Allegato III del Regolamento IA dell'UE: le otto categorie ad alto rischio spiegate

L'Allegato III del Regolamento IA dell'UE elenca otto categorie di utilizzi dell'IA classificati come ad alto rischio ai sensi del Capo III. Se il vostro sistema di IA rientra in una di queste categorie, si applicano gli obblighi più gravosi del Regolamento: valutazione della conformità, documentazione tecnica, governance dei dati, supervisione umana, accuratezza e robustezza, monitoraggio post-commercializzazione, notifica degli incidenti. La sanzione per la mancata conformità relativa ai sistemi ad alto rischio è pari a 15 milioni di EUR o al 3% del fatturato mondiale totale ai sensi dell'articolo 99, paragrafo 4. Gli obblighi dell'Allegato III si applicano a partire dal 2 dicembre 2027, dopo che l'AI Omnibus ha spostato la data rispetto all'originale 2 agosto 2026. Il contenuto sostanziale del regime ad alto rischio non è cambiato; è stata spostata soltanto la data di applicazione.

Le otto categorie dell'Allegato III

  1. Identificazione e categorizzazione biometrica (identificazione biometrica a distanza, categorizzazione biometrica che inferisce attributi sensibili, riconoscimento delle emozioni).
  2. Infrastrutture critiche (IA per la gestione del traffico stradale, dell'acqua, del gas, del riscaldamento, della fornitura di elettricità, delle infrastrutture digitali).
  3. Istruzione e formazione professionale (decisioni di ammissione, valutazione, accertamento del livello di istruzione, monitoraggio durante le prove).
  4. Occupazione, gestione dei lavoratori e accesso al lavoro autonomo (selezione del personale, filtraggio dei candidati, valutazione, assegnazione dei compiti, monitoraggio).
  5. Accesso ai servizi privati e pubblici essenziali (scoring creditizio, determinazione del prezzo delle assicurazioni sulla vita e sulla salute, valutazione dell'ammissibilità all'assistenza pubblica, gestione dei servizi di emergenza).
  6. Attività di contrasto (valutazione del rischio relativo a persone fisiche, valutazione dell'affidabilità delle prove, profilazione).
  7. Migrazione, asilo e controllo delle frontiere (decisioni di ammissibilità, valutazione del rischio per la sicurezza, verifica dell'identità).
  8. Amministrazione della giustizia e processi democratici (strumenti di ricerca giudiziaria, risoluzione alternativa delle controversie, influenza sui risultati elettorali).

Quali categorie impattano più frequentemente il SaaS

Le categorie 3 (istruzione), 4 (occupazione) e 5 (servizi essenziali) rappresentano la maggior parte dell'esposizione ad alto rischio per il SaaS. La categoria 1 (biometria) riguarda una cerchia più ristretta, composta principalmente da strumenti di verifica dell'identità e analisi delle emozioni. Le categorie 6, 7 e 8 si applicano prevalentemente all'IA del settore pubblico, ma il SaaS commerciale venduto ad autorità di contrasto, agenzie per l'immigrazione o tribunali eredita tali obblighi. La categoria 2 (infrastrutture critiche) riguarda l'IA per IoT e SCADA, ma raramente il SaaS B2B. Le implicazioni specifiche per settore sono disponibili nelle nostre pagine dedicate ai singoli settori.

L'esenzione ai sensi dell'articolo 6, paragrafo 3

L'articolo 6, paragrafo 3, prevede una deroga circoscritta: un sistema di IA rientrante in un'area dell'Allegato III NON è considerato ad alto rischio se svolge soltanto uno dei seguenti compiti: un compito procedurale limitato; un miglioramento di un'attività umana già completata; il rilevamento di schemi o deviazioni nel processo decisionale senza l'intento di sostituire o influenzare la valutazione umana; oppure un compito preparatorio rispetto alla decisione effettiva. La deroga è valutata caso per caso e applicata in modo conservativo. La maggior parte dei SaaS che attiva una categoria dell'Allegato III risulterà ad alto rischio ai sensi dell'articolo 6, paragrafo 1, e non esente ai sensi del paragrafo 3.

Obblighi per i sistemi ad alto rischio

Se il vostro sistema rientra nell'Allegato III e non beneficia dell'esenzione ai sensi dell'articolo 6, paragrafo 3, si applica integralmente il Capo III: articolo 9 sistema di gestione dei rischi, articolo 10 governance dei dati, articolo 11 documentazione tecnica, articolo 12 registrazione, articolo 13 istruzioni per l'uso, articolo 14 supervisione umana, articolo 15 accuratezza e robustezza, articolo 17 sistema di gestione della qualità, articolo 43 valutazione della conformità, articolo 47 dichiarazione di conformità UE, articolo 48 marcatura CE, articolo 49 registrazione nella banca dati UE, articolo 61 gestione della qualità per i fornitori, articolo 72 monitoraggio post-commercializzazione, articolo 73 notifica degli incidenti. L'onere di conformità ammonta a diverse centinaia di ore di ingegneria e compliance per ciascun sistema.

Procedure di valutazione della conformità

L'articolo 43 prevede due procedure di valutazione della conformità per i sistemi dell'Allegato III: (a) controllo interno (Allegato VI) per la maggior parte dei casi – il fornitore effettua un'autovalutazione rispetto alle norme applicabili; (b) coinvolgimento di un organismo notificato (Allegato VII) per i sistemi di cui ai punti 1, lettera a), 1, lettera b) e 1, lettera c) dell'Allegato III (la maggior parte degli utilizzi biometrici) e nei casi in cui le norme armonizzate non siano ancora disponibili. La maggior parte dei SaaS utilizza la procedura di autovalutazione. La capacità degli organismi notificati costituisce il fattore limitante per il numero esiguo di casi che richiedono una valutazione esterna – i tempi di attesa sono attualmente compresi tra 9 e 18 mesi.

Frequently asked questions

Quando entra in vigore l'Allegato III?

Il 2 dicembre 2027 per la maggior parte delle categorie dell'Allegato III. L'AI Omnibus ha spostato la data rispetto all'originale 2 agosto 2026. Il regime ad alto rischio rimane il singolo adempimento di conformità più oneroso del Regolamento, e i diciotto mesi che intercorrono tra oggi e il dicembre 2027 rappresentano il termine minimo realistico per svolgere il lavoro in modo adeguato.

Qual è la sanzione per la mancata conformità all'Allegato III?

Fino a 15 milioni di EUR o al 3% del fatturato mondiale totale ai sensi dell'articolo 99, paragrafo 4, per l'inadempimento degli obblighi relativi ai sistemi ad alto rischio.

L'articolo 6, paragrafo 3, mi esonera dall'Allegato III?

Raramente – la deroga è circoscritta e applicata in modo conservativo. La maggior parte dei SaaS che attiva una categoria dell'Allegato III rimarrà ad alto rischio. La deroga si applica principalmente all'automazione procedurale limitata, piuttosto che a funzionalità di IA sostanziali.

Ho bisogno di un organismo notificato?

Solo in casi specifici – principalmente per l'identificazione e la categorizzazione biometrica nei casi in cui le norme armonizzate non siano ancora disponibili. La maggior parte dei SaaS rientranti nell'Allegato III utilizza l'autovalutazione tramite controllo interno ai sensi dell'articolo 43.

La mia classificazione ai sensi dell'Allegato III può cambiare?

Sì – la Commissione europea può aggiungere o rimuovere casi d'uso dall'Allegato III tramite atti delegati. È opportuno tenersi aggiornati con le linee guida dell'Ufficio europeo per l'IA.

Sources

Last updated: 2026-06-09