SUPERSQUALO
Dizionario IA

AI Act — Rischio Alto

Categoria dell'AI Act che include sistemi IA usati in settori critici (lavoro, giustizia, infrastrutture, biometria). Soggetti a obblighi rigorosi prima del deploy.

L'AI Act classifica i sistemi IA in quattro categorie di rischio: inaccettabile (vietato), alto, limitato, minimo. La categoria alto rischio è quella con obblighi più pesanti per chi vuole deployarli legalmente in UE.

Cosa rientra come alto rischio (Allegato III dell'AI Act):

  • Biometria: identificazione biometrica remota, categorizzazione biometrica, riconoscimento emozioni.
  • Infrastrutture critiche: gestione e sicurezza di reti elettriche, traffico, acqua.
  • Istruzione: ammissione, valutazione, monitoraggio comportamento studenti.
  • Lavoro: screening CV, decisioni promozione/licenziamento, assegnazione task, monitoraggio performance.
  • Servizi essenziali pubblici e privati: credit scoring, valutazione idoneità a benefit pubblici, valutazione assicurazioni vita/salute, dispatch servizi emergenza.
  • Forze dell'ordine: poligrafi, valutazione affidabilità prove, profilazione, predictive policing.
  • Migrazione, asilo, frontiera: poligrafi, valutazione richieste asilo, identificazione documenti.
  • Giustizia e processi democratici: assistenza decisioni giudiziarie, sistemi che influenzano elezioni.

Obblighi per i fornitori di sistemi alto rischio:

  • Sistema di gestione del rischio (continuo, non one-shot).
  • Governance dei dati (qualità, rappresentatività, gestione bias).
  • Documentazione tecnica completa.
  • Logging automatico delle attività del sistema.
  • Trasparenza verso utenti deployer.
  • Supervisione umana effettiva ("human in the loop" o "human on the loop").
  • Accuratezza, robustezza, cybersecurity.
  • Conformità valutata (CE marking, in alcuni casi tramite ente notificato).
  • Registrazione in database UE pubblico.

Obblighi per i deployer (chi usa il sistema):

  • Usarlo come specificato nelle istruzioni.
  • Garantire input data appropriati.
  • Monitorare il funzionamento e segnalare incidenti.
  • Conservare log automatici.
  • Per certi casi: DPIA e Fundamental Rights Impact Assessment.
  • Informare i dipendenti se usato sul lavoro (consultazione sindacale).

Tempistiche: entrata in vigore agosto 2024, applicazione progressiva. Per sistemi alto rischio: pienamente applicabile dal 2 agosto 2026.

Per le aziende italiane: se state deployando IA in HR (screening CV è il caso più comune), siete in alto rischio. Compliance richiede pianificazione di mesi, non settimane.