AI act: la guida per le aziende che usano l'intelligenza artificiale nei processi HR.

Se nella tua azienda stai usando, o valutando di usare, strumenti di intelligenza artificiale nei processi HR, l'AI Act ti riguarda direttamente. Il regolamento europeo sull'intelligenza artificiale è la prima normativa al mondo che stabilisce regole vincolanti per l'uso dell'AI, e colpisce in modo particolare i sistemi applicati alla selezione del personale, considerati ad alto rischio per i diritti dei lavoratori.

Non si tratta di una norma futura: l'AI Act è già entrato in vigore e le sue disposizioni si applicano in modo progressivo fino al 2030 (per effetto delle proposte di modifica derivanti dal cosiddetto “AI Omnibus”). Questo significa che hai tempo per adeguarti, ma il momento di iniziare è adesso. In questa guida trovi tutto quello che ti serve per capire cosa prevede il regolamento, come classifica gli strumenti di AI che probabilmente già utilizzi e quali azioni concrete devi mettere in campo per garantire la conformità della tua azienda.

Indice dei contenuti

• cos'è l'AI Act e quando entra in vigore
• i livelli di rischio dell'AI Act: come funziona la classificazione
• AI Act e selezione del personale: gli obblighi specifici
• come adeguarsi: valutazione di impatto e documentazione
• bias algoritmici e equità: prevenire la discriminazione automatizzata
• AI Act e GDPR: il rapporto tra le due normative
• sanzioni: cosa rischia chi non si adegua

cos'è l'AI Act e quando entra in vigore.

L'AI Act (Regolamento UE 2024/1689) è il primo quadro normativo al mondo che regolamenta in modo sistematico lo sviluppo, l'immissione sul mercato e l'uso dei sistemi di intelligenza artificiale. Il principio di fondo è semplice: più un sistema può impattare sui diritti delle persone, più sono stringenti gli obblighi per chi lo sviluppa e per chi lo utilizza.

Il regolamento si applica sia ai fornitori di sistemi di AI sia agli utilizzatori professionali. Se la tua azienda usa uno strumento di screening automatizzato dei CV, una piattaforma di video-interviste con analisi comportamentale o un ATS con funzionalità predittive, ricadi a pieno titolo tra i soggetti obbligati. Non importa dove ha sede il fornitore della tecnologia: se gli effetti ricadono su persone in Europa, l'AI Act si applica.

Per approfondire come l'intelligenza artificiale sta trasformando il lavoro delle risorse umane, puoi leggere la nostra analisi sull'impatto dell'AI sul mondo del lavoro.

panoramica del regolamento europeo sull'intelligenza artificiale.

L'AI Act nasce con tre obiettivi dichiarati: promuovere lo sviluppo di un'AI affidabile e rispettosa dei diritti fondamentali, garantire la certezza giuridica per chi investe in queste tecnologie e prevenire una frammentazione normativa tra gli Stati membri. Nella pratica, il regolamento introduce un approccio basato sul rischio: anziché regolamentare l'AI in modo uniforme, distingue tra applicazioni diverse in base al loro potenziale di impatto sulle persone.

il calendario di applicazione: date chiave per le aziende.

L'AI Act prevede un'entrata in vigore scaglionata. Le disposizioni sui sistemi a rischio inaccettabile (e quindi vietati) si applicano dai primi mesi del 2025. Gli obblighi sui modelli di AI per finalità generali sono scattati da metà 2025. Le norme sui sistemi ad alto rischio — come quelle che riguardano il recruiting — hanno subito recenti modifiche da parte dell’AI Digital Omnibus:

• per gli obblighi sui sistemi AI ad alto rischio ai sensi dell'Allegato III (es. HR, biometria, giustizia) i requisiti si applicheranno dal 2 dicembre 2027 (invece del 2 agosto 2026);
• per i sistemi ad alto rischio classificati ai sensi dell'Allegato I (prodotti soggetti a normative di armonizzazione) i requisiti si applicheranno dal 2 agosto 2028
• gli obblighi sui sistemi AI ad alto rischio da utilizzare da pubbliche autorità, dovranno essere ottemperati entro il 2 agosto 2030.

Questo calendario lascia un margine importante per pianificare l'adeguamento, ma la finestra si sta chiudendo. La mappatura degli strumenti di AI che usi, la verifica della documentazione fornita dai vendor e la costruzione dei processi interni di governance richiedono mesi, non settimane. Iniziare ora significa evitare corse contro il tempo e soprattutto evitare di trovarti senza alternative operative nel momento in cui gli obblighi saranno pienamente in vigore.

i livelli di rischio dell'AI act: come funziona la classificazione.

L'architettura dell'AI Act ruota intorno a una classificazione dei sistemi di AI in quattro categorie, in base al livello di rischio che possono rappresentare per i diritti fondamentali, la salute e la sicurezza delle persone. A ogni livello corrispondono obblighi diversi: dal divieto assoluto per le applicazioni più pericolose, alla totale libertà d'uso per quelle a rischio minimo.

rischio inaccettabile, alto, limitato e minimo.

I sistemi a rischio inaccettabile sono vietati senza eccezioni: rientrano in questa categoria il social scoring generalizzato, il riconoscimento delle emozioni nei luoghi di lavoro (con alcune eccezioni per motivi medici o di sicurezza), la manipolazione cognitivo-comportamentale e le tecniche di identificazione biometrica in tempo reale negli spazi pubblici, salvo casi circoscritti.

I sistemi ad alto rischio non sono vietati, ma richiedono una serie di adempimenti significativi: valutazione di conformità, documentazione tecnica, sistema di gestione del rischio, supervisione umana, qualità dei dati di addestramento e registrazione in una banca dati europea. Qui rientrano gli strumenti di AI applicati al recruiting, alla valutazione dei dipendenti, all'accesso a servizi essenziali, all'istruzione e a molti contesti pubblici.

I sistemi a rischio limitato — come i chatbot o le applicazioni che generano contenuti sintetici — hanno obblighi di trasparenza: l'utente deve sapere che sta interagendo con un'AI o che il contenuto è stato generato artificialmente. I sistemi a rischio minimo, infine, non hanno obblighi specifici e rappresentano la maggioranza delle applicazioni di AI quotidiane.

perché gli strumenti di recruiting rientrano nella categoria "alto rischio".

L'allegato III dell'AI Act elenca esplicitamente i sistemi ad alto rischio, e tra questi ci sono "sistemi di AI destinati a essere usati per l'assunzione o la selezione di persone fisiche, in particolare per pubblicare annunci di lavoro mirati, analizzare e filtrare candidature e valutare i candidati". La ratio è chiara: le decisioni che riguardano l'accesso al lavoro hanno un impatto diretto sulla vita delle persone e un errore del sistema può produrre discriminazioni sistemiche difficili da correggere.

Se usi un ATS con funzioni di screening automatico, una piattaforma di assessment basata su AI, uno strumento di video-interview con analisi del linguaggio e del comportamento o un sistema di matching predittivo tra candidato e posizione, stai utilizzando sistemi ad alto rischio ai sensi dell'AI Act. Per approfondire benefici e rischi specifici di questi strumenti, puoi leggere AI recruiting: benefici e svantaggi.

AI act e selezione del personale: gli obblighi specifici.

Quando usi un sistema di AI classificato ad alto rischio nei tuoi processi di selezione, il regolamento ti attribuisce responsabilità precise in qualità di "deployer", ovvero soggetto che utilizza il sistema. Il primo obbligo è usarlo conformemente alle istruzioni del fornitore: questo significa leggere la documentazione tecnica, comprenderne i limiti e applicarlo nei contesti per cui è stato progettato.

Devi poi garantire la supervisione umana sul sistema: le decisioni finali sull'accesso alle fasi successive del processo di selezione non possono essere prese in modo totalmente automatizzato. L'AI può filtrare, raccomandare, prioritizzare, ma un essere umano deve mantenere il controllo sostanziale. Devi anche informare i candidati dell'uso di sistemi di AI, informare i rappresentanti dei lavoratori quando previsto e conservare i log del sistema per almeno sei mesi.

ATS, screening CV automatizzato e video-interviste: cosa cambia.

Gli ATS con funzionalità di AI richiedono una revisione del modo in cui li usi. Non puoi limitarti a configurare i filtri e accettare passivamente le candidature che emergono: devi verificare che i criteri non producano effetti discriminatori indiretti, che il sistema sia stato addestrato su dati rappresentativi e che i risultati siano controllabili. Questo impatta non solo sulla selezione della tecnologia, ma anche sui processi interni di chi la usa quotidianamente.

Le piattaforme di video-interview con analisi automatica del linguaggio verbale e non verbale (come espressioni facciali, movimenti delle mani, o caratteristiche della voce) allo scopo di dedurre emozioni o intenzioni rientra nella definizione normativa di "sistema di riconoscimento delle emozioni" sono pratiche vietate da parte dell’AI Act. Inoltre, la raccolta ed il trattamento di dati biometrici comportamentali richiede ulteriori basi giuridiche oltre all'AI Act, come il GDPR.

Se usi questi strumenti, devi valutare con attenzione se i benefici compensano il rischio regolamentare e reputazionale, e in caso affermativo costruire processi di governance adeguati.

obbligo di trasparenza e supervisione umana nei processi HR.

La trasparenza verso il candidato è uno dei pilastri dell'AI Act. Se un sistema di AI concorre a decisioni che riguardano la persona candidata, devi comunicarglielo in modo chiaro, fornire informazioni sul tipo di elaborazione e sui criteri principali e riconoscere il diritto di ottenere una spiegazione significativa delle decisioni adottate. Questo si traduce, nella pratica, nell'aggiornamento delle informative privacy, dei testi delle offerte di lavoro e delle comunicazioni in tutte le fasi del processo.

La supervisione umana è il secondo pilastro. Devi identificare ruoli precisi nella tua organizzazione che abbiano la competenza e l'autorità per rivedere, correggere o ignorare le indicazioni del sistema. Per costruire una cultura aziendale solida su questi temi, un investimento strategico è l'AI literacy: l'AI Act introduce infatti un obbligo specifico di garantire un livello sufficiente di alfabetizzazione sull'intelligenza artificiale per tutto il personale che interagisce con i sistemi.

come adeguarsi: valutazione di impatto e documentazione.

L'adeguamento all'AI Act non è un progetto da affrontare una volta per tutte: è un percorso di governance continuativa che si integra con gli altri sistemi di compliance della tua azienda. Il punto di partenza è sempre una mappatura completa: quali sistemi di AI sono in uso, chi li ha introdotti, a quale livello di rischio appartengono, quali sono i fornitori e quali documenti di conformità hanno messo a disposizione.

FRIA: la valutazione d'impatto sui diritti fondamentali.

La FRIA (Fundamental Rights Impact Assessment) è un nuovo adempimento introdotto dall'AI Act per alcune categorie di deployer. Devi svolgerla prima di iniziare a usare un sistema di AI ad alto rischio e valutare chi sarà interessato dal suo uso, quali rischi specifici ne derivano, quali misure di mitigazione hai adottato e come gestirai gli incidenti. La FRIA va aggiornata ogni volta che cambiano le condizioni d'uso del sistema.

Il processo FRIA richiede competenze miste: legali, HR, IT, data protection. Nelle organizzazioni più strutturate si coordina con il DPO e con il team di risk management. Nelle realtà più snelle, è il momento giusto per formalizzare processi di governance dell'AI che probabilmente non hai ancora. Se non sai da dove partire, un approccio pragmatico consiste nell'estendere i processi già in uso per il GDPR, integrandoli con le specificità dell'AI Act.

registro dei sistemi AI e audit periodici.

Devi tenere un registro interno dei sistemi di AI in uso nella tua organizzazione. Il registro è il punto di riferimento per tutti gli adempimenti: FRIA, verifiche di conformità, gestione degli incidenti, audit interni ed esterni. Per i sistemi ad alto rischio, il regolamento prevede inoltre la registrazione in una banca dati europea gestita dalla Commissione, a cura del fornitore ma con la collaborazione del deployer (utilizzatore) per le parti che lo riguardano. Inserire queste policy in un documento strutturato è il primo passo: si può partire dalle buone pratiche sulle policy aziendali sull'intelligenza artificiale.

Gli audit periodici sono la chiusura del cerchio. Almeno una volta all'anno è opportuno verificare che i sistemi continuino a funzionare come previsto, che le metriche di performance non si siano degradate, che le misure di mitigazione dei rischi siano ancora adeguate e che la documentazione sia aggiornata. In organizzazioni mature, gli audit sulla conformità AI si integrano con quelli sulla qualità, sulla privacy e sulla sicurezza dei dati.

bias algoritmici e equità: prevenire la discriminazione automatizzata.

Il tema dei bias algoritmici è centrale nell'AI Act perché è l'area in cui l'uso dell'intelligenza artificiale può produrre i danni più gravi e meno visibili. Un sistema di selezione addestrato su dati storici che riflettono pregiudizi passati tenderà a riprodurli, penalizzando in modo sistematico alcune categorie di candidati. Il risultato è una discriminazione che può essere difficile da individuare e impossibile da giustificare.

come nascono i bias nei modelli di selezione.

I bias possono entrare in un modello di AI in diversi momenti. Il primo è la qualità dei dati di addestramento: se lo storico su cui il sistema ha imparato contiene squilibri (ad esempio poche candidate donne nei ruoli tecnici di vertice), il modello tenderà a considerare le candidature femminili come statisticamente meno probabili di successo, anche in assenza di qualsiasi differenza reale. Il secondo è il design degli attributi considerati: alcune variabili apparentemente neutre (il quartiere di residenza, il CAP, il nome dell'università) possono funzionare come proxy di caratteristiche protette.

Il terzo vettore è l'uso: anche un modello perfettamente addestrato può produrre effetti discriminatori se applicato in contesti diversi da quelli per cui è stato progettato, oppure se i risultati vengono letti senza consapevolezza dei suoi limiti. Per questo il regolamento richiede sia test di equità durante lo sviluppo, sia processi di monitoraggio continuo durante l'uso.

strategie di testing e monitoraggio continuo.

Testare l'equità di un sistema di AI significa misurarne le performance non solo in aggregato, ma suddividendo i dati per categorie rilevanti: genere, età, nazionalità, background formativo. Se le metriche (accuratezza, precisione, richiamo) cambiano in modo significativo tra gruppi diversi, è un segnale che il sistema potrebbe produrre effetti discriminatori. Il test va svolto prima di adottare un sistema e va ripetuto periodicamente.

Il monitoraggio continuo è l'evoluzione naturale dei test. Devi definire metriche di performance che tracciano nel tempo sia l'accuratezza complessiva, sia l'equità tra sottogruppi, e impostare soglie di allarme che attivino una revisione del sistema se vengono superate. Questa disciplina è ciò che distingue un uso responsabile dell'AI da un'adozione superficiale, e ciò che l'AI Act richiede in sostanza al di là della lettera del testo.

AI act e GDPR: il rapporto tra le due normative.

L'AI Act non sostituisce il GDPR: si aggiunge e si integra. Se tratti dati personali attraverso un sistema di AI — e nel recruiting succede praticamente sempre — devi rispettare entrambe le normative. Questo significa che non puoi limitarti a verificare la conformità tecnica del sistema: devi garantire anche una base giuridica valida per il trattamento, informare gli interessati, rispettare i principi di minimizzazione e proporzionalità, e permettere l'esercizio dei diritti.

profilazione automatizzata e diritto alla spiegazione.

L'articolo 22 del GDPR stabilisce che nessuna persona può essere sottoposta a una decisione basata unicamente sul trattamento automatizzato che produca effetti giuridici o incida significativamente su di lei, salvo specifiche eccezioni. Nel recruiting, questo significa che non puoi escludere candidati basandoti solo sull'output di un algoritmo: serve un intervento umano sostanziale nel processo decisionale.

Il diritto alla spiegazione, poi, obbliga a fornire al candidato informazioni comprensibili sulla logica del sistema, sui criteri usati e sulle conseguenze del trattamento. Questo non richiede di pubblicare il codice sorgente del modello, ma di descrivere in modo intelligibile cosa il sistema fa, su quali input lavora e come i suoi output vengono usati nel processo di selezione.

compliance integrata: un approccio unico per entrambe.

L'approccio più efficiente è integrare la compliance ai due regolamenti in un unico framework. DPIA (valutazione d'impatto sulla protezione dei dati del GDPR) e FRIA (valutazione d'impatto sui diritti fondamentali dell'AI Act) possono essere svolte in modo coordinato, con un unico team che governa entrambi gli aspetti. Le informative privacy vanno aggiornate per coprire anche le specificità dell'AI. I registri dei trattamenti vanno estesi per includere i sistemi di AI come categoria specifica.

Questo approccio integrato ha due vantaggi: riduce i costi di compliance evitando duplicazioni e garantisce una coerenza sostanziale tra le tutele, evitando che un aspetto sia coperto da una normativa e l'altro da un'altra. Il rischio opposto — gestire le due compliance in silos separati — è che emergano aree grigie in cui nessuna tutela è veramente effettiva.

sanzioni: cosa rischia chi non si adegua.

Le sanzioni previste dall'AI Act sono significative e modulate in base alla gravità della violazione. Per le pratiche vietate, la multa può arrivare fino a 35 milioni di euro o al 7% del fatturato mondiale annuo (si applica il valore più alto). Per la violazione degli obblighi sui sistemi ad alto rischio, fino a 15 milioni di euro o al 3% del fatturato. Per la fornitura di informazioni scorrette alle autorità, fino a 7,5 milioni o all'1%.

le multe previste dal regolamento.

L'entità delle sanzioni è volutamente elevata per garantire l'effetto deterrente anche per le grandi multinazionali tecnologiche. Nel calcolo, le autorità terranno conto della natura e della durata della violazione, del numero di persone interessate, del danno arrecato, della volontarietà e del grado di cooperazione con le autorità. Questo significa che una strategia proattiva di compliance non solo riduce il rischio di violazione, ma può anche mitigare le conseguenze in caso di problemi.

Al di là delle multe, il rischio più importante per la tua azienda è spesso quello reputazionale. Una segnalazione pubblica di uso scorretto dell'AI nei processi HR può compromettere la fiducia dei candidati, dei dipendenti e degli investitori in modo più duraturo di qualunque sanzione economica. Per questo conviene investire nella compliance come tema strategico, non come adempimento amministrativo.

come Randstad supporta le aziende nell'uso responsabile dell'AI.

Attraverso la divisione specializzata Randstad Enterprise, offriamo consulenza specializzata alle aziende che vogliono integrare l'intelligenza artificiale nei processi HR in modo conforme, efficace e sostenibile. Nello specifico, supportiamo i dipartimenti HR nella pianificazione di percorsi di integrazione e apprendimento dell’AI per tutta la popolazione aziendale.