Come accertarsi che un sistema di IA non rientri da quelli considerati ad alto rischio? Come noto, l’entrata in vigore del Regolamento (UE) 2024/1689 (c.d. AI Act) ha inaugurato, nel diritto dell’Unione, una disciplina organica dei sistemi di intelligenza artificiale, destinata a incidere in modo profondo sulle modalità di progettazione, immissione sul mercato, messa in servizio e utilizzo di soluzioni tecnologiche basate su AI generativa.

Ciò che più preoccupa gli operatori economici è, tuttavia, la possibile qualificazione del sistema che adottano come “ad alto rischio”. La nozione di alto rischio richiede una verifica puntuale, condotta alla luce delle definizioni, dei criteri e dei casi d’uso espressamente considerati dal Regolamento.

Proprio per tale ragione, prima ancora di interrogarsi sugli adempimenti imposti dall’AI Act, è necessario comprendere se lo strumento concretamente adottato integri davvero un sistema di intelligenza artificiale ai sensi della disciplina europea e, successivamente, se esso rientri in una delle ipotesi di alto rischio previste dal legislatore.

Con il presente contributo intendiamo fornire le coordinate per orientarsi nella valutazione, individuando i passaggi utili a classificare correttamente il sistema utilizzato e a impostare in modo consapevole il percorso di adeguamento.

L’entrata in vigore dell’AI Act e la progressiva applicazione delle regole sull’alto rischio

Ai fini di una corretta impostazione del tema, occorre preliminarmente considerare che il Regolamento (UE) 2024/1689 non prevede un’applicazione integralmente simultanea di tutte le proprie disposizioni, ma introduce un meccanismo di efficacia progressiva, espressamente disciplinato dall’art. 113.

La norma stabilisce, anzitutto, che il Regolamento entra in vigore il ventesimo giorno successivo alla sua pubblicazione nella Gazzetta ufficiale dell’Unione europea, mentre la sua applicazione generale decorre dal 2 agosto 2026. Tale regola, tuttavia, è accompagnata da una serie di anticipazioni e differimenti che assumono particolare rilievo pratico per gli operatori economici e per tutti i soggetti chiamati a valutare se un sistema rientri tra quelli ad alto rischio.

In particolare, dal 2 febbraio 2025 si applicano i capi I e II, vale a dire le disposizioni generali del Regolamento e la disciplina delle pratiche di intelligenza artificiale vietate. Dal 2 agosto 2025 trovano invece applicazione il capo III, sezione 4, il quale disciplina i notified bodies, ossia gli organismi notificati chiamati a svolgere funzioni di valutazione della conformità in relazione ai sistemi e ai prodotti sottoposti ai controlli previsti dal Regolamento.

Dalla stessa data si applica il capo V, dedicato ai modelli di IA per finalità generali, con le regole sulla loro classificazione e sugli obblighi imposti ai relativi fornitori, specialmente quando presentino rischio sistemico; il capo VII, concernente la governance, e dunque l’assetto istituzionale di vigilanza europea e nazionale, comprensivo dell’AI Office, del Comitato europeo per l’intelligenza artificiale, del forum consultivo, del panel scientifico e delle autorità nazionali competenti; nonché l’art. 78, che detta la disciplina in materia di riservatezza e trattamento confidenziale delle informazioni acquisite dalle autorità e dai soggetti coinvolti nell’applicazione del Regolamento.

Quanto, invece, al cuore della nozione di alto rischio, l’art. 113, lettera c), precisa che l’art. 6, paragrafo 1, e i corrispondenti obblighi connessi ai sistemi che rientrano in tale previsione, si applicano solo dal 2 agosto 2027.

Cos’è esattamente un sistema di IA?

Per stabilire se un’impresa, un ente o un professionista debba realmente interrogarsi sulla disciplina dell’alto rischio, è necessario affrontare, prima di ogni altra questione, la definizione di sistema di intelligenza artificiale contenuta nell’art. 3 del Regolamento.

La norma qualifica come sistema di IA un sistema automatizzato progettato per operare con livelli di autonomia variabili, che può eventualmente mostrare adattabilità dopo la diffusione e che, in funzione di obiettivi espliciti o impliciti, deduce dagli input ricevuti il modo in cui generare output quali previsioni, contenuti, raccomandazioni o decisioni capaci di influenzare ambienti fisici o virtuali (art. 3, par. 1, lett a).

Per comprenderne appieno il significato, possiamo scomporre la nozione nei suoi elementi essenziali. Anzitutto, deve trattarsi di un sistema automatizzato, e quindi non di una mera attività umana assistita occasionalmente da strumenti digitali. In secondo luogo, il sistema deve operare con un certo grado di autonomia, nel senso che l’output non coincide con la semplice esecuzione meccanica e trasparente di ogni singolo comando impartito in tempo reale dall’utente.

Inoltre, il sistema deve essere in grado di dedurre dagli input come produrre l’output: è proprio questo il nucleo che distingue l’intelligenza artificiale da molti software tradizionali. Non basta, dunque, che il programma elabori dati; occorre che, a partire dai dati ricevuti, esso sviluppi una logica di inferenza, correlazione, classificazione o generazione che conduce a previsioni, contenuti, raccomandazioni o decisioni. La Commissione europea, nelle linee guida pubblicate nel febbraio 2025, ha chiarito proprio che la definizione va applicata in modo pratico, guardando al funzionamento effettivo del sistema e non alla sola etichetta commerciale attribuitagli dal fornitore.

Non ogni software è un sistema di IA. Un gestionale che si limiti a registrare dati, archiviarli e restituirli secondo regole fisse impostate dall’operatore, di regola, non integra di per sé un sistema di IA. Lo stesso può dirsi per un foglio di calcolo con formule predefinite, per un software che applichi una tabella rigida di condizioni “se/allora” interamente determinata a monte, oppure per un motore di ricerca interno che si limiti a reperire documenti in base a parole chiave senza svolgere inferenze, ranking adattivi o classificazioni complesse.

In tutti questi casi siamo in presenza di automazioni, talvolta sofisticate, ma non necessariamente di sistemi di intelligenza artificiale nel senso proprio accolto dal Regolamento. Diverso è il caso di un sistema che analizzi grandi quantità di dati e, sulla base di modelli statistici o di apprendimento automatico, individui pattern, attribuisca punteggi di affidabilità, ordini candidature, segnali anomalie, generi sintesi, produca testi oppure suggerisca decisioni operative.

Occorre, inoltre, evitare un altro equivoco molto diffuso. Il Regolamento precisa che il sistema può presentare adattabilità dopo la diffusione, ma non richiede che tale adattabilità sia sempre presente. In altri termini, non è necessario che il sistema continui ad apprendere autonomamente una volta immesso sul mercato o posto in esercizio, perché possa essere qualificato come IA.

Anche un sistema basato su un modello addestrato in precedenza, e poi utilizzato in fase operativa per classificare, prevedere o generare output, può rientrare pienamente nella definizione. Allo stesso modo, non è decisivo che l’output sia “creativo” in senso colloquiale: anche una previsione, una raccomandazione o una decisione assistita, se ottenuta attraverso un processo inferenziale dai dati di input, può integrare il risultato tipico di un sistema di IA.

Quali applicazioni sono ritenute ad alto rischio?

L’art. 6 dell’AI Act costruisce la classificazione secondo una duplice direttrice. Da un lato, sono considerati ad alto rischio i sistemi di IA che siano destinati a fungere da componente di sicurezza di un prodotto. Si pensi, in via esemplificativa, a taluni software medici basati su IA, a componenti intelligenti incorporati in macchinari, dispositivi o sistemi tecnici la cui affidabilità assume rilievo essenziale sul piano della sicurezza del prodotto.

Dall’altro lato, e con maggiore frequenza sul piano operativo, l’art. 6 qualifica come ad alto rischio i sistemi di IA destinati agli impieghi specificamente individuati nell’Allegato III, vale a dire nei casi d’uso che il legislatore europeo considera particolarmente sensibili per l’impatto che possono produrre sulla salute, sulla sicurezza e sui diritti fondamentali delle persone.

È proprio l’Allegato III a concentrare, nella pratica, una parte rilevantissima dei casi di alto rischio che imprese, pubbliche amministrazioni e operatori professionali sono chiamati a considerare.

Rientrano in tale perimetro, anzitutto, alcune applicazioni biometriche, come i sistemi di identificazione biometrica remota, di categorizzazione biometrica o di riconoscimento delle emozioni, nella misura in cui non siano già vietati in radice da altre disposizioni del Regolamento.

L’alto rischio emerge poi nei sistemi impiegati come componenti di sicurezza di infrastrutture critiche, ad esempio nei settori del traffico stradale o della fornitura di acqua, gas, riscaldamento ed elettricità, ove un errore o un malfunzionamento del sistema possa incidere direttamente sulla vita e sull’incolumità delle persone.

Ulteriori ipotesi di alto rischio si rinvengono nel settore dell’istruzione e della formazione professionale, quando l’IA sia utilizzata per valutare risultati di apprendimento, orientare percorsi educativi o monitorare condotte rilevanti; nel lavoro e nella gestione del personale, quando il sistema venga impiegato per pubblicare annunci mirati, filtrare candidature, selezionare lavoratori o valutare performance; nei servizi essenziali pubblici o privati, come la valutazione del merito creditizio, l’accesso a prestazioni sanitarie o la determinazione del rischio e del prezzo in relazione ad assicurazioni sulla vita e sulla salute.

Il quadro si completa con i sistemi utilizzati in ambiti particolarmente invasivi sul piano dei diritti fondamentali, quali le attività di law enforcement, la migrazione, l’asilo, il controllo delle frontiere, nonché l’amministrazione della giustizia e i processi democratici.

Occorre, peraltro, aggiungere una precisazione importante, spesso trascurata in sede applicativa. Il fatto che un sistema presenti una certa contiguità con una delle aree dell’Allegato III non comporta in modo automatico e indiscriminato la sua classificazione ad alto rischio in ogni circostanza. L’art. 6, paragrafo 3, prevede infatti una deroga per i sistemi riconducibili alle tipologie dell’Allegato III che non pongano un rischio significativo di danno alla salute, alla sicurezza o ai diritti fondamentali delle persone fisiche, specialmente quando svolgano compiti procedurali ristretti, meramente preparatori, di supporto a un’attività umana già compiuta o di rilevazione di pattern decisionali senza sostituire né influenzare materialmente la valutazione umana finale.

Resta però fermo che un sistema incluso nell’Allegato III è sempre considerato ad alto rischio quando effettua profilazione di persone fisiche. Questo elemento conferma che la classificazione deve essere condotta con metodo, esaminando con precisione la finalità concreta del sistema, il suo grado di incidenza sul processo decisionale e l’effettiva capacità di influenzare posizioni soggettive rilevanti.

Va da ultimo ricordato che l’art. 7 attribuisce alla Commissione il potere di modificare l’Allegato III mediante atti delegati, aggiungendo o modificando casi d’uso e, in determinate condizioni, anche rimuovendoli; la stessa Commissione sottolinea, nelle FAQ ufficiali, che la lista viene riesaminata periodicamente e può essere aggiornata in funzione dell’evoluzione tecnologica e dell’esperienza applicativa.

Prima fase: analisi tecnica del funzionamento del sistema

Una volta chiarito quando un sistema può ricadere nell’area dell’alto rischio, la valutazione deve prendere avvio da un accertamento strettamente tecnico-funzionale. Non è sufficiente fermarsi alla denominazione commerciale del prodotto, né alle formule promozionali con cui il fornitore lo presenta come “AI-powered” o “intelligente”.

Occorre, piuttosto, comprendere in che modo il sistema elabori gli input e generi gli output. Il primo profilo da verificare riguarda, pertanto, l’eventuale impiego di tecniche di machine learning, di addestramento su dati, di modelli statistici o di altri meccanismi inferenziali capaci di ricavare correlazioni, classificazioni o previsioni non interamente predeterminate ex ante.

È proprio questa indagine che consente di distinguere un vero sistema di IA da un software tradizionale fondato su regole fisse e rigidamente codificate. Le linee guida della Commissione sulla definizione di sistema di IA insistono, infatti, sulla necessità di guardare al funzionamento effettivo del sistema e alla sua architettura logica, piuttosto che all’etichetta attribuita dal produttore.

In questa fase, dunque, è necessario acquisire documentazione tecnica, schede di prodotto, descrizioni del modello utilizzato e chiarimenti sul ciclo di elaborazione, così da comprendere se il sistema si limiti ad applicare istruzioni deterministiche oppure se sviluppi inferenze dai dati ricevuti.

Seconda fase: input, dati personali e profilazione

La seconda fase dell’analisi impone di esaminare con attenzione i dati in input utilizzati dal sistema, poiché è proprio dalla natura dei dati raccolti e processati che emerge una parte essenziale del rischio giuridico connesso all’impiego dell’IA.

Occorre chiarire, anzitutto, che il trattamento di dati personali non comporta automaticamente la qualificazione del sistema come alto rischio; tuttavia, esso costituisce un indice di particolare delicatezza, soprattutto quando il sistema elabora informazioni riferibili a persone fisiche per formulare valutazioni, graduatorie, priorità, raccomandazioni o decisioni incidenti sulla loro sfera giuridica o fattuale.

In questa prospettiva, l’operatore deve verificare se il sistema utilizzi dati identificativi, dati comportamentali, dati relativi alla navigazione, dati economici, dati sanitari o altre informazioni personali, e soprattutto se tali dati siano impiegati per attività di profilazione, vale a dire per valutare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze, l’affidabilità o il comportamento dell’interessato.

Ne deriva che, quando un sistema di IA ordina candidature, attribuisce punteggi di rischio, segnala anomalie o classifica utenti e clienti, l’analisi dei dati in input diventa decisiva non solo per la compliance privacy, ma anche per comprendere se il sistema possa ricadere, in concreto, nell’area dell’alto rischio ai sensi dell’art. 6 AI Act.

Terza fase: output deterministico oppure inferenziale o generativo?

La terza fase richiede di soffermarsi sulla natura dell’output prodotto dal sistema, poiché è proprio da tale profilo che spesso emerge la differenza tra un software tradizionale e un sistema di IA rilevante ai fini del Regolamento.

Se, invece, il sistema ricava dall’input una previsione, una classificazione, una raccomandazione, una sintesi o un contenuto attraverso un processo di inferenza, correlazione probabilistica o generazione, allora il suo funzionamento si avvicina in misura molto più marcata alla nozione di IA accolta dall’art. 3 dell’AI Act.

Il Regolamento, infatti, collega espressamente la definizione di sistema di IA alla capacità di generare output quali previsioni, contenuti, raccomandazioni o decisioni, mentre i considerando chiariscono che una caratteristica chiave dell’IA è la sua capacità di inferire come ottenere tali risultati dagli input ricevuti. Ne consegue che, sul piano operativo, occorre verificare se il sistema si limiti a restituire risultati rigidamente programmati oppure se attribuisca punteggi, ordini priorità, segnali anomalie, suggerisca decisioni o produca contenuti suscettibili di orientare in modo concreto l’attività umana successiva.

Quarta fase: riconduzione del sistema a una categoria di alto rischio

Dopo avere analizzato il funzionamento tecnico del sistema, i dati impiegati e la natura dell’output, la verifica deve concludersi con il confronto tra tali elementi e le categorie normative previste dall’art. 6 e dall’Allegato III dell’AI Act.

È in questa fase che si stabilisce se il sistema, avuto riguardo alla sua finalità concreta e al contesto di utilizzo, rientri davvero nell’area dell’alto rischio.

La normativa chiarisce che la classificazione deve essere compiuta guardando all’uso effettivo del sistema e alla funzione che esso svolge nel processo decisionale o operativo. Occorre inoltre ricordare che la mappatura normativa dell’alto rischio non è statica: l’Allegato III può essere aggiornato nel tempo mediante atti delegati della Commissione, così da adeguare la disciplina all’evoluzione tecnologica e all’emersione di nuovi casi d’uso sensibili.

Sistemi ad alto rischio: assistenza legale in IA e nuove tecnologie

Dall’analisi sin qui svolta emerge con chiarezza che la disciplina dell’alto rischio prevista dal Regolamento (UE) 2024/1689 non può essere affrontata in modo approssimativo, né sulla base di mere qualificazioni commerciali del software adottato. Il percorso corretto richiede, anzitutto, di verificare se la soluzione utilizzata integri davvero un sistema di Intelligenza Artificiale ai sensi dell’art. 3; successivamente, occorre accertare se, per caratteristiche funzionali e contesto d’uso, essa possa essere ricondotta a una delle ipotesi di alto rischio previste dall’art. 6 e dall’Allegato III.

Il nostro Studio Legale offre assistenza in materia di diritto dell’innovazione e delle nuove tecnologie, supportando le imprese nell’inquadramento giuridico dei sistemi utilizzati, nella verifica della loro eventuale riconducibilità alle ipotesi di alto rischio e nella predisposizione dei percorsi di adeguamento richiesti dal quadro normativo europeo.

Rivolgiti a noi per un confronto.

 

Ai sensi dell’art. 70-quater della Legge 633/1941, ai fini della tutela del diritto d’autore, si dichiara che il presente contenuto è riservato, e ne è vietata la riproduzione o l’estrazione di testo, anche mediante sistemi di intelligenza artificiale.