Nucleo centrale della disciplina di cui all’AI Act, i sistemi ad alto rischio – ovvero quelli potenzialmente in grado di avere ripercussioni negative sulla sicurezza delle persone e sui loro diritti fondamentali – devono essere sottoposti a una valutazione di conformità, attraverso la quale viene autocertificato che tutti gli obblighi previsti dall’AI Act sono stati adempiuti.
La classificazione dei sistemi ad alto rischio – contrariamente a quella dei sistemi a rischio inaccettabile – è contenuta negli allegati all’AI Act, nello specifico nell’Allegato I e nell’Allegato III, in modo da consentire alla disciplina di stare al passo con l’evoluzione dei casi d’uso dell’AI.
Secondo quanto previsto dall’articolo 6 dell’AI Act, sono nello specifico considerati ad alto rischio i sistemi incorporati in prodotti disciplinati dalla legislazione dell’UE richiamata nell’Allegato I (macchine, sicurezza dei giocattoli, dispositivi medici e dispositivi medico-diagnostici in vitro, dispositivi di protezione individuale, ascensori, imbarcazioni da diporto…) e i sistemi destinati ad essere utilizzati in uno dei casi d’uso descritti nell’Allegato III, che elenca otto diversi settori in cui l’uso dell’AI può essere sensibile ed elenca, per ciascuno di essi, casi d’uso concreti.
Si tratta ad esempio dei sistemi usati nel settore dell’occupazione, della gestione dei lavoratori e dell’accesso al lavoro autonomo (come quelli usati per pubblicare annunci di lavoro mirati, analizzare e filtrare le candidature e valutare i candidati) o dei sistemi per l’accesso a servizi privati essenziali (come la valutazione dell’affidabilità creditizia delle persone fisiche e la valutazione dei rischi e la determinazione dei prezzi di assicurazioni sulla vita e assicurazioni sanitarie) o ancora dei sistemi usati per l’identificazione e la categorizzazione biometrica.
Quali gli obblighi inerenti i sistemi di AI ad alto rischio? Il fornitore deve svolgere una valutazione di conformità relativa agli obblighi di cui agli articoli 9 e seguenti.
Il primo obbligo è l’adozione di un sistema di gestione dei rischi, processo iterativo continuo che deve accompagnare l’intero ciclo di vita del sistema di AI ad alto rischio e che consiste nell’identificazione e analisi di rischi noti e prevedibili sia in caso di uso del sistema conformemente alla finalità prevista sia in caso di uso improprio e nell’adozione di misure di gestione degli stessi. E’ inoltre necessario adottare un sistema di governance dei dati che garantisca l’utilizzo di dati pertinenti, rappresentativi, senza errori e completi, predisporre la documentazione tecnica avente i contenuti di cui all’articolo 11 dell’AI Act e tenere traccia del funzionamento del sistema attraverso la conservazione delle registrazioni. I sistemi di AI ad alto rischio devono poi attuare i principi di trasparenza (tra l’altro in tema di caratteristiche, capacità e limiti del sistema stesso) e di accuratezza, robustezza e cybersicurezza nonché di sorveglianza umana, in modo da garantire che gli operatori possano comprendere, monitorare e intervenire sul funzionamento del sistema.
Si tratta di adempimenti complessi in parte in capo non al solo fornitore ma anche a importatore, distributore e deployer, soggetti che sin d’ora devono mettersi al lavoro in vista della piena efficacia dell’AI Act prevista per il 2 agosto 2026.
