AI Act: esempi reali di sistemi ad alto rischio in Italia (Annex III decoded)

La domanda più ricorrente che riceviamo da direttori legali e responsabili compliance italiani non è "cos'è l'AI Act". È: "Il sistema che stiamo per acquistare (o che già usiamo) rientra nell'alto rischio dell'Annex III?". La risposta è raramente immediata, perché il Regolamento (UE) 2024/1689 descrive otto categorie di sistemi ad alto rischio in linguaggio normativo astratto, mentre la realtà operativa è fatta di moduli ATS, motori di scoring, pipeline di triage, telecamere intelligenti e modelli linguistici embedded in applicativi gestionali.

Questo articolo prende l'Allegato III dell'AI Act e lo traduce in scenari italiani reali, settore per settore. Per ogni esempio definiamo: classificazione esatta, obblighi del fornitore e del deployer, controlli da implementare, sanzioni in caso di non conformità. L'obiettivo è darti una mappa applicativa, non una parafrasi del testo normativo.

Per il quadro generale del Regolamento ti rimandiamo alla guida completa all'AI Act in Italia e alla timeline delle scadenze 2026-2027. Qui scendiamo nel concreto.

Disclaimer informativo. Questo contenuto ha finalità divulgative e non costituisce parere legale. La classificazione di un sistema di IA come ad alto rischio dipende da finalità d'uso, contesto di deployment e configurazione tecnica specifica. Per valutazioni vincolanti rivolgiti al tuo ufficio legale e a un consulente specializzato in compliance AI Act.

Come funziona l'Annex III: la logica delle otto categorie

Prima di entrare negli esempi, fissiamo il meccanismo. L'AI Act distingue quattro livelli di rischio: inaccettabile (vietato dall'art. 5), alto (artt. 6-49 + Annex III), limitato (obblighi di trasparenza, art. 50), minimo (libero). I sistemi ad alto rischio si dividono in due famiglie:

  • Articolo 6(1): sistemi di IA che sono componenti di sicurezza di prodotti già regolamentati da normativa armonizzata UE (dispositivi medici, macchine, ascensori, giocattoli, dispositivi di protezione individuale, veicoli, aviazione). Qui la classificazione è automatica se il prodotto madre richiede valutazione di conformità da parte di un organismo notificato.
  • Articolo 6(2) + Annex III: sistemi di IA elencati nell'Allegato III, indipendentemente dal fatto che siano integrati in un prodotto. Otto categorie tematiche, dall'identificazione biometrica alla giustizia.

Le otto categorie dell'Annex III sono: 1) biometria, 2) infrastrutture critiche, 3) istruzione e formazione professionale, 4) occupazione e gestione dei lavoratori, 5) accesso a servizi essenziali pubblici e privati, 6) law enforcement, 7) migrazione, asilo e controllo frontiere, 8) amministrazione della giustizia e processi democratici.

Esiste una clausola di esenzione importante (art. 6(3)): un sistema elencato nell'Annex III non è considerato ad alto rischio se svolge un compito procedurale ristretto, migliora il risultato di un'attività umana già completata, rileva pattern di decisione senza sostituire o influenzare la valutazione umana precedente, oppure esegue compiti preparatori per una valutazione che resta umana. Questa esenzione è stretta: profilare persone fisiche disattiva sempre l'esenzione.

Vediamo ora esempi concreti per ciascuna categoria.

Categoria 1 - Biometria: riconoscimento facciale all'aeroporto di Fiumicino

Scenario. Aeroporti di Roma installa un sistema di identificazione biometrica remota per il controllo accessi alle aree airside e per la verifica passeggeri ai gate. Il sistema confronta il volto catturato dalle telecamere con database documentali per autenticare l'identità.

Classificazione Annex III. Categoria 1, lettera (a): sistemi di identificazione biometrica remota. Sono ad alto rischio per definizione (esclusi i casi di pura verifica 1:1 dove l'utente collabora attivamente, es. unlock dello smartphone). La categoria 1 include anche (b) sistemi di categorizzazione biometrica basati su attributi sensibili e (c) sistemi di riconoscimento delle emozioni fuori da contesti medici e di sicurezza.

Obblighi del fornitore (art. 16 e seguenti). Sistema di gestione del rischio (art. 9) lungo tutto il ciclo di vita; data governance per i dataset di training, validation e test (art. 10) con esami su bias e rappresentatività; documentazione tecnica (art. 11 + Annex IV); logging automatico degli eventi (art. 12); trasparenza verso il deployer (art. 13); supervisione umana progettata by-design (art. 14); accuratezza, robustezza, cybersicurezza (art. 15); sistema di gestione della qualità (art. 17); valutazione di conformità da parte di organismo notificato (art. 43); marcatura CE; registrazione nella banca dati UE (art. 49).

Obblighi del deployer (Aeroporti di Roma, art. 26). Uso conforme alle istruzioni; supervisione umana effettiva; monitoraggio operativo e segnalazione di incidenti; conservazione log per minimo sei mesi; informativa ai lavoratori e ai rappresentanti sindacali prima della messa in uso; valutazione d'impatto sui diritti fondamentali (FRIA) ex art. 27 perché soggetto pubblico-rilevante che eroga servizi pubblici essenziali; informazione alle persone interessate quando prendono decisioni che le riguardano.

Controlli da implementare. Audit semestrale del tasso di falsi positivi e falsi negativi disaggregato per genere, età, etnia; canale di reclamo per passeggeri identificati erroneamente; protocollo di override umano documentato; coordinamento con il Garante Privacy per la base giuridica del trattamento biometrico ex art. 9 GDPR.

Sanzioni in caso di non conformità. Mancato rispetto degli obblighi sui sistemi ad alto rischio: fino a 15 milioni di euro o 3% del fatturato mondiale annuo, l'importo più alto. Se il sistema scivola in pratica vietata (categorizzazione biometrica per dedurre orientamento sessuale, opinioni politiche, convinzioni religiose), si applica il regime art. 5 con sanzioni fino a 35 milioni o 7% del fatturato.

Categoria 2 - Infrastrutture critiche: ottimizzazione AI della rete elettrica Terna

Scenario. Terna implementa un sistema di IA per il dispacciamento predittivo: il modello prevede picchi di domanda e ottimizza in tempo reale il flusso sulla rete di trasmissione nazionale, gestendo automaticamente alcuni interventi di switching.

Classificazione Annex III. Categoria 2: sistemi di IA destinati a essere usati come componenti di sicurezza nella gestione e nel funzionamento di infrastrutture digitali critiche, traffico stradale, fornitura di acqua, gas, riscaldamento ed elettricità. Il dispacciamento elettrico rientra esplicitamente.

Obblighi del fornitore. Tutti gli obblighi standard ad alto rischio (artt. 9-15) con focus particolare su robustness e cybersicurezza (art. 15) data la natura safety-critical. Test di resilienza contro adversarial attacks, fallback deterministici, ridondanza umano-in-the-loop per le azioni con impatto sistemico.

Obblighi del deployer Terna. FRIA obbligatoria; piani di continuità operativa che prevedano scenari di malfunzionamento del sistema AI; coordinamento con ARERA e con il Ministero delle Imprese e del Made in Italy per la qualifica di operatore di servizi essenziali (NIS2); esercitazioni periodiche di disaster recovery con il sistema AI in stato degradato.

Controlli da implementare. Soglie di confidenza oltre le quali la decisione passa obbligatoriamente all'operatore umano; logging completo delle azioni automatizzate con trail temporale; audit indipendente annuale; penetration test mirati al modello (data poisoning, evasion).

Sanzioni. Fino a 15 milioni o 3% del fatturato. Per infrastrutture critiche aggiungere il rischio reputazionale e l'eventuale concorso con sanzioni NIS2 e con la responsabilità civile per blackout o disservizi causati da malfunzionamenti del sistema AI.

Categoria 3 - Istruzione: rating studenti e ammissione universitaria

Scenario. Un'università italiana adotta un sistema di IA per (a) valutare automaticamente le domande di ammissione ai corsi a numero programmato, (b) assegnare punteggi alle prove scritte, (c) monitorare il comportamento degli studenti durante esami online (proctoring) per rilevare anomalie sospette di plagio.

Classificazione Annex III. Categoria 3, tutte le lettere applicabili: (a) determinazione dell'accesso o ammissione, (b) valutazione dei risultati di apprendimento, (c) rilevamento di comportamenti vietati durante test. Tre sistemi distinti, tutti ad alto rischio.

Obblighi del fornitore. Standard ad alto rischio. Particolare attenzione al data governance (art. 10): i dataset di training non devono perpetuare disparità storiche di accesso (genere, area geografica, background socio-economico). Documentazione delle metriche di fairness.

Obblighi del deployer università. FRIA obbligatoria (organismo pubblico). Informativa agli studenti prima della prova; diritto di ottenere una spiegazione delle decisioni individuali (art. 86) sui sistemi ad alto rischio che producono effetti giuridici o significativamente analoghi; canale di ricorso umano. Coordinamento con il Garante Privacy per il proctoring (trattamento intrusivo).

Controlli da implementare. Doppia valutazione umano-AI per i casi borderline; audit annuale dei tassi di ammissione disaggregati; revisione manuale obbligatoria delle prove con punteggio sotto la soglia di promozione; commissione di garanzia studentesca con potere di review.

Sanzioni. Fino a 15 milioni o 3% del fatturato (per università pubbliche le sanzioni sono modulate dalla normativa nazionale di recepimento, ma l'esposizione è rilevante). Rischio aggiuntivo: contenzioso amministrativo e civile da parte di candidati esclusi.

Categoria 4 - Occupazione: ATS e screening CV in azienda italiana

Scenario. Una multinazionale italiana del retail adotta una piattaforma di Applicant Tracking System che usa IA per (a) effettuare lo screening automatico dei CV ricevuti, classificandoli per fit con la job description, (b) targettizzare le campagne di recruitment online verso profili specifici, (c) supportare le decisioni di promozione interna analizzando performance review e dati HRIS.

Classificazione Annex III. Categoria 4, lettera (a): sistemi destinati al recruitment o selezione di persone fisiche, in particolare per la pubblicazione mirata di annunci, l'analisi e il filtro delle candidature, la valutazione dei candidati. Lettera (b): sistemi per decisioni che influenzano termini di rapporti di lavoro, promozione, terminazione, allocazione di compiti basata su tratti individuali, monitoraggio e valutazione delle performance. Tutto ad alto rischio.

Obblighi del fornitore ATS. Obblighi standard. Critico: dimostrare assenza di bias sistemici nel ranking dei CV. La giurisprudenza statunitense sui casi Workday e HireVue ha già mostrato l'esposizione legale dei vendor; in UE l'AI Act la formalizza.

Obblighi del deployer azienda. Informativa ai candidati prima della selezione; informativa ai lavoratori e consultazione dei rappresentanti sindacali (art. 26(7)) prima della messa in uso, in coerenza con lo Statuto dei Lavoratori e il D.Lgs. 152/1997 aggiornato dal Decreto Trasparenza; spiegabilità delle decisioni individuali a candidati e dipendenti che lo richiedono; FRIA quando il deployer eroga servizi di interesse pubblico (la maggior parte delle imprese di rilevanza non ricade qui, ma occorre verificare caso per caso).

Controlli da implementare. Revisione umana obbligatoria su almeno il 100% delle decisioni negative impattanti (rifiuto candidatura, mancata promozione); audit semestrale del modello su disparate impact (genere, età, nazionalità); calibrazione periodica dei pesi delle feature; piano di formazione AI literacy (art. 4) per tutti gli HR Business Partner che usano lo strumento. Vedi la nostra strategia di talent acquisition AI compliant per il framework operativo.

Sanzioni. Fino a 15 milioni o 3% del fatturato. In Italia si sommano possibili contenziosi giuslavoristici (art. 4 Statuto dei Lavoratori sui controlli a distanza, normativa antidiscriminatoria) e segnalazioni al Garante Privacy.

Categoria 5 - Servizi essenziali: scoring credito banca italiana

Scenario. Una banca commerciale italiana implementa un modello di IA per il credit scoring delle richieste di mutuo retail. Il modello assegna un punteggio sintetico di affidabilità creditizia che orienta la decisione di erogazione e il pricing del tasso.

Classificazione Annex III. Categoria 5, lettera (b): sistemi di IA destinati alla valutazione del merito creditizio o all'assegnazione di un credit score di persone fisiche. Eccezione esplicita: sistemi usati per rilevare frodi finanziarie non rientrano. Lo scoring di mutuo retail invece sì, classificazione automatica come alto rischio. La categoria 5 copre anche (a) accesso a servizi pubblici essenziali e prestazioni sociali, (c) pricing e risk assessment per assicurazioni vita e salute, (d) sistemi di emergency dispatch (118, 112, vigili del fuoco).

Obblighi del fornitore. Standard ad alto rischio con vincoli forti su explainability e fairness. Il modello deve essere interpretabile a un livello sufficiente per giustificare ogni singolo diniego.

Obblighi del deployer banca. Coordinamento serrato con la regolamentazione bancaria preesistente: Banca d'Italia, EBA Guidelines on Loan Origination, GDPR art. 22 (decisioni automatizzate). FRIA obbligatoria perché istituto finanziario eroga servizi essenziali. Diritto del cliente alla spiegazione (art. 86 AI Act + art. 22 GDPR + art. 125 TUB sul credito ai consumatori). Logging delle decisioni e conservazione per il periodo richiesto dalla normativa antiriciclaggio.

Controlli da implementare. Validazione interna del modello da funzione indipendente (model risk management ex Banca d'Italia Circ. 285); shadow mode per nuove versioni prima del rilascio; back-testing periodico su vintage di crediti già osservati; audit di disparate impact su variabili protette; comitato modelli con rappresentanza compliance e legale; protocollo di override umano per i casi su soglia.

Sanzioni. Fino a 15 milioni o 3% del fatturato (AI Act). In aggiunta: sanzioni Banca d'Italia per inadeguatezza dei processi creditizi, sanzioni Garante Privacy per violazioni GDPR, esposizione a class action di consumatori discriminati. La somma può facilmente superare i 50 milioni in scenari avversi.

Categoria 6 - Law enforcement: predictive policing in un comando di polizia locale

Scenario. Un comune italiano valuta l'adozione di un sistema di IA per analizzare dati storici di reati e predire aree e fasce orarie a maggior rischio, orientando il pattugliamento della polizia locale.

Classificazione Annex III. Categoria 6 copre vari sistemi usati da autorità di law enforcement: (a) valutazione del rischio di vittimizzazione, (b) poligrafi e strumenti analoghi, (c) valutazione dell'affidabilità delle prove, (d) profiling per la previsione del rischio di commettere reati basato su tratti della personalità (parzialmente vietato dall'art. 5 quando individuale e basato solo su profiling), (e) profiling per indagini.

Attenzione al confine col divieto. L'art. 5(1)(d) vieta i sistemi che effettuano valutazioni o predizioni del rischio individuale di commettere un reato basate esclusivamente sul profiling o su tratti della personalità. Predictive policing geografico-statistico (hot spot) resta ad alto rischio ma non vietato; predictive policing individuale è proibito. La distinzione è critica e va valutata caso per caso.

Obblighi del deployer. FRIA obbligatoria (autorità pubblica); registrazione nella banca dati UE; informativa pubblica sull'uso; audit indipendente; revisione umana di ogni azione operativa; coordinamento con Garante Privacy ed eventualmente con la magistratura. Vedi anche la nostra checklist conformità AI 2026 per il workflow di assessment.

Sanzioni. Fino a 15 milioni o 3% del fatturato. Se il sistema sconfina in pratica vietata, fino a 35 milioni o 7%.

Categoria 7 - Migrazione e asilo: triage delle richieste di protezione internazionale

Scenario. Una commissione territoriale per il riconoscimento della protezione internazionale valuta l'adozione di un sistema di IA per analizzare la coerenza interna delle dichiarazioni rese dai richiedenti asilo e segnalare incongruenze al funzionario decidente.

Classificazione Annex III. Categoria 7 copre: (a) poligrafi e analoghi nel contesto migratorio, (b) valutazione del rischio di sicurezza, salute o irregolare migrazione di soggetti, (c) supporto all'esame delle domande di asilo, visto e permesso di soggiorno e alla valutazione delle prove correlate, (d) identificazione o riconoscimento di persone nel contesto di gestione delle frontiere, esclusa la verifica documentale di viaggio.

Obblighi del fornitore. Obblighi standard. Particolare attenzione alla qualità dei dataset multilingue (le interviste avvengono spesso con interprete) e alla mitigazione dei bias culturali.

Obblighi del deployer. FRIA obbligatoria; trasparenza nei confronti del richiedente; revisione umana sostanziale (la decisione deve restare del funzionario); spiegabilità della segnalazione; coordinamento con UNHCR e con il Ministero dell'Interno. La giurisprudenza europea sulle decisioni automatizzate in materia di asilo è particolarmente sensibile.

Controlli da implementare. Audit annuale indipendente; campionamento di casi per back-test; canale di reclamo specifico; formazione obbligatoria dei funzionari sull'uso e sui limiti del sistema.

Sanzioni. Fino a 15 milioni o 3% del fatturato. Esposizione aggiuntiva: ricorsi giurisdizionali per violazione del diritto d'asilo e contenziosi davanti alla Corte EDU.

Categoria 8 - Giustizia e processi democratici: assistenza decisionale ai magistrati

Scenario. Un tribunale italiano sperimenta un sistema di IA per ricerca giurisprudenziale avanzata e per la suggestione di precedenti rilevanti al magistrato durante la redazione della sentenza.

Classificazione Annex III. Categoria 8, lettera (a): sistemi destinati a essere usati da o per conto di un'autorità giudiziaria per assistere nella ricerca e interpretazione di fatti e diritto e nell'applicazione del diritto a un insieme concreto di fatti. Lettera (b): sistemi per influenzare l'esito di elezioni o referendum o il comportamento elettorale di persone fisiche, esclusi i sistemi a cui le persone non sono direttamente esposte (es. organizzazione interna di una campagna).

Esenzione possibile. Se il sistema svolge esclusivamente compiti preparatori amministrativi (es. ricerca documentale pura senza ranking semantico che orienti la decisione), può rientrare nell'esenzione art. 6(3). La valutazione richiede analisi caso per caso e va documentata dal fornitore.

Obblighi del deployer tribunale. FRIA obbligatoria; logging integrale; revisione del magistrato che resta titolare assoluto della decisione; audit del CSM o del Ministero della Giustizia; trasparenza pubblica sull'uso.

Sanzioni. Fino a 15 milioni o 3% del fatturato. Rischio costituzionale aggiuntivo: principio del giudice naturale e indipendenza della magistratura.

Il quadro sanzionatorio sintetico

L'AI Act prevede tre fasce sanzionatorie:

  • Pratiche vietate (art. 5): fino a 35 milioni di euro o 7% del fatturato mondiale annuo, l'importo più alto.
  • Violazione obblighi sui sistemi ad alto rischio e altri obblighi sostanziali: fino a 15 milioni o 3% del fatturato.
  • Informazioni inesatte fornite ad autorità nazionali: fino a 7,5 milioni o 1% del fatturato.

Per PMI e startup gli importi sono i medesimi ma in valore assoluto, scegliendo tra fisso e percentuale l'importo più basso (mitigation per piccoli operatori). Le autorità nazionali italiane di vigilanza saranno designate dalla normativa di recepimento; il coordinamento europeo è affidato all'AI Office presso la Commissione e al Comitato europeo per l'IA.

Cosa fare adesso: tre azioni operative

Uno. Mappa i tuoi sistemi AI in produzione e in pipeline di acquisto. Per ciascuno: finalità, dataset di training, presenza di profiling di persone fisiche, uso da parte di soggetto pubblico-rilevante. Confrontalo con le otto categorie Annex III. Documenta la classificazione (e l'eventuale invocazione dell'esenzione art. 6(3)) con evidenza scritta firmata dal Legal/Compliance.

Due. Per ogni sistema classificato come alto rischio, costruisci il dossier di compliance. Sistema di gestione del rischio, data governance, documentazione tecnica, log automatici, supervisione umana, FRIA dove applicabile, registrazione UE quando richiesta. Se sei deployer, ottieni dal fornitore dichiarazione di conformità CE e istruzioni d'uso aggiornate.

Tre. Allinea l'AI literacy. L'art. 4 impone formazione adeguata a tutto il personale che usa o sviluppa sistemi di IA, indipendentemente dalla categoria di rischio. È applicabile dal 2 febbraio 2025: se non l'hai ancora fatto sei già in ritardo. Vedi le nostre scadenze AI Act 2026-2027 per il calendario completo.

Knowlee e l'AI Act: perché ne parliamo

In Knowlee progettiamo orchestrazione di lavoro agentico con governance compliant by-design: ogni job dichiara risk_level, data_categories, human_oversight_required, approved_by, approved_at. Questa metadata non è cosmetica, è il presupposto per dimostrare conformità in audit. Se stai valutando come strutturare la tua AI factory interna in coerenza con l'AI Act, parti dalla guida sull'orchestrazione multi-agente e dalla nostra checklist di conformità.

L'AI Act non è un freno. È la cornice che separa l'AI seria da quella improvvisata. Le aziende che oggi mettono in ordine documentazione, controlli e responsabilità avranno un vantaggio competitivo sostenibile nei prossimi cinque anni.

Matteo Mirabelli