L'EU AI Act introduce un nuovo e potente strumento di conformità che molte organizzazioni stanno solo iniziando a comprendere: la valutazione d'impatto sui diritti fondamentali, o FRIA. A differenza delle valutazioni tecniche di conformità incentrate sulle specifiche del sistema, la FRIA impone ai deployer di esaminare in che modo i loro sistemi di IA incidono sui diritti fondamentali delle persone reali, dalla privacy e dalla non discriminazione alla dignità umana e all'accesso alla giustizia. Con gli obblighi relativi all'alto rischio che entrano in vigore nelle diverse fasi di applicazione dell'EU AI Act, le organizzazioni che impiegano sistemi di IA ad alto rischio devono capire non solo cosa sia una FRIA, ma anche come condurla in modo efficace. Questa guida fornisce un quadro di riferimento completo, modelli pratici ed esempi specifici per settore per aiutarvi a rispettare i vostri obblighi ai sensi dell'articolo 27 dell'EU AI Act. Una premessa sui tempi: nel maggio 2026 i legislatori dell'UE hanno concordato in via provvisoria di rinviare le scadenze relative all'alto rischio (si veda la cronologia aggiornata più sotto). L'obbligo della FRIA in sé resta invariato e, finché tale rinvio non diventa legge, vale ancora la data originaria del 2 August 2026, per cui il consiglio pratico è continuare a prepararsi. Potete costruire una bozza di valutazione in pochi minuti con il nostro generatore FRIA gratuito.
Cos'è una valutazione d'impatto sui diritti fondamentali (FRIA)?
Una valutazione d'impatto sui diritti fondamentali è un processo di valutazione sistematica concepito per individuare, valutare e attenuare i potenziali impatti negativi dei sistemi di IA ad alto rischio sui diritti fondamentali delle persone. Prevista dall'articolo 27 dell'EU AI Act, la FRIA rappresenta la prima valutazione d'impatto giuridicamente vincolante al mondo specificamente incentrata sull'IA e sui diritti fondamentali.
La FRIA esamina i potenziali impatti sull'intero spettro dei diritti tutelati dalla Carta dei diritti fondamentali dell'UE, tra cui la dignità umana (articolo 1), il diritto alla vita e all'integrità (articoli 2-3), il rispetto della vita privata e familiare (articolo 7), la protezione dei dati personali (articolo 8), la non discriminazione (articolo 21), la parità tra donne e uomini (articolo 23), i diritti del minore, degli anziani e delle persone con disabilità (articoli 24-26), la libertà di espressione (articolo 11) e il diritto a un ricorso effettivo e a un giudice imparziale (articolo 47).
La valutazione funge da misura proattiva, aiutando le organizzazioni a individuare e affrontare i potenziali danni prima che si verifichino. Se condotta correttamente, una FRIA non solo garantisce la conformità normativa, ma offre anche un'assicurazione etica e una posizione difendibile dinanzi alle autorità e ai tribunali.
FRIA e DPIA a confronto: comprendere le differenze chiave
Molte organizzazioni presumono erroneamente che una FRIA sia semplicemente un nuovo nome per la valutazione d'impatto sulla protezione dei dati (DPIA) già richiesta dal GDPR. Sebbene entrambe le valutazioni esaminino il rischio e condividano somiglianze metodologiche, differiscono sostanzialmente per ambito e finalità.
La DPIA ai sensi dell'articolo 35 del GDPR è incentrata principalmente sulla protezione dei dati e sulla privacy (articoli 7-8 della Carta), è attivata dal trattamento ad alto rischio di dati personali e individua il titolare del trattamento come parte responsabile. La FRIA ai sensi dell'articolo 27 dell'AI Act copre tutti i diritti fondamentali della Carta dell'UE, è attivata dall'impiego di sistemi di IA ad alto rischio e individua il deployer come parte responsabile, applicandosi a prescindere dal coinvolgimento di dati personali.
L'EU AI Act riconosce esplicitamente questo rapporto di complementarità. L'articolo 27, paragrafo 4, stabilisce che, se gli obblighi previsti dalla FRIA sono già soddisfatti tramite una DPIA condotta ai sensi del GDPR, la FRIA deve integrare tale valutazione. Nella pratica, le organizzazioni condurranno spesso entrambe le valutazioni in parallelo e potranno consolidarle in un unico rapporto integrato, ma l'ambito della FRIA è fondamentalmente più ampio.
Una differenza metodologica cruciale è che la FRIA richiede una valutazione per singolo diritto fondamentale. Non è ammissibile compensare un impatto negativo su un diritto (come la non discriminazione) con un impatto positivo su un altro diritto (come l'efficienza operativa). Ogni diritto deve essere valutato in modo indipendente.
| Dimensione | DPIA — articolo 35 del GDPR | FRIA — articolo 27 dell'AI Act |
|---|---|---|
| Finalità principale | Protezione dei dati e privacy (articoli 7-8 della Carta) | Tutti i diritti fondamentali della Carta dell'UE |
| Presupposto di attivazione | Trattamento ad alto rischio di dati personali | Impiego di un sistema di IA ad alto rischio rientrante nell'ambito di applicazione |
| Parte responsabile | Titolare del trattamento | Deployer |
| Sono richiesti dati personali? | Sì: la valutazione riguarda i dati personali | No: si applica anche quando non sono trattati dati personali |
| Metodo di valutazione | Rischio complessivo per gli interessati | Diritto per diritto; nessuna compensazione tra un diritto e l'altro |
| Rapporto reciproco | Può essere riutilizzata come input per una FRIA | Integra, non sostituisce, una DPIA (art. 27, par. 4) |
Quando è richiesta la FRIA ai sensi dell'EU AI Act?
L'obbligo di condurre una FRIA non si applica a ogni deployer di un sistema di IA ad alto rischio. L'articolo 27 stabilisce categorie specifiche di deployer tenuti a completare questa valutazione.
Gli enti pubblici disciplinati dal diritto pubblico devono condurre una FRIA prima di impiegare i sistemi di IA ad alto rischio elencati nell'allegato III. Tali enti sono istituiti per soddisfare bisogni di interesse generale, hanno personalità giuridica, sono finanziati prevalentemente dallo Stato o da autorità pubbliche, oppure sono soggetti al controllo gestionale di autorità pubbliche.
Rientrano nell'ambito di applicazione anche i soggetti privati che forniscono servizi pubblici. Vi rientrano i soggetti che operano nei settori dell'istruzione, della sanità, dei servizi sociali, dell'edilizia abitativa e dell'amministrazione della giustizia. L'ampia espressione "servizi pubblici", priva di criteri definitori, suggerisce l'intenzione del legislatore di comprendere ogni deployer i cui servizi incidano ragionevolmente sull'interesse pubblico.
A prescindere dalla natura pubblica o privata, i deployer devono condurre FRIA per i sistemi di IA destinati a valutare il merito creditizio o a stabilire punteggi di credito (a eccezione di quelli utilizzati per individuare frodi finanziarie) e per i sistemi di IA per la valutazione del rischio e la tariffazione nelle assicurazioni vita e malattia.
- Enti pubblici che utilizzano l'IA ad alto rischio per servizi pubblici
- Soggetti privati che forniscono servizi essenziali (istruzione, sanità, servizi sociali, edilizia abitativa)
- Tutti i deployer che utilizzano l'IA per la valutazione del merito creditizio o per il credit scoring
- Tutti i deployer che utilizzano l'IA per la valutazione del rischio e la tariffazione nelle assicurazioni vita e malattia
Categorie di IA ad alto rischio soggette alla FRIA
Per gli enti pubblici e i soggetti privati che forniscono servizi pubblici, le FRIA sono richieste per i sistemi di IA nella maggior parte delle categorie dell'allegato III.
La categoria 1 (biometria) copre i sistemi di identificazione biometrica remota, la categorizzazione biometrica basata su attributi sensibili e i sistemi di riconoscimento delle emozioni. La categoria 3 (istruzione) comprende i sistemi che determinano l'accesso o l'ammissione agli istituti di istruzione, che valutano i risultati dell'apprendimento, che stabiliscono il livello di istruzione adeguato e che monitorano comportamenti vietati durante le prove.
La categoria 4 (occupazione) copre i sistemi di reclutamento e selezione, i sistemi che incidono su decisioni relative al lavoro (promozione, licenziamento, assegnazione dei compiti) e i sistemi di monitoraggio e valutazione delle prestazioni. La categoria 5 (servizi essenziali) comprende i sistemi che valutano l'ammissibilità alle prestazioni di assistenza pubblica, la valutazione del merito creditizio, la valutazione del rischio nelle assicurazioni vita e malattia, nonché la classificazione e l'instradamento delle chiamate di emergenza.
La categoria 6 (attività di contrasto) copre la valutazione del rischio per le vittime, i sistemi di tipo poligrafo, la valutazione dell'affidabilità delle prove, la valutazione del rischio di reato e i sistemi di profilazione. La categoria 7 (migrazione) comprende i sistemi di valutazione del rischio, l'esame delle domande di asilo e di visto e i sistemi di identificazione. La categoria 8 (giustizia) copre i sistemi a supporto delle autorità giudiziarie e della risoluzione alternativa delle controversie.
Una notevole esenzione: i sistemi di IA utilizzati come componenti di sicurezza nelle infrastrutture digitali critiche, nel traffico stradale o nella fornitura di servizi di pubblica utilità non sono soggetti agli obblighi della FRIA.
Modello FRIA: le sezioni chiave
L'articolo 27, paragrafo 1, specifica gli elementi obbligatori che ogni FRIA deve contenere. Ai sensi dell'articolo 27, paragrafo 5, l'Ufficio europeo per l'IA deve elaborare un modello ufficiale di questionario (compreso uno strumento automatizzato), ma a giugno 2026 non è ancora stato pubblicato, e la sua assenza non esonera dall'obbligo. Nel frattempo, strutturate la vostra valutazione attorno ai sei componenti richiesti illustrati di seguito. Anche lo European Center for Not-for-Profit Law (ECNL) e il Danish Institute for Human Rights hanno pubblicato A Guide to Fundamental Rights Impact Assessments (dicembre 2025), con un modello scaricabile e una metodologia in cinque fasi costruita direttamente sugli elementi dell'articolo 27, paragrafo 1: si tratta di un'utile guida operativa in attesa dello strumento ufficiale (è una guida della società civile, non un modello UE vincolante). Per produrre rapidamente una bozza strutturata, usate il nostro generatore FRIA gratuito oppure scaricate il modello.
La sezione 1 riguarda la descrizione del sistema e la finalità prevista. Documentate i processi del deployer in cui sarà utilizzato il sistema di IA, in linea con la finalità prevista definita dal fornitore. Le informazioni richieste comprendono nome e versione del sistema di IA, recapiti del fornitore, descrizione chiara della finalità prevista, casi d'uso specifici all'interno della vostra organizzazione, contesto e ambiente operativi e specifiche tecniche rilevanti per gli impatti sui diritti.
La sezione 2 riguarda la durata e la frequenza d'uso. Documentate la data di inizio prevista dell'impiego, la durata attesa (indeterminata, a termine fisso, sperimentale), la frequenza d'uso del sistema (continua, periodica, attivata da eventi), le metriche di volume (numero di decisioni al giorno/settimana/mese) e l'ambito geografico.
La sezione 3 riguarda le categorie di persone interessate. Individuate gli utilizzatori diretti, le persone soggette a decisioni guidate dall'IA, i terzi indirettamente interessati e specifici gruppi demografici. Le popolazioni vulnerabili che richiedono particolare attenzione comprendono minori, anziani, persone con disabilità, gruppi socioeconomicamente svantaggiati, minoranze etniche o religiose, persone non madrelingua e individui con scarsa alfabetizzazione digitale.
La sezione 4 riguarda i rischi specifici per i diritti fondamentali. Per ciascun diritto potenzialmente interessato, valutate la probabilità (da rara a quasi certa), la gravità (da trascurabile a catastrofica), la reversibilità (da facilmente reversibile a irreversibile) e l'ampiezza della popolazione interessata (dall'individuo all'intera società).
La sezione 5 riguarda le misure di sorveglianza umana. Documentate le persone designate responsabili della sorveglianza, i requisiti di qualifica e formazione, le capacità di intervento, le procedure di escalation, i protocolli di monitoraggio e i requisiti documentali.
La sezione 6 riguarda le misure di attenuazione del rischio. Comprende misure tecniche (test di bias, soglie di accuratezza, controlli sulla qualità dei dati, registrazione dei log), misure organizzative (strutture di governance, politiche, formazione, cicli di revisione) e garanzie procedurali (diritto alla revisione umana, meccanismi di reclamo, canali di ricorso accessibili, procedure di ripiego).
| Sezione | Cosa documentare | Base giuridica |
|---|---|---|
| 1. Descrizione del sistema e finalità prevista | Processi del deployer, finalità prevista, fornitore, contesto operativo | Art. 27, par. 1, lett. a) |
| 2. Durata e frequenza d'uso | Data di inizio, durata, frequenza, volume, ambito geografico | Art. 27, par. 1, lett. b) |
| 3. Categorie di persone interessate | Soggetti diretti, terzi e gruppi vulnerabili | Art. 27, par. 1, lett. c) |
| 4. Rischi specifici per i diritti fondamentali | Registro dei rischi: ogni diritto, scenario di danno, probabilità, gravità, attenuazione, rischio residuo | Art. 27, par. 1, lett. d) |
| 5. Misure di sorveglianza umana | Ruoli di sorveglianza, poteri di intervento, qualifiche e formazione | Art. 27, par. 1, lett. e) |
| 6. Misure in caso di materializzazione dei rischi | Misure tecniche e organizzative, reclamo/ricorso, notifica all'autorità | Art. 27, par. 1, lett. f) |
Come condurre una FRIA: guida passo-passo
Passo 1: determinare l'applicabilità della FRIA. Confermate che una FRIA sia richiesta verificando se il vostro sistema di IA è classificato come ad alto rischio ai sensi dell'articolo 6 e dell'allegato III, se la vostra organizzazione è un ente pubblico o un soggetto privato che fornisce servizi pubblici, oppure se il sistema di IA rientra nell'allegato III, punto 5, lettera b) o c), relativo alla valutazione del credito o delle assicurazioni.
Passo 2: raccogliere informazioni dal fornitore dell'IA. Il processo FRIA dipende in larga misura dalle informazioni che i fornitori sono tenuti a fornire ai sensi degli articoli 11-13, comprese la documentazione tecnica di cui all'allegato IV, le istruzioni per l'uso, le capacità e i limiti del sistema, i rischi noti e le misure di attenuazione, nonché i dati sui set di dati di addestramento e sui potenziali bias.
Passo 3: comporre il team di valutazione. Le FRIA richiedono competenze diversificate, tra cui professionisti legali e della conformità, responsabili della protezione dei dati, esperti tecnici, esperti di settore (risorse umane, sanità, finanza), rappresentanti che comprendono le comunità interessate e professionisti della gestione del rischio.
Passo 4: mappare le persone e i diritti interessati. Elencate tutte le categorie di persone che interagiscono con il sistema o ne sono interessate, individuate quali diritti fondamentali potrebbero essere coinvolti per ciascuna categoria e considerate sia gli impatti diretti sia quelli indiretti.
Passo 5: condurre la valutazione del rischio. Per ciascun diritto a rischio individuato, descrivete il potenziale scenario di danno, valutate probabilità e gravità, assegnate un livello di rischio e documentate il vostro ragionamento e le prove.
Passo 6: progettare le misure di attenuazione. Per ciascun rischio individuato, proponete misure specifiche, valutatene la fattibilità, valutate il rischio residuo dopo l'attenuazione, documentate la responsabilità dell'attuazione e stabilite meccanismi di monitoraggio.
Passi 7-9: documentate le modalità di sorveglianza umana, istituite meccanismi di reclamo e ricorso e ottenete la revisione e l'approvazione da parte del consulente legale e della dirigenza dell'organizzazione.
Passo 10 - Notificare l'autorità di vigilanza del mercato. Ai sensi dell'articolo 27, paragrafo 3, una volta eseguita la FRIA il deployer deve notificare i relativi risultati alla pertinente autorità di vigilanza del mercato, presentando il modello dell'articolo 27, paragrafo 5, compilato come parte della notifica (e, finché tale modello non è pubblicato, la propria documentazione rispetto ai criteri dell'articolo 27, paragrafo 1). La notifica informa l'autorità che è in uso un sistema ad alto rischio e che è stata completata una valutazione dei diritti. L'unica esenzione è il caso ristretto di cui all'articolo 46, paragrafo 1, in cui un'autorità ha autorizzato l'immissione sul mercato di un sistema per motivi eccezionali quali la pubblica sicurezza o la protezione della vita e della salute, e anche allora solo per un periodo limitato. Gli impieghi ordinari non sono esenti; non esiste alcuna esenzione generale per "attività di contrasto" o "riservatezza operativa".
Esempi di FRIA per settore
Esempio di credit scoring nei servizi finanziari: una banca che impiega l'IA per la valutazione del merito creditizio deve individuare i gruppi interessati (richiedenti di prestiti, con un rischio maggiore per le popolazioni storicamente sottoservite), i principali diritti a rischio (non discriminazione, diritto di proprietà, accesso ai servizi essenziali), i fattori di rischio (i dati di addestramento possono riflettere bias storici, le variabili proxy potrebbero correlarsi con caratteristiche protette) e attuare misure di attenuazione tra cui regolari audit sui bias, percorsi di valutazione alternativi, revisione umana dei casi limite e spiegazioni chiare dei fattori decisionali.
Esempio di triage sanitario basato sull'IA: un pronto soccorso ospedaliero che utilizza l'IA per stabilire le priorità nell'assistenza ai pazienti deve affrontare i gruppi interessati (tutti i pazienti del pronto soccorso, con maggiore attenzione per anziani, persone con disabilità, persone non madrelingua), i diritti principali (diritto alla vita, accesso all'assistenza sanitaria, dignità umana, non discriminazione), i fattori di rischio (potenziali bias nel riconoscimento dei sintomi tra i diversi gruppi demografici) e garantire che l'IA funga esclusivamente da supporto decisionale, con una valutazione clinica umana obbligatoria.
Esempio di selezione dei CV nelle risorse umane: un'azienda che utilizza l'IA per lo screening dei CV deve considerare i gruppi interessati (tutti i candidati, in particolare quelli con percorsi non tradizionali, interruzioni di carriera, qualifiche estere), i diritti principali (non discriminazione, diritto al lavoro, parità tra donne e uomini), i fattori di rischio (i dati storici sulle assunzioni possono incorporare bias) e attuare misure tra cui l'anonimizzazione delle caratteristiche protette, regolari test sui bias e la revisione umana delle candidature respinte nei gruppi sottorappresentati.
Valutare i rischi della FRIA: probabilità x gravità
Per ciascun rischio individuato, valutate la probabilità che il danno si verifichi e la sua gravità qualora si verifichi. Una semplice matrice trasforma questi due giudizi in un unico livello di rischio che potete dare priorità e monitorare. Usate una scala coerente nell'intera valutazione e annotate il ragionamento alla base di ciascun giudizio: le autorità tengono al vostro metodo tanto quanto alle vostre conclusioni.
| Probabilità / Gravità | Trascurabile | Lieve | Moderata | Grave | Catastrofica |
|---|---|---|---|---|---|
| Rara | Basso | Basso | Basso | Medio | Medio |
| Improbabile | Basso | Basso | Medio | Medio | Alto |
| Possibile | Basso | Medio | Medio | Alto | Alto |
| Probabile | Medio | Medio | Alto | Alto | Critico |
| Quasi certa | Medio | Alto | Alto | Critico | Critico |
Esempio pratico: un registro dei rischi FRIA completato
La sezione 4 è il punto in cui una FRIA diventa concreta. Il registro seguente mostra come una banca che impiega un sistema di IA per il merito creditizio potrebbe documentare i propri rischi: ciascun diritto fondamentale in gioco, lo scenario di danno, un giudizio su probabilità e gravità, l'attenuazione e il rischio residuo che permane successivamente. È questo il livello di specificità che le autorità e i tribunali si attendono, ed è esattamente ciò che produce il generatore FRIA.
| Diritto fondamentale | Scenario di danno | Probabilità | Gravità | Rischio | Attenuazione | Residuo |
|---|---|---|---|---|---|---|
| Non discriminazione (art. 21) | I dati di addestramento riflettono bias storici; le variabili proxy (ad es. il codice postale) si correlano con caratteristiche protette, producendo tassi di rifiuto differenziati. | Possibile | Grave | Alto | Test trimestrali sull'impatto differenziato; rimozione o trasformazione delle caratteristiche proxy; revisione umana di tutti i rifiuti per i gruppi sottorappresentati. | Medio |
| Accesso ai servizi essenziali / proprietà | Un punteggio erroneamente basso nega indebitamente il credito, limitando l'accesso all'abitazione o ad acquisti essenziali. | Improbabile | Grave | Medio | Percorso alternativo di valutazione manuale; override umano; spiegazione chiara della decisione sfavorevole al richiedente. | Basso |
| Protezione dei dati personali (art. 8) | Dati personali eccessivi o inesatti compromettono l'equità e l'accuratezza della decisione. | Possibile | Moderata | Medio | Revisione di minimizzazione dei dati; integrazione con la DPIA del GDPR; controlli sulla qualità dei dati in linea con l'articolo 10. | Basso |
Integrare la FRIA con altri obblighi di conformità
Allineamento con la DPIA del GDPR: quando un sistema di IA tratta dati personali, è probabile che servano sia una DPIA sia una FRIA. Le strategie comprendono la conduzione in parallelo, la costruzione sulla DPIA esistente con estensione ad altri diritti, l'uso di quadri di valutazione del rischio coerenti, il consolidamento della documentazione e il coordinamento delle misure di sorveglianza.
Collegamento con la documentazione tecnica dell'allegato IV: i deployer che conducono FRIA dovrebbero richiedere la documentazione di cui all'allegato IV ai fornitori, utilizzare le valutazioni del rischio del fornitore come input, verificare che le misure documentate dal fornitore siano attuate nel proprio contesto di impiego e documentare eventuali rischi specifici dell'impiego non coperti dalla documentazione del fornitore.
Rapporto con la valutazione di conformità: sebbene la valutazione di conformità sia principalmente un obbligo del fornitore, i deployer dovrebbero verificare che il sistema di IA abbia completato la valutazione di conformità, comprendere cosa essa abbia coperto e riconoscere che la valutazione di conformità affronta i requisiti tecnici, mentre la FRIA affronta gli impatti sui diritti fondamentali specifici dell'impiego.
Registrazione nella banca dati dell'UE: i sistemi di IA ad alto rischio devono essere registrati nella banca dati dell'UE ai sensi dell'articolo 71. Assicuratevi che il vostro sistema sia correttamente registrato dal fornitore e che le informazioni di registrazione siano coerenti con la vostra documentazione FRIA.
Sanzioni ed enforcement
La non conformità agli obblighi del deployer espone le organizzazioni al livello sanzionatorio intermedio dell'EU AI Act: sanzioni fino a EUR 15 million or 3% del fatturato mondiale totale annuo, se superiore (articolo 99, paragrafo 4). Tale livello è inferiore a quello massimo di EUR 35 million or 7% riservato alle violazioni dei divieti dell'articolo 5 (articolo 99, paragrafo 3). Una sfumatura da segnalare per accuratezza: l'articolo 99, paragrafo 4, enumera la disposizione sugli obblighi del deployer (articolo 26) ma non nomina espressamente l'articolo 27 (la FRIA). L'interpretazione prevalente tra gli operatori è che una mancata FRIA sia una violazione degli obblighi del deployer che ricade in questo stesso livello di EUR 15M / 3%, ma il vuoto testuale è reale, e si applicano anche le norme sanzionatorie degli Stati membri (articolo 99, paragrafi 1-2). Le PMI e le start-up sono soggette al limite inferiore tra la percentuale e l'importo fisso (articolo 99, paragrafo 6). Le autorità di vigilanza del mercato hanno il potere di indagare e di imporre azioni correttive.
Al di là delle sanzioni formali, la mancata conduzione di FRIA adeguate genera un rischio reputazionale derivante da violazioni dei diritti fondamentali, responsabilità giuridica in caso di materializzazione dei danni e rischio operativo qualora le autorità impongano modifiche o la sospensione del sistema.
Cronologia e prossimi passi
L'EU AI Act si applica per fasi. I divieti dell'articolo 5 e gli obblighi di alfabetizzazione in materia di IA si applicano dal 2 February 2025; gli obblighi relativi ai modelli di intelligenza artificiale per finalità generali (GPAI), le norme di governance e il quadro sanzionatorio si applicano dal 2 August 2025. Gli obblighi relativi all'alto rischio, compresa la FRIA di cui all'articolo 27, dovevano originariamente applicarsi dal 2 August 2026 per i sistemi autonomi dell'allegato III e dal 2 August 2027 per l'IA ad alto rischio integrata in prodotti regolamentati.
Nel novembre 2025 la Commissione ha proposto il pacchetto di semplificazione Digital Omnibus e, intorno al 7 maggio 2026, il Consiglio e il Parlamento europeo hanno raggiunto un accordo politico provvisorio per rinviare le scadenze relative all'alto rischio a due date fisse: 2 December 2027 per i sistemi autonomi dell'allegato III e 2 August 2028 per quelli integrati nei prodotti. Fatto cruciale, questo non è ancora legge. Richiede ancora l'approvazione del Parlamento e del Consiglio, la revisione giuridico-linguistica e la pubblicazione nella Gazzetta ufficiale (prevista prima del 2 August 2026). Le date rinviate producono effetti giuridici solo con la pubblicazione, per cui fino ad allora il 2 August 2026 resta la data vincolante della FRIA, e dovreste continuare a prepararvi su questa base.
Notate ciò che l'Omnibus non rinvia: gli obblighi di trasparenza dell'articolo 50 (rendere noto che gli utenti interagiscono con l'IA e contrassegnare i contenuti generati dall'IA e i deepfake) si applicano comunque dal 2 August 2026. L'unica concessione è un breve periodo di tolleranza per la marcatura leggibile dalla macchina dei sistemi generativi già presenti sul mercato, prorogato al 2 December 2026. In sintesi: i tempi della FRIA si spostano, quelli della trasparenza no.
| Obbligo | Data originaria | Dopo il Digital Omnibus* |
|---|---|---|
| Pratiche vietate (art. 5) + alfabetizzazione IA | 2 Feb 2025 | Invariata |
| Modelli GPAI, governance, sanzioni | 2 Aug 2025 | Invariata |
| Trasparenza (art. 50) | 2 Aug 2026 | Invariata (tolleranza marcatura fino al 2 Dec 2026) |
| FRIA + alto rischio, autonomi (allegato III) | 2 Aug 2026 | 2 Dec 2027 |
| Alto rischio integrato nei prodotti (allegato I) | 2 Aug 2027 | 2 Aug 2028 |
Una roadmap pratica di preparazione alla FRIA
12+ mesi prima della data applicabile: inventariate tutti i sistemi di IA, classificateli per livello di rischio, individuate quali richiedono una FRIA, iniziate a raccogliere informazioni dai fornitori e istituite le strutture di governance.
6-12 mesi prima: sviluppate modelli e procedure FRIA, formate il personale, conducete FRIA pilota e attuate misure tecniche per la sorveglianza umana.
3-6 mesi prima: completate le FRIA per tutti i sistemi rientranti nell'ambito di applicazione, documentate le misure di attenuazione e verificatene l'attuazione, istituite meccanismi di reclamo e ricorso e preparate le notifiche da presentare ai sensi dell'articolo 27, paragrafo 3.
In modo continuativo dopo la conformità: monitorate i sistemi di IA per cogliere i cambiamenti che richiedono aggiornamenti della FRIA, tenete traccia degli orientamenti normativi dell'Ufficio per l'IA (compreso l'atteso modello ufficiale), conducete revisioni periodiche e mantenete documentazione e tracce di audit.
Domande frequenti
Qual è la differenza tra FRIA e DPIA?
La DPIA ai sensi dell'articolo 35 del GDPR si concentra specificamente sulla protezione dei dati e sui diritti alla privacy quando si trattano dati personali. La FRIA ai sensi dell'articolo 27 dell'AI Act ha un ambito più ampio e valuta gli impatti su tutti i diritti fondamentali della Carta dell'UE, tra cui la non discriminazione, la dignità, la libertà di espressione, l'accesso alla giustizia e molti altri. Inoltre, le FRIA possono essere richieste anche quando non sono trattati dati personali. Sebbene le organizzazioni possano integrare entrambe le valutazioni, la FRIA richiederà di norma un'analisi aggiuntiva rispetto a quanto coperto da una DPIA.
Chi è responsabile della conduzione della FRIA?
L'obbligo della FRIA ricade sui deployer dei sistemi di IA ad alto rischio, non sui fornitori. Tuttavia, i fornitori svolgono un ruolo di supporto fornendo le informazioni di cui i deployer hanno bisogno per completare le proprie valutazioni. Nella pratica, i deployer possono basarsi su FRIA o valutazioni d'impatto precedentemente condotte dai fornitori se le circostanze sono sufficientemente simili, ma la responsabilità ultima e la rendicontabilità restano in capo al deployer.
Con quale frequenza deve essere aggiornata la FRIA?
La FRIA deve essere condotta prima del primo impiego del sistema di IA ad alto rischio. Gli aggiornamenti sono richiesti ogniqualvolta il deployer stabilisca che uno qualsiasi degli elementi valutati è cambiato o non è più attuale. Ciò comprende modifiche al sistema di IA stesso, cambiamenti nel contesto di impiego, cambiamenti nelle popolazioni interessate o nuove informazioni sui rischi. Le organizzazioni dovrebbero istituire cicli di revisione periodica per individuare in modo proattivo quando sono necessari aggiornamenti.
L'Ufficio per l'IA fornisce un modello FRIA ufficiale?
L'articolo 27, paragrafo 5, impone all'Ufficio europeo per l'IA di elaborare un modello di questionario, compreso uno strumento automatizzato, per aiutare i deployer a conformarsi. A giugno 2026 questo modello ufficiale non è ancora stato pubblicato, e non esiste una scadenza tassativa per esso, ma la sua assenza non esonera dall'obbligo della FRIA. Nel frattempo, costruite la vostra valutazione attorno agli elementi dell'articolo 27, paragrafo 1. L'ECNL e il Danish Institute for Human Rights hanno pubblicato A Guide to Fundamental Rights Impact Assessments (dicembre 2025) con un modello operativo, e potete generare subito una bozza strutturata con il nostro generatore FRIA gratuito. Quando il modello ufficiale sarà rilasciato, allineate le vostre valutazioni a esso.
Il Digital Omnibus ha posticipato la scadenza della FRIA?
Di fatto sì, ma non è ancora definitivo. Il Digital Omnibus dell'UE, concordato in via provvisoria nel maggio 2026, sposterebbe la data di applicazione relativa all'alto rischio (che la FRIA segue) dal 2 August 2026 al 2 December 2027 per i sistemi autonomi dell'allegato III. Tuttavia, l'accordo non è ancora legge: deve ancora essere formalmente adottato e pubblicato nella Gazzetta ufficiale. Fino ad allora la data originaria del 2 August 2026 è giuridicamente vincolante, per cui i deployer prudenti continuano a prepararsi sin da ora. L'Omnibus modifica i tempi, non la sostanza, dell'articolo 27.
È necessario notificare qualcuno dopo aver completato una FRIA?
Sì. Ai sensi dell'articolo 27, paragrafo 3, dopo aver eseguito la FRIA il deployer deve notificarne i risultati alla pertinente autorità di vigilanza del mercato, presentando il modello dell'articolo 27, paragrafo 5, una volta che esiste (e la propria documentazione fino ad allora). L'unica esenzione è il caso ristretto dell'articolo 46, paragrafo 1 - un sistema autorizzato per motivi eccezionali quali la pubblica sicurezza o la protezione della vita e della salute - e solo per un periodo limitato. Gli impieghi ordinari non sono esenti.
Possiamo utilizzare una DPIA esistente per soddisfare gli obblighi della FRIA?
In parte. L'articolo 27, paragrafo 4, consente ai deployer di basarsi sulle DPIA esistenti nella conduzione delle FRIA. Se determinati obblighi della FRIA sono già soddisfatti tramite una DPIA, la FRIA dovrebbe integrare anziché duplicare tale valutazione. Tuttavia, dato l'ambito più ampio della FRIA che copre tutti i diritti fondamentali (non solo la protezione dei dati), sarà quasi sempre necessaria un'analisi aggiuntiva rispetto a quanto coperto da una DPIA.
Cosa succede se individuiamo rischi elevati che non possono essere attenuati?
A differenza delle DPIA del GDPR, la FRIA è principalmente un obbligo documentale e non ha il potere di bloccare l'impiego di un sistema di IA ad alto rischio a prescindere dai rischi individuati. Tuttavia, impiegare sistemi con rischi elevati non attenuati per i diritti fondamentali genera una significativa esposizione giuridica, reputazionale e operativa. Le organizzazioni dovrebbero valutare attentamente se l'impiego sia consigliabile quando rischi sostanziali non possono essere adeguatamente affrontati.
Punti chiave
La FRIA rappresenta un nuovo e significativo obbligo di conformità, ma è anche un'opportunità per dimostrare un impiego responsabile dell'IA e costruire fiducia con i clienti, le autorità e il pubblico. Le organizzazioni che investono in FRIA approfondite e ponderate saranno meglio posizionate per individuare i rischi in anticipo, attuare garanzie efficaci e orientarsi in un panorama normativo in evoluzione. I tempi sono in divenire - il Digital Omnibus sposterebbe la scadenza relativa all'alto rischio (e quindi alla FRIA) al 2 December 2027, ma finché ciò non diventa legge la data vincolante resta il 2 August 2026 - per cui la mossa intelligente è la stessa in entrambi i casi: iniziare ora. Inventariate i vostri sistemi di IA, individuate quali richiedono una FRIA e costruite una prima bozza con il generatore FRIA gratuito o il modello scaricabile. Il presente articolo ha finalità puramente informative generali e non costituisce consulenza legale; confermate i vostri obblighi ai sensi dell'articolo 27 con un consulente qualificato e verificate nuovamente lo stato normativo prima di fare affidamento su qualsiasi scadenza.