La classificazione “alto rischio” è il cuore degli obblighi pesanti dell'AI Act. Capire quando un sistema ci ricade — e quali conseguenze tecniche comporta — evita sia sorprese sia allarmismi.
Quando un sistema è ad alto rischio
Un sistema è ad alto rischio principalmente in due casi: quando è componente di sicurezza di prodotti regolati, o quando rientra in aree elencate dall'AI Act dove può incidere su diritti e opportunità delle persone (es. occupazione, accesso a servizi essenziali, istruzione, giustizia).
- Selezione del personale e gestione dei lavoratori
- Accesso a credito, servizi pubblici essenziali, istruzione
- Identificazione biometrica e infrastrutture critiche
Cosa comporta sul piano tecnico
L'alto rischio non è solo carta: impone requisiti che si traducono in architettura. Sistema di gestione del rischio, qualità e governance dei dati, documentazione tecnica, logging, trasparenza, supervisione umana e accuratezza/robustezza.
- Tracciabilità: log delle decisioni e degli eventi
- Supervisione umana effettiva, non simbolica
- Qualità e rappresentatività dei dati di addestramento
- Documentazione tecnica mantenuta nel tempo
Progettare per ridurre il rischio
Molti requisiti dell'alto rischio coincidono con buone pratiche di ingegneria: logging, versioning, supervisione, qualità dei dati. Un sistema progettato bene parte già conforme su gran parte dei punti; un sistema improvvisato richiede di rifare tutto a posteriori.
In sintesi
- L'alto rischio dipende dall'area d'uso e dall'impatto sulle persone, non dal modello.
- Comporta requisiti tecnici precisi: logging, supervisione, qualità dati, documentazione.
- Molti requisiti coincidono con buona ingegneria del software.
- Progettare bene fin dall'inizio costa meno che adeguare a posteriori.
FAQ tecniche
Come faccio a sapere se rientro nell'alto rischio?
Serve una valutazione preliminare di ruolo, area d'uso e impatto. Non si deduce dal tipo di tool: si analizza il caso d'uso concreto e gli effetti sulle persone.
La supervisione umana basta a mettere in regola?
È uno dei requisiti, ma deve essere effettiva: la persona deve poter capire, contestare e fermare la decisione. Una conferma automatica “finta” non soddisfa l'obbligo.