La FRIA è lo strumento previsto, in casi particolari, dall’AI Act[1] per valutare l’impatto dei sistemi di intelligenza artificiale (AI) ad “alto rischio” sui diritti fondamentali[2]. Si tratta di un’autovalutazione, senza un controllo esterno obbligatorio, ma con la sola comunicazione da effettuarsi all’autorità di sorveglianza del mercato (ex art. 27, comma 4, AI Act).
Indice degli argomenti
Una valutazione preventiva ancora senza istruzioni operative
L’AI Act, infatti, pone esplicitamente i diritti umani al centro delle valutazioni sui rischi derivanti dall’uso dell’AI. In particolare, l’art. 1 dispone che il regolamento intende: “promuovere la diffusione di un’intelligenza artificiale (IA) antropocentrica e affidabile, garantendo nel contempo un livello elevato di protezione della salute, della sicurezza e dei diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell’Unione europea, compresi la democrazia, lo Stato di diritto e la protezione dell’ambiente, contro gli effetti nocivi dei sistemi di IA nell’Unione”.
In linea con l’approccio “risk-based”, l’AI Act prevede, quindi, una valutazione preventiva dell’impatto di taluni sistemi di AI “ad alto rischio” sui diritti fondamentali. Tuttavia, mancano indicazioni precise in merito a come condurre tale valutazione, benché l’art. 27, comma 5, dell’AI Act preveda che l’ufficio per l’AI elabori un modello di questionario per agevolare tale adempimento, tale documento al momento non è stato emanato (anche in considerazione del probabile ritardo nell’entrata in vigore delle disposizioni sui sistemi di AI “ad alto rischio” di cui all’”Omnibus Digital” che si tratterà infra).
Le origini della Fria e il suo sviluppo nel quadro europeo
La FRIA nasce, in realtà, già a metà del Novecento negli Stati Uniti per descrivere l’attività di valutazione degli organismi politici sull’impatto prodotto da specifiche tecnologie[3] sull’ambiente. In particolare, con questo strumento il legislatore indica semplicemente gli obiettivi da raggiungere, mentre i soggetti regolati hanno l’obbligo di analizzare l’impatto delle loro attività (economiche/scientifiche/tecnologiche) in relazione al quadro normativo di riferimento[4] sulla base della valutazione del relativo rischio. Inoltre, le valutazioni d’impatto non sono uno strumento nuovo neanche per la Commissione europea che le ha rese prassi obbligatorie nell’iter normativo europeo sin dal 2002[5].
Successivamente, nel 2009, anno in cui la Carta ha assunto lo stesso valore giuridico dei Trattati UE e del Trattato sul Funzionamento dell’UE, la Commissione ha esteso tale valutazione d’impatto specificatamente anche per i diritti fondamentali[6].
Il collegamento con la valutazione d’impatto prevista dal GDPR
Anche il GDPR richiede dal 2018 una valutazione del rischio per i diritti e le libertà della persona fisica. In particolare, l’art. 35, comma 1, prevede: “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali”.
Tale valutazione d’impatto (denominata “Data Protection Impact Assessment” – DPIA) coinvolge chiaramente solo i dati personali, a differenza della FRIA che prende in considerazione tutti i tipi di dati e tutti i diritti fondamentali. Tuttavia, l’art. 27, quarto comma, dell’AI Act opera un collegamento con la DPIA e prevede che, ove la stessa sia stata già svolta, “la valutazione dell’impatto sui diritti fondamentali … integra tale valutazione d’impatto sulla protezione dei dati”.
Il rinvio europeo sui sistemi di AI ad alto rischio
La Commissione europea con il c.d. “Digital Omnibus sull’AI[7]” ha recentemente presentato, come noto, una serie di proposte di modifica dell’AI Act.
In particolare, tale proposta tende ad una rimodulazione delle scadenze previste dall’AI Act, per cui la Commissione europea non ha emanato il 2 febbraio 2026 (come previsto) le linee guida per i sistemi di AI “ad alto rischio” di cui all’art. 6, comma 5, dell’AI Act.
Un cambio di clima che pesa su regole e attuazione
La proposta del “Digital Omnibus sull’AI” si inserisce in un contesto di grande incertezza e in un mutato clima geopolitico[8], in cui sia le autorità preposte all’applicazione dell’AI Act, che le imprese hanno segnalato di non essere pronte ad attuare le parti più complesse del regolamento.
La Commissione europea, in particolare, intende semplificare la normativa che, a differenza di quanto avviene oltreoceano, potrebbe, secondo alcuni, ostacolare l’implementazione dell’AI e l’innovazione in Europa.
Le nuove scadenze ipotizzate dalla Commissione
Anche per questo motivo, alcune delle modifiche previste dalla Commissione europea all’AI Act si riferiscono ad un ripensamento delle attuali tempistiche relative all’applicabilità del regolamento (ad oggi fissate al 2 agosto 2026). Infatti, la proposta della Commissione incide sull’art. 113 dell’AI Act (“Entrata in vigore e applicazione”), prevedendo nuove scadenze per le norme sui sistemi di AI “ad alto rischio”, subordinando all’adozione di una decisione della Commissione europea (in merito alla disponibilità di tali strumenti) l’entrata in vigore di dette norme.
Ne discende che la disciplina per i sistemi di AI “ad alto rischio” entrerebbe in vigore sei mesi dopo (per i sistemi di cui all’Allegato III dell’AI Act) e, comunque, al più tardi, entro il 2 dicembre 2027, mentre, per i sistemi di cui all’Allegato I, dodici mesi dopo e, comunque, al più tardi, entro il 2 agosto 2028[9].
Tale proposta, che deve essere comunque sottoposta al Parlamento europeo, crea notevole incertezza tra gli operatori che, di fatto, si trovano già a dover applicare e/o produrre sistemi di AI senza precise linee guida che sono basilari per la tutela dei diritti fondamentali.
Il modello elaborato da Ecnl e dall’Istituto danese
L’”European Center for Not profit Law” unitamente al “Danish Institute for Human Right” hanno messo a disposizione un modello di FRIA (“A Guide to Fundamental Right Impact Assessment”) nel dicembre 2025[10] che risulta particolarmente utile.
Una guida costruita sull’esperienza della Hria
Tale modello, infatti, risulta di pronto utilizzo ed è corredato di una tabella in formato excel (scaricabile dalla relativa guida sulla valutazione d’impatto) di particolare completezza, soprattutto perché riprende un modello di FRIA basato sostanzialmente sull’esperienza dell’”Human Rights Impact Assessment” (HRIA[11]).
Nel 2011, il Consiglio per i diritti umani dell’ONU ha, come noto, approvato i Principi Guida[12] che stabiliscono la responsabilità delle imprese di rispettare i diritti umani, introducendo la “Human Rights Due Diligence”, di cui la HRIA è parte integrante. Nel corso del tempo, la richiesta e l’ambito di applicazione della HRIA è via via aumentata, con l’inclusione nei criteri dell’OCSE, della Banca Mondiale e oggi, dell’AI Act.
Perché il modello può essere utile già adesso
La HRIA è volta ad individuare e mitigare gli impatti negativi, sia potenziali che attuali, delle attività di “business” sui diritti umani, estendendosi a dipendenti, comunità locali e filiere. Supera l’”audit” tradizionale, focalizzandosi su principi di partecipazione e trasparenza per gestire i rischi e prevenire le violazioni dei diritti umani.
Su questi presupposti, la FRIA di ECNL e dell’Istituto dei Diritti Umani danese prevede la scomposizione del processo in fasi e presenta un questionario pressoché completo, ma ovviamente da adattare al caso concreto, cogliendo gli aspetti fondamentali della FRIA.
Obblighi futuri e responsabilità già in vigore
Perché è utile? Perché, come detto, la FRIA diverrà obbligatoria dal 2 agosto 2027 per gli enti pubblici e i gestori privati di servizi pubblici utilizzatori di sistemi di IA ad “alto rischio”, nonché per i soggetti privati utilizzatori di sistemi di IA per il “credit scoring” o per la gestione di polizze sanitarie o assicurazioni sulla vita.
Tale termine di entrata in vigore dell’obbligo di FRIA lascia, tuttavia, impregiudicato l’obbligo, già vigente, di rispetto dei diritti fondamentali, per cui ogni eventuale violazione non può essere giustificata con l’assenza dell’obbligo di FRIA, essendo gli utilizzatori e i fornitori già tenuti a garantire il rispetto dei diritti fondamentali in base alla disciplina generale[13].
Di conseguenza, ad oggi il rispetto dei diritti fondamentali deve essere già garantito dagli utilizzatori (“deployer[14]”) con le modalità ritenute più opportune nell’ambito della loro “accountability”, mentre dall’agosto 2027 per alcuni “deployer” la metodologia obbligatoria sarà specificamente quella della FRIA.
Note
[1] Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale e modifica i regolamenti (CE) n. 300/2008, (UE) n. 167/2013, (UE) n. 168/2013, (UE) 2018/858, (UE) 2018/1139 e (UE) 2019/2144 e le direttive 2014/90/UE, (UE) 2016/797 e (UE) 2020/1828.
[2] G GREGORIO, Compliance through Assessing Fundamental Rights: Insights at the Intersections of the European AI Act and the Corporate Sustainability Due Diligence Directive, MediaLaws, 2024.
[3] M. FASAN, I meccanismi di valutazione d’impatto nel prisma della tutela dei diritti fondamentali. Un’analisi in prospettiva comparata in materia di intelligenza artificiale, in «BioLaw Journal», 2/2025, p. 187.
[4] M. FASAN, cit., p. 188.
[5] EUR-Lex – 52002DC0276 – EN – EUR-Lex.
[6] https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX:52002DC0276&utm_source=chatgpt.com.
[7] Proposta di Regolamento che modifica i regolamenti (UE) 2024/1689 e (UE) 2018/1139 per quanto riguarda la semplificazione dell’attuazione di regole armonizzate sull’intelligenza artificiale (Omnibus digitale sull’AI).
[8] Ci si riferisce, in particolare, alla presidenza degli Stati Uniti di Donald Trump.
[9] Cfr. Think Tank European Parliament, Briefing “Digital Omnibus on AI”, 9 febbraio 2026. (https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2026)782651).
[10] https://ecnl.org/publications/guide-fundamental-rights-impact-assessments-fria.
[11]https://documents1.worldbank.org/curated/en/834611524474505865/pdf/125557-WP-PUBLIC-HRIA-Web.pdf. Cfr. anche: The UN Guiding Principles on Business and Human Rights are a set of guidelines for States and companies to prevent, address and remedy human rights abuses committed in business operations” su https://www.business-humanrights.org/en/big-issues/governing-business-human-rights/text-of-the-guiding-principles/.
[12] https://docs.un.org/en/A/HRC/40/57.
[13] A. MANTELERO, cit. , p. 17.
[14] “Deployer” ex art. 3(4) Ai Act: è “una persona fisica o giuridica, un’autorità pubblica, un’agenzia o un altro organismo che utilizza in sistema di AI sotto la propria autorità, tranne nel caso in cui il sistema di AI sia utilizzato nel corso di un’attività non professionale”.
