Avv. Antonino Ingoglia - Diritto IT e Privacy
Aziende2026-05-267 min read

FRIA: cos'è la Fundamental Rights Impact Assessment e quando è Obbligatoria

La FRIA (Fundamental Rights Impact Assessment) nell'AI Act: definizione, differenze con la DPIA, chi deve farla, i 5 quesiti chiave e come documentarla prima di agosto 2026.

Avv. Antonino Ingoglia

Ordine degli Avvocati di Sciacca n. 747 · Avvocato & Sviluppatore · IT Law

Cos'è la FRIA e quando è obbligatoria per l'AI Act?

La Fundamental Rights Impact Assessment (FRIA) è la valutazione d'impatto sui diritti fondamentali prevista dall'Art. 29 dell'AI Act per i Deployer di sistemi ad alto rischio. A differenza della DPIA GDPR, che si concentra sulla protezione dei dati personali, la FRIA esamina l'impatto dell'algoritmo sull'intera gamma dei diritti fondamentali: dignità, uguaglianza, accesso alla giustizia, libertà individuali. Diventa pienamente applicabile dal 2 agosto 2026 e non può essere sostituita dalla DPIA.

Fonti: Reg. UE 2024/1689 (AI Act) Art. 29 · AI Office UE — FRIA guidance · AgID — Linee guida valutazioni d'impatto AI · Metodologia HUDERIA per la FRIA — Committee on Artificial Intelligence (CAI)

La FRIA è uno degli strumenti normativi meno conosciuti dell'AI Act ma tra i più rilevanti per le organizzazioni che utilizzano sistemi AI nelle aree di maggiore impatto sulle persone: selezione del personale, accesso al credito, valutazione del rischio assicurativo, erogazione di servizi pubblici. In queste aree, la conformità non può limitarsi alla tutela dei dati personali: deve affrontare il rischio che l'algoritmo discrimini, escluda o danneggi individui o gruppi in modo sistemico. Per il quadro normativo integrato, si veda la guida alle architetture di compliance per SaaS e startup e la guida sulla DPIA integrata con l'AI Act.

FRIA e DPIA: due strumenti diversi per rischi diversi

La confusione tra FRIA e DPIA è comprensibile ma pericolosa. Le due valutazioni hanno basi normative, oggetti e metodologie distinte.

AspettoDPIA (GDPR Art. 35)FRIA (AI Act Art. 29)
Base normativaReg. UE 2016/679Reg. UE 2024/1689
Oggetto della valutazioneImpatto sulla privacy e i dati personaliImpatto sull'intera gamma dei diritti fondamentali
Chi la conduceIl Titolare del trattamentoIl Deployer del sistema AI ad alto rischio
Quando è obbligatoriaTrattamenti ad alto rischio per la privacySistemi AI classificati ad alto rischio (Allegato III)
Coinvolge il DPO?Sì, consultazione obbligatoriaNon esplicitamente richiesto
OutputDocumento con misure di attenuazione del rischio privacyDocumento con misure di attenuazione del rischio per i diritti fondamentali
RegistrazioneInterna, trasmessa al Garante su richiestaNotificata all'autorità di sorveglianza del mercato

Le due valutazioni possono essere condotte congiuntamente (AgID lo raccomanda) per evitare duplicazioni documentali, ma devono affrontare rispettivamente tutti i requisiti normativi di entrambe.

Chi è obbligato a fare la FRIA?

L'Art. 29, par. 3 dell'AI Act identifica i Deployer obbligati a condurre la FRIA prima di mettere in servizio un sistema AI ad alto rischio. L'obbligo riguarda:

  • Soggetti pubblici: autorità pubbliche, organismi di diritto pubblico e privati che forniscono servizi pubblici (trasporto, istruzione, sanità)
  • Settore finanziario: banche, istituti di credito e assicurazioni che utilizzano sistemi AI per il credit scoring o la valutazione del rischio assicurativo
  • Piattaforme molto grandi: molto large online platforms ai sensi del DSA che impiegano sistemi di raccomandazione classificati ad alto rischio

Le startup B2B che forniscono sistemi AI classificati ad alto rischio ai clienti che rientrano in queste categorie devono considerare che i propri clienti saranno obbligati a condurre la FRIA: fornire loro supporto documentale per questa valutazione è parte degli obblighi del Downstream Provider.

I 5 quesiti che la FRIA deve rispondere

L'AI Act e la metodologia HUDERIA (Human Rights, Democracy and Rule of Law Impact Assessment for AI Systems) del Consiglio d'Europa identificano cinque aree di interrogazione che la FRIA deve affrontare in modo documentato:

1. Quali diritti fondamentali sono potenzialmente interessati dal sistema AI? La valutazione deve mappare sistematicamente tutti i diritti della Carta dei Diritti Fondamentali dell'UE che possono essere toccati dall'operazione del sistema: dignità umana, libertà, uguaglianza, solidarietà, diritti dei cittadini, giustizia. Non basta identificare il rischio principale: va esaminata l'intera catena degli effetti indiretti.

2. In che modo il funzionamento algoritmico può compromettere questi diritti? Per ciascun diritto identificato come potenzialmente esposto, la valutazione deve descrivere il meccanismo specifico attraverso cui il sistema potrebbe causare una lesione: distorsioni algoritmiche (bias), decisioni automatizzate erronee, effetti discriminatori su gruppi vulnerabili, eccessiva limitazione dell'autonomia individuale.

3. Quali sono le conseguenze concrete per l'individuo in caso di decisione automatizzata errata? La FRIA deve esaminare gli impatti tangibili per le persone interessate: un'esclusione da un finanziamento, un rigetto di una candidatura, un diniego di accesso a un servizio, una misura restrittiva basata su un profilo errato. La gravità e la reversibilità di queste conseguenze determinano il livello di rischio e l'intensità delle misure di attenuazione richieste.

4. Chi è responsabile e qual è il livello di supervisione previsto? La valutazione deve identificare con precisione le responsabilità all'interno della catena del valore AI: chi risponde delle decisioni automatizzate, quale supervisione umana è stata predisposta, chi ha l'autorità per correggere o annullare una decisione errata e con quali procedure.

5. Quali meccanismi di ricorso sono disponibili per le persone interessate? Per ogni impatto identificato, la FRIA deve documentare i rimedi effettivamente accessibili: diritto di opposizione alla decisione automatizzata, diritto di richiedere la revisione umana, diritto di contestare l'output del sistema, accesso a mezzi di tutela giurisdizionale. I meccanismi di ricorso devono essere pratici, accessibili e non eccessivamente onerosi per l'individuo.

Come si struttura e si documenta la FRIA

La FRIA non ha un formato standard prescritto dall'AI Act, che si limita a definirne gli obiettivi e il contenuto minimo. La struttura consigliata prevede:

Sezione 1: Descrizione del sistema AI e contesto di deployment

  • Categoria di rischio (Allegato III) e motivazione
  • Finalità dichiarata e casi d'uso effettivi
  • Categorie di persone interessate
  • Processo decisionale in cui il sistema è inserito

Sezione 2: Mappatura degli impatti sui diritti fondamentali

  • Per ogni diritto potenzialmente interessato: probabilità dell'impatto, gravità, reversibilità
  • Gruppi particolarmente vulnerabili esposti a rischio aggiuntivo

Sezione 3: Misure di attenuazione

  • Misure tecniche implementate (bias testing, fairness metrics, spiegabilità)
  • Misure organizzative (supervisione umana, procedure di revisione)
  • Misure procedurali (canali di ricorso, procedure di escalation)

Sezione 4: Responsabilità e governance

  • Designazione dei responsabili della supervisione
  • Procedure di incident reporting
  • Calendario delle revisioni periodiche

Sezione 5: Meccanismi di ricorso

  • Diritti degli interessati specifici per questo sistema
  • Procedure accessibili per l'esercizio di tali diritti
  • Contatti e canali di comunicazione

FRIA e fundraising: perché gli investitori la richiedono

I fondi di Venture Capital che investono in startup AI-native o in aziende con sistemi AI classificabili ad alto rischio stanno inserendo la FRIA tra i documenti richiesti nella data room. La ragione è semplice: un sistema AI senza FRIA non può essere legalmente messo in servizio dal 2 agosto 2026 nelle categorie obbligatorie, e questo rappresenta un rischio operativo e reputazionale diretto per la società partecipata.

Per la roadmap completa verso l'investor readiness AI Act, si veda l'articolo dedicato all'investor readiness AI Act per startup.

Devi condurre una FRIA prima di agosto 2026?

Studio Legale Ingoglia assiste organizzazioni nella conduzione e documentazione della Fundamental Rights Impact Assessment per sistemi AI ad alto rischio, anche in forma integrata con la DPIA GDPR. Prenota una consulenza strategica per avviare il percorso di valutazione con il tempo necessario prima della scadenza di agosto 2026.

Articolo aggiornato al 26 maggio 2026. La FRIA diventa pienamente applicabile con la piena entrata in vigore delle disposizioni AI Act per i sistemi ad alto rischio (2 agosto 2026). Per supporto specifico, contatta lo studio.

Condividi:
Avv. Antonino Ingoglia

Autore

Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.

Profilo completo e competenze
Nota Informativa: I contenuti di questo articolo hanno finalità puramente divulgative e informative. Non costituiscono parere legale né instaurano un rapporto professionale. Ogni caso concreto richiede una valutazione specifica da parte di un professionista abilitato per delineare l'esatto perimetro legislativo e sanzionatorio.

Articoli correlati ed Approfondimenti

AziendeAI Literacy Obbligatoria: come Formare il Personale per l'Art. 4 AI Act6 min readAziendeArt. 26 AI Act: gli Obblighi del Deployer con Esempi Pratici8 min readAziendeChatGPT e Dati dei Clienti: i Rischi GDPR per Aziende e SaaS8 min read
Torna alla raccolta
SUPPORTO

Serve assistenza per il tuo caso?

Prenota un colloquio in videochiamata da tutta Italia. Analizzeremo la situazione assieme e definiremo i passi operativi in totale riservatezza strategica.

Prenota Consulenza