AI Forensics: quando l’algoritmo diventa corpo del reato
C’è una scena che si ripete con crescente frequenza nelle aule giudiziarie, negli uffici del credito e nei comitati assicurativi di tutta Europa. Un individuo contesta una decisione che lo riguarda profondamente: un diniego di prestito, un diniego di libertà provvisoria, un rigetto di risarcimento. Si trova di fronte a una risposta che non è di nessuno. Non l’ha presa un funzionario, non l’ha firmata un dirigente. L’ha prodotta un sistema. Un modello statistico addestrato su milioni di casi precedenti, che ha elaborato variabili, pesato correlazioni e restituito un output binario. Approvato. Negato. Alto rischio. Basso rischio.
Quella risposta esiste, produce effetti concreti sulle vite reali, eppure resiste all’interrogazione. Non spiega se stessa. Non ricorda. Non motiva.
Questa è la condizione che il diritto si trova oggi ad affrontare con urgenza crescente: come si conduce una perizia forense su un’entità che non ha memoria dichiarata del proprio percorso decisionale? Come si accerta la colpa di una black box?
La black box come problema giuridico strutturale
Nella nomenclatura attuale, la locuzione black box indica il massimo livello di opacità che contraddistingue certi sistemi di intelligenza artificiale, tale da rendere imperscrutabili, anche agli occhi degli stessi programmatori e sviluppatori, il meccanismo di funzionamento e il percorso seguito nell’elaborazione degli input per arrivare ai risultati. Questa definizione, apparentemente tecnica, nasconde una crisi strutturale per il diritto: la funzione di motivazione, cardine di ogni atto che incida sulla sfera giuridica di una persona, diventa impossibile da adempiere quando il decisore è un modello di deep learning con miliardi di parametri.
I set di dati, i processi che determinano la decisione degli algoritmi, il perché di una certa decisione che incida la sfera giuridica di una persona dovrebbero essere tracciabili, trasparenti, spiegati, anche per mettere in condizione l’interessato di contestarne i contenuti. La tracciabilità, però, non è soltanto un requisito burocratico: è la condizione di possibilità stessa del diritto di difesa.
Il problema si stratifica su due piani distinti che il giurista deve imparare a distinguere. Il primo è quello dell’opacità epistemologica: certi modelli, in particolare le reti neurali profonde, producono output che nemmeno i loro creatori sanno spiegare passo per passo, non per malafede, ma per struttura intrinseca. Il secondo, più insidioso sul piano processuale, è quello dell’opacità deliberata: algoritmi proprietari protetti da segreto industriale, il cui funzionamento viene sottratto all’esame pubblico per scelta commerciale.
Come ha chiarito il Consiglio di Stato nella sentenza n. 4857 del 4 giugno 2025 in materia di appalti, questa forma di opacità algoritmica, non di natura epistemologica ma pragmatica e deliberatamente assunta, va correttamente bilanciata sul piano normativo e interpretativo, affinché il sacrificio imposto alla conoscibilità dell’agere pubblico trovi giustificazione e non venga percepito come conseguenza ineluttabile della digitalizzazione. Il bilanciamento tra segreto industriale e diritto alla difesa è diventato uno dei nodi centrali del contenzioso algoritmico.
AI forensics e Algorithmic auditing: la nuova disciplina forense
Di fronte a queste sfide, la comunità scientifica e quella giuridica hanno elaborato un corpus metodologico noto come algorithmic auditing: una pratica ibrida, sospesa tra informatica, statistica, diritto e scienze sociali, che si propone di verificare se un sistema decisionale automatizzato è legale, etico e sicuro.
La Royal Society Open Science ha formalizzato questa disciplina come la ricerca e la pratica di valutare, monitorare e garantire la sicurezza, la legalità e l’etica di un algoritmo incorporando interventi socio-tecnici appropriati per gestire e monitorare i rischi ad esso associati. Questa pratica include ricerca su equità, spiegabilità, robustezza e privacy dell’IA, oltre a temi maturi di etica dei dati, gestione e governance.
In ambito forense, l’auditing algoritmico si articola in tre modalità principali a seconda del livello di accesso ottenuto sul sistema. Il white-box audit prevede la disponibilità completa di codice sorgente e pesi del modello. Il grey-box consente la conoscenza dell’architettura e di parte dei dati di addestramento. Il black-box audit, invece, permette al perito di osservare soltanto input e output del sistema, come un oracolo senza finestre. È proprio quest’ultima modalità, la più frequente nei casi giudiziari riguardanti sistemi commerciali proprietari, a concentrare la maggiore difficoltà tecnica e processuale.
Gli strumenti più diffusi per ricavare spiegazioni post-hoc da modelli opachi sono LIME (Local Interpretable Model-agnostic Explanations) e SHAP (SHapley Additive exPlanations). Come documentato nella letteratura specializzata di Explainable AI per la digital forensics, LIME crea un modello proxy, come un albero decisionale, per comprendere e poi spiegare il modello originale, mentre SHAP perturba il modello interrogandolo con diversi input per valutare quali variabili siano più determinanti per l’output.
C’è tuttavia una distinzione fondamentale che il giurista non può permettersi di ignorare: la differenza tra un modello interpretabile e uno spiegabile. I ricercatori della PNAS hanno dimostrato che le spiegazioni post-hoc sono fuorvianti e inappropriate in contesti ad alto rischio come i casi penali.
La distinzione tra modelli interpretabili e spiegabili è cruciale: un sistema glass-box, la cui formula sia comprensibile agli esseri umani, tutela meglio i diritti costituzionali rispetto a un sistema black-box che riceve sole spiegazioni post-hoc. In termini pratici: affermare che “la variabile X ha contribuito per il 34% alla decisione” non equivale a capire perché quella variabile sia stata ritenuta rilevante, né se la sua rilevanza discenda da una correlazione statistica spuria o da un bias sistemico radicato nei dati di addestramento.
Il test controfattuale: l’audit come esperimento mentale processuale
Il gold standard dell’auditing algoritmico nel 2026 è il Counterfactual Audit: per verificare l’equità di una decisione, l’auditor crea un “gemello digitale” del caso e modifica un solo attributo protetto. Se il risultato cambia, il modello è matematicamente distorto. Questo approccio, che ha radici nella filosofia della causalità controfattuale, traduce in linguaggio matematico una domanda fondamentalmente giuridica: la decisione sarebbe stata la stessa se la persona fosse stata diversa in un solo attributo protetto, come la provenienza geografica, l’etnia o il genere?
Il caso che più di ogni altro ha strutturato il dibattito internazionale è quello del sistema COMPAS (Correctional Offender Management Profiling for Alternative Sanctions), adottato da alcune corti penali statunitensi per calcolare il rischio di recidiva dei detenuti.
L’analisi condotta da ProPublica su oltre 7.000 imputati del Broward County, Florida (dati 2013-2014), ha rilevato una disparità sistemica nelle tipologie di errore: i neri che non sarebbero tornati a delinquere venivano classificati erroneamente come “alto rischio” al tasso del 44,9%, quasi il doppio rispetto ai bianchi (23,5%), mentre i bianchi che avrebbero invece recidivato venivano classificati come “basso rischio” al tasso del 47,7%, quasi il doppio rispetto ai neri (28,0%), come confermato dalla letteratura scientifica peer-reviewed. Northpointe, il produttore del software, contestò questa lettura sottolineando che l’accuratezza complessiva era simile per entrambi i gruppi (circa il 61%), alimentando un dibattito irrisolto su cosa significhi “equità” in un algoritmo predittivo.
Il caso trovò poi risonanza giuridica nella vicenda di Eric Loomis, condannato nel Wisconsin a otto anni e mezzo di prigione con una sentenza che citava esplicitamente il suo punteggio COMPAS come elemento di rischio, senza che la difesa potesse interrogare il meccanismo di calcolo.
In Europa, un caso strutturalmente analogo fu quello del sistema SyRI (Systeem Risico Indicatie), adottato dall’amministrazione olandese a partire dal 2014 per identificare potenziali frodi nel welfare. Il sistema incrociava dati provenienti da decine di banche dati pubbliche e generava profili di rischio, operando esclusivamente nelle aree a basso reddito e a elevata presenza di minoranze.
Il 5 febbraio 2020, il Tribunale distrettuale dell’Aia stabilì che non era possibile determinare il funzionamento di SyRI, poiché il governo non aveva reso pubblici il modello di rischio e i relativi indicatori, e che il sistema violava l’articolo 8 della CEDU in quanto non garantiva un equo bilanciamento tra l’interesse alla lotta alle frodi e il diritto alla vita privata dei cittadini. La sentenza fu salutata dall’allora Relatore speciale ONU sulla povertà estrema come un precedente legale fondamentale per tutti i Paesi che sperimentano la digitalizzazione dello Stato sociale.
L’AI Act e l’obbligo di spiegabilità: architettura regolatoria a scadenza ravvicinata
Il quadro normativo europeo ha reagito a queste sfide costruendo un’architettura regolatoria basata sul rischio, il cui fulcro è la spiegabilità obbligatoria per i sistemi ad alto rischio. L’AI Act è entrato in vigore il 1° agosto 2024 e diventerà pienamente applicabile per la maggior parte degli operatori il 2 agosto 2026, con alcune eccezioni: le regole per i sistemi IA ad alto rischio integrati in prodotti regolamentati hanno una scadenza estesa al 2 agosto 2027. Il Regolamento introduce specifici obblighi di trasparenza affinché gli esseri umani siano informati quando necessario per preservare la fiducia.
I sistemi classificati nell’Allegato III, che comprende esplicitamente quelli impiegati nell’amministrazione della giustizia, nella valutazione del rischio creditizio, nella gestione del personale e nelle procedure di asilo e immigrazione, sono soggetti a requisiti stringenti: documentazione tecnica completa, sistemi di registrazione automatica degli eventi, meccanismi di supervisione umana e, crucialmente, trasparenza intesa come sviluppo e utilizzo del sistema in modo da consentire adeguata tracciabilità e spiegabilità.
L’entrata in applicazione piena di queste norme non è priva di rischi di slittamento. Il ritardo nella disponibilità degli standard tecnici armonizzati, la cui elaborazione è ancora in corso presso CEN e CENELEC, mette a rischio il corretto ingresso in vigore delle regole al 2 agosto 2026.
La Commissione ha quindi proposto, nel Digital Omnibus del novembre 2025, di legare la data di applicazione alla disponibilità di strumenti di supporto, con una scadenza massima posticipata al 2 dicembre 2027 per i sistemi dell’Allegato III e al 2 agosto 2028 per quelli dell’Allegato I. Un segnale positivo è arrivato il 30 ottobre 2025, quando prEN 18286, primo standard armonizzato specificamente progettato per aiutare i fornitori di sistemi IA ad alto rischio a conformarsi all’articolo 17 dell’AI Act, è entrato in pubblica consultazione presso gli organismi nazionali di normazione.
L’Italia all’avanguardia: la Legge 132/2025 e le nuove fattispecie penali
In questo scenario, l’Italia si è distinta come il primo Paese europeo ad adottare una legge organica sull’intelligenza artificiale. Come analizzato in dettaglio su ICT Security Magazine, la Legge 23 settembre 2025, n. 132, entrata in vigore il 10 ottobre 2025, interviene su più livelli con un approccio che la dottrina ha già definito di “innesto chirurgico” sui codici esistenti.
Sul piano penale sostanziale, l’articolo 26 inserisce il reato di diffusione illecita di contenuti generati tramite IA nel nuovo art. 612-quater c.p., punito con la reclusione da uno a cinque anni, per contrastare deepfake e manipolazioni digitali. Viene introdotta un’aggravante generale per i reati commessi mediante IA, aumentando la pena in proporzione alla pericolosità del mezzo. Le modifiche incidono anche su reati economici: aggiotaggio o manipolazioni finanziarie tramite IA comportano pene fino a sei anni. Sul piano processuale, l’articolo 15 stabilisce una riserva di giurisdizione umana: l’IA può coadiuvare ma non sostituire il giudice, e nella Pubblica Amministrazione è obbligatoria la trasparenza degli algoritmi e la formazione del personale.
Un secondo livello di impatto, rilevante per la forensics aziendale, riguarda i modelli organizzativi ex D.Lgs. 231/2001. L’articolo 21 della Legge 132/2025 introduce nuove fattispecie di reato connesse all’uso illecito dell’IA, estendendo il catalogo dei reati-presupposto 231 e obbligando le organizzazioni a ripensare integralmente la mappatura dei rischi. L’audit trail e il logging assumono carattere obbligatorio: ogni decisione influenzata da IA deve essere tracciabile, con documentazione della supervisione umana che specifichi chi ha esaminato l’output algoritmico, con quali competenze e in quale lasso temporale.
Tuttavia, come ha evidenziato la dottrina penalistica, l’onere probatorio a carico dell’accusa risulta assai gravoso: sarà necessario dimostrare non solo una delle condotte tipiche, ma anche che l’effettiva alterazione del contenuto sia avvenuta tramite IA, sollevando questioni interpretative sulla valutazione dell’idoneità del contenuto a trarre in inganno circa la propria genuinità. Il rischio di costruire una fattispecie aperta alla discrezionalità del giudice è reale, e rende la perizia informatica ancora più determinante per l’esito processuale.
Il CTU informatico davanti al modello di machine learning
Il Consulente Tecnico d’Ufficio (CTU) informatico si trova oggi proiettato in un territorio professionale radicalmente nuovo. Se il perimetro tradizionale della digital forensics riguardava la conservazione delle tracce digitali, la verifica dell’integrità dei file e l’analisi dei metadati, operazioni su oggetti stabili e riproducibili, la perizia su un sistema di machine learning richiede competenze che attraversano informatica, statistica inferenziale, etica dell’IA e diritto processuale.
La prima sfida è quella dell’accesso. Come ha mostrato la sentenza del Consiglio di Stato n. 4857/2025, il codice sorgente può essere sottratto alla discovery attraverso la tutela del segreto industriale. Eppure il Consiglio di Stato, già nella storica sentenza n. 2270 dell’8 aprile 2019, che accolse il ricorso di alcuni docenti contro la procedura di assegnazione scolastica gestita interamente da un algoritmo opaco, aveva affermato il principio per cui la “caratterizzazione multidisciplinare” dell’algoritmo non esime dalla necessità che la “formula tecnica” sia corredata da spiegazioni che la traducano nella “regola giuridica” sottesa, rendendola leggibile e comprensibile. Le imprese produttrici dei meccanismi informatici, ponendoli al servizio del potere autoritativo, ne accettano le conseguenze in termini di necessaria trasparenza.
La seconda sfida è la riproducibilità. Un sistema di machine learning in produzione è un’entità dinamica: se addestrato in modalità di online learning, può aver prodotto la decisione contestata con una versione del modello che non esiste più. Il CTU deve accertare se il sistema sia stato versionato correttamente, se esistano snapshot dei pesi del modello al momento della decisione, se il logging degli eventi sia sufficientemente granulare. Le sfide relative alla catena di custodia, alla spiegabilità e all’ammissibilità legale devono essere affrontate garantendo che le conclusioni generate dall’IA rimangano forensicamente solide e difendibili in contesti legali.
La terza sfida è quella della comunicazione processuale. Come sottolinea un’analisi congiunta di Kennedys Law e S-RM pubblicata nel gennaio 2026, il problema più grave è la trappola dell’ammissibilità: uno strumento di rilevazione deepfake che produce un punteggio di confidenza senza audit trail può essere contestato. Se un esperto non sa spiegare come uno strumento IA ha raggiunto la propria conclusione in linguaggio accessibile, giudici e giurie rischiano di essere fuorviate da evidenze apparentemente precise ma semanticamente vuote.
I modelli correnti di machine learning, pur efficaci, non soddisfano i requisiti legali per l’ammissione come prove in tribunale a causa della mancanza di adeguata spiegabilità: i sistemi di Explainable AI possono colmare il divario tra processi computazionali complessi e criteri legali per la presentazione delle prove, uno sviluppo critico per preservare l’integrità giudiziaria, aumentare l’accettazione delle prove generate dall’IA e proteggere i diritti dei soggetti coinvolti nelle indagini.
Verso una forensics della responsabilità algoritmica
Tre anni fa, parlare di “perizia su un modello di machine learning” evocava scenari fantascientifici. Oggi è una necessità pratica che tribunali, ordini professionali e università di diritto stanno affrontando con velocità diseguale. E la posta in gioco si è alzata: il Rapporto Clusit 2026 documenta come l’adozione di modelli linguistici avanzati abbia permesso ai gruppi criminali di superare le barriere linguistiche, rendere i tentativi di truffa estremamente persuasivi e difficilmente distinguibili dalle comunicazioni reali, eliminare gli errori grammaticali che in passato rappresentavano i principali campanelli d’allarme delle frodi digitali e creare perfetti cloni vocali e video per ingannare privati cittadini, vertici aziendali e istituzioni.
La responsabilità giuridica dei sistemi AI, come analizzato su ICT Security Magazine, richiede oggi modelli interpretativi nuovi, capaci di distribuire la responsabilità lungo l’intera catena del valore: dai fornitori che sviluppano i modelli, ai deployer che li implementano in contesti operativi specifici, fino agli utilizzatori finali che ne recepiscono l’output senza necessariamente comprenderne la logica.
Ciò che manca, e che la Legge 132/2025 e l’AI Act abbozzano senza ancora definire compiutamente, è un protocollo standardizzato per la perizia algoritmica: una metodologia condivisa che stabilisca le procedure di acquisizione del modello, i test di bias ammissibili, le soglie oltre le quali un sistema possa essere dichiarato forensicamente inaffidabile, i requisiti minimi di logging che rendano possibile la ricostruzione processuale. L’introduzione di prEN 18286, il primo standard armonizzato in materia di quality management system per l’AI Act, rappresenta un primo passo in questa direzione. La distanza da un protocollo forense operativo e condiviso, tuttavia, è ancora significativa.
Come avviene per le revisioni contabili, governi, imprese e società richiederanno presto algorithmic audits formali: l’assicurazione che gli algoritmi siano legali, etici e sicuri. Si prefigura una nuova industria, l’Auditing and Assurance of Algorithms, con il mandato di professionalizzare e industrializzare l’IA e gli algoritmi associati nei processi di accertamento giuridico.
Nel frattempo, l’algoritmo è già nel processo. Decide della libertà, del credito, del lavoro, della salute di milioni di persone. La AI Forensics non è più una disciplina del futuro: è il cantiere urgente del presente, dove giuristi, informatici e magistrati stanno costruendo, spesso senza manuali, gli strumenti per rendere conto di decisioni che nessun essere umano ha preso e che nessuno, ancora, sa completamente spiegare.
