Articolo 27 del Regolamento (UE) 2024/1689 — Valutazione dell'impatto sui diritti fondamentali per i sistemi di IA ad alto rischio. Testo ufficiale, interpretazione pratica, obblighi principali e implicazioni per la conformità.
Sintesi del testo ufficiale
L'articolo 27 del Regolamento (UE) 2024/1689 stabilisce un obbligo per determinati deployer di sistemi di IA ad alto rischio di condurre una valutazione dell'impatto sui diritti fondamentali (VIDF) prima di mettere tali sistemi in servizio. L'obbligo si applica ai deployer che sono organismi disciplinati dal diritto pubblico ai sensi della Direttiva 2014/24/UE, e ai deployer che sono entità private che forniscono servizi di natura pubblica — specificamente nei settori bancario, assicurativo, sanitario, dell'istruzione e della formazione professionale, della gestione dell'occupazione e dei lavoratori, e dell'amministrazione delle infrastrutture critiche.
La valutazione deve essere condotta prima del dispiegamento e deve coprire i seguenti elementi: una descrizione dei processi del deployer in cui verrà utilizzato il sistema di IA ad alto rischio e la loro finalità; le categorie di persone fisiche e gruppi che potrebbero essere interessati; i rischi specifici per i diritti fondamentali che possono derivare dall'uso; le misure concrete che il deployer intende attuare per mitigare tali rischi; un'indicazione dell'esistenza di meccanismi di reclamo o ricorso; e, ove applicabile, una descrizione dell'impatto sui minori.
I deployer soggetti all'obbligo devono inoltre notificare la pertinente autorità di vigilanza del mercato prima di dispiegare determinate categorie di sistemi di IA ad alto rischio elencate nell'Allegato III. La valutazione deve basarsi sulle informazioni fornite dal fornitore ai sensi dell'articolo 13 e deve essere documentata e tenuta a disposizione delle autorità competenti.
Cosa significa in pratica
Per le organizzazioni nell'ambito di applicazione, l'articolo 27 richiede un processo strutturato e documentato prima che qualsiasi sistema di IA ad alto rischio vada in funzione. Non si tratta di un esercizio di spunta una tantum — il VIDF deve riflettere il contesto di dispiegamento effettivo e deve essere riesaminato quando quel contesto cambia materialmente.
Un ospedale pubblico che dispieghi un sistema diagnostico o di triage assistito da IA deve valutare quali gruppi di pazienti potrebbero essere colpiti in modo sproporzionato, quali diritti sono in gioco (dignità, non discriminazione, accesso all'assistenza sanitaria) e quali salvaguardie esistono se il sistema produce raccomandazioni errate. Un'autorità locale che utilizzi un sistema di IA per lo screening dell'idoneità ai sussidi deve identificare i rischi per il diritto alla protezione sociale e al giusto procedimento, e documentare come funzionerà nella pratica la supervisione umana.
Le entità private che forniscono servizi finanziari rivolti al pubblico — come piattaforme di credit scoring o sottoscrizione assicurativa — rientrano nell'ambito di applicazione se si qualificano come deployer di sistemi ad alto rischio dell'Allegato III. Una società fintech che utilizzi un modello di IA per valutare le domande di prestito deve mappare i gruppi demografici esposti alle decisioni algoritmiche, valutare il rischio di esiti discriminatori e stabilire un percorso di ricorso documentato.
In pratica, i deployer dovrebbero integrare il VIDF nei propri flussi di lavoro esistenti di valutazione d'impatto sulla protezione dei dati (DPIA) ai sensi del GDPR ove pertinente, poiché l'articolo 27, paragrafo 4, consente esplicitamente lo svolgimento congiunto delle due valutazioni. Le organizzazioni dovrebbero designare un responsabile della valutazione, utilizzare come input la documentazione tecnica e le istruzioni per l'uso del fornitore, e creare un registro versionato che possa essere prodotto alle autorità di vigilanza su richiesta.
Obblighi principali
- Condurre una valutazione dell'impatto sui diritti fondamentali prima di dispiegare qualsiasi sistema di IA ad alto rischio nell'ambito del deployer, coprendo l'uso previsto, le persone interessate, i rischi identificati e le misure di mitigazione pianificate.
- Documentare la valutazione per iscritto e conservarla per l'ispezione da parte delle autorità competenti e delle autorità di vigilanza del mercato su richiesta.
- Notificare la pertinente autorità di vigilanza del mercato prima del dispiegamento laddove richiesto dalla specifica categoria di sistema di IA ad alto rischio elencata nell'Allegato III.
- Utilizzare le informazioni e le istruzioni per l'uso fornite dal fornitore del sistema di IA ai sensi dell'articolo 13 come input obbligatori alla valutazione.
- Aggiornare la valutazione quando il contesto di dispiegamento cambia significativamente, inclusi cambiamenti nelle categorie di persone interessate, nella finalità d'uso o nel profilo di rischio del sistema.
- Laddove sia richiesta anche una valutazione d'impatto sulla protezione dei dati ai sensi dell'articolo 35 del GDPR, le due valutazioni possono essere condotte congiuntamente per ridurre l'onere amministrativo, a condizione che tutti gli elementi di entrambe siano coperti.
Relazione con altri articoli
L'articolo 27 si trova nel Capitolo 3 del Titolo III, che distribuisce gli obblighi tra fornitori e deployer. Deve essere letto insieme all'articolo 26 (obblighi dei deployer in generale), che stabilisce il dovere generale dei deployer di utilizzare i sistemi ad alto rischio conformemente alle istruzioni del fornitore e di implementare la supervisione umana. Il VIDF si basa direttamente sulle informazioni che il fornitore è tenuto a fornire ai sensi dell'articolo 13 (trasparenza e fornitura di informazioni ai deployer) e dell'articolo 16, lettera d) (obbligo del fornitore di redigere la documentazione tecnica).
L'articolo 27, paragrafo 4, crea un collegamento procedurale diretto con il GDPR: laddove sia richiesta anche una DPIA ai sensi dell'articolo 35 del Regolamento (UE) 2016/679, le due valutazioni possono essere fuse. Questo collegamento è particolarmente rilevante per i deployer che trattano dati personali, il che avverrà nella maggior parte dei contesti regolamentati coperti dall'Allegato III.
L'articolo 27 si collega anche all'articolo 72 (vigilanza del mercato) e all'articolo 74 (accesso ai dati), poiché la valutazione completata deve essere accessibile alle autorità competenti che esercitano funzioni di vigilanza.
Tempistica di conformità
Il Regolamento IA dell'UE è entrato in vigore il 1° agosto 2024 (venti giorni dopo la pubblicazione nella Gazzetta Ufficiale il 12 luglio 2024). Le sue disposizioni si applicano per fasi:
- 2 febbraio 2025 — I divieti sulle pratiche di IA a rischio inaccettabile (articolo 5) sono diventati applicabili.
- 2 agosto 2025 — Gli obblighi relativi ai modelli di IA per uso generale (Titolo VIII, Capitolo 2) e le disposizioni di governance sono diventati applicabili.
- 2 dicembre 2026 — Gli obblighi per i sistemi di IA ad alto rischio elencati nell'Allegato I (legislazione sulla sicurezza dei prodotti) diventano applicabili.
- 2 agosto 2027 — Gli obblighi per i sistemi di IA ad alto rischio elencati nell'Allegato III (sistemi ad alto rischio autonomi, inclusi quelli più probabilmente soggetti a VIDF ai sensi dell'articolo 27 in aree quali occupazione, istruzione, identificazione biometrica e accesso ai servizi pubblici) diventano applicabili.
L'articolo 27 rientra nel quadro degli obblighi dei deployer di sistemi ad alto rischio e pertanto diventa applicabile il 2 agosto 2027 per i sistemi dell'Allegato III, e il 2 dicembre 2026 per i sistemi dell'Allegato I. I deployer non dovrebbero attendere fino a queste scadenze: costruire ora i processi VIDF consente alle organizzazioni di identificare e rimediare ai rischi per i diritti fondamentali prima che inizi l'applicazione delle norme e di allineare le valutazioni con i programmi DPIA GDPR in corso.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
L'articolo 27 si applica specificamente ai deployer di sistemi di IA ad alto rischio che sono organismi disciplinati dal diritto pubblico, o entità private che forniscono servizi di natura pubblica — in particolare nei settori bancario, assicurativo, sanitario o educativo. Non tutti i deployer sono coperti — le imprese private che operano in contesti puramente commerciali senza una dimensione di servizio pubblico sono generalmente fuori dall'ambito di questo specifico obbligo, pur rimanendo soggette ad altri obblighi dei deployer ai sensi del Regolamento IA.
La valutazione deve essere condotta prima del dispiegamento del sistema di IA ad alto rischio. Si tratta di un obbligo pre-dispiegamento, il che significa che il deployer deve effettuare e documentare la valutazione prima di mettere il sistema in uso. Essa dovrebbe essere aggiornata quando si verificano cambiamenti significativi nel contesto di dispiegamento o nell'utilizzo del sistema.
La valutazione di conformità ai sensi dell'articolo 43 è condotta dal o per conto del fornitore per verificare che il sistema di IA soddisfi i requisiti tecnici del Capitolo 2 prima dell'immissione sul mercato. Il VIDF ai sensi dell'articolo 27 è condotto dal deployer per valutare l'impatto concreto sui diritti fondamentali nel contesto specifico di dispiegamento. Sono complementari: la valutazione di conformità riguarda la conformità intrinseca del sistema, mentre il VIDF riguarda l'impatto reale sugli individui in un determinato caso d'uso.
L'articolo 27 non impone esplicitamente una revisione esterna. La valutazione può essere completata internamente dal deployer. Tuttavia, i deployer devono notificare la pertinente autorità di vigilanza del mercato prima del dispiegamento in determinati casi, e la valutazione documentata deve essere messa a disposizione delle autorità competenti su richiesta. Il coinvolgimento di competenze esterne è una buona pratica, in particolare per contesti di dispiegamento complessi o sensibili.
I deployer devono utilizzare le informazioni rese disponibili dal fornitore ai sensi dell'articolo 13 (trasparenza e fornitura di informazioni) e le istruzioni per l'uso. I fornitori sono tenuti a fornire informazioni sufficienti sullo scopo previsto, le capacità, i limiti e i rischi del sistema per consentire ai deployer di condurre una valutazione significativa degli impatti sui diritti fondamentali.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.