Neurotech e consenso, le nuove frontiere del consenso informato

INTRODUZIONE

(di Nicoletta F. Prandi)

Numerose app commerciali includono funzioni derivate dalla neurotecnologia. Abilitano le aziende a rilevare i modelli delle onde cerebrali dell’utente e, in potenza, anche a dedurne gli stati mentali in tempo reale, primo tra tutti l’attenzione focalizzata. Abbinando questi dati neurali a un sistema certificato di autenticazione e di verifica dell’identità, si può raccogliere il consenso informato di un individuo, con modalità fino a oggi inedite. Così come inesplorate sono le potenziali implicazioni, in termini di regolamenti e tutele dei consumatori.

Le descrive in questo articolo Harry Lambert, illustrando le protezioni già in essere e illuminando le soglie critiche da attenzionare. Il modello tradizionale di raccolta del consenso informato cristallizza in modo esemplare la natura duale delle applicazioni neurotech, un vero e proprio Giano bifronte per la pratica legale e per le giurisdizioni internazionali.

Queste «fotografie neurali» infatti, spesso sono scattate all’insaputa del consumatore e lo possono rendere vulnerabile nei confronti delle aziende. Accedere alla mente di un utente significa scoprirne all’improvviso anche le possibili vulnerabilità: se sfruttarle a scopo commerciale può essere allettante, resta profondamente immorale e punibile ai sensi di legge.

Le linee guida internazionali per accelerare l’aggiornamento dei quadri normativi, come vedremo, esistono già. Le competenze tecniche del regolatore, invece, vanno costruite nel tempo, insieme a quelle dei consumatori: accompagnarli oltre la soglia di un futuro che è già presente, resta fondamentale.

__________

NEUROTECH E CONSENSO, DARE IL CONSENSO INFORMATO ATTRAVERSO IL PENSIERO

(di Harry Lambert)

I contratti paperless non sono un esercizio speculativo: riconosciamo già la validità di quelli siglati senza bisogno di inchiostro. Le nostre transazioni quotidiane, infatti, si basano sui click per accettare termini e condizioni standard, dai giochi allo streaming fino al delivery, tant’è che la maggior parte delle giurisdizioni dispone di regimi efficaci e obbligatori di transazioni elettroniche, per identificare in modo affidabile una persona e consentirle di esprimere un consenso legalmente valido.

Ma poiché oggi sono disponibili in commercio dispositivi neurotech di consumo che leggono e rispondono all’attività cerebrale e nervosa, permettendo all’utente di fare acquisti, transazioni in-app e interagire con i marketplace online, il modo in cui i contratti vengono stipulati e applicati nel mercato digitale può cambiare radicalmente.

In Canada, nel caso South West Terminal Ltd contro Achter Land & Cattle (2023), un tribunale del Saskatchewan ha ritenuto che un’emoji con il pollice alzato in risposta alla foto di un contratto soddisfacesse gli standard previsti dalla legge, poiché proveniva da un numero di telefono usato dalle parti in precedenti interazioni. Abbinare un segnale semplice (come un’emoji) a un’identificazione affidabile è lo stesso schema che un’interfaccia cervello-computer potrebbe replicare, collegando una conferma neurale a un record di identità verificabile.

Come funzionerebbe? Registrando i marcatori neurali. Quando appaiono i marcatori dell’attenzione, il sistema registra una determinata affermazione dell’utente e la registra in un timestamp (un marcatore temporale). Questo picco di attenzione è spesso etichettato come «evento P300», una definizione che origina dalle neuroscienze cognitive. Denota un breve aumento, nel segnale cerebrale, che tende a comparire circa 300 millisecondi dopo uno stimolo significativo.

In questo articolo, P300 è usato come abbreviazione per indicare una breve risposta cerebrale che si verifica quando una persona presta attenzione a una specifica dichiarazione sullo schermo. Dal momento che il P300 è sincronizzato con la dichiarazione, può mostrare quando l’utente ha prestato attenzione a un termine specifico del contratto. Se è collegato alla verifica dell’identità e alla registrazione dello schermo, può allora divenire il punto chiave di un percorso di consenso informato verificabile.

Questo tipo di prova può essere decisivo nelle controversie che coinvolgono i consumatori, ad esempio in quelle per dichiarazioni false e ingannevoli, perché può dimostrare se l’utente ha effettivamente prestato attenzione a un punto specifico del contratto. Spesso la questione è incentrata sulla clausola di esclusione di responsabilità e le interfacce cervello-computer, in simili casi, possono fare scuola.

Un altro ambito interessante è quello assicurativo, un settore in cui l’assicurato ha il dovere di rispondere alle domande in modo esaustivo e onesto, mentre l’assicuratore si baserà su tali risposte per determinare il livello di rischio. Se quest’ultimo fornisce il contratto assicurativo in formato digitale e il potenziale assicurato lo compila tramite un’interfaccia cervello-computer i dati neurali mostreranno quali domande hanno catturato l’attenzione del cliente e per quanto tempo è stata mantenuta, anche durante le firme. Va evidenziato che le interfacce possono anche inviare un segnale di anomalia in tempo reale all’assicuratore, attivando un flag di «revisione necessaria» in caso di assenza di attenzione sugli articoli contrattuali più importanti. I registri P300 possono anche avere valore probatorio nei contratti di consumo ad alto rischio, inclusi quelli per il credito al consumo.

Eppure, nonostante queste applicazioni d’avanguardia possano supportare il processo di raccolta del consenso informato, sono anche in grado di essere configurate o addirittura di operare per sovvertire il consenso stesso.

La legge riconosce che il consenso di una parte può essere sovvertito sotto influenza indebita e con una condotta irragionevole. Affrontiamo innanzitutto la prima.

L’influenza indebita descrive una transazione in cui il consenso apparente di una parte non è il prodotto di una volontà libera e informata, ma è ottenuto attraverso l’influenza dell’altra parte all’interno di un rapporto di dipendenza. L’influenza indebita può essere accertata in due modi: influenza indebita effettiva (dimostrata da prove di pressione impropria) o influenza indebita presunta (deducibile da un rapporto riconosciuto dai tribunali come di influenza; i rapporti riconosciuti includono quelli genitore-figlio, avvocato-cliente, consigliere spirituale-devoto; quando viene accertato un tale rapporto, la legge presume l’influenza e richiede alla parte più forte di dimostrare che il consenso era libero e informato).

Nel caso della neurotecnologia, l’effettiva influenza indebita può verificarsi quando la neurotecnologia viene abbinata a un’app complementare che fornisce ad esempio consigli o supporto emotivo, determinando la dipendenza dell’utente. Tali app complementari possono essere guide per la meditazione, per il coaching finalizzato allo studio, alla produttività o viceversa al rilassamento, gli AI companion (amici e fidanzati virtuali). Questi sistemi non si limitano a registrare ciò che un utente digita. Se la neurotecnologia è integrata nel ciclo di funzionamento, possono anche memorizzare dati neurali e segnali inconsci che riguardano l’attenzione, il livello di stress e il potenziale di ricettività dell’utente.

Con questi dati, l’app può cronometrare i prompt, inquadrare le scelte e ripetere frasi con rassicurazioni personalizzate durante le finestre di bassa resistenza psicologica, creando una pressione all’interno della relazione app-utente che prevale sulla volontà di quest’ultimo. Se un consulente o un compagno umano dovesse agire in questo modo, un tribunale non avrebbe difficoltà a riconoscere l’effettiva influenza indebita.

Immaginiamo che un’azienda di logistica incoraggi gli autisti del turno di notte a usare un’interfaccia per monitorare lo stress, ai fini di sicurezza personale. L’azienda ha acquistato la funzione «tranquillità per le corse serali», che copre dagli infortuni. Nel corso delle settimane, l’app instaura un rapporto con un’autista, chiamiamola «Mia», una neoassunta in prova. L’app contatta Mia durante i picchi di affaticamento, offre rassicurazioni nei periodi di stress e la guida negli esercizi di respirazione. Durante una lunga corsa notturna, i segnali P300 di Mia iniziano a calare. L’app avvisa Mia che se continua a guidare, l’azienda non potrebbe coprire gli infortuni perché la sua attenzione si sta affievolendo. Mia, preoccupata, accetta di sospendere la guida, insieme alle probabili conseguenti riduzioni del salario. Col tempo, i tribunali potrebbero riconoscere che queste app coltivano relazioni di influenza indebita, se è il design informatico a prevederla.

Passiamo alla condotta irragionevole, che mira allo sfruttamento della vulnerabilità senza la necessità di stabilire un rapporto di influenza. Si verifica quando una parte più forte sfrutta consapevolmente una vulnerabilità dell’altra parte, compromettendo la sua capacità di esprimere un giudizio nel proprio interesse. Secondo i tribunali, esempi di vulnerabilità possono essere i seguenti: grave intossicazione, scarsa alfabetizzazione, barriere linguistiche, malattia acuta o affaticamento, deterioramento cognitivo, povertà o urgente necessità finanziaria, isolamento sociale, lutto e inesperienza nella transazione in questione.

Molte giurisdizioni ora prevedono anche tutele statutarie contro pratiche commerciali sleali o ingiuste.

In Australia, la legge australiana sui consumatori (Australian Consumer Law) vieta le condotte ingiuste all’articolo 21. Nel Regno Unito, le pratiche commerciali sleali o ingiuste sono disciplinate dal Consumer Protection from Unfair Trading Regulations del 2008 e dal Consumer Rights Act del 2015. Negli Stati Uniti, gli atti ingiusti o ingannevoli sono regolamentati a livello federale e statale, in particolare dal Federal Trade Commission Act (15 USC §45) e dalle leggi statali in stile UDAP/UDAP. In Canada, le tutele sono previste dalle leggi federali e provinciali a tutela dei consumatori e dal Competition Act.

Le formulazioni variano a seconda della giurisdizione, ma il centro di gravità è la condotta del professionista, non l’eventuale «svantaggio particolare» subito dal consumatore.

Immaginiamo un gioco immersivo che usa un’interfaccia cervello-computer consumer. Durante il gioco, rilevando gli schemi neurali, il sistema scopre che l’utente potrebbe soffrire di discalculia, con una debole capacità di fare i calcoli e un forte calo dell’attenzione quando è esposto a richieste di pagamento. Il gioco sposta silenziosamente l’utente in un negozio virtuale per l’acquisto di vite extra, munizioni o armi speciali, in una valuta non standard. L’utente compra senza accorgersi. Il sistema ha individuato uno svantaggio particolare, la discalculia, e lo ha sfruttato in un modo che equivale chiaramente a una condotta immorale.

Il gioco non ricerca volutamente una disabilità cognitiva diagnosticata ma può dedurre stati mentali di alta eccitazione e sincronizzare le richieste di acquisto in base a questi fast data. Sulla base di questi fatti, i tribunali esaminerebbero l’uso di dati neurali per capire se sono stati sfruttati i momenti di bassa resistenza, le asimmetrie informative e le opacità nella presentazione dei prezzi. Nel complesso, potrebbe configurarsi la manipolazione dell’architettura delle scelte attraverso un targeting neurologico non spiegato espressamente.

A seconda della giurisdizione, si può configurare ai sensi di legge la condotta vessatoria o la conduzione di disposizioni commerciali scorrette: la fotografia neurologica scattata dall’azienda all’insaputa del consumatore compromette in modo prevedibile la sua autonomia.

Invece, se ci sono di mezzo errori del modello o malfunzionamento dei dispositivi, entrano in gioco le garanzie per il consumatore. Il punto è che nei sistemi mediati dall’intelligenza artificiale la legge spesso chiederà se il fornitore abbia impostato, supervisionato e corretto un sistema che ha creato in modo prevedibile finestre a bassa resistenza e le ha monetizzate, anche in assenza di una mano umana al timone.

Nell’ottobre 2025, la Commissione australiana per i diritti umani (AHRC) ha lanciato l’allarme sulla neurotecnologia per i consumatori nel libro Peace of Mind: Navigating the Ethical Frontiers of Neurotechnology and Human Rights, mettendo in dubbio l’efficacia della legge vigente. Tali riserve sono giustificate. La loro applicazione spesso fallisce laddove i danni sono di basso valore, complessi da dimostrare e invisibili ai consumatori, che potrebbero non essere consapevoli di essere stati manipolati.

Anche per un’autorità di regolamentazione dotata di risorse adeguate, l’applicazione sarà un compito arduo. La neurotecnologia è complessa, in rapida evoluzione, e un’efficace attività di controllo richiede profonda competenza tecnica. Le linee guida internazionali riflettono questa esigenza.

Nel luglio 2025, l’Organizzazione per la cooperazione e lo sviluppo economico (OCSE) ha pubblicato il suo Neurotechnology Toolkit per supportare l’attuazione delle sue raccomandazioni sulla neurotecnologia responsabile. Il toolkit raccomanda di rivedere le leggi esistenti dove le tutele sono insufficienti e di dotare gli organi di controllo istituzionale degli strumenti necessari per anticipare e affrontare le problematiche di governance emergenti.

Anche in questo settore, infine, la conformità normativa è guidata tanto dalla supervisione continua quanto dalla responsabilità dei produttori.

La progettazione responsabile dei sistemi non dovrebbe essere considerata discrezionale dagli sviluppatori di neurotecnologie, poiché il rischio legale e reputazionale risiede nelle scelte di progettazione e nelle pratiche di supervisione: i guardrail devono essere considerati un’architettura di base e non componenti aggiuntive opzionali.

La neurotecnologia, dunque, offre nuovi modi per dimostrare il consenso contrattuale ma anche nuovi modi per eroderlo. Nel complesso, la legge dispone già di strumenti per rispondere agli abusi e ai difetti di progettazione, ma la sua applicazione incontra difficoltà se i danni sono di piccola entità, tecnici e nascosti. La regolamentazione, inclusa un’autoregolamentazione credibile da parte delle aziende, è necessaria per impedire al mercato digitale di normalizzare modelli di progettazione manipolativi.

---------

*Fabrizio Ventimiglia, Avvocato penalista, Presidente CSB e Founder Studio Legale Ventimiglia; Nicoletta Prandi, Giornalista ed Autrice; Harry Lambert, Avvocato presso Outer Temples, fondatore di The Centre for Neurotechnology & Law e di Cerebralink