La valutazione del rischio è il cuore dell’AI Act. Non è un esercizio teorico, ma il criterio con cui l’Unione Europea stabilisce se un sistema di intelligenza artificiale può essere utilizzato liberamente, deve rispettare requisiti stringenti o addirittura è vietato.
Per le imprese, soprattutto PMI e startup, saper collocare correttamente i propri sistemi all’interno delle quattro categorie di rischio è il primo passo per evitare sanzioni e guadagnare credibilità sul mercato.
I sistemi a rischio minimo sono quelli che non interagiscono direttamente con l’utente finale, non trattano dati personali sensibili e non prendono decisioni autonome che incidono sulle persone. Si tratta di applicazioni per l’intrattenimento, l’automazione di compiti semplici o i filtri antispam. In questi casi, gli obblighi sono ridotti e si limitano al rispetto delle normative generali su privacy e sicurezza.
Al livello successivo troviamo i sistemi a rischio limitato, che interagiscono con gli utenti senza trattare dati particolarmente delicati e forniscono supporto a decisioni senza avere l’ultima parola. Qui la trasparenza è fondamentale: gli utenti devono sapere che stanno dialogando con un sistema di IA e comprendere la natura artificiale dei contenuti generati. Esempi tipici sono chatbot o assistenti virtuali.
I sistemi ad alto rischio rappresentano la fascia più delicata e impegnativa. Si tratta di applicazioni che prendono decisioni automatizzate con un impatto significativo sugli individui, utilizzano dati sensibili o biometrici e operano in settori critici come sanità, finanza, trasporti, educazione o sicurezza. In questi casi servono governance, tracciabilità, valutazioni d’impatto, supervisione umana e requisiti tecnici stringenti per garantire robustezza e affidabilità.
Infine, l’AI Act definisce alcune pratiche come a rischio inaccettabile e quindi vietate. Rientrano in questa categoria i sistemi che manipolano il comportamento umano con tecniche subliminali, sfruttano le vulnerabilità di soggetti fragili, applicano identificazione biometrica in tempo reale in spazi pubblici per finalità di sicurezza o pratiche di social scoring generalizzato e profilazione predittiva in ambito giudiziario. In questi casi non è possibile mitigare il rischio: l’unica risposta è non sviluppare o utilizzare tali sistemi.
Per le imprese, capire in quale categoria rientra il proprio sistema non è solo un obbligo normativo, ma un modo per gestire meglio i processi interni, rafforzare la fiducia dei clienti e ridurre l’esposizione a contenziosi. Una corretta valutazione del rischio permette di adottare da subito le misure minime necessarie e di pianificare l’adeguamento in modo sostenibile e strategico.
