Come assumere personale usando l’AI e senza prendere multe

Mancano meno di due mesi alla piena applicazione degli obblighi AI Act sui sistemi high risk, e il recruiting basato su intelligenza artificiale è dentro la lista. Dal 2 agosto 2026 chi usa un ATS con scoring algoritmico, un sistema di video interview con analisi del parlato, un motore di matching semantico fra candidati e ruoli ricade nell’Allegato III punto 4 del Regolamento UE 2024/1689. E le sanzioni non sono teoriche.

Il quadro normativo italiano è particolarmente denso: oltre all’AI Act europeo, si applicano il GDPR art. 22 sulle decisioni automatizzate, il Decreto Trasparenza D.Lgs. 104/2022 con i suoi obblighi informativi, e la Legge italiana 132/2025 che all’articolo 11 codifica vincoli specifici per l’IA nel lavoro. Tre regimi sovrapposti che il vendor non rende compliant per default: l’obbligo cade direttamente sul datore di lavoro che adotta il sistema.

Tre regimi normativi che si sovrappongono

Il primo livello è l’AI Act. Il recruiting rientra nei sistemi high risk dell’Allegato III, che include esplicitamente i sistemi per analizzare e filtrare candidature e valutare candidati. L’articolo 26 elenca otto obblighi del deployer: usare il sistema secondo le istruzioni del provider, assegnare la supervisione umana a personale competente, monitorare il funzionamento, conservare i log per almeno sei mesi, fare la FRIA — Fundamental Rights Impact Assessment, informare lavoratori e rappresentanti prima del go-live, verificare la qualità dei dati di input, registrare il sistema nel database UE high risk.

Le sanzioni dell’articolo 99 vanno fino a 15 milioni di euro o il 3% del fatturato mondiale annuo (la cifra più alta delle due) per violazioni degli obblighi high risk, e fino a 35 milioni o 7% per pratiche vietate. Per le PMI le autorità devono tenere conto della sostenibilità economica, ma il principio resta.

Il secondo livello è il GDPR. L’articolo 22 stabilisce un divieto by default sulle decisioni interamente automatizzate che producono effetti giuridici significativi: una mancata assunzione lo è. Le eccezioni sono tre, strette: consenso esplicito, necessità contrattuale, autorizzazione di diritto UE o nazionale. Anche quando un’eccezione si applica restano obbligatorie informazione preventiva sulla logica del trattamento, diritto al riesame umano significativo, diritto di contestare la decisione. La presenza di un recruiter che “guarda la lista finale” senza potere effettivo di ribaltare il punteggio non è considerata intervento umano valido. Sanzioni fino a 20 milioni o 4% del fatturato.

Il terzo livello è il Decreto Trasparenza italiano. L’articolo 1-bis obbliga il datore di lavoro a informare candidato e lavoratore su sei elementi: aspetti del rapporto incisi dai sistemi automatizzati, scopi e finalità, logica e funzionamento, categorie di dati e parametri usati per programmare il sistema, misure di controllo per le decisioni automatizzate, livello di accuratezza e robustezza. L’Ispettorato del Lavoro applica sanzioni amministrative da 250 a 1.500 euro per ogni lavoratore coinvolto, con scaglioni che salgono a 1.000-5.000 euro oltre i dieci lavoratori e fino a 10.000 euro per comportamenti ritorsivi. La Legge 132/2025 ha aggiunto il quarto pilastro: codifica nazionale dei principi AI Act per il lavoro, istituzione dell’Osservatorio nazionale presso il Ministero del Lavoro.

Le multe ci sono già, applicate ad altri

Le sanzioni specifiche per recruiting AI non sono ancora arrivate, ma il quadro interpretativo è già operativo. Il Garante Privacy ha sanzionato Foodinho/Glovo due volte: 2,6 milioni nel 2021 per profilazione algoritmica dei rider senza informativa adeguata, altri 5 milioni nel 2024 per trattamento illecito dei dati di oltre 35.000 rider. Totale: 7,6 milioni di euro a un’unica azienda. Il principio applicato — trasparenza algoritmica, non discriminazione, intervento umano significativo, contestabilità — è esattamente quello che il Garante applicherà al recruiting AI nei prossimi casi.

Sul fronte britannico l’ICO ha audito i principali provider AI recruitment nel novembre 2024 emettendo quasi 300 raccomandazioni, e la consultazione “Recruitment Rewired” chiusa a marzo 2026 ha trovato che la maggioranza dei datori UK che usa AI hiring tools senza review umana genuina viola la data protection law. Le sanzioni formali ICO sono attese nella seconda metà del 2026.

Sul fronte USA la class action Mobley v. Workday, certificata dalla giudice Lin il 16 maggio 2025, ha qualificato Workday come “agent” del datore di lavoro, quindi direttamente responsabile sotto Title VII, ADEA, ADA. Workday ha dichiarato in atti che 1,1 miliardi di candidature sono state rigettate dai suoi strumenti nel periodo rilevante: una platea potenziale enorme per il collettivo.

Il bias non è ipotetico, è documentato

Lo studio più recente è quello del Stanford Digital Economy Lab presentato ad ACM FAccT 2026. I ricercatori hanno analizzato oltre 4 milioni di candidature di 3,4 milioni di candidati su 156 datori di lavoro e 1.700 job posting in 11 settori, tutti screenati dal sistema Pymetrics. Risultati: il 26% dei candidati Black ha applicato a posizioni dove l’algoritmo discriminava il loro gruppo razziale secondo la regola dei 4/5 dell’EEOC; il 15% dei candidati Asian nella stessa condizione. Senza il bias, circa 40.000 candidature in più sarebbero avanzate al colloquio successivo.

Gli autori parlano di “monocultura algoritmica”: quando molti datori di lavoro usano lo stesso vendor, le stesse persone vengono escluse a catena da tutti. HireVue ha ritirato l’analisi facciale dopo la pressione regolatoria, ammettendo che pesava circa il 29% del punteggio “employability” e penalizzava persone con disabilità che incidono sull’espressione. Il caso fondatore resta quello di Amazon nel 2018: progetto interno chiuso quando emerse che il modello, addestrato su CV di assunti del decennio precedente in maggioranza maschili, penalizzava sistematicamente i CV con “women’s” e i college femminili.

Cosa offrono i vendor italiani

La rotta di default per un HR director italiano nel 2026 dovrebbe essere preferire vendor europei quando coprono il caso d’uso, riservare i big USA ai casi in cui sono insostituibili. La scelta non è solo politica: passa attraverso minore complessità di compliance e maggiore probabilità che il vendor abbia già fatto il proprio lavoro di documentazione AI Act.

Zucchetti InRecruiting con motore INDA AI è il candidato principale lato Italia. INDA — INtelligent Data Analysis — offre screening CV, semantic search, similarity score, estrazione automatica dei dati e una funzione di anonimizzazione CV particolarmente rilevante per la riduzione del bias. È un competitor reale dei vendor USA, integrato con il resto dello stack Zucchetti che molte aziende italiane già usano per amministrazione e payroll.

Inaz HE ATS Recruiting è la suite modulare HR di un operatore storico italiano dell’amministrazione del personale, con algoritmi AI per riduzione costi sourcing e quality-of-hire. ATS più legacy con AI in evoluzione, scelta naturale per chi è già su altri prodotti Inaz.

Citel Group DigitaHR propone chatbot 24/7 per recruiting con NLP, scoring competenze, integrazione conversazionale. Azienda italiana, premiata SMAU 2019, partner Allos dal 2024.

Sul versante europeo Personio (Germania), HiBob (Israele/UK), TeamTailor (Svezia) e Recruitee (Olanda) coprono mercati specifici. SAP SuccessFactors ha acquisito SmartRecruiters nel 2025 e sta integrando in produzione gli agenti Winston e Joule nella seconda metà del 2026. Sul fronte USA i big restano HireVue, Workday, Eightfold AI, Pymetrics/Harver, Greenhouse, Lever, iCIMS: tutti con funzioni AI, nessuno garantisce compliance AI Act per il deployer senza un lavoro di integrazione interno.

Bias testing: gli strumenti ci sono, vanno usati

Documentare di aver fatto bias testing è uno dei requisiti più trascurati. Esistono toolkit aperti e servizi commerciali: IBM AI Fairness 360 è open source con oltre 70 metriche di fairness e dieci algoritmi di mitigation in Python e R. Aequitas dell’Università di Chicago è il complemento policy-oriented. Holistic AI e Eticas.ai offrono audit a pagamento su cinque dimensioni di rischio (bias, efficacia, robustezza, explainability, privacy), con focus AI Act ready e NYC Local Law 144. Il NIST AI Risk Management Framework è la metodologia di riferimento per impostare la propria FRIA.

Il costo medio di un audit indipendente per una PMI è dell’ordine di 5.000-20.000 euro a seconda della complessità del sistema. Non è obbligatorio per legge ma è la sola difesa pratica in caso di reclamo: senza documentazione di bias testing terzo, contestare il sistema in giudizio è quasi impossibile.

Filiali USA: aggiungere LL144, Illinois, Colorado

Per le multinazionali italiane con filiali statunitensi o per chi assume su candidati USA si aggiungono tre regimi:

NYC Local Law 144 richiede bias audit annuale indipendente, pubblicazione dei risultati sul sito, notifica preventiva al candidato di almeno dieci giorni lavorativi. Sanzioni 500-1.500 dollari al giorno per violazione. L’Illinois HB 3773 è in vigore dal 1 gennaio 2026 e vieta uso di AI in recruiting con effetti discriminatori su classi protette. L’AI Video Interview Act richiede consenso scritto esplicito ed eliminazione delle registrazioni entro trenta giorni. Il Colorado AI Act SB 24-205 è stato sospeso da una corte federale il 27 aprile 2026 ma non abrogato.

Le tre azioni da fare prima del 2 agosto 2026

Mappare tutti i sistemi AI in uso oggi nel recruiting è il primo passo. Anche un ATS legacy con funzione di “ranking automatico” o “match score” è probabilmente high risk sotto Allegato III. Classificare il sistema, identificare il vendor di riferimento, raccogliere la documentazione di conformità è il prerequisito per qualunque cosa venga dopo.

Avviare la FRIA — Fundamental Rights Impact Assessment — entro luglio 2026 è il secondo. Il modello operativo richiede di valutare l’impatto del sistema sui diritti fondamentali dei candidati (non discriminazione, privacy, dignità), di definire le misure di mitigazione, di stabilire le procedure di supervisione umana. Per un sistema in produzione la FRIA richiede tipicamente otto-quattordici mesi di lavoro completo, ma una versione iniziale può essere prodotta in sei-otto settimane.

Chiedere al vendor la documentazione di conformity assessment con marcatura CE high risk, technical documentation ex Allegato IV (dataset di training, metriche di accuratezza, bias testing), instructions for use, risultati del bias testing su gruppi protetti con metriche disclosed. Se il vendor non fornisce, la responsabilità ricade sul deployer: il datore di lavoro paga la sanzione, non il vendor.

Il calcolo razionale per la PMI italiana

L’ISTAT di dicembre 2025 ha misurato che il 16,4% delle imprese italiane con dieci o più dipendenti usa almeno una tecnologia AI, dato raddoppiato in dodici mesi rispetto all’8,2% del 2024. La curva di adozione si sta accelerando proprio mentre arriva l’obbligo di compliance. Per la PMI media la scelta razionale non è “non usare AI nel recruiting” — sarebbe perdere produttività rispetto ai concorrenti — ma “usare AI con la documentazione in regola”.

Il calcolo costi-benefici: l’investimento in compliance (FRIA, informative, registro UE, bias testing) per un sistema di recruiting AI in produzione si aggira sui 15.000-40.000 euro al primo anno, più tempo interno HR. Una sanzione AI Act minima del 3% del fatturato su un’azienda da 5 milioni è 150.000 euro. Il payback della compliance è strutturalmente positivo.

Prima del 2 agosto 2026, fare l’inventario dei sistemi AI usati nel recruiting, classificarli come high risk, avviare la FRIA, aggiornare l’informativa al candidato. Senza questi quattro passaggi, ogni assunzione fatta col supporto AI espone l’azienda a un rischio sanzionatorio che cresce col passare delle settimane.