FRIA per PMI: quando serve davvero, come si fa
C'è confusione su chi sia davvero obbligato alla FRIA. La maggior parte delle PMI manifatturiere private NON lo è. Cosa dice davvero l'art. 27 AI Act, le 5 fasi della guida Danish Institute, e perché conviene farla volontariamente in alcuni casi.
Indice · 9 sezioni
- 01La confusione che sta dilagando
- 02Cosa dice davvero l'art. 27
- 03Una PMI manifatturiera privata è obbligata? Quasi mai
- 04Quando una PMI può comunque trovarsi obbligata
- 05Le tempistiche, e cosa cambia col Digital Omnibus
- 06Le 5 fasi della FRIA secondo la guida Danish Institute + ECNL
- 07Tool e template disponibili
- 08Quando conviene fare la FRIA volontariamente
- 09Cosa facciamo noi di default
FRIA per PMI: quando serve davvero, come si fa
La confusione che sta dilagando
Negli ultimi sei mesi, molti DPO di PMI italiane hanno ricevuto comunicazioni allarmate dai loro fornitori AI o consulenti: "Dovete fare la FRIA entro il 2 agosto 2026". Risultato: panico, e in alcuni casi anche budget allocati a consulenze che probabilmente non servono.
L'ambito soggettivo dell'art. 27 AI Act è molto più ristretto di quanto la stampa generalista lasci credere. Aiacto.eu lo ha sintetizzato in modo netto: "Contrary to what its name might suggest, the FRIA does not apply to all deployers of high-risk systems. Article 27 restricts it to specific categories". Vediamo nel dettaglio.
Cosa dice davvero l'art. 27
L'art. 27 del Regolamento UE 2024/1689 impone, prima del primo utilizzo di un sistema AI ad alto rischio (ex art. 6, par. 2), una valutazione d'impatto sui diritti fondamentali (FRIA) a tre categorie di deployer:
- Organismi di diritto pubblico (Stato, Regioni, Comuni, enti pubblici, scuole, università pubbliche, ASL, Camere di Commercio).
- Soggetti privati che forniscono servizi pubblici. Il recital 96 dell'AI Act li identifica: educazione, sanità, servizi sociali, alloggio, giustizia. Esempi italiani: scuole private parificate, RSA convenzionate, cliniche convenzionate con SSN, gestori di servizi sociali in concessione.
- Deployer specifici di sistemi Annex III punti 5(b) e (c): chi usa AI per credit scoring/creditworthiness, oppure risk assessment e pricing per assicurazioni vita e salute. Tipicamente banche, finanziarie, assicurazioni.
Il contenuto minimo della FRIA (art. 27, par. 1) include sei punti specifici:
a. Descrizione dei processi del deployer e dell'uso previsto del sistema AI
b. Periodo e frequenza d'uso del sistema
c. Categorie di persone fisiche e gruppi potenzialmente impattati
d. Rischi specifici di danno alle categorie individuate
e. Misure di supervisione umana implementate
f. Misure da adottare in caso di materializzazione dei rischi
Sono punti che vanno oltre la classica DPIA art. 35 GDPR. Approfondiamo le differenze in AI Act vs GDPR: dove si sovrappongono nelle PMI.
L'art. 27, par. 2 impone aggiornamento se gli elementi della FRIA cambiano. Il par. 3 prevede notifica all'autorità di vigilanza del mercato via template (in Italia ACN). Il par. 5 demanda all'AI Office la pubblicazione del template ufficiale: alla data del 24 maggio 2026, il template ufficiale non è ancora stato pubblicato.
Una PMI manifatturiera privata è obbligata? Quasi mai
Ecco il punto centrale che la maggior parte delle comunicazioni allarmate ignorano: una PMI manifatturiera privata italiana, anche se usa sistemi AI alto rischio, quasi mai rientra nell'ambito soggettivo dell'art. 27.
Esempio concreto. Una PMI metalmeccanica di 120 dipendenti che attiva uno strumento HR per screening automatizzato CV:
- Il sistema è alto rischio ai sensi dell'Annex III punto 4(a) (occupazione: screening, valutazione candidati).
- Scattano gli obblighi del deployer ex art. 26 AI Act (informazione lavoratori, supervisione, monitoring).
- Scatta la DPIA art. 35 GDPR (trattamento di dati personali ad alto rischio).
- NON scatta la FRIA art. 27: la PMI non è organismo di diritto pubblico, non eroga servizi pubblici, non è banca o assicurazione.
Stesso ragionamento per:
- Sistemi AI di controllo qualità con visione artificiale: di solito non alto rischio (rischio limitato o minimo), salvo siano safety component di un macchinario regolamentato Annex I.
- Predictive maintenance: di solito non alto rischio, salvo impatti sulla sicurezza degli operatori.
- Biometria per accessi e timbratura: dipende. Se è one-to-one verification (autenticazione semplice), non alto rischio. Se è categorization biometrica, può essere vietata dall'art. 5.
In tutti questi casi la FRIA non è obbligatoria. Restano gli altri obblighi (deployer, DPIA, AI literacy).
L'art. 27 esclude inoltre esplicitamente i sistemi AI usati come safety components in infrastrutture critiche digitali, traffico stradale, fornitura acqua/gas/riscaldamento/elettricità (Annex III punto 2): per chi opera in questi settori, la FRIA non si applica anche se siete deployer alto rischio.
Quando una PMI può comunque trovarsi obbligata
Tre scenari concreti in cui una PMI manifatturiera può finire dentro l'art. 27:
1. Fornitura di servizi alla PA con sistemi AI alto rischio. Se la vostra PMI ha un contratto con un ente pubblico per gestire un servizio che il pubblico potrebbe fornire direttamente (es: gestione di un servizio sociale in concessione), e usate AI alto rischio per erogarlo, potete essere considerati "soggetto privato che fornisce servizi pubblici".
2. PMI nel settore credit/insurance. Una piccola società che fornisce servizi di scoring credito (anche solo come supporto a banche/finanziarie) o pricing assicurativo rientra nell'art. 27 punto 5(b)(c).
3. Subfornitura a soggetti tenuti. Anche senza obbligo legale diretto, una PMI che vende a clienti che sono tenuti alla FRIA può trovarsi a dover fornire elementi di FRIA come parte del proprio dossier di vendor compliance. È un obbligo contrattuale derivato, non legale diretto.
Le tempistiche, e cosa cambia col Digital Omnibus
L'applicabilità dell'art. 27 è legata a quella degli obblighi alto rischio: 2 agosto 2026 nella versione originaria dell'AI Act. L'accordo provvisorio Parlamento-Consiglio UE del 7 maggio 2026 sul Digital Omnibus ha però rinviato:
- Annex III standalone (HR screening, scoring credito, biometria) al 2 dicembre 2027.
- Sistemi AI integrati in prodotti regolamentati Annex I (macchinari, dispositivi medici) al 2 agosto 2028.
Tradotto: per la maggior parte dei sistemi alto rischio rilevanti per le PMI, anche per i soggetti realmente obbligati c'è tempo fino a fine 2027 per essere pronti. Non è una vacanza ma è respiro reale.
A&O Shearman l'ha sintetizzato così: "Companies deploying high-risk artificial intelligence (AI) systems must prepare to conduct Fundamental Rights Impact Assessment (FRIA) by August 2, 2026". Con il Digital Omnibus, la data per Annex III diventa dicembre 2027, ma il principio resta: chi è obbligato deve prepararsi adesso.
Le 5 fasi della FRIA secondo la guida Danish Institute + ECNL
Il riferimento operativo più solido pubblicato al 24 maggio 2026 è la "Guide to Fundamental Rights Impact Assessments (FRIA) under the EU Artificial Intelligence Act" del Danish Institute for Human Rights ed European Center for Not-for-Profit Law, pubblicata nel dicembre 2025, finanziata dall'European Artificial Intelligence & Society Fund. La guida struttura il processo in cinque fasi:
| Fase | Cosa fare | Output documentale |
|---|---|---|
| 1. Scoping | Identificare il sistema AI, l'uso previsto, il perimetro temporale e geografico | Scheda sistema, perimetro |
| 2. Context analysis | Mappare le persone/gruppi impattati, il contesto operativo, i diritti fondamentali coinvolti | Stakeholder map + diritti rilevanti |
| 3. Impact assessment | Valutare la probabilità e la severità degli impatti negativi su ciascun diritto fondamentale | Matrice rischi |
| 4. Mitigation | Definire misure di supervisione umana, controllo, procedure in caso di impatto materializzato | Piano mitigazioni |
| 5. Monitoring | Stabilire metriche di monitoraggio in produzione, frequenza di review, trigger di aggiornamento FRIA | Piano monitoring + KPI |
E-Cons ha precisato un punto importante che vale anche per le PMI non obbligate ma che fanno la FRIA volontariamente: "La FRIA (AI Act) copre tutti i diritti fondamentali e si applica anche quando non c'è alcun trattamento di dati personali. L'AI Act chiarisce che le due valutazioni sono complementari. Se hai già condotto una DPIA, la FRIA la integrerà. Ma attenzione: non puoi compensare la violazione di un diritto con il rispetto di un altro".
Tool e template disponibili
Al maggio 2026 non esiste un template ufficiale UE (atteso da art. 27 par. 5). I riferimenti disponibili:
- Danish Institute + ECNL Guide (dicembre 2025): la più solida fonte non commerciale al momento.
- AI Act Service Desk Commissione UE: punto di riferimento ufficiale (https://ai-act-service-desk.ec.europa.eu/en/ai-act/article-27).
- AIActStack: template gratuiti orientati a integrazione tooling.
- Archer IRM, Securiti: piattaforme governance enterprise, sovradimensionate per la maggior parte delle PMI italiane.
- Studi legaltech italiani: NicFab, Stefanelli & Stefanelli, DGRS, Bird & Bird hanno pubblicato template/checklist FRIA orientati a deployer specifici.
Per una PMI che davvero ricade nell'art. 27, partire dalla guida Danish Institute + adattare alla realtà italiana è l'approccio più sano. Per una PMI che fa FRIA volontariamente (vedi sotto), basta uno spreadsheet ben fatto con le cinque colonne corrispondenti alle cinque fasi.
Quando conviene fare la FRIA volontariamente
Tre scenari in cui una PMI non obbligata ha comunque interesse a fare una FRIA leggera:
1. Vendita alla PA o partecipazione a gare pubbliche. Sempre più capitolati pubblici contengono requisiti di valutazione impatto diritti fondamentali per i sistemi AI utilizzati. Avere una FRIA pronta è un asset di vendita.
2. Settori sensibili (alimentare, automotive Tier 1, packaging farmaceutico, dispositivi medici). Anche se non legalmente obbligati, dimostrare a clienti grandi (OEM, multinazionali) che avete fatto la valutazione è leva commerciale.
3. Preparazione preventiva per cambi di scenario. Se prevedete che la vostra PMI in 2-3 anni amplierà l'offerta verso clienti pubblici, o si quoterà, o cercherà investitori istituzionali, avere già una FRIA in archivio è marcia in più. È documentazione che invecchia bene.
In tutti e tre i casi, una FRIA "leggera" (3-4 pagine, basata sulla guida Danish Institute) è sufficiente. Non serve un documento da 80 pagine prodotto da una big four.
Cosa facciamo noi di default
Per le PMI manifatturiere che ci contattano, partiamo sempre da una verifica di obbligo. Nella stragrande maggioranza dei casi (PMI privata, non in concessione di servizi pubblici, non bancaria né assicurativa) la FRIA non è obbligatoria. Se è il vostro caso ve lo segnaliamo subito e la conversazione si sposta su quello che vi serve davvero: audit AI, DPA con fornitori, eventualmente FRIA volontaria per uno dei tre scenari di leva commerciale visti sopra.
Per le PMI che scelgono di fare una FRIA volontaria (gare pubbliche, clienti grandi, preparazione strategica), produciamo un documento snello di 3-5 pagine basato sulla guida Danish Institute, integrato con la DPIA esistente, conservato in un registro vivo collegato all'inventario sistemi e alla policy AI interna.
AICompliance: audit uso AI + mappatura obblighi Art. 50 + pacchetto contrattuale (DPA, sub-processor list, Registro trattamenti GDPR). Dettagli in AI Compliance. Approfondimento sull'integrazione delle valutazioni in AI Act vs GDPR per PMI italiane.
Se ha senso per voi, scopriamolo in 30 minuti.
Aggiornato al 24 maggio 2026. Articolo divulgativo, non costituisce consulenza legale. Il template ufficiale UE per la FRIA (atteso da art. 27 par. 5 AI Act) non è ancora stato pubblicato dall'AI Office: monitorare aggiornamenti su ai-act-service-desk.ec.europa.eu. Il Digital Omnibus, in attesa di pubblicazione del regolamento di modifica definitivo, potrebbe modificare ulteriormente tempistiche.
Quante di queste ore perdi anche tu?
Il check-up te lo dice in 3 minuti: 12 domande, risultato subito, senza registrazione. Se non c'è un caso forte, lo vedi dai tuoi numeri. Niente proposta finta.