EU AI Act e Selezione: Guida Pratica per Tool, Vendor e Processi

=

TL;DR: L’EU AI Act guida la selezione di tool e vendor AI, classificando i sistemi ad alto rischio e definendo una due diligence rigorosa per garantire conformità e mitigare i bias, con scadenze operative fino al 2028.

L’entrata in vigore ufficiale dell’EU AI Act, avvenuta il 1° agosto 2024, segna l’inizio di una nuova era per la governance aziendale in Europa. Per le imprese italiane, l’integrazione dell’intelligenza artificiale non è più una mera sfida tecnologica, ma un percorso di compliance legale che trasforma radicalmente la selezione dei fornitori e la gestione dei processi interni. In questo scenario, adottare una “Trustworthy AI” (IA affidabile) non rappresenta solo un obbligo normativo, ma un vantaggio competitivo cruciale per costruire fiducia con stakeholder e candidati.

1. L’EU AI Act e la classificazione dei sistemi: Identificare l’alto rischio
   1. Sistemi IA nella selezione del personale: Perché sono considerati ad alto rischio
2. Due Diligence dei Vendor: Framework operativo per la selezione di tool AI
   1. Checklist operativa per la valutazione dei fornitori AI
3. Governance dei dati e mitigazione dei bias: Allineamento tra AI Act e GDPR
   1. L’informativa rafforzata per i lavoratori in Italia
4. Roadmap della conformità: Scadenze critiche dal 2025 al 2028
   1. Modelli GPAI e l’impatto sull’IA Generativa in azienda
5. Fonti e Risorse Autorevoli

L’EU AI Act e la classificazione dei sistemi: Identificare l’alto rischio

Il cuore del Regolamento (UE) 2024/1689 risiede in un approccio basato sul rischio. La classificazione corretta di un sistema IA è il primo passo per determinarne gli obblighi di conformità. Secondo il Quadro normativo ufficiale dell’UE sull’IA, i sistemi sono suddivisi in categorie che vanno dal rischio inaccettabile (vietati) al rischio minimo. Gli Articoli 6 e 9 del regolamento definiscono i criteri per i sistemi ad alto rischio, i quali devono rispettare requisiti rigorosi in termini di gestione dei rischi, governance dei dati e documentazione tecnica [1].

Sistemi IA nella selezione del personale: Perché sono considerati ad alto rischio

Nell’ambito delle risorse umane, la classificazione diventa particolarmente sensibile. L’Allegato III dell’AI Act identifica esplicitamente i tool utilizzati per il recruiting, il filtraggio delle candidature e la valutazione dei lavoratori come sistemi ad alto rischio. Questa decisione deriva dal potenziale impatto significativo che tali strumenti hanno sui diritti fondamentali e sulle opportunità di carriera degli individui. Come evidenziato dalle analisi di Lavoro Diritti Europa, l’uso di algoritmi per determinare la reputazione o assegnare compiti può introdurre bias discriminatori se non adeguatamente monitorato [2]. Identificare correttamente questi sistemi nella selezione del personale è fondamentale per evitare sanzioni e garantire un trattamento equo dei candidati.

Due Diligence dei Vendor: Framework operativo per la selezione di tool AI

Per i responsabili compliance e HR, la selezione di un nuovo software IA richiede oggi una due diligence tecnica e legale approfondita. Non è più sufficiente valutare le performance del tool; è necessario verificare che il fornitore rispetti i requisiti del Testo integrale del Regolamento (UE) 2024/1689 (AI Act) [1]. Un elemento chiave in questa fase è il ricorso agli standard tecnici armonizzati sviluppati dal CEN-CENELEC JTC 21. L’adesione a questi standard fornisce alle aziende una “presunzione legale di conformità”, facilitando la dimostrazione del rispetto degli obblighi previsti dagli Articoli 9 e 10 [3]. Inoltre, l’Articolo 11 impone l’obbligo di redigere e mantenere una documentazione tecnica esaustiva prima che il sistema sia immesso sul mercato o messo in servizio.

Checklist operativa per la valutazione dei fornitori AI

Per mappare correttamente i fornitori e garantire la trasparenza, le aziende dovrebbero adottare una checklist strutturata che integri le Linee guida del Garante Privacy sull’Intelligenza Artificiale [4]. La priorità deve essere data alla governance dei dati (Art. 10) e alla mitigazione proattiva dei bias discriminatori, elementi essenziali per la conformità e l’etica aziendale.

Verifica della documentazione tecnica e dei log di sistema

I deployer (utilizzatori) devono richiedere ai vendor log di funzionamento dettagliati e una documentazione tecnica che spieghi il funzionamento logico del sistema. L’Articolo 12 del regolamento sottolinea l’importance della tracciabilità: i sistemi ad alto rischio devono consentire la registrazione automatica degli eventi (log) durante il loro ciclo di vita per permettere il monitoraggio delle prestazioni e l’identificazione di eventuali anomalie [1].

Analisi dei set di dati di addestramento e validazione

Un pilastro della conformità è la qualità dei dati. Le aziende devono verificare se il vendor ha utilizzato set di dati rappresentativi, appropriati e privi di bias sistemici. Seguendo le linee guida del Garante Europeo della Protezione dei Dati (EDPS) di ottobre 2025, è necessario condurre valutazioni d’impatto sui diritti fondamentali (FRIA) e assicurare la massima trasparenza sulle fonti di addestramento per prevenire discriminazioni automatizzate [5].

Governance dei dati e mitigazione dei bias: Allineamento tra AI Act e GDPR

La conformità all’AI Act non sostituisce il GDPR, ma lo integra. La gestione dei processi aziendali deve riflettere questa sinergia, specialmente per quanto riguarda la mitigazione dei bias e il principio di sorveglianza umana previsto dall’Articolo 14. In Italia, l’allineamento normativo è ulteriormente rafforzato dalle Linee guida del Garante Privacy sull’Intelligenza Artificiale, che pongono l’accento sulla protezione dei dati personali nei processi decisionali automatizzati [4].

L’informativa rafforzata per i lavoratori in Italia

Un cambiamento significativo per le PMI italiane è introdotto dalla Legge 23 settembre 2025, n. 132. Questa legge delega coordina l’AI Act con il diritto del lavoro nazionale, introducendo l’obbligo di “Informativa Rafforzata”. I datori di lavoro devono fornire un preavviso di almeno 24 ore ai lavoratori in caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati basati su IA [6]. Questo requisito mira a garantire la massima trasparenza e a proteggere la dignità dei lavoratori nel contesto dell’innovazione digitale.

Roadmap della conformità: Scadenze critiche dal 2025 al 2028

Pianificare l’adeguamento è essenziale per non bloccare l’innovazione. La roadmap normativa prevede tappe fondamentali:

• 2 agosto 2025: Applicazione delle linee guida del Dettagli sul Codice di Buone Pratiche per la GPAI (2025) per i modelli di IA per finalità generali.
• 2 agosto 2026: Entrata in vigore della maggior parte degli obblighi per i sistemi ad alto rischio.
• 2028: Istituzioni degli spazi di sperimentazione normativa (sandbox) per favorire l’innovazione controllata.

Modelli GPAI e l’impatto sull’IA Generativa in azienda

La gestione dei modelli per finalità generali (GPAI), come i sistemi di IA generativa, richiede un’attenzione particolare. Le aziende che integrano questi strumenti nei propri processi devono assicurarsi che i fornitori rispettino i requisiti di trasparenza e le norme sul copyright. Le linee guida EDPS di ottobre 2025 forniscono criteri operativi per bilanciare l’uso di IA generativa e la protezione dei dati, sottolineando la necessità di monitoraggio continuo [5].

In conclusione, l’adeguamento all’EU AI Act richiede una visione strategica che unisca competenze legali, tecniche e HR. Una due diligence rigorosa dei vendor, unita a una solida governance dei dati e al rispetto delle scadenze normative, permette di trasformare la compliance da un onere burocratico a una leva di crescita reputazionale. La conformità non è un evento una tantum, ma un processo continuo di monitoraggio e adattamento.

Scarica la nostra checklist di self-assessment per la selezione dei vendor AI e inizia oggi a mappare i tuoi sistemi ad alto rischio.

Il presente articolo ha scopo puramente informativo e non costituisce consulenza legale. Si raccomanda di consultare un esperto per l’adeguamento dei processi aziendali specifici.

Punti chiave

• L’EU AI Act impone nuove regole per i sistemi IA, specialmente quelli ad alto rischio.
• È cruciale una due diligence approfondita dei fornitori di tool IA prima dell’implementazione.
• La governance dei dati e la mitigazione dei bias sono fondamentali per allinearsi all’AI Act e al GDPR.
• Le scadenze normative per la conformità all’AI Act vanno dal 2025 al 2028.

Fonti e Risorse Autorevoli

1. Parlamento Europeo e Consiglio dell’Unione Europea. (2024). Regolamento (UE) 2024/1689 che stabilisce regole armonizzate sull’intelligenza artificiale (L’Atto sull’IA). EUR-Lex.
2. Lavoro Diritti Europa. (N.D.). Analisi sull’impatto dell’IA nella selezione del personale.
3. CEN-CENELEC JTC 21. (N.D.). Artificial Intelligence – CEN-CENELEC Joint Technical Committee 21. Standard tecnici armonizzati per l’attuazione dell’EU AI Act.
4. Garante per la protezione dei dati personali (GPDP). (N.D.). Linee guida sull’Intelligenza Artificiale.
5. Garante Europeo della Protezione dei Dati (EDPS). (2025). Orientations on Generative Artificial Intelligence and Personal Data Protection.
6. Gazzetta Ufficiale della Repubblica Italiana. (2025). Legge 23 settembre 2025, n. 132 – Disposizioni e deleghe in materia di Intelligenza Artificiale.