Guida AI Act·startbrain.ai
Guida AI Act: la guida completa per le aziende Articolo 4: l'obbligo di formare tutti i collaboratori sull'IA Classificazione dei sistemi di IA: sei coinvolto nell'alto rischio? Pratiche IA vietate: cosa la tua azienda non può più fare Sanzioni AI Act: multe fino a 35 milioni di euro Calendario AI Act: tutte le scadenze dal 2024 al 2027 Checklist di conformità AI Act per ruolo: DPO, HR, CIO, Consiglio di Amministrazione

Classificazione dei sistemi di IA: sei coinvolto nell'alto rischio?

L'AI Act classifica i sistemi di IA in 4 livelli di rischio. Recruiting, credito, sanità: scopri se i tuoi strumenti di IA sono considerati ad alto rischio.

Il cuore del dispositivo: un approccio basato sul rischio

Il Regolamento Europeo sull’Intelligenza Artificiale (Regolamento 2024/1689) si fonda su un principio fondamentale: gli obblighi sono proporzionali al livello di rischio. Più un sistema di IA può incidere sulla vita, la salute, i diritti fondamentali o la sicurezza delle persone, più i requisiti sono stringenti.

Questo approccio graduale distingue l’AI Act dalle regolamentazioni più binarie. Permette di non frenare l’innovazione negli usi a basso rischio, regolando in modo deciso le applicazioni più sensibili.

Considerando 26Règlement (UE) 2024/1689

I sistemi di IA che presentano un livello di rischio elevato per la salute, la sicurezza o i diritti fondamentali delle persone fisiche dovrebbero essere soggetti a requisiti rigorosi prima di poter essere immessi sul mercato dell’Unione.

I quattro livelli di rischio

1. Rischio inaccettabile — Sistemi vietati

Alcuni usi dell’IA sono semplicemente vietati (Articolo 5). Il social scoring, la manipolazione subliminale, lo sfruttamento delle vulnerabilità delle persone e l’identificazione biometrica in tempo reale negli spazi pubblici (salvo eccezioni) sono proibiti dal 1° febbraio 2025.

2. Alto rischio — Sistemi soggetti a obblighi rafforzati

È la categoria che riguarda il maggior numero di aziende. I sistemi di IA ad alto rischio sono definiti negli Articoli 6 e 7 e elencati in dettaglio nell’Allegato III del regolamento. Gli obblighi associati sono sostanziali: valutazione di conformità, documentazione tecnica, supervisione umana, gestione dei rischi, governance dei dati.

3. Rischio limitato — Obblighi di trasparenza

Sistemi come chatbot, generatori di contenuti (deepfake, testi) o sistemi di riconoscimento delle emozioni non coperti dal divieto sono soggetti a obblighi di trasparenza. L’utente deve sapere che sta interagendo con un’IA o che il contenuto è stato generato da un’IA.

4. Rischio minimo — Nessun obbligo specifico

La grande maggioranza dei sistemi di IA: filtri antispam, raccomandazioni di prodotti, correttori ortografici. L’AI Act non impone vincoli specifici, sebbene il rispetto dell’Articolo 4 sulla competenza in IA si applichi comunque a tutti i deployer.

Allegato III: i sistemi ad alto rischio, settore per settore

L’Allegato III del regolamento elenca i settori in cui un sistema di IA è considerato ad alto rischio. Ecco i casi concreti che riguardano la maggior parte delle aziende.

Risorse umane e recruiting

È l’ambito che sorprende di più le aziende. L’Allegato III, punto 4 riguarda i sistemi di IA utilizzati per:

Allegato III, punto 4Règlement (UE) 2024/1689

L’occupazione, la gestione dei lavoratori e l’accesso al lavoro autonomo, in particolare per l’assunzione e la selezione delle persone, per le decisioni riguardanti le condizioni del rapporto di lavoro, la promozione e la risoluzione, e per l’assegnazione dei compiti, il monitoraggio o la valutazione delle prestazioni e del comportamento delle persone.

In concreto, sono considerati ad alto rischio:

  • Scoring dei candidati: qualsiasi algoritmo che classifica, valuta o filtra automaticamente le candidature
  • Analisi automatizzata dei CV: strumenti che preselezionano i profili sulla base di criteri automatici
  • Chatbot di pre-qualificazione: assistenti conversazionali che valutano i candidati durante il processo di selezione
  • Sistemi di valutazione delle prestazioni: strumenti di IA che analizzano la produttività o il comportamento dei dipendenti
  • Strumenti di matching: algoritmi che associano profili a posizioni lavorative

Se il tuo ufficio HR utilizza uno strumento di selezione automatica dei CV o un chatbot di recruiting, si tratta probabilmente di un sistema ad alto rischio ai sensi dell’AI Act.

📄IA per le HR: guida completa alla trasformazione delle funzioni HR

Finanza e assicurazioni

L’Allegato III, punto 5(b) copre i sistemi di IA utilizzati per:

  • Credit scoring: modelli che valutano l’affidabilità creditizia delle persone fisiche (con l’eccezione del rilevamento delle frodi)
  • Valutazione dei rischi nelle assicurazioni vita e salute
  • Tariffazione automatizzata basata su profili individuali

In Italia, questo riguarda direttamente istituti come Intesa Sanpaolo, UniCredit e Banco BPM, così come le compagnie assicurative che utilizzano modelli di IA per decidere se concedere o rifiutare un credito, o per fissare un premio assicurativo. Il rilevamento delle frodi è esplicitamente escluso dall’alto rischio — ma attenzione: i sistemi di scoring che vanno oltre la semplice individuazione delle frodi possono rientrarvi. La Banca d’Italia avrà un ruolo di vigilanza fondamentale in questo ambito.

Sanità

L’Allegato III, punto 1 comprende i sistemi di IA che sono dispositivi medici o accessori di dispositivi medici ai sensi dei regolamenti europei sui dispositivi medici. Questo include:

  • Supporto diagnostico: algoritmi che analizzano immagini mediche o propongono diagnosi
  • Triage automatizzato: sistemi che indirizzano i pazienti verso percorsi assistenziali
  • Sistemi di monitoraggio: dispositivi connessi con componente IA che monitorano parametri vitali
  • Supporto alla prescrizione: strumenti che suggeriscono trattamenti

In Italia, il Servizio Sanitario Nazionale (SSN) è particolarmente esposto: dalle ASL che adottano strumenti di triage automatizzato agli ospedali che implementano sistemi di supporto diagnostico basati sull’IA, la classificazione ad alto rischio è pressoché inevitabile.

Istruzione e formazione professionale

L’Allegato III, punto 3 riguarda i sistemi di IA utilizzati per:

  • L’ammissione agli istituti di istruzione
  • La valutazione automatica degli esami e delle prove
  • La valutazione del livello appropriato di istruzione per una persona
  • Il controllo dei comportamenti vietati durante gli esami (sorveglianza automatizzata)

Giustizia e forze dell’ordine

L’Allegato III, punti 6, 7 e 8 coprono:

  • Valutazione del rischio di recidiva: sistemi utilizzati per valutare la probabilità che una persona commetta un reato
  • Poligrafi e strumenti di rilevamento delle emozioni durante gli interrogatori
  • Valutazione dell’attendibilità delle prove
  • Profilazione nell’ambito della prevenzione e dell’individuazione dei reati

Infrastrutture critiche

L’Allegato III, punto 2 copre i componenti di sicurezza nella gestione e nel funzionamento delle infrastrutture digitali critiche, del traffico stradale e della fornitura di acqua, gas, riscaldamento ed energia elettrica.

Migrazione e controllo delle frontiere

L’Allegato III, punto 7 include i sistemi utilizzati per la valutazione del rischio di migrazione irregolare, l’esame delle domande di visto e di permesso di soggiorno e l’identificazione delle persone nel contesto della migrazione.

Gli obblighi concreti per i sistemi ad alto rischio

Se uno o più dei tuoi sistemi di IA sono classificati ad alto rischio, ecco cosa richiede il regolamento:

Valutazione di conformità (Articoli da 9 a 15)

Prima dell’immissione sul mercato o della messa in servizio, il sistema deve essere sottoposto a una valutazione di conformità che copra:

  1. Sistema di gestione dei rischi (Articolo 9): identificazione, analisi, stima e mitigazione dei rischi lungo l’intero ciclo di vita del sistema
  2. Governance dei dati (Articolo 10): i dataset di addestramento devono essere pertinenti, rappresentativi e privi di errori nella misura del possibile
  3. Documentazione tecnica (Articolo 11): descrizione dettagliata del sistema, delle sue finalità, delle prestazioni e dei limiti
  4. Tenuta dei registri (Articolo 12): registrazione automatica degli eventi (log) per tutta la durata del funzionamento
  5. Trasparenza e informazione (Articolo 13): istruzioni d’uso chiare per i deployer
  6. Supervisione umana (Articolo 14): il sistema deve essere progettato per consentire un controllo effettivo da parte di persone fisiche
  7. Accuratezza, robustezza e cybersicurezza (Articolo 15)

Obblighi specifici per i deployer (Articolo 26)

Le aziende che utilizzano sistemi di IA ad alto rischio (deployer) hanno obblighi propri:

  • Utilizzare il sistema conformemente alle istruzioni del fornitore
  • Assicurare la supervisione umana da parte di persone competenti e formate
  • Monitorare il funzionamento del sistema e segnalare eventuali malfunzionamenti
  • Realizzare una valutazione d’impatto sui diritti fondamentali (per alcuni deployer)
  • Conservare i log generati automaticamente per almeno sei mesi
📄Rischi dell'IA in azienda: identificare e gestire efficacemente

Come effettuare l’audit dei tuoi strumenti di IA

Il primo passo verso la conformità è sapere esattamente quali sistemi di IA utilizzi e in quale categoria rientrano.

1. Stilare un inventario completo

Elenca tutti gli strumenti che integrano l’IA nella tua organizzazione. Non dimenticare:

  • Gli strumenti incorporati nei software esistenti (CRM, ERP, sistemi HR)
  • Gli abbonamenti SaaS con funzionalità IA
  • Gli usi informali da parte dei collaboratori (assistenti IA, strumenti di generazione)
  • Gli sviluppi interni

2. Classificare ogni sistema

Per ogni strumento identificato, determina:

  • È un sistema di IA ai sensi dell’Articolo 3(1) del regolamento?
  • Rientra in una delle categorie dell’Allegato III?
  • Qual è il suo livello di rischio?

3. Valutare il gap di conformità

Per ogni sistema ad alto rischio, confronta la tua situazione attuale con i requisiti degli Articoli da 9 a 15 e dell’Articolo 26. Identifica i gap e stabilisci le priorità delle azioni correttive.

4. Documentare e tracciare

Costruisci un fascicolo di conformità per ogni sistema, includendo la classificazione, la documentazione tecnica, le valutazioni effettuate e le misure di controllo implementate. Questa documentazione strutturata sarà il tuo riferimento in caso di audit.

5. Formare gli utenti

Per ogni sistema ad alto rischio, le persone incaricate della supervisione umana devono possedere le competenze necessarie (Articolo 14). Questo si ricollega all’obbligo dell’Articolo 4 sulla competenza in IA, ma con un livello di esigenza superiore: queste persone devono comprendere le capacità e i limiti specifici del sistema che supervisionano.

Il caso dei sistemi di IA per finalità generali

I modelli di IA per finalità generali (come GPT-4, Claude, Gemini) sono soggetti a disposizioni specifiche (Articoli da 51 a 56). Quando un modello per finalità generali viene integrato in un sistema di IA classificato ad alto rischio, gli obblighi di alto rischio si applicano all’intero sistema — anche se il modello sottostante è, di per sé, uno strumento generalista.

Questo significa che utilizzare ChatGPT per rispondere ai candidati in un processo di selezione può trasformare uno strumento “generalista” in un componente di un sistema ad alto rischio.

Ce que ça implique pour vous

La classificazione dei tuoi sistemi di IA non è un esercizio teorico — è la pietra angolare della conformità all’AI Act. Se utilizzi l’IA nel recruiting, nella valutazione delle prestazioni, nel credit scoring o nel supporto diagnostico, stai probabilmente operando sistemi ad alto rischio. Ogni sistema coinvolto richiede una valutazione di conformità, una documentazione tecnica, una supervisione umana effettiva e personale formato per garantirla. Inizia dall’inventario. Oggi.