Torna alla home
    Approfondimento8 min di lettura

    Classificazione del rischio Allegato III spiegata

    Il Regolamento IA UE adotta un approccio basato sul rischio. L'Articolo 6(2) definisce sistemi di IA ad alto rischio quelli che rientrano nelle otto categorie elencate nell'Allegato III. Se il tuo sistema di IA corrisponde a una di queste categorie, è soggetto all'intero set di obblighi del Capo III, Sezione 2 (Articoli 8-15).

    Questa guida illustra ogni categoria con spiegazioni in linguaggio semplice per aiutarti a stabilire se i tuoi sistemi di IA si qualificano come ad alto rischio.

    Come funziona la classificazione

    Esistono due percorsi per essere classificati come ad alto rischio ai sensi del Regolamento IA UE:

    1. Articolo 6(1) — Percorso del componente di sicurezza: il sistema di IA è un componente di sicurezza di un prodotto coperto dalla legislazione di armonizzazione UE esistente (es. dispositivi medici, macchinari, giocattoli, veicoli) e richiede una valutazione della conformità da parte di terzi ai sensi di tale legislazione.
    2. Articolo 6(2) — Percorso Allegato III: il sistema di IA rientra in una delle otto categorie di casi d'uso elencate nell'Allegato III. È il percorso che la maggior parte delle organizzazioni deve valutare.

    Eccezione importante: un sistema di IA elencato nell'Allegato III non è considerato ad alto rischio se non presenta un rischio significativo di danno per salute, sicurezza o diritti fondamentali — anche perché non influenza in modo rilevante l'esito del processo decisionale. Tuttavia, l'eccezione non si applica se il sistema effettua profilazione di persone fisiche.

    Categoria 1: Biometria

    Sistemi di IA utilizzati per identificazione biometrica, categorizzazione o riconoscimento delle emozioni — ove permesso dal diritto dell'UE o nazionale.

    • Identificazione biometrica remota — Sistemi che identificano persone fisiche a distanza confrontando dati biometrici con database di riferimento. Esclude la semplice verifica biometrica (confermare che qualcuno sia chi dichiara di essere).
    • Categorizzazione biometrica — Sistemi che inferiscono attributi sensibili o protetti come razza, opinioni politiche, appartenenza sindacale, convinzioni religiose, vita sessuale od orientamento sessuale dai dati biometrici.
    • Riconoscimento delle emozioni — Sistemi destinati a riconoscere le emozioni di persone fisiche.

    Categoria 2: Infrastrutture critiche

    Sistemi di IA destinati a essere utilizzati come componenti di sicurezza nella gestione e nel funzionamento di:

    • Infrastruttura digitale critica
    • Gestione del traffico stradale
    • Fornitura di acqua, gas, riscaldamento o elettricità

    Esempio: un sistema di IA che gestisce i tempi dei semafori agli incroci, oppure uno che prevede e gestisce la distribuzione del carico sulla rete elettrica.

    Categoria 3: Istruzione e formazione professionale

    • Determinare l'accesso o l'ammissione a istituzioni educative o di formazione professionale
    • Valutare i risultati di apprendimento, anche guidando il processo di apprendimento
    • Valutare il livello di istruzione adeguato che una persona riceverà o a cui potrà accedere
    • Monitorare e rilevare comportamenti vietati degli studenti durante gli esami

    Esempio: un sistema di IA usato da un'università per filtrare e classificare candidati, o un sistema di valutazione automatica dei temi negli esami finali.

    Categoria 4: Occupazione e gestione dei lavoratori

    • Reclutamento e selezione — Pubblicazione di annunci di lavoro mirati, filtraggio delle candidature e valutazione dei candidati in colloqui o test
    • Decisioni legate al lavoro — Promozione, licenziamento, assegnazione di compiti basata su comportamento o tratti personali, o monitoraggio e valutazione di prestazioni e condotta

    Esempio: uno strumento di screening IA che classifica i CV e seleziona i candidati, o un sistema di monitoraggio delle performance che segnala i dipendenti per revisione in base a pattern comportamentali.

    Categoria 5: Servizi essenziali

    Sistemi di IA utilizzati nell'accesso e nel godimento di servizi e prestazioni essenziali, pubblici e privati:

    • Idoneità a prestazioni pubbliche — Valutare l'idoneità a prestazioni di assistenza pubblica, servizi sanitari, oppure concedere/ridurre/revocare tali prestazioni
    • Credit scoring — Valutare il merito creditizio o stabilire punteggi di credito (escluso il rilevamento delle frodi)
    • Valutazione del rischio assicurativo — Valutazione del rischio e tariffazione per assicurazioni vita e malattia
    • Servizi di emergenza — Valutare o classificare le chiamate di emergenza, dispacciare i primi soccorritori o eseguire il triage di pazienti nelle emergenze sanitarie

    Categoria 6: Attività di contrasto

    Ove permesso dal diritto UE o nazionale:

    • Valutare il rischio che una persona diventi vittima di reati
    • Sistemi che funzionano come poligrafi o strumenti analoghi di rilevamento dell'inganno
    • Valutare l'affidabilità delle prove nelle indagini penali
    • Valutare il rischio che una persona commetta o reiteri reati (non basato esclusivamente sulla profilazione)
    • Profilazione di persone durante rilevamento, indagine o perseguimento di reati

    Categoria 7: Migrazione e controllo delle frontiere

    Ove permesso dal diritto UE o nazionale:

    • Poligrafi o strumenti analoghi utilizzati in contesti migratori
    • Valutare i rischi (sicurezza, migrazione irregolare, salute) posti dalle persone alle frontiere
    • Assistere nell'esame delle domande di asilo, visti o permessi di soggiorno
    • Rilevare, riconoscere o identificare persone in contesti di migrazione e controllo frontaliero (escluse verifiche dei documenti di viaggio)

    Categoria 8: Giustizia e processi democratici

    • Assistere le autorità giudiziarie nella ricerca e interpretazione di fatti e diritto, nell'applicazione del diritto a fatti concreti o in metodi alternativi di risoluzione delle controversie
    • Influenzare elezioni o referendum — Sistemi di IA destinati a influenzare il comportamento di voto (esclusi gli strumenti di logistica delle campagne che non espongono direttamente gli utenti agli output dell'IA)

    Cosa succede se il tuo sistema è ad alto rischio?

    Se il tuo sistema di IA rientra in una delle categorie di cui sopra, devi rispettare:

    • Sistema di gestione dei rischi (Articolo 9)
    • Requisiti su dati e data governance (Articolo 10)
    • Documentazione tecnica ai sensi dell'Allegato IV (Articolo 11)
    • Logging automatico e tenuta dei registri (Articolo 12)
    • Trasparenza e istruzioni per l'uso (Articolo 13)
    • Misure di sorveglianza umana (Articolo 14)
    • Standard di accuratezza, robustezza e cybersicurezza (Articolo 15)
    • Valutazione della conformità prima dell'immissione sul mercato (Articolo 43)
    • Dichiarazione UE di conformità e marcatura CE (Articoli 47-48)
    • Registrazione nel database UE (Articolo 49)

    Non sai dove rientra il tuo sistema? Il motore di classificazione del rischio di LandingRed ti guida con un questionario mappato a ogni categoria dell'Allegato III e determina automaticamente il livello di rischio con piena tracciabilità delle evidenze.

    LandingRed automatizza tutto questo

    Smetti di gestire la conformità in fogli di calcolo. Classifica, documenta, valuta e monitora i tuoi sistemi di IA da un'unica piattaforma.