Obblighi dell'EU AI Act per l'IA nel settore educativo: ammissioni, valutazione automatizzata, proctoring e piattaforme di apprendimento. Copre la categoria 3 dell'Allegato III e le protezioni speciali per gli studenti.

Il Settore dell'Istruzione e l'EU AI Act — Perché i Diritti degli Studenti Sono Centrali

L'EU AI Act (Regolamento (UE) 2024/1689) identifica l'istruzione e la formazione professionale come un settore ad elevato rischio, classificando specifiche applicazioni di IA al suo interno come ad alto rischio ai sensi dell'Allegato III, categoria 3. Tale classificazione riflette un giudizio fondamentale del legislatore europeo: i sistemi di IA che condizionano l'accesso alle opportunità educative o determinano i risultati accademici riguardano diritti di profonda rilevanza individuale — il diritto all'istruzione (Art. 14, Carta dei diritti fondamentali dell'UE), il diritto alla non discriminazione (Art. 21) e, per la larga quota di studenti minorenni, le protezioni rafforzate dell'Art. 8 del GDPR e dei framework internazionali, tra cui la Convenzione ONU sui diritti dell'infanzia e dell'adolescenza (UNCRC).

Il settore dell'istruzione presenta un profilo di conformità distintivo. La maggior parte degli istituti di istruzione — università, scuole e istituti di formazione professionale — riveste il ruolo di deployer ai sensi dell'EU AI Act: acquistano e gestiscono sistemi di IA sviluppati da fornitori EdTech anziché sviluppare l'IA internamente. Questa distinzione non riduce i loro obblighi. I deployer di IA ad alto rischio ai sensi dell'Art. 26 hanno obblighi legali autonomi che non possono essere assolti semplicemente acquistando un prodotto con marchio CE. Al tempo stesso, le aziende EdTech che sviluppano e immettono sul mercato UE sistemi di IA sono provider soggetti all'intero regime di valutazione della conformità ai sensi del Capo III, Sezione 2.

Il settore è inoltre caratterizzato da una significativa concentrazione di dati personali sensibili. I dati comportamentali degli studenti, i registri delle valutazioni, i pattern di coinvolgimento, le difficoltà di apprendimento e i profili demografici sono trattati su larga scala da piattaforme di apprendimento adattivo e strumenti di analisi. Questa concentrazione di dati significa che la conformità all'EU AI Act nel settore educativo non può essere progettata in modo isolato rispetto al GDPR — i due framework devono essere affrontati come un obbligo di conformità integrato.

IA ad Alto Rischio nell'Istruzione — Ammissioni, Valutazioni e Proctoring

L'Allegato III, categoria 3 definisce due distinte categorie di IA ad alto rischio nel settore educativo. Comprendere l'ambito di ciascuna categoria è essenziale per le decisioni di classificazione.

IA per le Ammissioni — Determinazione dell'Accesso agli Istituti di Istruzione

L'Allegato III, categoria 3(a) riguarda i sistemi di IA destinati a essere utilizzati per la determinazione dell'accesso o dell'assegnazione a istituti e programmi di istruzione e formazione professionale. Questa categoria include l'IA che assegna punteggi, classifica o filtra i candidati nei processi di ammissione universitaria, l'IA che valuta le qualifiche pregresse o il riconoscimento delle credenziali professionali, e l'IA che determina l'idoneità per specifici percorsi accademici o programmi specializzati.

La classificazione ad alto rischio si applica ove l'output del sistema di IA abbia un effetto significativo sull'accesso di un candidato a un'opportunità educativa. Tale soglia è soddisfatta dalla maggior parte dei sistemi di ammissione IA operativamente impiegati: un modello di punteggio i cui output vengono esaminati e utilizzati dal personale addetto alle ammissioni senza una sistematica rivalutazione della valutazione sottostante determina di fatto i risultati anche qualora un essere umano approvi formalmente ciascuna decisione. I provider di tali sistemi devono conformarsi agli Artt. 9–15 (governance dei dati, documentazione tecnica, registrazione, trasparenza, supervisione umana, accuratezza e robustezza). Gli istituti deployer devono verificare la conformità e attuare gli obblighi del deployer ai sensi dell'Art. 26 prima che il sistema venga utilizzato in qualsiasi ciclo di ammissione.

Il rischio di pregiudizio (bias) è particolarmente acuto nell'IA per le ammissioni. I sistemi addestrati su dati storici relativi alle ammissioni e al successo accademico possono codificare disuguaglianze esistenti — divari di genere in alcune discipline, disparità socioeconomiche nella preparazione accademica, differenze di prestazione tra candidati nazionali e internazionali. L'Art. 10 richiede che i dati di addestramento siano soggetti a pratiche di governance che affrontino i pregiudizi noti, e l'Art. 9 impone misure di gestione del rischio calibrate sulla gravità del danno potenziale, che in questo contesto include il diniego di opportunità educative a candidati qualificati provenienti da gruppi svantaggiati.

IA per la Valutazione Automatizzata — Votazione e Assegnazione ai Percorsi Accademici

L'Allegato III, categoria 3(b) riguarda i sistemi di IA che valutano e esaminano gli studenti, inclusi gli strumenti di valutazione automatizzata e i sistemi che assegnano gli studenti a percorsi accademici differenziati, ove tali sistemi abbiano un effetto significativo sui loro percorsi educativi. Uno strumento di valutazione automatizzata dei testi che produce voti finali determinanti il superamento o la bocciatura di un corso, il conseguimento di una qualifica o la progressione al livello accademico successivo è ad alto rischio. Analogamente, l'IA che colloca gli studenti in percorsi di recupero, standard o avanzati sulla base di dati sulle prestazioni ha un effetto significativo sui percorsi educativi e rientra in questa categoria.

Il confine per gli strumenti di valutazione formativa — strumenti utilizzati esclusivamente per fornire feedback agli studenti in cui il docente mantiene il pieno ed effettivo controllo su tutti i risultati valutati — è più ristretto. Tali strumenti possono esulare dalla categoria 3(b), ma questa classificazione deve essere documentata e giustificata, e gli istituti devono garantire che la supervisione umana sia genuinamente sostanziale piuttosto che una mera approvazione formale dei risultati generati dall'IA.

IA per il Proctoring da Remoto degli Esami

I sistemi di proctoring da remoto che monitorano il comportamento degli studenti durante le prove d'esame attraverso l'analisi video, il tracciamento oculare, il blocco del browser, il rilevamento della digitazione o il rilevamento di anomalie comportamentali rappresentano una delle applicazioni di IA giuridicamente più complesse nel settore educativo. Ove tali sistemi segnalino o escludano studenti sulla base della loro analisi automatizzata — o ove i loro output siano utilizzati da revisori umani in modo tale da determinare sostanzialmente gli esiti — essi costituiscono IA ad alto rischio ai sensi dell'Allegato III, categoria 3 in quanto IA che valuta gli studenti e produce effetti significativi sui loro percorsi accademici.

Il proctoring IA riguarda anche il divieto di cui all'Art. 5(1)(d) relativo all'identificazione biometrica remota in tempo reale in spazi accessibili al pubblico. Ove i sistemi di proctoring utilizzino il riconoscimento facciale per verificare continuamente l'identità degli studenti durante un esame in tempo reale, ciò costituisce un'identificazione biometrica vietata, salvo che si applichi una deroga legislativa nazionale molto limitata prevista dall'Art. 5(2)–(6). Gli istituti che impiegano l'IA per il proctoring devono distinguere con attenzione tra la verifica dell'identità al momento dell'accesso all'esame (potenzialmente lecita ove conforme) e la sorveglianza biometrica continua in tempo reale per tutta la durata della sessione d'esame (soggetta al divieto dell'Art. 5).

Provider vs. Deployer — Aziende EdTech e Istituti di Istruzione

L'EU AI Act ripartisce gli obblighi in modo asimmetrico tra provider e deployer. Comprendere tale ripartizione è fondamentale per la pianificazione della conformità sia per i fornitori EdTech sia per gli istituti che utilizzano i loro prodotti.

Obblighi dei Provider EdTech

Le aziende EdTech che sviluppano e immettono sul mercato UE sistemi di IA ad alto rischio sono provider ai sensi dell'Art. 3(3) e devono conformarsi ai requisiti completi per l'IA ad alto rischio previsti dal Capo III, Sezione 2:

I provider devono inoltre mettere a disposizione degli istituti deployer istruzioni per l'uso sufficientemente specifiche da consentire agli istituti di adempiere ai propri obblighi in qualità di deployer — incluse informazioni sui sottogruppi della popolazione studentesca per i quali il sistema è stato testato, i limiti di prestazione noti, i risultati dei test sui bias e le procedure di gestione dei registri.

Obblighi degli Istituti Deployer

Le università, le scuole e gli istituti di formazione professionale che utilizzano l'IA EdTech ad alto rischio ai sensi dell'Art. 26 devono:

Interazione con il GDPR, i Diritti dei Minori e il Diritto Nazionale dell'Istruzione

GDPR e Trattamento dei Dati degli Studenti

L'IA nel settore educativo opera su dati intrinsecamente sensibili. Le piattaforme di learning analytics, i sistemi di tutoraggio adattivo e gli strumenti di proctoring comportamentale trattano dati che possono includere registrazioni delle prestazioni accademiche, metriche di coinvolgimento, segnali comportamentali e comunicazioni — tutti collegati a studenti identificabili.

Ove gli studenti siano minorenni, l'Art. 8 del GDPR limita il trattamento dei dati personali basato sul consenso: gli Stati membri hanno fissato l'età al di sotto della quale è richiesto il consenso dei genitori o dei tutori tra 13 e 16 anni. Le piattaforme EdTech che si basano sul consenso dello studente come base giuridica per il trattamento devono implementare sistemi di verifica dell'età e meccanismi per verificare e registrare il consenso dei genitori ove richiesto. Gli istituti che agiscono come titolari del trattamento ai sensi del GDPR devono garantire che i loro contratti con i fornitori EdTech includano accordi sul trattamento dei dati ai sensi dell'Art. 28 del GDPR adeguati e che i dati degli studenti non vengano trasferiti al di fuori del SEE senza adeguate garanzie.

Il trattamento di categorie speciali di dati — che può verificarsi ove siano coinvolte valutazioni delle difficoltà di apprendimento, screening della salute mentale o profilazione demografica — richiede una base giuridica esplicita ai sensi dell'Art. 9(2) del GDPR e tipicamente una Valutazione d'Impatto sulla Protezione dei Dati ai sensi dell'Art. 35.

Art. 50 — Trasparenza per i Chatbot di Tutoraggio IA

L'Art. 50 dell'EU AI Act impone uno specifico obbligo di trasparenza ai sistemi di IA progettati per interagire direttamente con persone fisiche. I chatbot di tutoraggio basati sull'IA, gli assistenti virtuali di apprendimento e gli strumenti di feedback generati dall'IA impiegati in contesti educativi devono comunicare chiaramente agli studenti la propria natura di IA all'inizio di ogni interazione. Ove il pubblico studentesco includa minorenni, l'informativa deve essere adattata per essere adeguata all'età e genuinamente comprensibile. Gli istituti che utilizzano strumenti di tutoraggio IA devono verificare che l'implementazione del fornitore soddisfi tale obbligo e non devono configurare il sistema in modi che sopprimano o occultino l'informativa sull'IA.

Diritto Nazionale dell'Istruzione

La legislazione nazionale in materia di istruzione negli Stati membri dell'UE può imporre obblighi aggiuntivi sull'uso dell'IA in ambito accademico — ad esempio, requisiti relativi all'integrità degli esami, alla conservazione dei dati per i registri accademici e all'equità procedurale nei ricorsi in materia di ammissioni. I programmi di conformità per gli istituti di istruzione devono mappare gli obblighi dell'EU AI Act e del GDPR rispetto alla normativa nazionale applicabile, incluse le linee guida ministeriali settoriali emanate dai ministeri nazionali dell'istruzione. Ove i sistemi di IA producano output utilizzati in processi formalmente regolamentati (esami di Stato, qualifiche accreditate), l'interfaccia tra gli obblighi dell'AI Act e il diritto nazionale degli esami richiede una specifica analisi giuridica.

Enforcement — Autorità per la Protezione dei Dati e Autorità del Settore Educativo

L'enforcement nel settore dell'istruzione coinvolge una struttura stratificata di autorità competenti. Le autorità di vigilanza nazionali sull'IA (designate ai sensi dell'Art. 70) hanno giurisdizione primaria sulla conformità all'EU AI Act, incluse la valutazione della conformità, la sorveglianza del mercato e le sanzioni. Per gli istituti di istruzione, tale autorità può essere un'autorità di vigilanza generale sull'IA o, in alcuni Stati membri, un organismo settoriale designato.

Le Autorità per la Protezione dei Dati (DPA) svolgono un importante ruolo indipendente di enforcement. Dato il volume e la sensibilità dei dati degli studenti trattati dall'IA nel settore educativo, le DPA vigilano attivamente sulle implementazioni di IA in scuole e università. Le violazioni del GDPR correlate all'IA in ambito educativo — trattamento illecito dei dati di minori, accordi inadeguati sul trattamento dei dati con i fornitori EdTech, mancata effettuazione delle DPIA richieste — comportano sanzioni della DPA fino a €20 milioni o al 4% del fatturato annuo globale ai sensi dell'Art. 83 del GDPR. Le azioni di enforcement delle DPA hanno storicamente preceduto l'enforcement formale dell'AI Act nei settori regolamentati, e l'IA nel settore educativo dovrebbe essere pianificata tenendo conto del controllo delle DPA come rischio a breve termine.

Gli organi di governo universitari e le autorità nazionali di accreditamento possono imporre conseguenze istituzionali — tra cui sanzioni reputazionali, sospensione dei processi automatizzati e requisiti di audit indipendenti — ove si rilevi che l'uso dell'IA nelle ammissioni o nelle valutazioni abbia prodotto esiti iniqui o discriminatori. La governance accademica istituzionale, inclusi i procedimenti di ricorso degli studenti, deve essere progettata per accogliere i ricorsi contro decisioni influenzate dall'IA.

Roadmap di Conformità per gli Istituti di Istruzione e i Provider EdTech

Per i Provider EdTech

  1. Classificare ciascun prodotto rispetto all'Allegato III, categoria 3 — documentare la motivazione della classificazione con riferimento specifico alla finalità prevista del sistema e alla significatività del suo effetto sui risultati educativi.
  2. Attuare l'intero regime di valutazione della conformità per l'alto rischio ai sensi degli Artt. 9–15 per tutti i prodotti classificati come ad alto rischio, inclusi i test sui bias attraverso sottogruppi demografici rappresentativi della popolazione studentesca dell'UE.
  3. Registrare i sistemi ad alto rischio nella banca dati UE dell'IA (Art. 49) prima dell'immissione sul mercato.
  4. Predisporre una documentazione completa rivolta ai deployer: istruzioni per l'uso, documentazione di conformità, risultati dei test sui bias e sull'accuratezza, linee guida per la gestione dei registri.
  5. Attuare la trasparenza ai sensi dell'Art. 50 in tutti i sistemi di IA che interagiscono direttamente con gli studenti.
  6. Rivedere gli accordi sul trattamento dei dati per garantire la conformità all'Art. 28 del GDPR, inclusi i meccanismi per il consenso dei genitori ove richiesto dall'Art. 8.

Per gli Istituti di Istruzione

  1. Verificare tutti i sistemi di IA in uso — ammissioni, valutazioni, proctoring, analytics, tutoraggio — e classificarli rispetto all'Allegato III, categoria 3.
  2. Richiedere e verificare la documentazione di conformità da tutti i fornitori EdTech per qualsiasi sistema classificato o potenzialmente classificabile come ad alto rischio.
  3. Effettuare valutazioni d'impatto sui diritti fondamentali ai sensi dell'Art. 27 prima di mettere in esercizio o continuare a utilizzare sistemi di IA per le ammissioni o le valutazioni.
  4. Assegnare la responsabilità nominativa della supervisione per ciascun sistema di IA ad alto rischio a personale qualificato con genuina competenza tecnica e autorità istituzionale.
  5. Rivedere i procedimenti di ricorso in materia di ammissioni e valutazioni per garantire che accolgano le contestazioni alle decisioni influenzate dall'IA e prevedano un riesame umano sostanziale.
  6. Verificare la conformità al GDPR per tutti i dati degli studenti trattati dalle piattaforme EdTech — confermare che gli accordi sul trattamento dei dati, le basi giuridiche e i meccanismi di consenso dei genitori siano in vigore.
  7. Verificare le configurazioni dell'IA per il proctoring per la conformità al divieto dell'Art. 5 sull'identificazione biometrica in tempo reale — se una qualsiasi configurazione prevede il riconoscimento facciale continuo durante le sessioni d'esame, ottenere urgente consulenza legale prima del prossimo periodo di esami.

Official AI Act Compliance Deadline Calendar

Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation Applies to Original date New date Status Countdown Legal basis
Prohibited Practices (Art. 5) All providers and deployers active AI Act Art. 5
GPAI Rules (Chapter 5) GPAI model providers active AI Act Art. 51-56
High-risk AI — Annex III (standalone) Providers of standalone Annex III systems deferred AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded) AI embedded in Annex I regulated products deferred AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking Providers of generative GPAI systems active AI Act Art. 50(2)
Regulatory Sandboxes National competent authorities active AI Act Art. 57

Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Sì, in quasi tutte le configurazioni operative rilevanti. I sistemi di IA che assegnano punteggi, classificano o filtrano i candidati per determinare l'accesso agli istituti di istruzione o di formazione professionale rientrano pienamente nell'Allegato III, categoria 3(a). Tale classificazione si applica indipendentemente dal fatto che l'IA produca una decisione finale di ammissione o si limiti a generare un punteggio che il personale addetto alle ammissioni utilizza come input — se l'output del sistema ha un effetto significativo sull'ammissione di un candidato, la classificazione ad alto rischio si applica. Le università devono garantire che il sistema rechi il marchio CE, sia registrato nella banca dati UE dell'IA e che gli obblighi del deployer ai sensi dell'Art. 26 siano integralmente attuati prima che il sistema sia utilizzato in qualsiasi ciclo di ammissione.

Dipende dal fatto che il software valuti i risultati di apprendimento con un effetto significativo sui percorsi degli studenti. Ai sensi dell'Allegato III, categoria 3(b), i sistemi di IA che valutano gli studenti e producono conseguenze significative per il loro percorso accademico — come il superamento di un corso, il conseguimento di una qualifica o il passaggio al livello accademico successivo — sono ad alto rischio e devono essere registrati. Gli strumenti di valutazione automatizzata utilizzati come fase finale o sostanzialmente determinante nell'assegnazione del voto sono ad alto rischio. Gli strumenti utilizzati esclusivamente per il feedback formativo, in cui il docente conserva il pieno controllo sul voto finale, presentano un profilo di rischio inferiore e potrebbero non rientrare nella categoria, ma ciò deve essere documentato e giustificato.

No — non ai sensi delle disposizioni generali dell'EU AI Act. L'Art. 5(1)(d) vieta l'identificazione biometrica remota in tempo reale in spazi accessibili al pubblico, e gli istituti di istruzione come scuole e università sono qualificati come spazi accessibili al pubblico a tal fine. Il divieto riguarda il riconoscimento facciale utilizzato per identificare individui in tempo reale. Deroghe limitate possono essere consentite solo ove uno Stato membro abbia emanato una normativa che autorizza espressamente tale utilizzo e strettamente entro le condizioni di cui all'Art. 5(2) fino a (6). In pratica, la soglia per tali deroghe è elevata e la maggior parte degli impieghi del riconoscimento facciale in ambito educativo per il controllo delle presenze o la sorveglianza degli esami sarebbe vietata dall'Art. 5. La categorizzazione biometrica differita utilizzata nel proctoring può rientrare nelle disposizioni sull'alto rischio anziché nel divieto dell'Art. 5, ma è comunque soggetta all'intero regime di valutazione della conformità.

I fornitori di EdTech che immettono sul mercato sistemi di IA ad alto rischio devono mettere a disposizione degli istituti deployer: una Dichiarazione di Conformità UE completa e la documentazione relativa al marchio CE; istruzioni per l'uso dettagliate che coprono la finalità prevista del sistema, i limiti di prestazione e le condizioni in cui è richiesta la supervisione umana; informazioni sulle caratteristiche dei dati di addestramento e sui pregiudizi noti, in particolare per i gruppi demografici rilevanti per la popolazione studentesca; documentazione tecnica che dimostri la conformità agli Artt. 9–15; e la capacità del sistema di generare, conservare ed esportare i registri operativi come richiesto dall'Art. 12. Le università, in qualità di deployer ai sensi dell'Art. 26, devono verificare che tale documentazione sia disponibile e adeguata prima di utilizzare qualsiasi sistema di IA classificato come ad alto rischio.

L'Art. 27 dell'EU AI Act raccomanda che gli enti pubblici e i deployer di sistemi di IA ad alto rischio in settori sensibili effettuino una valutazione d'impatto sui diritti fondamentali (FRIA) prima della messa in esercizio. Per le università, la FRIA dovrebbe identificare: quali diritti fondamentali possono essere interessati (non discriminazione ai sensi dell'Art. 21 della Carta UE, diritto all'istruzione ai sensi dell'Art. 14, protezione dei dati ai sensi dell'Art. 8); le popolazioni studentesche a rischio di impatto negativo, incluse le minoranze, gli studenti con disabilità e gli studenti internazionali; i meccanismi algoritmici specifici che possono introdurre o amplificare le disuguaglianze; le misure di mitigazione, quali audit sui bias, requisiti di diversità dei dati di addestramento imposti al fornitore e procedure di intervento umano; e un piano di monitoraggio che preveda revisioni periodiche dell'accuratezza disaggregate per variabile demografica degli studenti. La FRIA deve essere documentata e aggiornata ogni volta che il sistema di IA cambia significativamente o quando il monitoraggio rivela esiti imprevisti.

Sì. L'Art. 50 dell'EU AI Act richiede che i sistemi di IA progettati per interagire con persone fisiche — inclusi i chatbot di tutoraggio IA e gli assistenti virtuali di apprendimento — informino gli utenti in modo chiaro, tempestivo ed efficace del fatto che stanno interagendo con un sistema di IA. Tale obbligo si applica sia al fornitore EdTech che progetta il chatbot sia all'istituto di istruzione che lo utilizza. Ove gli studenti siano minorenni, l'obbligo di trasparenza si interseca con i requisiti dell'Art. 8 del GDPR in materia di comunicazione adeguata all'età. L'informativa deve essere fornita prima o all'inizio dell'interazione e deve essere facilmente comprensibile per il pubblico di riferimento, inclusi gli studenti che potrebbero avere una limitata familiarità con i sistemi di IA.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.