Sistema di IA ad alto rischio

Un sistema di IA ad alto rischio è un'applicazione che il EU AI Act identifica come potenzialmente rischiosa per salute, sicurezza o diritti fondamentali e che quindi sottopone a requisiti regolatori completi. Questa classificazione attiva obblighi estesi per fornitori e utilizzatori, inclusi documentazione tecnica, valutazione di conformità, supervisione umana e monitoraggio post-commercializzazione.

La designazione di alto rischio è il concetto centrale del regolamento e determina quali sistemi affrontano le obbligazioni più stringenti. I sistemi ad alto rischio devono rispettare gli articoli 8-15, che coprono gestione del rischio, governance dei dati, documentazione tecnica, tenuta dei registri, trasparenza, supervisione umana e accuratezza, robustezza e cybersecurity. Il mancato rispetto può comportare sanzioni fino a 35 milioni di euro o il 7% del fatturato annuo globale.

Esistono due percorsi di classificazione. Primo, l'Allegato III elenca otto categorie di applicazioni considerate intrinsecamente ad alto rischio: identificazione e categorizzazione biometrica, gestione di infrastrutture critiche, istruzione e formazione professionale, occupazione e gestione dei lavoratori, accesso a servizi e benefici essenziali, forze dell'ordine, migrazione e controllo delle frontiere e amministrazione della giustizia. Secondo, i sistemi che fungono da componenti di sicurezza di prodotti coperti da normativa UE sulla sicurezza di prodotto (elencata nell'Allegato I) sono anch'essi ad alto rischio. In modo rilevante, l'articolo 6(3) prevede un'eccezione: anche se un sistema rientra in una categoria dell'Allegato III, può non essere considerato ad alto rischio se svolge un compito procedurale ristretto, migliora il risultato di un'attività umana già completata, rileva pattern decisionali senza sostituire la valutazione umana o svolge solo compiti preparatori.

Le organizzazioni devono determinare se i propri sistemi rientrano tra quelli ad alto rischio. Serve un'analisi dell'uso previsto, non solo delle capacità tecniche. Un modello di credit scoring che influenza decisioni di prestito è chiaramente ad alto rischio sotto l'Allegato III(5)(b), mentre un chatbot di customer service che fornisce informazioni generali normalmente non lo è, salvo che incida sull'accesso a servizi essenziali. Una volta classificato, gli obblighi sono sostanziali. I fornitori devono istituire gestione del rischio, governance dei dati, documentazione dell'Allegato IV, progettare supervisione umana, assicurare accuratezza e robustezza e completare la valutazione di conformità prima dell'immissione sul mercato. Gli utilizzatori hanno obblighi separati, inclusi supervisione umana, monitoraggio e FRIA in alcuni contesti. La timeline è critica: i sistemi dell'Allegato III devono essere conformi entro agosto 2026, mentre quelli dell'Allegato I (componenti di sicurezza di prodotto) hanno tempo fino a agosto 2027.