Perimetro e soggetti coinvolti

Sistemi AI ad alto rischio: Annex III, classificazione e casi aziendali

Redazione GAPOFF · Aggiornato il 2026-05-20 · Revisione: 2026-05-20

Risposta rapida

I sistemi AI ad alto rischio sono quelli che, per contesto e scopo, possono incidere in modo significativo su salute, sicurezza o diritti fondamentali. L’Articolo 6 e l’Annex III includono aree come biometria, infrastrutture critiche, istruzione, lavoro, accesso a servizi essenziali, credito, assicurazione vita/salute, law enforcement, migrazione e giustizia. Non basta guardare la tecnologia: conta l’uso previsto. Alcune eccezioni o valutazioni di non alto rischio richiedono documentazione preventiva e razionale verificabile.

Verifica gli obblighi AI Act della tua organizzazione

Inventory sistemi AI, classificazione del rischio, governance e audit-ready.

Verifica gratis →

Perché questo tema è importante

La classificazione alto rischio è il cuore operativo dell’AI Act. Molte aziende non avranno decine di sistemi high-risk, ma anche un solo sistema in HR, scoring, biometria o servizi essenziali può richiedere un livello di governance molto più alto. La classificazione deve essere prudente, documentata e aggiornata, perché un sistema inizialmente usato come supporto può diventare influente se viene integrato in decisioni aziendali.

Per GAPOFF il punto editoriale è sempre lo stesso: normativa → problema aziendale → rischio concreto → azione operativa → evidenza richiesta → modulo utile → CTA. L’AI Act non deve essere presentato come una raccolta astratta di articoli, ma come un sistema di controlli che l’organizzazione può applicare, dimostrare e aggiornare.

Quadro normativo e fonti ufficiali

Il riferimento principale è il Regolamento (UE) 2024/1689, cioè l’AI Act. Le fonti istituzionali da monitorare sono la pagina della Commissione Europea sull’AI Act, l’AI Act Service Desk, le pagine dedicate all’AI literacy, all’Articolo 6 sui sistemi ad alto rischio, all’Annex III, agli obblighi di provider, deployer, trasparenza e sanzioni.

Alla data di revisione di questo articolo va considerato anche l’accordo provvisorio del 7 maggio 2026 tra Consiglio e Parlamento sul pacchetto di semplificazione AI. Prima della pubblicazione definitiva, il coding agent o il revisore editoriale dovrà verificare lo stato dell’adozione formale e aggiornare date e note di manutenzione se necessario.

Cosa significa per l’azienda

Per un’organizzazione l’AI Act significa passare da uso spontaneo dell’intelligenza artificiale a governance documentata. Questo richiede almeno quattro livelli di controllo: inventario dei sistemi, classificazione del rischio, definizione dei ruoli e raccolta delle evidenze. Nei casi più delicati entrano in gioco valutazioni su dati personali, contratti con fornitori, human oversight, log, incidenti, formazione e reporting verso direzione o clienti.

La valutazione dipende dal caso concreto e deve essere verificata con professionisti qualificati e fonti ufficiali aggiornate. In particolare, non basta sapere che uno strumento “usa AI”: bisogna descrivere come viene usato, chi subisce gli effetti, se l’output influenza decisioni e se il sistema rientra in un’area sensibile.

Metodo di classificazione alto rischio

Descrivere l’uso previsto del sistema, non solo la tecnologia.
Verificare se il sistema è prodotto o componente di sicurezza soggetto a normativa armonizzata e valutazione di conformità.
Verificare se rientra in una categoria Annex III: biometria, infrastrutture, education, lavoro, servizi essenziali, law enforcement, migrazione, giustizia.
Valutare se il sistema materialmente influenza l’esito di una decisione su persone fisiche.
Verificare eventuali condizioni di esclusione per compiti procedurali, preparatori o migliorativi, documentando il razionale.
Se il sistema effettua profiling di persone, applicare prudenza: il regolamento considera il profiling elemento fortemente rilevante.
Collegare la classificazione a documentazione, controllo umano, log, monitoraggio e fornitori.

Queste attività dovrebbero essere assegnate a owner interni, con data, stato, evidenza collegata e riesame periodico. La logica corretta non è completare un documento una tantum, ma mantenere un sistema aggiornato quando cambia il fornitore, il modello, il contesto d’uso o il processo aziendale.

Esempio pratico

Un software HR che suggerisce candidati da convocare può essere alto rischio se filtra candidature o contribuisce in modo materiale alla selezione. Se invece genera solo un riassunto non vincolante di CV già selezionati da un recruiter, il rischio può essere diverso, ma va documentato. La differenza non è semantica: dipende dal peso reale dell’output nel processo decisionale.

Errori comuni da evitare

Classificare come “basso rischio” solo perché il vendor lo dichiara.
Non considerare l’uso nel processo aziendale.
Ignorare HR e credito come aree sensibili.
Non documentare le eccezioni dell’Articolo 6(3).
Non collegare alta rischiosità a log, controllo umano e training.

Come GAPOFF aiuta

GAPOFF supporta la classificazione con un wizard che raccoglie scopo, area d’uso, dati, persone interessate, ruolo aziendale e fornitore. Per i sistemi potenzialmente ad alto rischio, il registro diventa il punto unico per documentazione, owner, remediation, DPIA, Vendor Risk e report periodico.

L'AI Act non si gestisce con Excel.

Inventory sistemi AI, classificazione del rischio, sorveglianza umana, documentazione tecnica, fornitori AI ed evidenze devono essere collegati e dimostrabili. GAPOFF unifica AI Act, GDPR (DPIA), Vendor Risk, NIS2, DORA e ISO 27001 in un unico sistema audit-ready.

Scopri il modulo AI Act →

Checklist operativa

Uso previsto descritto.
Annex III verificato.
Impatto decisionale valutato.
Profiling verificato.
Eccezioni documentate se usate.
Controllo umano definito.
Log e monitoraggio pianificati.

Trasforma la checklist in attività tracciabili

Con GAPOFF ogni voce diventa un controllo con owner, scadenza ed evidenza — non un foglio Excel. Modulo AI Act →

FAQ

Tutti i sistemi HR basati su AI sono ad alto rischio?

Non automaticamente, ma l’area employment è esplicitamente sensibile. Se l’AI incide su recruiting, promozione, task allocation o valutazione, serve analisi approfondita.

Un sistema preparatorio può essere escluso dall’alto rischio?

In alcuni casi sì, ma il razionale deve essere documentato prima dell’uso o della messa a disposizione.

Chi decide la classificazione?

Serve coinvolgere owner di processo, compliance/legal, IT/security e, ove necessario, consulenti specialistici.

Cosa cambia se un sistema è alto rischio?

Aumentano requisiti di gestione, documentazione, controllo umano, monitoraggio, log, qualità e responsabilità lungo la filiera.

Modulo GAPOFF AI Act

Inventory sistemi AI, classificazione del rischio (vietato/alto/limitato/minimo), obblighi provider e deployer, governance AI, documentazione tecnica, sorveglianza umana, GPAI, audit-ready. Cross-mapping con GDPR (DPIA), NIS2, DORA e ISO 27001.

Vai al modulo AI Act →

Fonti ufficiali e riferimenti

Disclaimer legale

Questo contenuto ha finalità informative e di orientamento generale. Non costituisce consulenza legale, tecnica, fiscale o organizzativa personalizzata. Per determinare obblighi, responsabilità e misure applicabili al caso concreto, è necessario svolgere una valutazione specifica con professionisti qualificati e fonti ufficiali aggiornate.

Libro: AI Act per il Business

Guida pratica scaricabile gratis — perimetro, obblighi, governance e implementazione operativa del Regolamento (UE) 2024/1689 per imprese italiane.

Scarica il libro (PDF)

FAQ