La Valutazione d’Impatto sui Diritti Fondamentali (FRIA)

L’intelligenza artificiale (AI) costituisce una tecnologia stabilmente integrata nella quotidianità sociale ed economica, dalle comuni applicazioni di fitness fino alle reti digitali che gestiscono i trasporti pubblici. Con l’incremento delle capacità tecnologiche, si impongono precise responsabilità etiche e giuridiche. Lo sviluppo di queste tecnologie ha sollevato interrogativi sul piano tecnologico, etico e sociale, evidenziando la necessità di una regolamentazione strutturata atta a bilanciare l’innovazione con la tutela dei diritti fondamentali dei cittadini.

L’Unione Europea ha assunto un ruolo pionieristico con l’introduzione dell’AI Act, una normativa destinata a creare un quadro giuridico per lo sviluppo e l’impiego dell’AI che sia al contempo innovativo, sicuro e rispettoso dei valori etici. 

Tra le novità più impattanti introdotte da questa normativa, spicca la Valutazione d’Impatto sui Diritti Fondamentali (FRIA), che segna un punto di svolta nel modo in cui le organizzazioni devono approcciarsi all’AI, ponendo l’accento sulla tutela dei diritti umani.

Che cos’è il FRIA (Valutazione d’Impatto sui Diritti Fondamentali)

La Valutazione d’Impatto sui Diritti Fondamentali è specificamente progettata per garantire che l’applicazione e l’uso dei sistemi di intelligenza artificiale rispettino i diritti umani e le libertà fondamentali. Attraverso la FRIA, gli sviluppatori e gli operatori di sistemi AI considerati ad alto rischio sono tenuti a valutare in modo critico l’impatto che tali tecnologie possono avere sui diritti individuali.

La funzione principale della FRIA è di identificare preventivamente i potenziali rischi legali derivanti dall’utilizzo dell’AI, con l’obiettivo di mitigarli prima che possano manifestarsi. Questo processo enfatizza l’importanza di una valutazione approfondita e mirata alla conformità legale, ponendo le basi per un impiego dell’intelligenza artificiale che sia non solo avanzato dal punto di vista tecnologico, ma anche sicuro e in linea con i principi giuridici fondamentali dell’UE. Implementando la FRIA, l’AI Act cerca di assicurare che l’uso dell’intelligenza artificiale contribuisca positivamente alla società, salvaguardando al contempo le persone da possibili pregiudizi o danni.

Il concetto di FRIA prima dell’AI Act

L’interesse per le implicazioni dell’intelligenza artificiale (AI) sui diritti umani non è un fenomeno recente, ma si è sviluppato gradualmente attraverso dibattiti accademici, pubblicazioni specialistiche e scambi tra esperti. Queste discussioni hanno gettato le fondamenta per ciò che sarebbe stato formalizzato come Valutazione d’Impatto sui Diritti Fondamentali (FRIA) nell’AI Act. La crescente consapevolezza sull’importanza di valutazioni che vanno oltre i benefici tecnologici e considerano gli impatti etici e sui diritti umani ha sottolineato la necessità di un’analisi preventiva degli effetti dell’AI.

Tra i contributi significativi a questa discussione, spicca l’articolo “Practical fundamental rights impact assessments“, pubblicato nel 2022 da Heleen Janssen, Michelle Seng Ah Lee e Jatinder Singh sul International Journal of Law and Information Technology. Questo lavoro non solo ha anticipato le tematiche centrali dell’AI Act, ma ha anche offerto una dettagliata riflessione sulle FRIA, proponendo un modello strutturato per la loro realizzazione. Gli autori hanno evidenziato l’importanza di estendere l’attenzione dalla protezione dei dati personali all’intero spettro dei diritti umani potenzialmente toccati dall’uso dell’AI, suggerendo un quadro di valutazione (FRIAF) articolato in quattro fasi per guidare le organizzazioni nell’identificazione e nella mitigazione dei rischi.

In parallelo a questi sviluppi accademici, l’attenzione della società civile verso la responsabilità nell’uso dell’AI ha trovato espressione in documenti influenti come “A Civil Society Statement”, pubblicato nel 2021 da organizzazioni come Algorithm Watch e AccessNow. Questo manifesto ha richiamato l’attenzione sul bisogno di obblighi formali per le entità che impiegano sistemi AI ad alto rischio di valutare preventivamente i loro impatti sui diritti fondamentali.

Inoltre, il documento redatto dall’associazione ALLA.I. nel 2023 ha rafforzato ulteriormente l’argomentazione a favore della FRIA, sottolineando come quasi tutti i diritti fondamentali possano essere influenzati dall’AI, e come applicazioni già esistenti possano amplificare gli impatti a livello sociale.

L’inserimento del FRIA nell’AI Act

La Valutazione d’Impatto sui Diritti Fondamentali non è entrata a far parte dell’AI Act  fin dalla prima bozza:
Inizialmente, la proposta della Commissione Europea non menzionava specificamente la tutela dei diritti fondamentali. La proposta del Consiglio ha successivamente introdotto un sistema di gestione del rischio per i fornitori di sistemi AI ad alto rischio, che prevedeva l’identificazione e l’analisi dei rischi potenziali per la salute, la sicurezza e i diritti fondamentali. 

Anche se la bozza del Consiglio non stabiliva esplicitamente la necessità di effettuare una FRIA, contemplava già l’idea di un sistema di gestione dei rischi legati all’AI, con particolare attenzione a quelli che toccano i diritti fondamentali. Questa gestione era però limitata ai rischi che si riteneva fossero mitigabili o eliminabili mediante lo sviluppo tecnico e la progettazione del sistema AI ad alto rischio, o attraverso la fornitura di informazioni tecniche precise. 

Questo approccio iniziale del Consiglio è stato poi sviluppato e ampliato dal Parlamento, che ha introdotto una visione più ampia e dettagliata riguardo alla valutazione dei rischi per i diritti fondamentali, concretizzandosi nell’obbligo di svolgere la FRIA. Il Parlamento, pur riconoscendo il sistema di gestione del rischio per i fornitori, ha aggiunto, con l’articolo 29, l’obbligo per gli implementatori (deployers) – ovvero coloro che completano l’implementazione dei sistemi AI ad alto rischio – di eseguire una valutazione d’impatto sui diritti fondamentali. 

Elementi chiave del FRIA

L’articolo 29 introduce dettagliatamente i criteri che i deployers di sistemi di intelligenza artificiale ad alto rischio devono seguire per realizzare un Fundamental Rights Impact Assessment:

• Processo di Implementazione: è necessaria una descrizione approfondita di come il sistema AI ad alto rischio verrà impiegato, includendo dettagli operativi e contestuali.
• Durata e frequenza di utilizzo: le organizzazioni devono precisare per quanto tempo e con quale frequenza intendono utilizzare il sistema AI ad alto rischio.
• Categorie di persone o gruppi Interessati: la valutazione deve chiarire quali individui o gruppi potrebbero essere influenzati dall’utilizzo del sistema AI, tenendo conto del contesto di impiego.
• Rischi specifici di danno: è fondamentale identificare e descrivere i rischi particolari che il sistema potrebbe presentare per le categorie di persone o gruppi interessati.
• Misure di supervisione umana: i responsabili dell’implementazione sono tenuti a dettagliare come verranno applicate misure di controllo umano per monitorare l’operato del sistema AI.
• Misure di rimedio in caso di rischi concretizzati: devono essere predisposte strategie per mitigare e rimediare ai rischi qualora questi si manifestino.

Prima della messa in opera dei sistemi, gli attori coinvolti devono inoltre:

• Svolgere un’analisi d’impatto completa, che definisca chiaramente l’obiettivo del sistema AI, l’ambito temporale e geografico di utilizzo e le categorie di individui coinvolti.
• Assicurare che il sistema sia conforme alla legislazione nazionale ed europea sui diritti fondamentali, anticipando e gestendo i rischi per i diritti fondamentali, includendo possibili danni a individui emarginati o gruppi vulnerabili, oltre agli impatti ambientali.
• Elaborare e pubblicizzare un piano per mitigare danni e impatti negativi, enfatizzando l’importanza della responsabilità e della trasparenza.
• Nel caso emergano cambiamenti significativi nel sistema durante il suo utilizzo, sarà necessario effettuare una nuova valutazione d’impatto.
• È essenziale la collaborazione con autorità nazionali, organizzazioni di pari opportunità, enti per la tutela dei consumatori e altri stakeholder durante il processo di valutazione.
• Infine, è richiesta la pubblicazione di un sommario dei risultati della valutazione per promuovere la trasparenza.

Chi è tenuto a svolgere la Valutazione d’Impatto sui diritti fondamentali e quando

La definizione dei soggetti obbligati all’adempimento dell’Articolo 27 costituisce un aspetto centrale della normativa. L’obbligo di condurre una FRIA non grava su qualsiasi impresa privata che impieghi un sistema ad alto rischio, ma si concentra su tre categorie di deployer:

1. Gli enti pubblici e i soggetti governati dal diritto pubblico: amministrazioni centrali, enti locali, istituzioni scolastiche.
2. I soggetti privati che forniscono servizi pubblici: come concessionari di servizi di trasporto, distribuzione di energia o servizi sanitari privati.
3. I deployer (sia pubblici che privati) che utilizzano sistemi di intelligenza artificiale ad alto rischio destinati alla valutazione del merito creditizio (credit scoring) delle persone fisiche o alla valutazione del rischio e alla determinazione delle tariffe nei settori delle assicurazioni sulla vita e sulla salute (ad esclusione dei sistemi finalizzati alla prevenzione delle frodi).[11, 15, 18, 19]

Quindi, un’azienda privata che impiega un software di intelligenza artificiale classificato ad alto rischio per la selezione dei candidati (recruitment) o per la gestione del personale è soggetta agli obblighi dell’Articolo 26 (come la conservazione dei log e la sorveglianza umana), ma non è tenuta a redigere una FRIA ai sensi dell’Articolo 27, a meno che non si tratti di un ente pubblico o di un fornitore di servizi pubblici.

Al contrario, gli istituti di credito o le compagnie assicurative che implementano algoritmi per valutare la solvibilità o definire tariffe sanitarie individuali devono effettuare la valutazione preventiva. Inoltre, i sistemi ad alto rischio utilizzati come componenti di sicurezza in infrastrutture critiche digitali, traffico stradale o fornitura di utenze (di cui all’Allegato III, punto 2) sono esentati dall’obbligo di FRIA.

Criteri di classificazione dell’alto rischio

La necessità di procedere alla redazione di una FRIA presuppone che il sistema di intelligenza artificiale impiegato dal deployer sia classificato come “ad alto rischio” ai sensi dell’Articolo 6, paragrafo 2, del Regolamento.[

La classificazione si basa su criteri oggettivi legati al potenziale impatto negativo che l’applicazione di AI può avere sulla salute, sulla sicurezza e sui diritti fondamentali delle persone. I sistemi che non rientrano nelle categorie ad alto rischio (o in quelle vietate) non sono soggetti ai requisiti di conformità della FRIA. La distinzione si fonda sull’influenza reale che l’algoritmo esercita sulle libertà individuali. Si riportano i seguenti esempi:

Categoria di Rischio	Esempio applicativo	Obblighi di valutazione (FRIA)
Alto rischio	Algoritmo utilizzato da una banca per calcolare il merito creditizio di un richiedente mutuo.	Obbligatoria: il sistema può limitare l’accesso a risorse finanziarie, introducendo bias discriminatori.
Alto rischio (esentato da FRIA)	Sistema di intelligenza artificiale utilizzato come componente di sicurezza nella gestione del traffico ferroviario.	Non richiesta: il sistema è escluso dall’obbligo di FRIA in quanto rientra nelle esenzioni per le infrastrutture critiche (Allegato III, punto 2).
Rischio limitato	Chatbot automatizzato per il supporto clienti su una piattaforma di e-commerce.	Escluso: soggetto agli obblighi di trasparenza informativa (l’utente deve sapere che sta interagendo con un’AI).

FRIA vs DPIA

La Valutazione d’Impatto sui Diritti Fondamentali (FRIA) e la Valutazione d’Impatto sulla Protezione dei Dati (DPIA) sono due strumenti di valutazione che, pur avendo obiettivi specifici, condividono l’intento di mitigare i rischi associati all’uso delle tecnologie. 

Mentre la DPIA è uno strumento consolidato dal GDPR per identificare e minimizzare i rischi per la privacy derivanti dal trattamento dei dati personali, la FRIA è un meccanismo volto a garantire che l’implementazione di sistemi AI ad alto rischio rispetti i diritti fondamentali oltre la privacy, come la non discriminazione e il diritto alla libertà di espressione.

Entrambe le valutazioni condividono l’obiettivo di prevenire danni potenziali, ma differiscono nel loro specifico ambito di applicazione. La DPIA si focalizza sui rischi per i dati personali e la privacy degli individui, mentre la FRIA ha un campo di applicazione più ampio che include tutti i diritti fondamentali potenzialmente impattati dall’uso dell’AI. Nonostante queste differenze, esiste un terreno comune significativo che permette di creare sinergie tra le due valutazioni, specialmente quando un sistema AI ad alto rischio comporta sia trattamento significativo di dati personali sia potenziali impatti sui diritti fondamentali.

Ad esempio, consideriamo l’implementazione di un sistema di raccomandazione AI in un sito di e-commerce. Tale sistema analizza la cronologia degli acquisti e le preferenze degli utenti per suggerire prodotti pertinenti, raccogliendo e trattando così una vasta quantità di dati personali. In questo contesto, la DPIA si concentrerebbe sulla valutazione dei rischi per la privacy e la sicurezza dei dati degli utenti, mentre la FRIA valuterebbe come l’algoritmo di raccomandazione possa influenzare altri diritti fondamentali, ad esempio esaminando se il sistema potrebbe introdurre bias di genere o etnico nelle sue raccomandazioni.

Integrare la DPIA con la FRIA consente di valutare i rischi in modo più completo, prendendo in considerazione sia la protezione dei dati personali sia la tutela di una gamma più vasta di diritti fondamentali.

Cosa può fare Legal for Digital per le aziende che implementano l’AI 

L’introduzione della Valutazione d’Impatto sui Diritti Fondamentali (FRIA) nell’AI Act evidenzia un’attenzione crescente verso un’analisi che consideri gli impatti dell’intelligenza artificiale oltre la sfera tecnologica, includendo la protezione dei diritti umani. L’associazione di questo strumento con la Valutazione d’Impatto sulla Protezione dei Dati (DPIA) crea un framework complesso, ma essenziale, per le imprese che utilizzano sistemi AI ad alto rischio.

La scadenza del 2 agosto 2026, data in cui le regole sui sistemi ad alto rischio diventeranno applicabili, impone alle aziende di adempiere agli obblighi per evitare sanzioni che possono raggiungere i 15 milioni di euro o il 3% del fatturato mondiale annuo dell’impresa per la mancata conformità agli obblighi del deployer. In Italia, l’architettura dei controlli si è consolidata con la Legge n. 132 del 23 settembre 2025, che ha designato l’Agenzia per la Cybersicurezza Nazionale (ACN) quale Autorità di sorveglianza del mercato e l’AgID come Notifying Authority, definendo un sistema di vigilanza sul territorio.

Per le imprese, comprendere e implementare la FRIA e la DPIA evidenzia la necessità di una consulenza legale specializzata. L’avvocato esperto in diritto delle tecnologie e protezione dei dati personali assume un ruolo di supporto all’interno dei team di progetto. Il professionista guida l’organizzazione attraverso l’interpretazione dell’AI Act e della Legge n. 132/2025, strutturando una governance aziendale conforme.

La consulenza legale in questo ambito non si limita alla prevenzione delle sanzioni, ma consente alle aziende di adottare un approccio alla gestione del rischio etico, trasformando la conformità normativa in un elemento di affidabilità per clienti e mercati. Inoltre, la consulenza specialistica facilita la comunicazione tra l’impresa, gli sviluppatori tecnologici esterni, le parti sociali e le autorità regolatorie quali l’ACN e il Garante Privacy, promuovendo soluzioni operative volte a tutelare l’attività economica e a salvaguardare la dignità e i diritti fondamentali della persona.