28 giorni alla data di entrata in vigore della legge europea sull'IA
Scopri di più →

Legge sull'IA dell'UE Articolo 27: Valutazione di Impatto sui Diritti Fondamentali (FRIA)

L'Articolo 27 richiede a determinati deployer di sistemi di IA ad alto rischio di eseguire una Valutazione di Impatto sui Diritti Fondamentali prima di mettere il sistema in uso. Documenta come il sistema sarà utilizzato, chi lo utilizza, i rischi per i diritti fondamentali e le misure di supervisione umana e governance in atto — e i risultati sono notificati all'autorità di sorveglianza del mercato.

Articolo 27 — Valutazione di Impatto sui Diritti Fondamentali

Legge sull'IA dell'UE Articolo 27: Valutazione di Impatto sui Diritti Fondamentali (FRIA)

L'Articolo 27 richiede a determinati deployer di sistemi di IA ad alto rischio di eseguire una Valutazione di Impatto sui Diritti Fondamentali prima di mettere il sistema in uso. Documenta come il sistema sarà utilizzato, chi lo utilizza, i rischi per i diritti fondamentali e le misure di supervisione umana e governance in atto — e i risultati sono notificati all'autorità di sorveglianza del mercato.

Ultimo aggiornamento: 4 luglio 2026

Chi Deve Eseguire una FRIA

L'obbligo di FRIA ricade su un insieme definito di deployer di sistemi di IA ad alto rischio, non sui fornitori e non su ogni deployer:

  • Enti governati da leggi pubbliche, e enti privati che forniscono servizi pubblici, quando deployano sistemi di IA ad alto rischio
  • Deployer di sistemi di valutazione del credito dell'Allegato III — IA ad alto rischio utilizzata per valutare la credibilità o stabilire un punteggio di credito (esclusa la rilevazione delle frodi)
  • Deployer di sistemi di assicurazione dell'Allegato III — IA ad alto rischio utilizzata per la valutazione del rischio e la determinazione dei prezzi nelle assicurazioni sulla vita e sulla salute
  • La valutazione deve essere completata prima che il sistema sia messo in uso

Dove una Valutazione di Impatto sulla Protezione dei Dati ai sensi dell'Articolo 35 del GDPR già copre parte dello stesso terreno, la FRIA può basarsi su di essa piuttosto che duplicarla.

Cosa Deve Coprire la Valutazione

L'Articolo 27(1) stabilisce gli elementi che una FRIA deve descrivere:

  • Una descrizione dei processi del deployer in cui il sistema ad alto rischio sarà utilizzato, in linea con il suo scopo previsto
  • Il periodo e la frequenza durante i quali il sistema è destinato a essere utilizzato
  • Le categorie di persone fisiche e gruppi che probabilmente saranno interessati nel contesto specifico
  • I rischi specifici di danno che probabilmente impatteranno su quelle categorie di persone
  • Una descrizione delle misure di supervisione umana in atto, secondo le istruzioni per l'uso
  • Le misure da adottare se i rischi si concretizzano, compresi gli accordi di governance interna e i meccanismi di reclamo

Notifica all'Autorità

La FRIA non è un esercizio puramente interno — i suoi risultati sono segnalati al regolatore:

  • Una volta eseguita la valutazione, il deployer notifica l'autorità di sorveglianza del mercato dei suoi risultati
  • L'Ufficio IA è incaricato di sviluppare un questionario modello per aiutare i deployer a conformarsi in modo semplificato
  • La FRIA deve essere aggiornata se uno degli elementi cambia o non è più aggiornato durante il periodo di utilizzo
  • Complementa, e non sostituisce, gli obblighi di conformità e gestione del rischio del fornitore

Come AIAgentree Aiuta

Una FRIA deve descrivere le misure di supervisione umana e monitoraggio sulla carta — AIAgentree fornisce l'evidenza operativa che quelle misure funzionano effettivamente:

  • Flussi di lavoro di supervisione umana e approvazione danno sostanza concreta alle misure di supervisione che una FRIA deve descrivere, con un record di chi ha esaminato cosa e quando
  • Record di decisione a prova di manomissione e monitoraggio degli esiti supportano il monitoraggio continuo dei rischi per le persone interessate che una FRIA ti impegna a fare
  • Conservazione di audit (sei mesi o più) con residenza dei dati UE in Germania mantiene quell'evidenza di supervisione disponibile se l'autorità chiede di vedere come la valutazione si svolge nella pratica

Domande Frequenti

Chi deve effettuare una valutazione dell'impatto sui diritti fondamentali?

Alcuni deployer di sistemi di intelligenza artificiale ad alto rischio: enti governati dal diritto pubblico e enti privati che forniscono servizi pubblici, più deployer dei sistemi ad alto rischio dell'allegato III utilizzati per la valutazione del credito (valutazione della solvibilità) e per la valutazione e la determinazione del prezzo nel settore assicurativo sulla vita e sulla salute. È un obbligo del deployer, non del fornitore.

Quando deve essere completata la valutazione dell'impatto sui diritti fondamentali?

Prima che il deployer metta il sistema di intelligenza artificiale ad alto rischio in uso. Deve anche essere mantenuta aggiornata — se uno degli elementi cambia o diventa obsoleto durante il periodo di utilizzo, il deployer aggiorna la valutazione.

Cosa deve coprire la valutazione dell'impatto sui diritti fondamentali?

I processi e lo scopo previsto del deployer per il sistema, il periodo e la frequenza di utilizzo, le categorie di persone e gruppi probabilmente interessati, i rischi specifici di danno per loro, le misure di supervisione umana in atto e le misure da adottare se i rischi si concretizzano, comprese la governance interna e i meccanismi di reclamo.

Dobbiamo informare un regolatore della valutazione dell'impatto sui diritti fondamentali?

Sì. Una volta eseguita la valutazione, il deployer notifica l'autorità di sorveglianza del mercato dei risultati. L'Ufficio AI sta sviluppando un questionario modello per supportare un modo semplificato di ottemperare a questa notifica.

La valutazione dell'impatto sui diritti fondamentali può riutilizzare la nostra valutazione d'impatto sulla protezione dei dati ai sensi del GDPR?

In parte. Laddove una valutazione d'impatto sulla protezione dei dati ai sensi dell'articolo 35 del GDPR copra già elementi sovrapposti, la valutazione dell'impatto sui diritti fondamentali può basarsi su di essa e integrarla piuttosto che duplicare il lavoro. La valutazione dell'impatto sui diritti fondamentali ha comunque il suo focus sui diritti fondamentali che una valutazione d'impatto sulla protezione dei dati non sostituisce completamente.

Continua a esplorare la guida all'Atto AI UE

Guida alla conformità all'Atto AI UE

La guida completa alla conformità all'Atto AI UE per gli agenti AI — inizia da qui.

Articolo 12 — Conservazione dei registri e registrazione

Cosa ogni sistema AI ad alto rischio deve registrare e come catturarlo.

Articolo 14 — Supervisione umana

Progettazione di controlli efficaci con intervento umano per le decisioni AI.

Allegato III — Sistemi AI ad alto rischio

Quali casi d'uso AI l'Atto classifica come ad alto rischio.

Checklist di conformità all'Atto AI UE

Una checklist passo dopo passo per raggiungere e documentare la conformità.

Calcolatore dei costi di conformità

Stima lo sforzo e il costo di conformità all'Atto AI UE.

Scadenze e cronologia

Date di applicazione chiave, compresa la scadenza del 2 agosto 2026.

Sanzioni e penalità

Livelli di penalità fino a 35 milioni di euro o il 7% del fatturato annuo globale.

Obblighi di trasparenza (Art. 13 e 50)

Doveri di divulgazione per i sistemi AI e i loro output.

Gestione del rischio e valutazione della conformità

Crea un sistema di gestione del rischio e valuta la conformità.

Obblighi GPAI

Regole per i fornitori di modelli AI di uso generale.

Atto AI UE per le aziende statunitensi

Ambito extraterritoriale e cosa devono fare i fornitori statunitensi.

Aggiornamento omnibus

Gli ultimi cambiamenti alla cronologia e alle regole dell'Atto AI UE.

Calcolatore delle penalità

Stima la tua multa massima secondo le fasce dell'articolo 99.

Articolo 11 + Allegato IV

Quale documentazione tecnica richiede l'Atto AI dell'UE.

Articolo 26: Obblighi del distributore

Cosa devono fare i distributori di AI ad alto rischio, compresa la conservazione dei log.

Articolo 17: Gestione della qualità

Il QMS che i fornitori di AI ad alto rischio devono documentare.

Articolo 10: Governance dei dati

Qualità dei dati, mitigazione dei pregiudizi e doveri di governance.

Articolo 4: Alfabetizzazione AI

L'obbligo di alfabetizzazione AI dello staff in vigore dal febbraio 2025.

Distributore vs Fornitore

Chi sostiene quale obbligo — e quando un distributore diventa un fornitore.

A chi si applica?

Ambito, operatori e portata extraterritoriale dell'Atto AI dell'UE.

Monitoraggio post-mercato

Articoli 72-73: monitoraggio continuo e segnalazione di incidenti.

ISO 42001 vs Atto AI dell'UE

Come lo standard volontario e la legge vincolante si integrano.

NIST AI RMF vs Atto AI dell'UE

Un confronto pratico tra il framework e la legge.

Atto AI dell'UE per l'assistenza sanitaria

AI medica ad alto rischio, interazione con MDR/IVDR e supervisione clinica.

Atto AI dell'UE per i servizi finanziari

Punteggi di credito, prezzi assicurativi e regolamentazione finanziaria esistente.

Atto AI dell'UE per le risorse umane e l'occupazione

Assunzione di AI come ad alto rischio, più sovrapposizione con NYC LL144 e EEOC.