Sistemi di IA ad alto rischio: guida pratica per team SaaS

I sistemi di IA ad alto rischio sono sistemi che entrano nel percorso di compliance piu rigoroso dellEU AI Act per finalita, contesto di prodotto o possibile impatto su salute, sicurezza o diritti fondamentali. Per un team SaaS, la domanda pratica non e se il prodotto usa IA. La domanda e se un caso duso concreto sia componente di sicurezza di un prodotto regolato, sia esso stesso un prodotto regolato, o sia destinato a un uso elencato nellAnnex III.

Se la risposta puo essere si, il team ha bisogno di un workflow strutturato. Deve identificare sistema, ruolo, finalita, persone interessate, dati, configurazione cliente, vendor, evidenze, controlli, owner e launch gate. La decisione non deve vivere solo in un memo legale; deve guidare product, engineering, security, privacy, compliance e team customer-facing.

Le draft guidelines della European Commission di maggio 2026 sono utili perche spiegano linterpretazione attuale dellArticle 6 e forniscono esempi pratici. Restano draft guidance, quindi lAI Act rimane la fonte dellobbligo legale.

Perche conta

La classificazione high-risk puo attivare risk management, data governance, documentazione tecnica, logging, trasparenza, human oversight, accuracy, robustness, cybersecurity, quality management, conformity assessment, registrazione, monitoring e incident handling.

Il rischio operativo piu grande e lambiguita. Un team puo rilasciare ranking, scoring, filtering, raccomandazioni, HR, education, healthcare o access decisions senza decidere se il caso entra nel percorso high-risk. Quando procurement, security cliente o audit chiede prove, il feature puo gia essere in contratti e release.

La classificazione accelera perche instrada il lavoro. Un assistant di drafting non deve avere lo stesso processo di un sistema che filtra candidati. Un tool interno di sintesi non e lo stesso di uno scoring per credito, lavoro, educazione o servizi essenziali.

Le due route principali

La prima route riguarda prodotti regolati. Un sistema di IA puo essere high-risk se e componente di sicurezza di un prodotto, o prodotto esso stesso, coperto dalla legislazione di armonizzazione di Annex I e soggetto a third-party conformity assessment. Questo e rilevante per SaaS in medical devices, machinery, transport, aviation, robotics, industria o infrastructure.

La seconda route riguarda Annex III: biometrics, critical infrastructure, education, employment, worker management, essential services, law enforcement, migration, justice e democratic processes. Lanalisi dipende da finalita e uso concreto, non dal nome del modello.

Per SaaS, Annex III e spesso il trigger piu comune. Hiring, candidate filtering, worker evaluation, student assessment, creditworthiness, insurance risk, biometric identification o legal decision support richiedono review approfondita.

Quando attivare review

Attiva review per nuovo AI feature, modello o vendor, nuova finalita, nuova configurazione cliente, uso in HR, education, healthcare, essential services, credit o insurance, biometria, ranking automatizzato, minore human review, ingresso nel mercato UE o domande cliente su esposizione AI Act.

La vendor AI richiede la stessa disciplina. Termini come insight, intelligence, automation, recommendation, screening, identity o safety non risolvono la classificazione. Il team deve sapere cosa fa il sistema, dati usati, persone interessate, uso delloutput, configurazioni sensibili e ruolo del cliente.

Workflow pratico

Inizia con un intake breve: sistema, owner, finalita, user journey, persone interessate, geografia, dati, modello o vendor, ruolo AI Act, output, human review, configurazione cliente e collegamento con Annex I o Annex III.

Poi instrada. Casi senza red flag passano a classificazione ordinaria, privacy, security e vendor review. Candidati high-risk passano ad assessment legal e compliance prima del lancio. Casi ambigui vanno a un reviewer nominato con scadenza.

Per sistemi probabilmente high-risk, amplia il record: risk management, data governance, technical documentation, logging, istruzioni duso, human oversight, testing, cybersecurity, post-market monitoring, incident escalation, evidenza vendor, conformity route e documentazione cliente.

Evidenza e ownership

Le evidenze devono rispondere a cosa e stato rivisto, perche e stata scelta quella classificazione, quali controlli ne derivano e quando la decisione sara riaperta. Conserva inventory, intake, descrizione prodotto o vendor, data flow, analisi persone interessate, intended purpose, screening, role analysis, conclusione, reviewer, data, fonti, launch decision, controlli e trigger di review.

Product possiede finalita e configurazione. Engineering possiede architettura, dati, log e testing. Security possiede vendor e cybersecurity. Privacy possiede data protection. Legal e compliance possiedono interpretazione AI Act ed evidence standard. Leadership possiede risk acceptance per lanci sensibili o ambigui.

Errori comuni

Il primo errore e trattare high-risk come etichetta di marca. Lo stesso modello puo supportare drafting low-risk o employment review high-risk. Il secondo e dipendere solo da vendor assurances. Il terzo e credere che human review risolva tutto. Il quarto e dimenticare change management quando cambiano finalita, dati, geografia, cliente, modello o oversight.

FAQ

Qual e lo scopo pratico?

Identificare sistemi di IA che richiedono un percorso di governance piu rigoroso, evidenze piu forti e controlli lifecycle prima di essere immessi sul mercato, messi in servizio o usati in workflow sensibili.

Quando si applica ai team SaaS?

Quando il team costruisce, vende, integra, configura o usa IA come componente di sicurezza di un prodotto regolato, come prodotto regolato o per usi Annex III come lavoro, educazione, essential services, biometrics, law enforcement, migration, justice o processi democratici.

Cosa documentare prima?

AI inventory, intake high-risk, role analysis, intended purpose, persone interessate, classification decision, owner, posizione delle evidenze e launch gate.

Sources

• Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence.
• European Commission draft guidelines on the classification of high-risk AI systems.
• European Commission AI Act FAQ on high-risk AI systems.
• AI Act Service Desk guidance on high-risk AI in regulated products.