Descrizione immagine: Un documento dell’AI Act UE stampato con una sovrapposizione trasparente dell’albero di accessibilità ARIA e una penna stilografica sopra — il marcatore visivo dell’intersezione tra AI Act e normativa sulla disabilità.
Tempo di lettura: 12 minuti
Il Regolamento (UE) 2024/1689, comunemente denominato EU AI Act, è stato pubblicato nella Gazzetta Ufficiale il 12 luglio 2024, è entrato in vigore il 1° agosto 2024 e ha raggiunto la propria principale data di applicabilità — quando gli obblighi relativi all’IA ad alto rischio e all’IA per uso generale vincolano i fornitori e i deployer in tutto il mercato unico — il 2 agosto 2026. È la prima legge orizzontale e completa sull’IA di qualsiasi grande giurisdizione, e si colloca sopra, anziché sostituire, lo stack di diritti delle persone con disabilità già esistente: l’European Accessibility Act, la Direttiva sull’accessibilità dei siti web, la Direttiva sulla parità in materia di occupazione 2000/78/CE e la ratifica da parte dell’UE della Convenzione delle Nazioni Unite sui diritti delle persone con disabilità (CRPD).
Due articoli svolgono la maggior parte del lavoro rilevante nel punto di intersezione tra l’AI Act e la normativa sulla disabilità. L’articolo 16 stabilisce gli obblighi a carico dei fornitori di modelli di IA per uso generale — lo strato dei modelli fondazionali che alimenta la maggior parte dei prodotti di IA rivolti al consumatore nel 2026. L’articolo 73, letto insieme agli articoli da 8 a 15 e all’Allegato III, stabilisce i requisiti che vincolano i fornitori e i deployer di sistemi di IA ad alto rischio. Il presente testo è un primer su come questi due articoli si intersecano con la normativa sulla disabilità in tre contesti concreti: l’IA utilizzata nel settore dell’occupazione (strumenti di screening dei CV, valutazione automatizzata dei colloqui video), l’IA nell’istruzione (sistemi di sorveglianza online degli esami, strumenti di accessibilità, modelli di previsione del rischio per gli studenti) e l’IA nei servizi essenziali (credit scoring per i consumatori, triage sanitario, decisioni sull’idoneità alle prestazioni pubbliche). Vengono trattati anche l’overlay della CRPD che gli impegni istituzionali dell’UE aggiungono a quanto sopra, e gli obblighi di documentazione — documentazione tecnica dell’Allegato IV, monitoraggio post-commercializzazione, valutazioni dell’impatto sui diritti fondamentali — che i fornitori sono ora tenuti a produrre.
Cos’è l’AI Act — e come è strutturato
L’AI Act è un regolamento, non una direttiva: si applica direttamente in ogni Stato membro senza recepimento nazionale, e gli obblighi che impone a fornitori e deployer sono uniformi in tutti i 27 mercati nazionali UE più lo Spazio economico europeo. La sua scelta architettonica centrale è un quadro a livelli di rischio con quattro livelli — pratiche vietate (articolo 5), sistemi di IA ad alto rischio (articoli da 6 a 27 e Allegato III), obblighi di trasparenza a rischio limitato (articolo 50) e usi a rischio minimo non regolamentati. Sovrapposto ai livelli di rischio, un regime separato — articoli da 51 a 56 — disciplina i modelli di IA per uso generale, con obblighi più stringenti attivati quando un modello supera la soglia di rischio sistemico stabilita dall’articolo 51, paragrafo 2.
Il calendario di applicabilità progressiva è importante perché i fornitori che leggono questo testo nel 2026 non devono affrontare un’unica scadenza. I divieti dell’articolo 5 sulle pratiche a rischio inaccettabile — il punteggio sociale da parte delle autorità pubbliche, l’identificazione biometrica remota in tempo reale in luoghi pubblici salvo per usi delle forze dell’ordine rigorosamente definiti, il riconoscimento delle emozioni nei luoghi di lavoro e nelle scuole — sono diventati applicabili il 2 febbraio 2025, sei mesi dopo l’entrata in vigore. Gli obblighi dell’IA per uso generale degli articoli da 51 a 56 sono diventati applicabili il 2 agosto 2025. Il regime completo ad alto rischio, inclusi gli obblighi di monitoraggio post-commercializzazione dell’articolo 73, è entrato in vigore il 2 agosto 2026, con un’ulteriore proroga al 2 agosto 2027 per il sottoinsieme di sistemi ad alto rischio che sono anche componenti di sicurezza di prodotti già disciplinati dalla legislazione UE sulla sicurezza dei prodotti (legge settoriale dell’Allegato I — dispositivi medici, macchinari, giocattoli, veicoli).
L’applicazione è suddivisa. Le autorità nazionali di vigilanza del mercato — designate da ciascuno Stato membro e registrate in un registro pubblico gestito dall’AI Office — si occupano dell’applicazione dell’IA ad alto rischio sul territorio. L’AI Office, istituito all’interno della DG CNECT della Commissione europea, ha competenza esclusiva per l’applicazione dell’IA per uso generale ai sensi dell’articolo 88. Le sanzioni amministrative massime arrivano a 35 milioni di euro o al 7% del fatturato annuo mondiale per le violazioni dei divieti dell’articolo 5, a 15 milioni di euro o al 3% per le violazioni della maggior parte degli altri obblighi degli operatori, inclusi gli obblighi degli articoli 16 e 73 trattati in questo primer, e a 7,5 milioni di euro o all’1% per la fornitura di informazioni inesatte o fuorvianti alle autorità.
Articolo 16 — cosa devono fare i fornitori di IA per uso generale
L’articolo 16 è la disposizione operativa per lo strato dei modelli fondazionali. Si applica ai fornitori di modelli di IA per uso generale — definiti nell’articolo 3, paragrafo 63, come modelli di IA addestrati su una grande quantità di dati con auto-supervisione su scala, che mostrano una generalità significativa e sono in grado di svolgere con competenza un’ampia gamma di compiti distinti. I modelli linguistici di grandi dimensioni che alimentano i chatbot, i modelli multimodali immagine-testo usati nell’analisi dei documenti, i modelli vocali che sempre più spesso mediano gli strumenti di accessibilità: tutti sono modelli di IA per uso generale ai fini dell’AI Act, e i loro fornitori portano lo stack dell’articolo 16.
Gli obblighi dell’articolo 16 si dividono in tre blocchi. Primo, la documentazione tecnica: i fornitori devono predisporre e mantenere aggiornato un fascicolo tecnico che copra l’addestramento, il testing e la valutazione del modello, incluse le fonti dei dati di addestramento ad alto livello, il consumo energetico dell’addestramento, i benchmark di valutazione utilizzati e le limitazioni note. L’Allegato XI specifica il contenuto minimo. Secondo, le comunicazioni informative ai deployer a valle: i fornitori devono mettere a disposizione delle società che integrano il modello nei propri sistemi informazioni sufficienti sulle capacità, le limitazioni, l’uso previsto e i rischi noti del modello affinché l’operatore a valle possa adempiere ai propri obblighi ai sensi dell’AI Act. Terzo, il diritto d’autore e la provenienza dei contenuti: i fornitori devono stabilire una politica per rispettare il diritto d’autore UE, incluso il meccanismo di opt-out text-and-data-mining dell’articolo 4, paragrafo 3, della Direttiva (UE) 2019/790, e pubblicare un riepilogo sufficientemente dettagliato del corpus dei dati di addestramento.
L’aspetto legato alla disabilità nell’articolo 16 è duplice. In primo luogo, la comunicazione sulle limitazioni richiesta dalla Sezione 1(2)(c) dell’Allegato XI copre esplicitamente i pregiudizi noti e le lacune prestazionali ingiuste — e le lacune prestazionali rilevanti per l’accessibilità rientrano direttamente in tale requisito. Un modello di riconoscimento vocale che funziona in modo misurabilmente peggiore con il parlato disartrico, un modello di didascalie per immagini che identifica erroneamente gli utenti di sedie a rotelle o ausili per la mobilità, un modello per la lingua dei segni che fallisce sulle varianti regionali: ognuno di questi rappresenta una limitazione nota che il fornitore deve comunicare ai deployer a valle. In secondo luogo, i fornitori di modelli che soddisfano la soglia di rischio sistemico dell’articolo 51, paragrafo 2, (attualmente fissata a una potenza di calcolo di addestramento superiore a 10^25 FLOP) portano gli obblighi aggiuntivi dell’articolo 55 in materia di test avversariali, segnalazione degli incidenti, misure di sicurezza informatica e valutazione del modello rispetto alle categorie di rischio sistemico — compreso l’impatto sui diritti fondamentali, che il regolamento riconduce esplicitamente alla Carta dei diritti fondamentali e alla CRPD.
Articolo 73 — sistemi di IA ad alto rischio e il regime post-commercializzazione
L’articolo 73 si trova nella Sezione 3 del Capo III, la sezione che disciplina i sistemi di IA ad alto rischio già immessi sul mercato. Richiede che i fornitori di IA ad alto rischio istituiscano un sistema di monitoraggio post-commercializzazione, proporzionato alla natura del sistema e ai rischi che presenta, che raccolga, documenti e analizzi attivamente e sistematicamente i dati sulle prestazioni del sistema di IA per tutta la sua durata di vita. Il monitoraggio deve valutare continuamente la conformità ai requisiti stabiliti negli articoli da 8 a 15, con la documentazione conservata disponibile per almeno dieci anni.
L’articolo 73 va letto in combinato disposto con i requisiti sostanziali degli articoli 8-15, perché il monitoraggio post-commercializzazione è il meccanismo attraverso cui la conformità a tali requisiti viene dimostrata nel tempo. L’articolo 9 impone un sistema di gestione del rischio. L’articolo 10 disciplina i dati e la governance dei dati — richiedendo in particolare che i dataset di addestramento, validazione e test siano pertinenti, sufficientemente rappresentativi, privi di errori e completi rispetto alla finalità prevista, con esplicita attenzione al «contesto geografico, contestuale, comportamentale o funzionale specifico» in cui il sistema verrà utilizzato. L’articolo 11 e l’Allegato IV richiedono documentazione tecnica; l’articolo 12 richiede la registrazione automatica degli eventi; l’articolo 13 richiede trasparenza e informazioni per i deployer; l’articolo 14 richiede misure di supervisione umana integrate nel sistema; l’articolo 15 richiede accuratezza, robustezza e sicurezza informatica proporzionate alla finalità prevista. L’articolo 26 aggiunge poi obblighi sul lato del deployer — l’operatore che utilizza concretamente il sistema.
Cosa rende un sistema «ad alto rischio» è stabilito nell’articolo 6 e nell’Allegato III. L’elenco dell’Allegato III nomina otto categorie di casi d’uso — biometria; infrastrutture critiche; istruzione e formazione professionale; occupazione e gestione dei lavoratori; accesso a servizi privati e pubblici essenziali; applicazione della legge; migrazione, asilo e controllo delle frontiere; amministrazione della giustizia e processi democratici — e all’interno di ciascuna categoria elenca i casi d’uso specifici che determinano la classificazione ad alto rischio. L’elenco dell’Allegato III è non esaustivo per concezione ma vincolante per legge: un sistema di IA usato per uno degli scopi elencati è ad alto rischio per effetto del regolamento, indipendentemente da come il fornitore lo commercializzi.
Dove gli articoli 16 e 73 si intersecano con la normativa sulla disabilità
Tre punti di intersezione dominano il panorama pratico della conformità nel 2026: l’IA nell’occupazione, l’IA nell’istruzione e l’IA nei servizi essenziali. Ognuno rientra in una categoria ad alto rischio dell’Allegato III, e ognuno porta con sé un obbligo diretto ai sensi del diritto UE vigente sulla non discriminazione delle persone con disabilità, che l’AI Act ora rende operativo.
Occupazione — screening dei CV, valutazione dei colloqui video, monitoraggio della produttività
La Sezione 4 dell’Allegato III comprende i sistemi di IA utilizzati per il reclutamento, la selezione, l’assegnazione dei compiti, la valutazione delle prestazioni e le decisioni di licenziamento. Gli strumenti di screening dei CV che classificano i candidati rispetto alle descrizioni delle posizioni, le piattaforme automatizzate per i colloqui video che valutano le risposte dei candidati in base alle espressioni facciali, alle caratteristiche vocali e alla scelta delle parole, gli strumenti di monitoraggio della produttività che segnalano i lavoratori per un intervento manageriale sulla base dei dati di battitura o del tempo trascorso sullo schermo: tutti rientrano nell’Allegato III come ad alto rischio ai sensi della Sezione 4. L’obbligo di gestione del rischio dell’articolo 9 e l’obbligo di governance dei dati dell’articolo 10 richiedono ai fornitori di identificare e mitigare i rischi di impatto disparato già nella fase di addestramento del modello. La Direttiva sulla parità in materia di occupazione 2000/78/CE, in vigore dal 2003, vieta già la discriminazione diretta e indiretta per motivi di disabilità nel reclutamento e nell’occupazione; l’AI Act richiede ora che il meccanismo tecnico alla base di tale divieto sia verificabile attraverso il fascicolo tecnico dell’Allegato IV e attraverso il monitoraggio post-commercializzazione dell’articolo 73.
L’obbligo di mitigazione dei pregiudizi è esplicito. L’articolo 10, paragrafo 2, lettera g), richiede che i fornitori esaminino le scelte di progettazione dei dati di addestramento per «possibili pregiudizi che possono influire sulla salute e sulla sicurezza delle persone, avere un impatto negativo sui diritti fondamentali o portare a discriminazioni vietate dal diritto dell’Unione». Una volta identificato un impatto disparato legato alla disabilità — un modello per i colloqui video che penalizza sistematicamente i candidati con disturbi del linguaggio, un modello di analisi HR che classifica erroneamente i pattern lavorativi di dipendenti con disabilità cognitive o malattie croniche — l’articolo 10, paragrafo 2, lettera h), richiede «misure adeguate per rilevare, prevenire e attenuare» tale impatto. Il lavoro di mitigazione deve essere documentato nel fascicolo dell’Allegato IV e valutato continuamente attraverso il sistema di monitoraggio post-commercializzazione dell’articolo 73.
Istruzione — sorveglianza degli esami, strumenti di accessibilità, previsione del rischio
La Sezione 3 dell’Allegato III riguarda l’IA usata per determinare l’accesso all’istruzione, valutare i risultati di apprendimento, determinare il livello di istruzione appropriato e monitorare gli studenti durante le verifiche. I sistemi di sorveglianza online degli esami che segnalano i comportamenti durante le prove sono esplicitamente nominati nei considerando. L’intersezione con la normativa sulla disabilità è acuta qui: un modello di sorveglianza addestrato su comportamenti basati su profili neurologici normativi segnalerà sistematicamente in eccesso gli studenti con ADHD, disturbi da tic o ansia — e meno del quindici percento degli studenti dell’istruzione superiore con disabilità documentata (Eurostat 2024) subisce l’impatto disparato. Il divieto dell’articolo 5, paragrafo 1, lettera f), sul riconoscimento delle emozioni nei contesti educativi rimuove già dal mercato legale una classe di modelli; ciò che rimane è lo strato più ampio di sorveglianza e previsione del rischio che opera ai sensi della Sezione 3 dell’Allegato III come ad alto rischio.
Gli strumenti di accessibilità si collocano sull’altro lato della stessa frontiera. La sottotitolazione automatica, il riconoscimento vocale per le lezioni, la generazione automatica di testo alternativo e la rimediazione automatizzata dei documenti non sono di per sé usi dell’Allegato III — sono servizi di accessibilità. Ma quando un istituto scolastico li procura, gli obblighi di trasparenza e comunicazione dell’AI Act (articolo 13, articolo 50) si sovrappongono al requisito preesistente della dichiarazione di accessibilità della Direttiva sull’accessibilità dei siti web. Una scuola che utilizza uno strumento di sottotitolazione basato su IA deve pubblicare cosa lo strumento sa e non sa fare, comprese le lacune di accuratezza note per parlato con accento, dialetti regionali e contenuto in lingua dei segni.
Servizi essenziali — credit scoring, triage sanitario, idoneità alle prestazioni
La Sezione 5 dell’Allegato III riguarda l’IA usata per valutare punteggi o merito creditizio, per valutare il rischio ai fini della determinazione del prezzo di polizze vita e assicurazioni sanitarie, per determinare l’idoneità a prestazioni e servizi pubblici essenziali, e per la gestione delle priorità nei servizi di pronto intervento. Ognuno di questi si interseca con la normativa sulla disabilità in un punto diverso. I modelli di credit scoring che utilizzano la volatilità del reddito o le spese legate all’assistenza sanitaria come variabili possono codificare un impatto disparato legato alla disabilità; l’IA di triage sanitario che classifica i pazienti per il trattamento può replicare lo stesso pregiudizio aggiustato per la qualità della vita che i difensori dei diritti delle persone con disabilità hanno contestato in tribunale per due decenni; l’automazione dell’idoneità alle prestazioni nel contesto della previdenza sociale — la sentenza olandese sul sistema SyRI e i casi algoritmici britannici relativi a PIP e Universal Credit rappresentano il canone contemporaneo — rientra ora pienamente nella Sezione 5 dell’Allegato III quando viene utilizzata da enti pubblici UE.
L’articolo 27 dell’AI Act aggiunge un obbligo di valutazione dell’impatto sui diritti fondamentali a carico del deployer per i sistemi ad alto rischio dell’Allegato III usati da enti pubblici e da taluni operatori privati. La valutazione copre le categorie di persone fisiche che possono essere interessate, i rischi specifici di danno, le misure di supervisione umana adottate e i percorsi di rimedio per le persone interessate. La disabilità non è nominata nell’articolo 27, ma il divieto di discriminazione dell’articolo 21 della Carta dei diritti fondamentali — a cui l’articolo 27 fa riferimento incrociato — copre la disabilità esplicitamente, e l’articolo 26 della Carta riconosce il diritto delle persone con disabilità all’integrazione e alla partecipazione. La valutazione dell’impatto sui diritti fondamentali è il luogo in cui l’impatto sulla disabilità deve essere valutato prima del deployment, non come audit retrospettivo.
L’overlay della CRPD
L’Unione europea è parte della Convenzione delle Nazioni Unite sui diritti delle persone con disabilità (CRPD) in proprio — il primo trattato internazionale sui diritti umani che l’UE ha sottoscritto come organizzazione di integrazione regionale — e la CRPD vincola quindi le istituzioni dell’UE, anche nell’interpretazione dell’AI Act. L’articolo 9 della CRPD obbliga le parti a garantire alle persone con disabilità l’accesso all’informazione e alle comunicazioni, incluse le tecnologie dell’informazione e delle comunicazioni, su base di uguaglianza con gli altri. L’articolo 5 le obbliga a vietare qualsiasi discriminazione fondata sulla disabilità e a garantire una protezione giuridica uguale ed efficace.
Il considerando 56 dell’AI Act nomina esplicitamente la CRPD come parte dell’ancoraggio ai diritti fondamentali del regolamento, e le indicazioni interpretative dell’AI Office — pubblicate nel corso del 2025 e del 2026 sotto forma di documenti Q&A e atti delegati della Commissione — hanno ripetutamente citato la CRPD nel contesto degli obblighi di accessibilità by design ai sensi dell’articolo 16 dell’AI Act (accessibilità delle informazioni) e della dimensione dell’impatto sulla disabilità nelle valutazioni dell’impatto sui diritti fondamentali dell’articolo 27. L’implicazione pratica: quando un’autorità di vigilanza del mercato sottopone a verifica un sistema ad alto rischio dell’Allegato III per l’impatto disparato sulla disabilità, la verifica avviene rispetto agli standard di governance dei dati e gestione del rischio dell’AI Act interpretati alla luce degli impegni di non discriminazione e accessibilità della CRPD. Un fornitore che sostiene che il proprio modello funziona «bene in media» senza affrontare le prestazioni per i sottogruppi rilevanti per la disabilità sta argomentando contro il proprio quadro interpretativo del regolamento.
Implicazioni pratiche per fornitori e deployer
Per i fornitori di sistemi di IA ad alto rischio e di modelli di IA per uso generale, l’architettura di conformità nel 2026 ha quattro componenti portanti. Primo, il fascicolo di governance dei dati richiesto dall’articolo 10 — una documentazione strutturata delle fonti dei dati di addestramento, dell’analisi della rappresentatività, dei pregiudizi identificati inclusi quelli rilevanti per la disabilità, e delle misure di mitigazione applicate. Secondo, la documentazione tecnica dell’Allegato IV — specifiche di progettazione, architettura del sistema, finalità prevista, limitazioni note, istruzioni per il deployer, metriche prestazionali per sottogruppi demografici e relativi alla disabilità ove i dati esistano. Terzo, il sistema di monitoraggio post-commercializzazione ai sensi dell’articolo 73 — registrazione degli incidenti, canali di reclamo, valutazione continua delle prestazioni, rivalidazione periodica rispetto al piano originale di gestione del rischio. Quarto, ove applicabile, la valutazione dell’impatto sui diritti fondamentali ai sensi dell’articolo 27 per i deployer nel settore pubblico e quasi-pubblico.
I primi segnali di applicazione dei primi nove mesi di piena applicabilità (da agosto 2026 in poi) sono limitati ma indicativi in senso direzionale. L’AI Office ha avviato richieste di informazioni nei confronti di tre fornitori nominati di modelli di IA per uso generale per motivi di trasparenza e riepilogo del copyright. Le autorità nazionali di vigilanza del mercato dei Paesi Bassi, della Germania e della Francia hanno pubblicato documenti di orientamento preliminari sull’IA per l’occupazione della Sezione 4 dell’Allegato III, tutti e tre i quali citano esplicitamente il test dell’impatto disparato sulla disabilità come aspettativa documentale. Non è ancora stata emessa alcuna sanzione amministrativa definitiva ai sensi dell’articolo 99 — la curva di applicazione del GDPR ha impiegato circa 18 mesi per produrre le prime multe sostanziali, e l’AI Act sta seguendo una traiettoria comparabile. Il segnale per i fornitori è che il regime documentale è il regime: un fornitore che non è in grado di esibire su richiesta il proprio fascicolo dell’Allegato IV, il proprio lavoro di governance dei dati ai sensi dell’articolo 10 e il proprio monitoraggio post-commercializzazione ai sensi dell’articolo 73 si trova sul lato sbagliato del regolamento, indipendentemente dal fatto che sia stata emessa o meno una sanzione.
Per la comunità dei diritti delle persone con disabilità, l’AI Act non sostituisce le tutele antidiscriminatorie della Direttiva 2000/78/CE, i requisiti di accessibilità dell’European Accessibility Act o i criteri di appalto ai sensi di EN 301 549 — si aggiunge a essi e conferisce loro un’architettura di documentazione e supervisione di cui gli strumenti esistenti erano privi. La prossima ondata di applicazione, attesa nel corso del 2027 e del 2028, sarà quella in cui l’interplay tra gli obblighi procedurali dell’AI Act e la dottrina sostanziale vigente sulla discriminazione per motivi di disabilità produrrà la giurisprudenza che definirà in pratica cosa significhi la mitigazione dei pregiudizi. Questo primer è la mappa del terreno; i casi tracceremo le curve di livello.