Allegato III

L'Allegato III del EU AI Act definisce otto categorie di sistemi di IA che vengono automaticamente classificati come ad alto rischio per il loro potenziale impatto su salute, sicurezza e diritti fondamentali. Se un sistema rientra in una di queste categorie e prende o influenza decisioni significative sulle persone, attiva l'intero set di obblighi previsti dagli articoli 8-15, inclusi documentazione tecnica, gestione del rischio, supervisione umana e valutazione di conformità.

Le otto categorie dell'Allegato III sono: (1) Biometria: sistemi di identificazione biometrica remota e categorizzazione biometrica di persone fisiche; (2) Infrastrutture critiche: sistemi di IA usati come componenti di sicurezza nella gestione e nell'operatività di infrastrutture digitali critiche, traffico stradale e fornitura di acqua, gas, riscaldamento ed elettricità; (3) Istruzione e formazione professionale: sistemi che determinano l'accesso all'istruzione, valutano risultati di apprendimento o stimano livelli adeguati; (4) Occupazione e gestione dei lavoratori: sistemi usati per recruiting, promozioni, assegnazione delle mansioni e monitoraggio o valutazione dei lavoratori; (5) Accesso a servizi essenziali: sistemi che valutano l'affidabilità creditizia, determinano prezzi per assicurazioni vita e salute, valutano l'ammissibilità a benefici pubblici o la priorità di dispatch dei servizi di emergenza; (6) Forze dell'ordine: sistemi per valutazioni individuali del rischio, poligrafi, valutazione dell'affidabilità delle prove o predizione di reati; (7) Migrazione, asilo e controllo delle frontiere: sistemi per valutazioni del rischio, verifica di autenticità dei documenti o gestione di domande per visti e permessi di soggiorno; (8) Amministrazione della giustizia: sistemi che assistono autorità giudiziarie nella ricerca e interpretazione di fatti e diritto o nell'applicazione del diritto ai fatti.

Capire se un sistema rientra nell'Allegato III è il primo passo critico per pianificare la conformità all'EU AI Act. La classificazione determina l'intero percorso di compliance. I sistemi ad alto rischio dell'Allegato III affrontano requisiti estesi di documentazione (Allegato IV), sistemi obbligatori di gestione del rischio, obblighi di supervisione umana e procedure di valutazione di conformità prima di poter essere immessi sul mercato dell'UE o messi in servizio. La soglia di "decisione significativa" è importante: un sistema diventa ad alto rischio solo se prende o influenza materialmente decisioni con effetti rilevanti sulle persone, non se fornisce informazioni generiche o svolge funzioni ausiliarie.

Le organizzazioni dovrebbero condurre un inventario sistematico di tutti i sistemi di IA in uso o in sviluppo, mappandoli sulle categorie dell'Allegato III. Nei casi borderline, valutate se l'output influenza direttamente decisioni su accesso a servizi, lavoro, istruzione o ambiti legali. Documentate con cura la razionalità della classificazione, perché i regolatori possono contestare classificazioni che sembrano minimizzare gli obblighi. Per sistemi chiaramente ad alto rischio, iniziate subito: la scadenza di agosto 2026 richiede conformità operativa, non solo documentazione in corso.