblematico: la profilazione algoritmica in ambito sanitario, anche se formalmente finalizzata alla tutela del paziente, può diventare essa stessa uno strumento di classificazione discriminatoria se non è presidia da adeguate garanzie giuridiche.
Con Cass. civ., Sez. I, ord. 14 aprile 2026, n. 9374, la Corte è tornata sul trattamento automatizzato in ambito lavorativo, affrontando il tema dei sistemi di geolocalizzazione e di raccolta dati tramite reti di comunicazione elettronica. La Corte ha chiarito che è la possibilità che la localizzazione dell'automezzo mediante una rete di comunicazione elettronica consenta al datore di lavoro di risalire all'identità del lavoratore anche indirettamente ciò che risulta dirimente e impone l'assolvimento dell'obbligo di notificazione, mentre la circostanza che ciò avvenga mediante l'utilizzo di codici in maniera automatizzata ne costituisce modalità esecutiva che non esclude la sussistenza di altre modalità che rendano ugualmente possibile l'identificazione. La pronuncia consolida un principio di portata generale: il trattamento automatizzato non può essere usato come schermo per eludere gli obblighi di trasparenza e notifica, a prescindere dalla tecnicità dello strumento.
Con Cass. civ., Sez. I, ord. 18 marzo 2026, n. 6433, la Corte ha affrontato il tema della deindicizzazione tardiva e della persistenza digitale di dati personali, chiarendo che il decorso del tempo non sana un trattamento originariamente illecito e che il titolare del trattamento rimane responsabile degli effetti prodotti da sistemi automatizzati anche quando l'elaborazione è mediata da algoritmi di terzi. Il principio ha diretta ricaduta sulla profilazione: chi mette in campo un sistema automatizzato non può invocare l'opacità tecnica del meccanismo per sottrarsi alle proprie responsabilità.
La macchina algoritmica, estranea a qualsiasi valutazione di tipo etico, procede in via automatica a rielaborare le informazioni razionalizzando tutto ciò che è reale e, altresì, perpetrando i bias radicati nella società. È questa la trappola più insidiosa del bias algoritmico: si presenta come calcolo neutro e oggettivo, mentre in realtà amplifica e legittima, con la patina dell'efficienza tecnica, disuguaglianze che l'ordinamento giuridico vieta espressamente.
«La giustizia è la prima virtù delle istituzioni sociali, come la verità lo è dei sistemi di pensiero» — scriveva John Rawls in A Theory of Justice. Un'istituzione — pubblica o privata — che affida le proprie decisioni a un algoritmo opaco e non equo non si sottrae al giudizio di giustizia: lo subisce, amplificato dalla scala e dalla velocità del calcolo automatico.
Cosa fare se si è vittime di bias algoritmico: la tutela concreta
Sul piano pratico, il soggetto che ritiene di aver subito una decisione automatizzata discriminatoria dispone di strumenti progressivi.
Il primo è l'esercizio del diritto di accesso e opposizione: il GDPR garantisce all'interessato il diritto di ottenere informazioni sulla logica sottostante qualsiasi trattamento automatizzato che lo riguardi (artt. 13, 14, 15 GDPR), nonché il diritto di opporsi e richiedere l'intervento umano sulla decisione (art. 22, par. 3). L'obbligo di spiegabilità non si esaurisce nella generazione di documentazione tecnica per gli esperti: le informazioni devono essere rese «con linguaggio chiaro e semplice, in modo da garantire all'utente la conoscibilità dei relativi rischi e il diritto di opporsi ai trattamenti autorizzati dei propri dati personali» (art. 4, comma 3, Legge 132/2025).
Il secondo strumento è il reclamo al Garante per la protezione dei dati personali, che può accertare la violazione e irrogare sanzioni significative. Il terzo è il ricorso giudiziale, esperibile anche in via d'urgenza quando la decisione automatizzata produce effetti immediati e gravi sulla persona, come nel caso di esclusioni da procedure di selezione, dinieghi di credito o classificazioni sanitarie.
Sul piano probatorio — e qui sta il punto critico che gli altri commentatori raramente affrontano — il problema principale è dimostrare il nesso causale tra il bias del sistema e il pregiudizio subito. Generalmente nemmeno il giudice ha le competenze per comprendere se la profilazione di un sistema di intelligenza artificiale possa nascondere nella incomprensibilità del suo funzionamento eventuali limiti o errori di impostazione. Questo genera un corto circuito: l'algoritmo è una black box, e la vittima del bias si trova a dover provare qualcosa che non può vedere. La via giuridica percorribile è quella della discriminazione indiretta: non occorre provare l'intenzione discriminatoria, ma solo che il sistema ha prodotto effetti sistematicamente pregiudizievoli su una categoria protetta. Il summum ius summa iniuria ciceroniano risuona qui con forza: applicare rigidamente il tradizionale onere della prova a chi fronteggia una decisione opaca e automatizzata rischia di svuotare di contenuto la tutela antidiscriminatoria stessa.
Un rischio sottovalutato che merita attenzione specifica è quello dei cosiddetti feedback loop: gli algoritmi di machine learning si ri-addestrano sui propri output, per cui se il sistema esclude sistematicamente certi profili, quei profili saranno sempre meno rappresentati nel dataset futuro, rendendo la discriminazione sempre più strutturale e sempre meno reversibile. Gli algoritmi di intelligenza artificiale possono incorporare pregiudizi presenti nei dati di addestramento, generando trattamenti discriminatori. È quindi necessario valutare le prestazioni dei sistemi su diversi gruppi demografici, applicare metriche di fairness e prevedere un monitoraggio continuo per individuare eventuali derive.
Il quadro normativo europeo è ulteriormente complicato dal pacchetto Digital Omnibus, proposto dalla Commissione europea e in fase di negoziazione tra Parlamento europeo e Consiglio UE, che prevede possibili modifiche al calendario applicativo dell'AI Act, in particolare per i sistemi ad alto rischio. Questo significa che le tutele più incisive dell'AI Act — quelle sui sistemi di selezione del personale, di scoring creditizio, di profilazione sanitaria — rischiano di arrivare più tardi del previsto. Nel frattempo, il sistema di tutele già esistente, costruito su GDPR, legislazione antidiscriminatoria e Legge 132/2025, offre strumenti concreti che è possibile e necessario azionare già oggi.
La profilazione algoritmica non è il futuro: è il presente. E quando produce discriminazione, il diritto esiste, è applicabile, e va usato.
Redazione - Staff Studio Legale MP
