Legge sull'IA dell'UE Articolo 27: Valutazione di Impatto sui Diritti Fondamentali (FRIA)
L'Articolo 27 richiede a determinati deployer di sistemi di IA ad alto rischio di eseguire una Valutazione di Impatto sui Diritti Fondamentali prima di mettere il sistema in uso. Documenta come il sistema sarà utilizzato, chi lo utilizza, i rischi per i diritti fondamentali e le misure di supervisione umana e governance in atto — e i risultati sono notificati all'autorità di sorveglianza del mercato.
Legge sull'IA dell'UE Articolo 27: Valutazione di Impatto sui Diritti Fondamentali (FRIA)
L'Articolo 27 richiede a determinati deployer di sistemi di IA ad alto rischio di eseguire una Valutazione di Impatto sui Diritti Fondamentali prima di mettere il sistema in uso. Documenta come il sistema sarà utilizzato, chi lo utilizza, i rischi per i diritti fondamentali e le misure di supervisione umana e governance in atto — e i risultati sono notificati all'autorità di sorveglianza del mercato.
Ultimo aggiornamento: 4 luglio 2026
Chi Deve Eseguire una FRIA
L'obbligo di FRIA ricade su un insieme definito di deployer di sistemi di IA ad alto rischio, non sui fornitori e non su ogni deployer:
- Enti governati da leggi pubbliche, e enti privati che forniscono servizi pubblici, quando deployano sistemi di IA ad alto rischio
- Deployer di sistemi di valutazione del credito dell'Allegato III — IA ad alto rischio utilizzata per valutare la credibilità o stabilire un punteggio di credito (esclusa la rilevazione delle frodi)
- Deployer di sistemi di assicurazione dell'Allegato III — IA ad alto rischio utilizzata per la valutazione del rischio e la determinazione dei prezzi nelle assicurazioni sulla vita e sulla salute
- La valutazione deve essere completata prima che il sistema sia messo in uso
Dove una Valutazione di Impatto sulla Protezione dei Dati ai sensi dell'Articolo 35 del GDPR già copre parte dello stesso terreno, la FRIA può basarsi su di essa piuttosto che duplicarla.
Cosa Deve Coprire la Valutazione
L'Articolo 27(1) stabilisce gli elementi che una FRIA deve descrivere:
- Una descrizione dei processi del deployer in cui il sistema ad alto rischio sarà utilizzato, in linea con il suo scopo previsto
- Il periodo e la frequenza durante i quali il sistema è destinato a essere utilizzato
- Le categorie di persone fisiche e gruppi che probabilmente saranno interessati nel contesto specifico
- I rischi specifici di danno che probabilmente impatteranno su quelle categorie di persone
- Una descrizione delle misure di supervisione umana in atto, secondo le istruzioni per l'uso
- Le misure da adottare se i rischi si concretizzano, compresi gli accordi di governance interna e i meccanismi di reclamo
Notifica all'Autorità
La FRIA non è un esercizio puramente interno — i suoi risultati sono segnalati al regolatore:
- Una volta eseguita la valutazione, il deployer notifica l'autorità di sorveglianza del mercato dei suoi risultati
- L'Ufficio IA è incaricato di sviluppare un questionario modello per aiutare i deployer a conformarsi in modo semplificato
- La FRIA deve essere aggiornata se uno degli elementi cambia o non è più aggiornato durante il periodo di utilizzo
- Complementa, e non sostituisce, gli obblighi di conformità e gestione del rischio del fornitore
Come AIAgentree Aiuta
Una FRIA deve descrivere le misure di supervisione umana e monitoraggio sulla carta — AIAgentree fornisce l'evidenza operativa che quelle misure funzionano effettivamente:
- Flussi di lavoro di supervisione umana e approvazione danno sostanza concreta alle misure di supervisione che una FRIA deve descrivere, con un record di chi ha esaminato cosa e quando
- Record di decisione a prova di manomissione e monitoraggio degli esiti supportano il monitoraggio continuo dei rischi per le persone interessate che una FRIA ti impegna a fare
- Conservazione di audit (sei mesi o più) con residenza dei dati UE in Germania mantiene quell'evidenza di supervisione disponibile se l'autorità chiede di vedere come la valutazione si svolge nella pratica
Domande Frequenti
Chi deve effettuare una valutazione dell'impatto sui diritti fondamentali?
Alcuni deployer di sistemi di intelligenza artificiale ad alto rischio: enti governati dal diritto pubblico e enti privati che forniscono servizi pubblici, più deployer dei sistemi ad alto rischio dell'allegato III utilizzati per la valutazione del credito (valutazione della solvibilità) e per la valutazione e la determinazione del prezzo nel settore assicurativo sulla vita e sulla salute. È un obbligo del deployer, non del fornitore.
Quando deve essere completata la valutazione dell'impatto sui diritti fondamentali?
Prima che il deployer metta il sistema di intelligenza artificiale ad alto rischio in uso. Deve anche essere mantenuta aggiornata — se uno degli elementi cambia o diventa obsoleto durante il periodo di utilizzo, il deployer aggiorna la valutazione.
Cosa deve coprire la valutazione dell'impatto sui diritti fondamentali?
I processi e lo scopo previsto del deployer per il sistema, il periodo e la frequenza di utilizzo, le categorie di persone e gruppi probabilmente interessati, i rischi specifici di danno per loro, le misure di supervisione umana in atto e le misure da adottare se i rischi si concretizzano, comprese la governance interna e i meccanismi di reclamo.
Dobbiamo informare un regolatore della valutazione dell'impatto sui diritti fondamentali?
Sì. Una volta eseguita la valutazione, il deployer notifica l'autorità di sorveglianza del mercato dei risultati. L'Ufficio AI sta sviluppando un questionario modello per supportare un modo semplificato di ottemperare a questa notifica.
La valutazione dell'impatto sui diritti fondamentali può riutilizzare la nostra valutazione d'impatto sulla protezione dei dati ai sensi del GDPR?
In parte. Laddove una valutazione d'impatto sulla protezione dei dati ai sensi dell'articolo 35 del GDPR copra già elementi sovrapposti, la valutazione dell'impatto sui diritti fondamentali può basarsi su di essa e integrarla piuttosto che duplicare il lavoro. La valutazione dell'impatto sui diritti fondamentali ha comunque il suo focus sui diritti fondamentali che una valutazione d'impatto sulla protezione dei dati non sostituisce completamente.
Continua a esplorare la guida all'Atto AI UE
Guida alla conformità all'Atto AI UE
La guida completa alla conformità all'Atto AI UE per gli agenti AI — inizia da qui.
Articolo 12 — Conservazione dei registri e registrazione
Cosa ogni sistema AI ad alto rischio deve registrare e come catturarlo.
Articolo 14 — Supervisione umana
Progettazione di controlli efficaci con intervento umano per le decisioni AI.
Allegato III — Sistemi AI ad alto rischio
Quali casi d'uso AI l'Atto classifica come ad alto rischio.
Checklist di conformità all'Atto AI UE
Una checklist passo dopo passo per raggiungere e documentare la conformità.
Calcolatore dei costi di conformità
Stima lo sforzo e il costo di conformità all'Atto AI UE.
Scadenze e cronologia
Date di applicazione chiave, compresa la scadenza del 2 agosto 2026.
Sanzioni e penalità
Livelli di penalità fino a 35 milioni di euro o il 7% del fatturato annuo globale.
Obblighi di trasparenza (Art. 13 e 50)
Doveri di divulgazione per i sistemi AI e i loro output.
Gestione del rischio e valutazione della conformità
Crea un sistema di gestione del rischio e valuta la conformità.
Obblighi GPAI
Regole per i fornitori di modelli AI di uso generale.
Atto AI UE per le aziende statunitensi
Ambito extraterritoriale e cosa devono fare i fornitori statunitensi.
Aggiornamento omnibus
Gli ultimi cambiamenti alla cronologia e alle regole dell'Atto AI UE.
Calcolatore delle penalità
Stima la tua multa massima secondo le fasce dell'articolo 99.
Articolo 11 + Allegato IV
Quale documentazione tecnica richiede l'Atto AI dell'UE.
Articolo 26: Obblighi del distributore
Cosa devono fare i distributori di AI ad alto rischio, compresa la conservazione dei log.
Articolo 17: Gestione della qualità
Il QMS che i fornitori di AI ad alto rischio devono documentare.
Articolo 10: Governance dei dati
Qualità dei dati, mitigazione dei pregiudizi e doveri di governance.
Articolo 4: Alfabetizzazione AI
L'obbligo di alfabetizzazione AI dello staff in vigore dal febbraio 2025.
Distributore vs Fornitore
Chi sostiene quale obbligo — e quando un distributore diventa un fornitore.
A chi si applica?
Ambito, operatori e portata extraterritoriale dell'Atto AI dell'UE.
Monitoraggio post-mercato
Articoli 72-73: monitoraggio continuo e segnalazione di incidenti.
ISO 42001 vs Atto AI dell'UE
Come lo standard volontario e la legge vincolante si integrano.
NIST AI RMF vs Atto AI dell'UE
Un confronto pratico tra il framework e la legge.
Atto AI dell'UE per l'assistenza sanitaria
AI medica ad alto rischio, interazione con MDR/IVDR e supervisione clinica.
Atto AI dell'UE per i servizi finanziari
Punteggi di credito, prezzi assicurativi e regolamentazione finanziaria esistente.
Atto AI dell'UE per le risorse umane e l'occupazione
Assunzione di AI come ad alto rischio, più sovrapposizione con NYC LL144 e EEOC.