AI Act e selezione del personale: perché è alto rischio e cosa serve fare

Dal 2 agosto 2026 scattano gli obblighi dell’AI Act per i sistemi ad alto rischio immessi sul mercato. E se usi l’IA per fare screening dei CV o valutare candidati, ci sei dentro: l’ai act selezione del personale la classifica come sistema ad alto rischio.

Non è la guida generale all’AI Act (quella la trovi nella guida AI Act per aziende). Qui parliamo solo dell’angolo HR/recruiting, dove gli obblighi sono i più pesanti per una PMI.

In breve:

• L’Allegato III dell’AI Act classifica l’IA per selezione, screening e valutazione del personale come sistema ad alto rischio: non è vietata, ma vincolata a obblighi specifici.
• Gli obblighi concreti per chi la usa (il deployer) sono cinque: sorveglianza umana effettiva, informativa ai candidati, logging immutabile, risk assessment documentato, conservazione record.
• Anche se compri un ATS con IA integrata, una parte della responsabilità resta tua: il vendor è il provider, tu sei il deployer.
• Le sanzioni per la violazione degli obblighi sui sistemi ad alto rischio (la fascia che riguarda il recruiting) arrivano fino a 15 milioni di euro o il 3% del fatturato mondiale annuo.
• Il pattern conforme non richiede di rinunciare all’IA: l’agente filtra e ordina, il recruiter umano firma sempre, tutto è loggato e i candidati sono informati.

Perché lo screening CV è ‘alto rischio’

L’AI Act non guarda alla tecnologia, guarda all’impatto sulle persone. L’Allegato III elenca esplicitamente tra i sistemi ad alto rischio quelli usati per il reclutamento e la selezione: filtraggio delle candidature, valutazione dei candidati, decisioni che influenzano significativamente l’accesso al lavoro.

Un agente che legge 500 CV e ti restituisce una shortlist ranking ricade qui. Non perché “decida” da solo, ma perché influenza una decisione che riguarda la vita lavorativa di una persona. È questo il criterio.

Attenzione al malinteso più comune: “ma noi l’output lo controlla un umano”. Bene, è necessario — ma da solo non ti tira fuori dall’alto rischio. Riduce il rischio operativo, non cambia la classificazione.

I 5 obblighi concreti per il deployer

1. Sorveglianza umana effettiva

Non basta un umano che approva tutto con un click. Serve una persona che possa davvero ribaltare l’output dell’agente, che capisca i suoi limiti e che firmi la decisione finale. Per il recruiting il principio è semplice: l’agente non può scartare definitivamente un candidato da solo.

2. Informativa ai candidati

I candidati devono sapere che un sistema IA è coinvolto nel processo. In Italia si lega anche al cosiddetto Decreto Trasparenza e all’art. 22 GDPR sulle decisioni automatizzate. Va messo nero su bianco nell’informativa privacy del processo di selezione.

3. Logging immutabile

Ogni decisione dell’agente va loggata: input ricevuto, regole applicate, output prodotto, eventuale escalation a un umano. Deve essere immutabile e conservato. Senza log, non puoi rispondere alla domanda “perché questo candidato è stato escluso?” — e quella domanda, prima o poi, arriva.

4. Risk assessment documentato (+ DPIA)

Serve un’analisi del rischio documentata, collegata alla DPIA prevista dal GDPR quando tratti dati personali su larga scala. Non è un PDF da cassetto: è il documento che mostra a un revisore che hai pensato a bias, errori e rimedi.

5. DPA art. 28 con il fornitore

Se usi un fornitore esterno per costruire o gestire l’agente, serve un Data Processing Agreement ai sensi dell’art. 28 GDPR. Noi lo includiamo di default in ogni sprint, perché senza non possiamo nemmeno toccare dati di candidati.

ATS comprato “con IA”: di chi è la colpa?

Distinzione che molti saltano. Il fornitore del software è il provider. Tu che lo usi per selezionare sei il deployer. Hai obblighi tuoi: garantire la sorveglianza umana, informare i candidati, conservare i log, usare il sistema nei limiti dichiarati.

Prima di firmare un ATS “AI-powered”, chiedi per iscritto: cosa copre il vendor sul fronte AI Act, e cosa resta a te. Se la risposta è vaga, la responsabilità di default scivola su di te.

Il pattern conforme che usiamo

Nei progetti recruitment trattiamo sempre lo screening come alto rischio. Concretamente:

• L’agente filtra e ordina, non scarta in autonomia.
• Il recruiter umano firma sempre la shortlist.
• Audit log immutabile su ogni decisione.
• Informativa ai candidati e DPIA come deliverable.
• Hosting UE e DPA art. 28 nel contratto.

È lo stesso schema con cui in APraise l’agente ha gestito 100k+ candidati — equivalente a 4 recruiter aggiuntivi — senza mai prendere da solo la decisione finale. Volume gestito dall’IA, decisione in mano all’umano: è proprio questo che tiene insieme efficienza e conformità.

Vuoi capire dove ricade il tuo processo e cosa ti manca? Guarda i nostri use case Recruitment & HR o parliamone 20 minuti, senza pitch.

Quando NON ti serve un progetto custom

Onestà: se assumi 5 persone l’anno e leggi i CV a mano, non ti serve un agente di screening — e quindi non ti serve nemmeno questa compliance pesante. L’alto rischio scatta quando l’IA entra nel processo. Se il volume è basso, il rischio operativo non giustifica né l’agente né il suo apparato di governance.

Questo cambia sopra le decine di candidature a posizione: lì l’IA fa la differenza, e va fatta a norma.