AI Act recruiting: cosa cambia per i tuoi strumenti di IA dal 2 agosto 2026

L'AI Act nel recruiting non è più una prospettiva lontana: il 2026 è l'anno di svolta. Il regolamento (UE) 2024/1689, entrato in vigore il 1° agosto 2024, rende i suoi obblighi "ad alto rischio" applicabili ai sistemi di IA per il recruiting il 2 agosto 2026. In pratica, se il tuo team Talent usa uno strumento che filtra candidature, assegna punteggi ai profili o aiuta nella selezione, sei coinvolto — non come produttore di software, ma come datore di lavoro che lo utilizza. Questo articolo spiega perché questi strumenti sono classificati ad alto rischio, qual è il calendario reale, chi porta quali obblighi e la checklist concreta per essere pronto.

AI Act e recruiting: perché i tuoi strumenti di IA sono classificati ad alto rischio

L'AI Act applica una logica basata sul livello di rischio. Il recruiting non è un uso banale: è elencato nell'Allegato III §4, che copre l'occupazione, la gestione della forza lavoro e l'accesso al lavoro autonomo. Qualunque sistema di IA destinato a queste finalità è, per impostazione predefinita, classificato ad alto rischio.

In pratica, sono interessati i sistemi che:

• mirano o diffondono offerte di lavoro in modo personalizzato;
• analizzano e filtrano le candidature ricevute;
• valutano o classificano i candidati in base alla loro idoneità;
• supportano le decisioni di selezione, promozione o cessazione del rapporto di lavoro.

In altre parole, la quasi totalità degli strumenti moderni di sourcing, matching e scoring rientra in questo perimetro. Il legislatore considera che questi sistemi abbiano un effetto diretto sull'accesso al lavoro e sui diritti fondamentali — da cui un regime esigente. La conformità dell'IA nel recruiting non consiste quindi nel chiedersi "sono coinvolto?" ma "come documento e disciplino strumenti che devo presumere ad alto rischio".

Da notare: l'articolo 6 prevede casi in cui un sistema dell'Allegato III può sfuggire alla classificazione ad alto rischio se svolge solo un compito puramente preparatorio o accessorio senza un'influenza reale sulla decisione. Ma questa esenzione è ristretta, deve essere documentata dal produttore e non si applica mai a uno strumento che effettua la profilazione di persone. Per uno strumento che assegna punteggi o classifica candidati, l'alto rischio resta la regola.

Il calendario dell'AI Act: perché il 2 agosto 2026 conta per il recruiting

L'applicazione è scaglionata. Ecco le date reali, con in grassetto quella che deve figurare nella tua roadmap Talent:

• 1° agosto 2024 — entrata in vigore del regolamento (UE) 2024/1689.
• 2 febbraio 2025 — divieto delle pratiche proibite (es.: punteggio sociale, determinate inferenze emotive) ed entrata in vigore del dovere di alfabetizzazione in materia di IA (articolo 4): i tuoi team devono disporre di un livello di comprensione sufficiente dei sistemi utilizzati.
• 2 agosto 2025 — obblighi applicabili ai modelli di IA per finalità generali (GPAI), che alimentano molti strumenti di recruiting al di sotto.
• 2 agosto 2026 — la scadenza chiave per i team di recruiting: gli obblighi applicabili ai sistemi ad alto rischio dell'Allegato III, quindi al recruiting, diventano pienamente applicabili.
• 2 agosto 2027 — ultime disposizioni residue applicabili.

Il 2 agosto 2026 è la data da ricordare perché è in quel momento che i requisiti sostanziali — documentazione, supervisione umana, informazione dei candidati, registrazione dei log — cessano di essere preparazione per diventare un obbligo verificabile. Poiché i cantieri interni (mappatura, revisione dei contratti con i fornitori, aggiornamento dei processi di candidatura) richiedono diversi mesi, il lavoro inizia nel 2026, non a luglio.

Produttore (provider) vs deployer: chi porta quali obblighi

Il regolamento sull'IA nel recruiting distingue due ruoli, e la confusione tra i due è la prima fonte di errore. Il produttore (provider) è il soggetto che sviluppa e immette sul mercato il sistema di IA — l'editore, il venditore. Il deployer è il soggetto che utilizza tale sistema nell'ambito della propria attività — cioè tu, il datore di lavoro o la società di ricerca.

La maggior parte degli obblighi tecnici grava sul produttore:

• predisporre un sistema di gestione dei rischi;
• assicurare la governance e la qualità dei dati di addestramento;
• produrre e tenere aggiornata la documentazione tecnica;
• integrare la registrazione automatica degli eventi (log);
• fornire trasparenza e istruzioni per l'uso ai deployer;
• progettare il sistema per una supervisione umana effettiva;
• garantire accuratezza, robustezza e cybersicurezza;
• effettuare la valutazione di conformità, apporre la marcatura CE e registrare il sistema nella banca dati dell'UE.

Ma il deployer non è un semplice utilizzatore passivo. I tuoi obblighi propri includono:

• utilizzare il sistema conformemente alle istruzioni per l'uso del produttore;
• assicurare una supervisione umana da parte di persone competenti;
• monitorare il funzionamento e segnalare gli incidenti;
• conservare i log generati dal sistema;
• informare i candidati e i lavoratori che sono sottoposti a un sistema di IA ad alto rischio, e informare i rappresentanti dei lavoratori interessati.

Alcuni deployer — in particolare gli enti pubblici e determinate categorie di soggetti — devono inoltre condurre una valutazione d'impatto sui diritti fondamentali (FRIA)prima della messa in servizio. Acquistare uno strumento "conforme" non ti solleva: la responsabilità del deployer resta tua, in proprio.

La checklist di conformità del deployer nel recruiting

Ecco l'approccio concreto per affrontare il 2 agosto 2026 senza improvvisare. Si articola in sei step operativi.

1. Mappa i tuoi usi dell'IA nel recruiting

Censisci ogni strumento e ogni funzionalità di IA impiegati nel sourcing, nel filtro, nello scoring e nel supporto alla decisione. Per ciascuno, annota il produttore, il perimetro d'uso e i dati personali trattati. Molti team scoprono in questa fase funzioni di IA integrate nel loro ATS che non avevano identificato.

2. Verifica lo status di alto rischio di ciascun sistema

Confronta ogni uso con l'Allegato III §4. Uno strumento che filtra candidature, valuta, classifica o mira annunci rientra nell'alto rischio. In caso di dubbio, presumi l'alto rischio e chiedi al produttore la sua qualificazione documentata.

3. Esigi la documentazione di conformità del produttore

Richiedi la documentazione tecnica, le istruzioni per l'uso, la prova della marcatura CE, la registrazione nella banca dati dell'UE e i risultati della valutazione di conformità. Questi elementi devono figurare — o essere esigibili — nel tuo contratto.

4. Garantisci una supervisione umana reale

Designa persone formate, capaci di comprendere una raccomandazione, di contestarla e di scavalcarla. La supervisione umana non deve essere un timbro simbolico: è un controllo effettivo, e lo strumento deve essere utilizzato secondo le istruzioni del produttore, mai come decisione automatica unica.

5. Informa i candidati e i rappresentanti dei lavoratori

I candidati devono essere informati quando sono sottoposti a una decisione che coinvolge un sistema di IA ad alto rischio. Prevedi una menzione chiara nel tuo percorso di candidatura, un canale di spiegazione e di ricorso umano, e l'informazione dei rappresentanti dei lavoratori.

6. Registra, monitora e verifica

Conserva i log generati automaticamente, monitora il funzionamento in produzione, tieni traccia di bias e anomalie e documenta i tuoi controlli. Il giorno di un controllo, è questa pista di audit a dimostrare che la supervisione esiste nella pratica, e non solo sulla carta.

Le domande da porre al tuo fornitore di IA per il recruiting

Gran parte della tua conformità dipende dalla qualità del tuo fornitore. La due diligence si fa prima dell'acquisto, o in occasione del rinnovo. Ecco le domande da porre:

• Il sistema è qualificato come ad alto rischio ai sensi dell'Allegato III, e su quale base?
• Potete fornire la documentazione tecnica e le istruzioni per l'uso aggiornate?
• La marcatura CE è presente e il sistema è registrato nella banca dati dell'UE?
• Quali meccanismi di supervisione umana sono integrati "by design"?
• Come funziona la registrazione automatica dei log, e posso esportarli?
• Quali dati sono stati usati per l'addestramento, e come vengono testati i bias?
• Come spiegate un punteggio o una raccomandazione a un candidato che li contesta?
• Come vi articolate con il GDPR, in particolare con l'articolo 22?

Quest'ultimo punto merita attenzione. L'AI Act non sostituisce il GDPR: i due si cumulano. L'articolo 22 del GDPR vieta una decisione basata esclusivamente su un trattamento automatizzato che produca effetti giuridici o significativi, senza garanzie — e apre un diritto all'intervento umano e alla spiegazione. Uno strumento di recruiting ben progettato deve quindi sostenere, e non scavalcare, questi diritti.

Come strumenti trasparenti sostengono la tua conformità all'IA nel recruiting

Nessuno strumento può "renderti conforme" al posto tuo — la responsabilità del deployer resta tua. Ma la progettazione di uno strumento facilita o complica nettamente la tua messa in conformità. In TrueCalling, due scelte di progettazione vanno nella direzione degli obblighi del deployer.

Innanzitutto, EMILY è un copilot human-in-the-loop, non un decisore autonomo. Il sistema raccomanda, gerarchizza e prepara il lavoro; è il recruiter a decidere. Questa architettura sostiene direttamente il dovere di supervisione umana ed evita la trappola della decisione "solely automated" prevista dall'articolo 22 del GDPR.

In secondo luogo, il punteggio TrueFit 360 è spiegabile riga per riga: ogni componente del punteggio è esposta, il che rende la raccomandazione leggibile per il recruiter e contestabile dal candidato. Questa trasparenza sostiene il dovere di spiegazione e la possibilità di ricorso. Per capire in dettaglio come si calcola questo punteggio e dove può sbagliare, vedi il nostro articolo dedicato al punteggio di matching candidato-posizione.

Sul fronte dei dati personali, la nostra impostazione GDPR — base giuridica, consenso tracciabile, tempi di conservazione, canali — è dettagliata nella guida al recruiting su WhatsApp e GDPR, che completa il quadro dell'AI Act sul versante della protezione dei dati.

Un punto da dire chiaramente: TrueCalling non si presenta come "certificata AI Act" — questa etichetta non ha senso allo stato attuale. Il datore di lavoro resta sempre il deployer responsabile. Un buon strumento rende la tua conformità più semplice da dimostrare; non vi si sostituisce.

Sanzioni: perché la posta in gioco non è solo simbolica

L'AI Act prevede sanzioni all'altezza del GDPR, se non oltre. Il mancato rispetto delle pratiche proibite può essere sanzionato fino a 35 M€ o il 7% del fatturato annuo mondiale, applicando l'importo più elevato. La violazione degli altri obblighi — quelli che riguardano direttamente i deployer nel recruiting — può arrivare fino a 15 M€ o il 3%. La trasmissione di informazioni inesatte o fuorvianti alle autorità può costare fino a 7,5 M€ o l'1%. Questi massimali trasformano la conformità da tema giuridico periferico a tema da consiglio di amministrazione.

Questo articolo è informativo e non costituisce un parere legale. Gli obblighi esatti dipendono dalla tua situazione; fai validare il tuo approccio da un consulente specializzato.

Vuoi vedere come un copilot human-in-the-loop e un punteggio spiegabile si integrano in un processo di recruiting pensato per la trasparenza? Prenota una demo guidata di TrueCalling e porta una delle tue posizioni aperte: svolgiamo il sourcing in diretta e ti mostriamo, riga per riga, come ogni raccomandazione viene spiegata.