Il Regolamento UE sull'IA introduce un nuovo e potente strumento di conformità che molte organizzazioni stanno solo iniziando a comprendere: la Valutazione d'Impatto sui Diritti Fondamentali, o FRIA (Fundamental Rights Impact Assessment). A differenza delle valutazioni di conformità tecnica incentrate sulle specifiche di sistema, la FRIA impone ai deployer di esaminare in che modo i propri sistemi di IA incidono sui diritti fondamentali delle persone reali — dalla privacy e non discriminazione alla dignità umana e all'accesso alla giustizia. Con la scadenza per la conformità fissata ad agosto 2026, le organizzazioni che implementano sistemi di IA ad alto rischio devono comprendere non solo cos'è una FRIA, ma come condurla in modo efficace. Questa guida fornisce un quadro completo, modelli pratici ed esempi settoriali per aiutarvi a soddisfare gli obblighi previsti dall'Articolo 27 del Regolamento UE sull'IA.
Cos'è una Valutazione d'Impatto sui Diritti Fondamentali (FRIA)?
La Valutazione d'Impatto sui Diritti Fondamentali è un processo di valutazione sistematica concepito per identificare, valutare e mitigare i potenziali impatti negativi dei sistemi di IA ad alto rischio sui diritti fondamentali degli individui. Prevista dall'Articolo 27 del Regolamento UE sull'IA, la FRIA rappresenta la prima valutazione d'impatto al mondo giuridicamente vincolante specificamente dedicata all'IA e ai diritti fondamentali.
La FRIA esamina i potenziali impatti sull'intero spettro dei diritti tutelati dalla Carta dei Diritti Fondamentali dell'UE, tra cui la dignità umana (Articolo 1), il diritto alla vita e all'integrità (Articoli 2-3), il rispetto della vita privata e familiare (Articolo 7), la protezione dei dati personali (Articolo 8), la non discriminazione (Articolo 21), la parità tra donne e uomini (Articolo 23), i diritti dei minori, degli anziani e delle persone con disabilità (Articoli 24-26), la libertà di espressione (Articolo 11) e il diritto a un ricorso effettivo e a un giudice imparziale (Articolo 47).
La valutazione costituisce una misura proattiva che aiuta le organizzazioni a identificare e affrontare i potenziali danni prima che si verifichino. Condotta in modo adeguato, la FRIA non solo garantisce la conformità normativa, ma offre anche una garanzia etica e una posizione difendibile nei confronti delle autorità di regolamentazione e dei tribunali.
FRIA vs. DPIA: le differenze fondamentali
Molte organizzazioni presumono erroneamente che la FRIA sia semplicemente un nuovo nome per la Valutazione d'Impatto sulla Protezione dei Dati (DPIA) già prevista dal GDPR. Sebbene entrambe le valutazioni analizzino i rischi e condividano somiglianze metodologiche, differiscono sostanzialmente per ambito e oggetto.
La DPIA ai sensi dell'Articolo 35 del GDPR è focalizzata principalmente sulla protezione dei dati e sulla privacy (Articoli 7-8 della Carta), è attivata dal trattamento ad alto rischio di dati personali e il titolare del trattamento ne è il soggetto responsabile. La FRIA ai sensi dell'Articolo 27 del Regolamento sull'IA copre tutti i diritti fondamentali della Carta dell'UE, è attivata dall'implementazione di sistemi di IA ad alto rischio e il deployer ne è il soggetto responsabile — e si applica indipendentemente dal coinvolgimento di dati personali.
Il Regolamento UE sull'IA riconosce esplicitamente questa relazione di complementarità. L'Articolo 27(4) stabilisce che, se gli obblighi della FRIA sono già soddisfatti attraverso una DPIA condotta ai sensi del GDPR, la FRIA deve integrare tale valutazione. In pratica, le organizzazioni condurranno spesso entrambe le valutazioni contestualmente e potranno consolidarle in un unico rapporto integrato — ma l'ambito della FRIA è fondamentalmente più ampio.
Una differenza metodologica cruciale è che la FRIA richiede una valutazione per singolo diritto fondamentale. Non è ammissibile compensare un impatto negativo su un diritto (come la non discriminazione) con un impatto positivo su un altro diritto (come l'efficienza operativa). Ogni diritto deve essere valutato in modo indipendente.
Quando è obbligatoria la FRIA ai sensi del Regolamento UE sull'IA?
L'obbligo di condurre una FRIA non si applica a qualsiasi deployer di un sistema di IA ad alto rischio. L'Articolo 27 individua categorie specifiche di deployer tenuti a completare questa valutazione.
Gli enti pubblici di diritto pubblico devono condurre una FRIA prima di implementare sistemi di IA ad alto rischio elencati nell'Allegato III. Tali enti sono istituiti per soddisfare esigenze di interesse generale, hanno personalità giuridica, sono finanziati prevalentemente dallo Stato o da autorità pubbliche, oppure sono soggetti alla supervisione gestionale di autorità pubbliche.
Anche le entità private che forniscono servizi pubblici rientrano nell'ambito di applicazione. Ciò include enti operanti nei settori dell'istruzione, della sanità, dei servizi sociali, dell'edilizia abitativa e dell'amministrazione della giustizia. L'ampia nozione di "servizi pubblici" senza criteri definitori specifici suggerisce un intento legislativo volto a coprire qualsiasi deployer i cui servizi incidano ragionevolmente sull'interesse pubblico.
Indipendentemente dalla natura pubblica o privata, i deployer devono condurre FRIA per sistemi di IA destinati a valutare l'affidabilità creditizia o a stabilire punteggi di credito (ad eccezione di quelli utilizzati per il rilevamento di frodi finanziarie), nonché per sistemi di IA per la valutazione del rischio e la determinazione dei prezzi nelle assicurazioni vita e malattia.
- Enti pubblici che utilizzano IA ad alto rischio per servizi pubblici
- Entità private che forniscono servizi essenziali (istruzione, sanità, servizi sociali, edilizia abitativa)
- Tutti i deployer che utilizzano IA per la valutazione dell'affidabilità creditizia o il credit scoring
- Tutti i deployer che utilizzano IA per la valutazione del rischio e la determinazione dei prezzi nelle assicurazioni vita e malattia
Categorie di IA ad alto rischio soggette a FRIA
Per gli enti pubblici e le entità private che forniscono servizi pubblici, le FRIA sono obbligatorie per i sistemi di IA nella maggior parte delle categorie dell'Allegato III.
La Categoria 1 (Biometria) comprende i sistemi di identificazione biometrica remota, la categorizzazione biometrica basata su attributi sensibili e i sistemi di riconoscimento delle emozioni. La Categoria 3 (Istruzione) include i sistemi che determinano l'accesso o l'ammissione a istituti di istruzione, la valutazione dei risultati di apprendimento, la determinazione del livello di istruzione adeguato e il monitoraggio di comportamenti vietati durante gli esami.
La Categoria 4 (Occupazione) copre i sistemi di reclutamento e selezione, i sistemi che influenzano decisioni lavorative (promozione, cessazione del rapporto, assegnazione di compiti) e i sistemi di monitoraggio e valutazione delle prestazioni. La Categoria 5 (Servizi essenziali) include i sistemi di valutazione dell'idoneità a prestazioni di assistenza pubblica, la valutazione dell'affidabilità creditizia, la valutazione del rischio nelle assicurazioni vita e malattia, e la classificazione e smistamento delle chiamate di emergenza.
La Categoria 6 (Attività di contrasto) copre la valutazione del rischio per le vittime, i sistemi di tipo poligrafico, la valutazione dell'affidabilità delle prove, la valutazione del rischio di recidiva e i sistemi di profilazione. La Categoria 7 (Migrazione) include i sistemi di valutazione del rischio, l'esame delle domande di asilo e di visto e i sistemi di identificazione. La Categoria 8 (Giustizia) comprende i sistemi di assistenza alle autorità giudiziarie e la risoluzione alternativa delle controversie.
Un'esenzione rilevante: i sistemi di IA utilizzati come componenti di sicurezza nelle infrastrutture digitali critiche, nel traffico stradale o nella fornitura di servizi pubblici essenziali non sono soggetti agli obblighi FRIA.
Modello FRIA: sezioni principali
L'Articolo 27(1) specifica gli elementi obbligatori che ogni FRIA deve contenere. L'Ufficio europeo per l'IA sta sviluppando un questionario modello ufficiale per facilitare la conformità, ma le organizzazioni dovrebbero strutturare le proprie valutazioni attorno a questi componenti obbligatori.
La Sezione 1 riguarda la Descrizione del sistema e finalità prevista. Documentate i processi del deployer in cui il sistema di IA verrà utilizzato, in linea con la finalità prevista definita dal fornitore. Le informazioni richieste comprendono: nome e versione del sistema di IA, dati di contatto del fornitore, descrizione chiara della finalità prevista, casi d'uso specifici all'interno dell'organizzazione, contesto e ambiente operativo, e specifiche tecniche rilevanti per l'impatto sui diritti.
La Sezione 2 riguarda la Durata e frequenza d'uso. Documentate la data prevista di inizio dell'implementazione, la durata prevista (a tempo indeterminato, a termine, pilota), la frequenza di utilizzo del sistema (continuo, periodico, attivato da evento), le metriche di volume (numero di decisioni al giorno/settimana/mese) e l'ambito geografico.
La Sezione 3 riguarda le Categorie di soggetti interessati. Identificate gli utenti diretti, le persone soggette a decisioni basate sull'IA, i terzi indirettamente coinvolti e i gruppi demografici specifici. Le popolazioni vulnerabili che richiedono particolare attenzione includono: minori, anziani, persone con disabilità, gruppi socioeconomicamente svantaggiati, minoranze etniche o religiose, persone non madrelingua e individui con competenze digitali limitate.
La Sezione 4 riguarda i Rischi specifici per i diritti fondamentali. Per ogni diritto potenzialmente interessato, valutate la probabilità (da rara a quasi certa), la gravità (da trascurabile a catastrofica), la reversibilità (da facilmente reversibile a irreversibile) e la portata della popolazione colpita (dal singolo individuo all'intera società).
La Sezione 5 riguarda le Misure di sorveglianza umana. Documentate le persone designate responsabili della sorveglianza, i requisiti di qualificazione e formazione, le capacità di intervento, le procedure di escalation, i protocolli di monitoraggio e i requisiti di documentazione.
La Sezione 6 riguarda le Misure di mitigazione del rischio. Includete misure tecniche (test sui bias, soglie di accuratezza, controlli sulla qualità dei dati, registrazione), misure organizzative (strutture di governance, policy, formazione, cicli di revisione) e garanzie procedurali (diritto a una revisione umana, meccanismi di reclamo, canali di ricorso accessibili, procedure di fallback).
Come condurre una FRIA: guida passo-passo
Fase 1: Determinare l'applicabilità della FRIA. Verificate che una FRIA sia obbligatoria controllando se il vostro sistema di IA è classificato come ad alto rischio ai sensi dell'Articolo 6 e dell'Allegato III, se la vostra organizzazione è un ente pubblico o un'entità privata che fornisce servizi pubblici, oppure se il sistema di IA rientra nell'Allegato III, punto 5(b) o (c), per la valutazione del credito o delle assicurazioni.
Fase 2: Raccogliere informazioni dal fornitore del sistema di IA. Il processo FRIA dipende fortemente dalle informazioni che i fornitori sono tenuti a fornire ai sensi degli Articoli 11-13, tra cui la documentazione tecnica conforme all'Allegato IV, le istruzioni per l'uso, le capacità e i limiti del sistema, i rischi noti e le misure di mitigazione, e i dati sui dataset di addestramento e i potenziali bias.
Fase 3: Costituire il team di valutazione. Le FRIA richiedono competenze diversificate, tra cui professionisti legali e della conformità, responsabili della protezione dei dati, esperti tecnici, esperti di dominio (risorse umane, sanità, finanza), rappresentanti che comprendano le comunità interessate e professionisti della gestione del rischio.
Fase 4: Mappare gli individui e i diritti interessati. Elencate tutte le categorie di individui che interagiscono con il sistema o ne sono influenzati, identificate quali diritti fondamentali potrebbero essere impattati per ogni categoria e considerate sia gli impatti diretti che indiretti.
Fase 5: Condurre la valutazione del rischio. Per ogni diritto a rischio identificato, descrivete lo scenario di potenziale danno, valutate probabilità e gravità, assegnate un livello di rischio e documentate il ragionamento e le evidenze a supporto.
Fase 6: Progettare le misure di mitigazione. Per ogni rischio identificato, proponete misure specifiche, valutatene la fattibilità, stimate il rischio residuo dopo la mitigazione, documentate la responsabilità dell'implementazione e istituite meccanismi di monitoraggio.
Fasi 7-10: Documentate le modalità di sorveglianza umana, istituite meccanismi di reclamo e ricorso, ottenete la revisione e l'approvazione da parte dell'ufficio legale e della dirigenza, e notificate l'autorità di vigilanza del mercato al termine del processo.
Esempi di FRIA per settore
Esempio nel settore dei servizi finanziari — Credit scoring: Una banca che implementa un sistema di IA per la valutazione dell'affidabilità creditizia deve identificare i gruppi interessati (richiedenti di prestiti, con rischio maggiore per le popolazioni storicamente svantaggiate), i diritti primari a rischio (non discriminazione, diritto di proprietà, accesso ai servizi essenziali), i fattori di rischio (i dati di addestramento possono riflettere bias storici, le variabili proxy possono correlare con caratteristiche protette) e implementare misure di mitigazione tra cui audit regolari sui bias, percorsi di valutazione alternativi, revisione umana per i casi limite e spiegazioni chiare dei fattori decisionali.
Esempio nel settore sanitario — Triage con IA: Un pronto soccorso ospedaliero che utilizza l'IA per prioritizzare l'assistenza ai pazienti deve affrontare i gruppi interessati (tutti i pazienti del pronto soccorso, con particolare attenzione ad anziani, disabili, non madrelingua), i diritti primari (diritto alla vita, accesso alle cure sanitarie, dignità umana, non discriminazione), i fattori di rischio (potenziali bias nel riconoscimento dei sintomi tra gruppi demografici diversi) e garantire che l'IA funga esclusivamente da supporto alle decisioni con valutazione clinica umana obbligatoria.
Esempio nel settore HR — Screening dei CV: Un'azienda che utilizza l'IA per lo screening dei CV deve considerare i gruppi interessati (tutti i candidati, in particolare quelli con percorsi non tradizionali, interruzioni di carriera, qualifiche estere), i diritti primari (non discriminazione, diritto al lavoro, parità tra donne e uomini), i fattori di rischio (i dati storici di assunzione possono codificare pregiudizi) e implementare misure tra cui l'anonimizzazione delle caratteristiche protette, test regolari sui bias e la revisione umana delle candidature respinte nei gruppi sottorappresentati.
Integrazione della FRIA con altri requisiti di conformità
Allineamento con la DPIA del GDPR: Quando un sistema di IA tratta dati personali, è probabile che siano necessarie sia una DPIA sia una FRIA. Le strategie includono: condurle contestualmente, sviluppare la FRIA a partire dalla DPIA esistente estendendola ai diritti aggiuntivi, utilizzare quadri di valutazione del rischio coerenti, consolidare la documentazione e coordinare le misure di sorveglianza.
Collegamento con la documentazione tecnica dell'Allegato IV: I deployer che conducono FRIA dovrebbero richiedere la documentazione dell'Allegato IV ai fornitori, utilizzare le valutazioni del rischio dei fornitori come input, verificare che le misure documentate dal fornitore siano implementate nel proprio contesto di implementazione e documentare eventuali rischi specifici non coperti dalla documentazione del fornitore.
Rapporto con la valutazione di conformità: Sebbene la valutazione di conformità sia principalmente un obbligo del fornitore, i deployer dovrebbero verificare che il sistema di IA abbia completato la valutazione di conformità, comprenderne l'ambito e riconoscere che la valutazione di conformità riguarda i requisiti tecnici mentre la FRIA affronta gli impatti specifici sui diritti fondamentali legati all'implementazione.
Registrazione nella banca dati dell'UE: I sistemi di IA ad alto rischio devono essere registrati nella banca dati dell'UE ai sensi dell'Articolo 71. Assicuratevi che il vostro sistema sia correttamente registrato dal fornitore e che le informazioni di registrazione siano coerenti con la documentazione della vostra FRIA.
Sanzioni e applicazione
La mancata conformità agli obblighi FRIA espone le organizzazioni a sanzioni significative nell'ambito del quadro di applicazione del Regolamento UE sull'IA: sanzioni fino a 15 milioni di EUR o al 3% del fatturato mondiale annuo totale per violazioni degli obblighi dei deployer, inclusi i requisiti FRIA. Le autorità di vigilanza del mercato hanno il potere di indagare e richiedere azioni correttive.
Oltre alle sanzioni formali, la mancata conduzione di FRIA adeguate genera rischio reputazionale derivante da violazioni dei diritti fondamentali, responsabilità legale in caso di danni effettivi e rischio operativo qualora le autorità richiedano modifiche al sistema o la sua dismissione.
Tempistiche e prossimi passi
Date chiave: 2 agosto 2025 per le pratiche di IA vietate, 2 agosto 2026 per i requisiti FRIA dell'Articolo 27, e 2 agosto 2027 come termine prorogato per alcuni sistemi di IA del settore pubblico.
12+ mesi prima della scadenza: Inventariate tutti i sistemi di IA, classificateli per livello di rischio, identificate quelli che richiedono una FRIA, iniziate a raccogliere informazioni dai fornitori, istituite le strutture di governance.
6-12 mesi prima della scadenza: Sviluppate modelli e procedure FRIA, formate il personale, conducete FRIA pilota, stabilite relazioni con le autorità di vigilanza del mercato, implementate le misure tecniche per la sorveglianza umana.
3-6 mesi prima della scadenza: Completate le FRIA per tutti i sistemi in ambito, documentate le misure di mitigazione e verificatene l'implementazione, istituite meccanismi di reclamo e ricorso, preparate le notifiche da presentare.
Dopo la conformità, su base continuativa: Monitorate i sistemi di IA per identificare cambiamenti che richiedano aggiornamenti della FRIA, seguite le indicazioni normative dell'Ufficio per l'IA, conducete revisioni periodiche, mantenete la documentazione e le tracce di audit.
Domande frequenti
Qual è la differenza tra FRIA e DPIA?
La DPIA ai sensi dell'Articolo 35 del GDPR si concentra specificamente sui diritti di protezione dei dati e sulla privacy nel trattamento dei dati personali. La FRIA ai sensi dell'Articolo 27 del Regolamento sull'IA ha un ambito più ampio, valutando l'impatto su tutti i diritti fondamentali della Carta dell'UE — inclusi non discriminazione, dignità, libertà di espressione, accesso alla giustizia e molti altri. Inoltre, le FRIA possono essere obbligatorie anche quando non vengono trattati dati personali. Sebbene le organizzazioni possano integrare entrambe le valutazioni, la FRIA richiederà in genere un'analisi aggiuntiva rispetto a quanto coperto dalla DPIA.
Chi è responsabile della conduzione della FRIA?
L'obbligo della FRIA ricade sui deployer dei sistemi di IA ad alto rischio, non sui fornitori. Tuttavia, i fornitori svolgono un ruolo di supporto fornendo le informazioni necessarie ai deployer per completare le proprie valutazioni. In pratica, i deployer possono fare affidamento su FRIA o valutazioni d'impatto precedentemente condotte dai fornitori, qualora le circostanze siano sufficientemente simili — ma la responsabilità ultima resta in capo al deployer.
Con quale frequenza deve essere aggiornata la FRIA?
La FRIA deve essere condotta prima della prima implementazione del sistema di IA ad alto rischio. Gli aggiornamenti sono necessari ogni volta che il deployer ritiene che uno qualsiasi degli elementi valutati sia cambiato o non sia più attuale. Ciò include modifiche al sistema di IA stesso, cambiamenti nel contesto di implementazione, variazioni nelle popolazioni interessate o nuove informazioni sui rischi. Le organizzazioni dovrebbero istituire cicli di revisione periodica per identificare proattivamente quando sono necessari aggiornamenti.
L'Ufficio per l'IA fornisce un modello FRIA ufficiale?
L'Articolo 27(5) prevede che l'Ufficio europeo per l'IA sviluppi un questionario modello, comprensivo di uno strumento automatizzato, per aiutare i deployer a conformarsi agli obblighi FRIA. All'inizio del 2026, questo modello ufficiale non è stato ancora pubblicato. Le organizzazioni dovrebbero sviluppare i propri modelli basandosi sui requisiti dell'Articolo 27, monitorando al contempo le indicazioni ufficiali. Quando il modello ufficiale sarà pubblicato, le organizzazioni potrebbero dover adattare le proprie valutazioni per allinearsi ad esso.
È possibile utilizzare una DPIA esistente per soddisfare i requisiti FRIA?
In parte. L'Articolo 27(4) consente ai deployer di basarsi sulle DPIA esistenti per condurre le FRIA. Se determinati obblighi FRIA sono già soddisfatti attraverso una DPIA, la FRIA dovrebbe integrare tale valutazione anziché duplicarla. Tuttavia, dato l'ambito più ampio della FRIA che copre tutti i diritti fondamentali (non solo la protezione dei dati), sarà quasi sempre necessaria un'analisi aggiuntiva rispetto a quanto coperto dalla DPIA.
Cosa succede se vengono identificati rischi elevati che non possono essere mitigati?
A differenza delle DPIA del GDPR, la FRIA è principalmente un obbligo di documentazione e non ha il potere di bloccare l'implementazione di un sistema di IA ad alto rischio indipendentemente dai rischi identificati. Tuttavia, implementare sistemi con rischi elevati non mitigati per i diritti fondamentali crea un'esposizione significativa sul piano legale, reputazionale e operativo. Le organizzazioni dovrebbero valutare attentamente se l'implementazione sia consigliabile quando rischi sostanziali non possono essere adeguatamente affrontati.
Punti chiave
La FRIA rappresenta un nuovo requisito di conformità significativo, ma è anche un'opportunità per dimostrare un impiego responsabile dell'IA e costruire fiducia con clienti, autorità di regolamentazione e opinione pubblica. Le organizzazioni che investono in FRIA approfondite e ben strutturate saranno meglio posizionate per identificare tempestivamente i rischi, implementare garanzie efficaci e orientarsi nel panorama normativo sull'IA in continua evoluzione. Le date chiave si avvicinano: il 2 agosto 2026 per l'entrata in vigore dei requisiti FRIA. Iniziate ora inventariando i vostri sistemi di IA, identificando quelli che richiedono una FRIA e sviluppando le capacità di valutazione di cui la vostra organizzazione ha bisogno.