Perché la classificazione del rischio è il cuore dell'AI Act

Il Regolamento UE 2024/1689 (AI Act) non tratta tutti i sistemi di intelligenza artificiale allo stesso modo. Il suo approccio è basato sul livello di rischio: più un sistema di IA può causare danni a persone o società, più stringenti sono gli obblighi per chi lo usa o lo distribuisce.

Capire in quale categoria rientrano i sistemi di IA che la tua azienda usa è il primo passo obbligato della compliance — e spesso produce sorprese, perché strumenti comuni come software di recruiting o sistemi di scoring creditizio possono rientrare nella categoria più onerosa.

Le quattro categorie di rischio dell'AI Act

Rischio inaccettabile (Titolo II — Pratiche proibite)

Sistemi completamente vietati. In vigore dal 2 febbraio 2025.

Esempi: social scoring governativo, manipolazione comportamentale subliminale, riconoscimento biometrico in tempo reale in spazi pubblici (con eccezioni limitate per le forze dell'ordine), inferenza delle emozioni nei luoghi di lavoro e nelle scuole, IA per profilazione basata su caratteristiche personali protette.

Per le PMI: è molto improbabile che utilizziate sistemi di questo tipo. Se avete dubbi su un sistema specifico, consultate un esperto.

Rischio alto (Allegato III)

Sistemi che impattano su aree critiche per diritti fondamentali, sicurezza o accesso a beni essenziali. Questa è la categoria che riguarda molte più PMI di quanto si pensi.

Rischio limitato

Sistemi con obblighi principalmente di trasparenza: chatbot, deepfake, contenuti generati dall'IA. L'utente deve sapere di interagire con un sistema artificiale.

Rischio minimo

La maggioranza degli usi quotidiani: filtri antispam, suggerimenti nei motori di ricerca, strumenti di produttività generici. Nessun obbligo specifico oltre all'AI Literacy (Art. 4).

I sistemi ad alto rischio: l'elenco dell'Allegato III

L'AI Act elenca nell'Allegato III le categorie di sistemi automaticamente classificati ad alto rischio. Eccole con gli esempi più rilevanti per le PMI italiane:

1. Infrastrutture critiche

Sistemi di IA per la gestione e il funzionamento di infrastrutture critiche: reti elettriche, idriche, di trasporto.

Rilevanza PMI: bassa, salvo aziende del settore utilities o trasporti con sistemi di controllo automatizzato.

2. Istruzione e formazione professionale

Sistemi di IA usati per determinare l'accesso o l'assegnazione a percorsi formativi, o per valutare apprendenti.

Rilevanza PMI: media. Piattaforme e-learning con valutazione automatica dei progressi, sistemi di raccomandazione per percorsi formativi.

3. Occupazione e gestione dei lavoratori

Questa è la categoria ad alto impatto per le PMI. Include:

  • Sistemi per il reclutamento e la selezione del personale (inclusi screening automatico dei CV, ranking dei candidati)
  • Sistemi per promuovere, licenziare o decidere condizioni contrattuali
  • Sistemi per monitorare le prestazioni e il comportamento dei lavoratori

Rilevanza PMI: alta. Se usate software HR con funzioni di scoring automatico dei candidati, siete probabilmente in questa categoria.

4. Accesso a servizi privati essenziali e pubblici

  • Sistemi di valutazione del merito creditizio (scoring per prestiti, leasing, fidi)
  • Sistemi per la valutazione dei rischi assicurativi
  • Sistemi per determinare l'accesso a servizi di pubblica utilità

Rilevanza PMI: alta per chi opera nel fintech, nelle assicurazioni, nelle banche o usa strumenti di credit management con IA.

5. Forze dell'ordine

Non rilevante per le PMI in generale.

6. Gestione della migrazione, asilo, controllo delle frontiere

Non rilevante per le PMI.

7. Amministrazione della giustizia e processi democratici

Sistemi di IA per decisioni giudiziarie, arbitrato, analisi legale automatizzata con impatti su parti terze.

Rilevanza PMI: bassa, salvo studi legali che usano IA per analisi giuridica con output decisionale.

8. Sicurezza dei prodotti

Sistemi di IA come componenti di sicurezza in prodotti già soggetti a normative di sicurezza EU (es. macchinari, dispositivi medici, veicoli).

Rilevanza PMI: alta per le aziende manifatturiere che integrano IA nei processi produttivi o nei prodotti stessi.

Il test pratico: come capire se il tuo software è ad alto rischio

Non è sempre ovvio capire se un software che usi rientra nella categoria ad alto rischio. Ecco un percorso di analisi pratico:

Domanda 1: Il sistema prende o influenza decisioni su persone?

Se il sistema di IA produce classificazioni, ranking, punteggi o raccomandazioni che incidono su persone fisiche (dipendenti, candidati, clienti), hai un segnale di rischio elevato.

Domanda 2: In quale area opera?

Confronta l'area di applicazione con le categorie dell'Allegato III. Occupazione? Credito? Istruzione? Sicurezza?

Domanda 3: Le decisioni sono automatizzate o assistite?

Anche i sistemi che "solo raccomandano" possono essere ad alto rischio se in pratica le raccomandazioni vengono seguite sistematicamente senza revisione umana critica.

Domanda 4: Il fornitore del software lo dichiara esplicitamente?

I provider di sistemi ad alto rischio hanno l'obbligo di fornire documentazione tecnica e dichiarazione di conformità. Se usate un software HR e il fornitore non sa rispondere alle domande sull'AI Act, questo è un segnale di allerta.

Cosa bisogna fare se si usa un sistema ad alto rischio

Gli obblighi per i deployer (chi usa) di sistemi di IA ad alto rischio sono significativi. Eccoli sintetizzati:

Verificare che il sistema sia conforme

Prima di usare un sistema ad alto rischio, il deployer deve accertarsi che il provider abbia rispettato i propri obblighi: che il sistema sia registrato nel database UE (per alcune categorie), che abbia la dichiarazione di conformità CE, che la documentazione tecnica sia disponibile.

Garantire la supervisione umana

L'art. 26 impone di implementare misure di supervisione umana: non si possono prendere decisioni consequenziali basandosi esclusivamente sull'output del sistema di IA, senza che un essere umano riveda e validi.

Mantenere i log

Per molti sistemi ad alto rischio è obbligatorio mantenere log dell'attività del sistema, per consentire la tracciabilità delle decisioni.

Formare adeguatamente le persone

La formazione AI Literacy per chi usa sistemi ad alto rischio deve essere più approfondita rispetto ai casi a rischio minimo: deve includere la comprensione del funzionamento del sistema, i suoi limiti, le condizioni di uso appropriato e le procedure di escalation.

Informare i soggetti interessati

Nei casi previsti dalla legge (es. selezione del personale, scoring creditizio), le persone soggette alle decisioni del sistema di IA devono essere informate.

Casi concreti: PMI italiane e sistemi ad alto rischio

Caso 1: Studio di consulenza HR con software di screening CV

Molti software di gestione del personale includono oggi funzioni di AI per il ranking automatico dei CV. Se il vostro software HR "ordina" i candidati in base a un punteggio calcolato automaticamente, probabilmente usate un sistema ad alto rischio.

Cosa fare: verificare con il fornitore se il sistema è classificato come ad alto rischio e quali documenti di conformità fornisce; implementare una procedura di supervisione umana obbligatoria prima di qualsiasi decisione di selezione; formare i responsabili HR.

Caso 2: Azienda manifatturiera con IA nel controllo qualità

Un sistema di visione artificiale che "decide" autonomamente se un prodotto è conforme o difettoso, e quindi influenza la catena di produzione, può rientrare nella categoria "sicurezza dei prodotti" se il prodotto finale è soggetto a normative di sicurezza UE.

Cosa fare: analizzare la catena di sicurezza del prodotto e valutare con un esperto se il sistema di IA è un "componente di sicurezza" ai sensi dell'AI Act.

Caso 3: Finanziaria o concessionaria con scoring creditizio

I sistemi di scoring per la valutazione delle richieste di finanziamento rientrano esplicitamente nell'Allegato III. Anche se il sistema è fornito da un istituto bancario, il deployer ha obblighi propri.

Come procedere: il percorso di AI Assessment

La classificazione del rischio non è un'operazione che si fa una volta e basta: man mano che la vostra azienda adotta nuovi strumenti di IA, va ripetuta. Ecco il percorso consigliato:

  1. Censimento: elencate tutti i software con componenti di IA in uso in azienda
  2. Classificazione: per ognuno, valutate la categoria di rischio secondo l'Allegato III
  3. Gap analysis: identificate i gap rispetto agli obblighi applicabili
  4. Roadmap: prioritizzate gli interventi in base al rischio
  5. Documentazione: raccogliete la documentazione richiesta dai fornitori
  6. Formazione: formate il personale in modo proporzionato al rischio

Digityze eroga questo percorso come AI Act Assessment — un servizio che vi porta dall'incertezza a una roadmap chiara in poche settimane. Scopri il servizio o prenota una call gratuita per capire da dove partire.