
Ho visto una legge di 55 anni mandare in crisi l'industria dell'AI per le assunzioni — ed era ora
Ero al telefono con un potenziale cliente — una società di servizi finanziari di medie dimensioni — quando la notizia della causa contro Eightfold AI è scoppiata a gennaio 2026. Il responsabile delle risorse umane era a metà frase, mentre spiegava come avessero utilizzato la piattaforma di "Talent Intelligence" di un fornitore di AI per selezionare migliaia di candidati ogni trimestre. Si è interrotta. Il suo consulente legale, che aveva osservato in silenzio da un angolo della griglia Zoom, ha attivato il microfono: "Puoi mandarmi tutto quello che hai su quel caso Eightfold?"
La chiamata è finita quindici minuti prima.
Quel momento ha cristallizzato qualcosa che sostenevo da anni in Veriprajna: il mercato aziendale dell'AI per le assunzioni era costruito su una base di sbalorditiva negligenza architetturale, ed era solo questione di tempo prima che qualcuno venisse citato in giudizio non per risultati distorti — quella battaglia era già in corso — ma per qualcosa di più fondamentale. Per l'atto di profilare segretamente le persone e poi usare quei profili per decidere del loro futuro economico.
La class action contro Eightfold AI, Kistler contro Eightfold AI, è quella causa. E non ha invocato una qualche normativa all'avanguardia sull'AI. È risalita al 1970 — al Fair Credit Reporting Act — sostenendo che un'azienda di AI che genera "punteggi di corrispondenza" nascosti su 1,5 miliardi di persone non è, dal punto di vista giuridico, diversa da Equifax.
Penso che i querelanti abbiano ragione. E penso che le implicazioni vadano ben oltre una singola azienda.
Cosa è successo davvero con Eightfold?
Ecco la versione breve, perché i dettagli contano.
Due professionisti esperti — Erin Kistler, product manager con quasi vent'anni di esperienza, e Sruti Bhaumik, project manager con oltre un decennio — hanno fatto domanda per ruoli in PayPal e Microsoft. Entrambi hanno ricevuto rapidi rifiuti automatizzati. A nessuno dei due è stato detto che un sistema di AI aveva generato un punteggio segreto su di loro. A nessuno è stato mostrato quali dati alimentassero quel punteggio. A nessuno è stato dato un modo per contestarlo.
La causa sostiene che la piattaforma di Eightfold non si limita ad analizzare il curriculum che invii. Secondo l'accusa, raccoglie dati da LinkedIn, GitHub, Crunchbase e altre fonti pubbliche — costruendo quelli che l'atto di citazione definisce "dossier segreti" — e poi usa il deep learning per produrre un "punteggio di corrispondenza" da 0 a 5 che prevede la tua "probabilità di successo." Aziende come Morgan Stanley, Starbucks, BNY e PayPal hanno usato questi punteggi per filtrare i candidati prima che un recruiter umano gettasse mai uno sguardo su una candidatura.
Eightfold ha negato queste accuse, affermando che la propria piattaforma opera esclusivamente su dati inviati dai candidati o forniti dai clienti. Ma l'atto di citazione dipinge un quadro diverso: uno in cui la tua impronta digitale — il tuo comportamento di navigazione, i tuoi dati di localizzazione, la tua attività su internet — viene risucchiata e convertita in un verdetto probabilistico sulla tua occupabilità.
Quando un sistema di AI genera un punteggio che determina se otterrai un colloquio di lavoro, e tu non sai nemmeno che quel punteggio esiste, quella non è "talent intelligence." Quella è sorveglianza con conseguenze economiche.
Voglio essere preciso sul perché questo caso conti più delle precedenti cause sull'AI nelle assunzioni. Il caso Mobley contro Workday si concentrava sulla discriminazione algoritmica — l'AI che produce risultati distorti. Quello è il primo deficit di responsabilità. Il caso Eightfold prende di mira qualcosa di più profondo: il secondo deficit di responsabilità, che riguarda la trasparenza nella raccolta dei dati, i meccanismi di punteggio e l'autonomia del candidato. Non si limita a chiedere "il punteggio era equo?" Chiede "avevi il diritto di assegnarmi un punteggio, in primo luogo?"
Perché i querelanti si sono rifatti a una legge di 55 anni fa?
Questa è la parte che, come ingegnere, mi affascina.
Il FCRA — il Fair Credit Reporting Act — fu scritto nel 1970 per regolamentare le agenzie di credito. Dice, in sostanza: se sei un terzo che genera rapporti sulle persone utilizzati per prendere decisioni sul loro impiego, credito o alloggio, quelle persone hanno dei diritti. Il diritto di sapere che un rapporto esiste. Il diritto di visionarlo. Il diritto di contestarne gli errori.
La teoria giuridica in Kistler contro Eightfold è elegante: se Eightfold genera punteggi di corrispondenza basati su dati raccolti, e quei punteggi vengono usati dai datori di lavoro per filtrare i candidati, allora Eightfold funziona come un'agenzia di rendicontazione sui consumatori. Punto e basta. E ogni candidato a cui ha assegnato un punteggio aveva diritto alla divulgazione, all'accesso e ai diritti di contestazione che non ha mai ricevuto.
Ricordo di essere stato seduto con il mio co-fondatore fino a tarda notte dopo aver letto l'atto di citazione completo, e lui disse qualcosa che mi è rimasto impresso: "Non avevano bisogno di una nuova legge. La vecchia legge era già stata infranta dal nuovo comportamento."
È esattamente così. Il FCRA non fu progettato per l'AI. Ma il comportamento che era stato concepito per regolamentare — terzi che compilano segretamente profili che determinano le tue opportunità economiche — è precisamente ciò che l'atto di citazione accusa Eightfold di fare su vasta scala. La tecnologia è cambiata. Il danno no.
Se i tribunali daranno ragione a questa teoria, ogni fornitore di AI che assegna punteggi ai candidati dovrà affrontare gli stessi obblighi di conformità di una tradizionale azienda di verifica dei precedenti. E le imprese che usano quegli strumenti? Non possono nascondersi dietro il fornitore. La responsabilità risale verso l'alto.
Come siamo arrivati a questo punto? Il problema architetturale di cui nessuno voleva parlare
Ho passato gli ultimi anni a costruire ciò che chiamiamo "soluzioni di AI profonda" in Veriprajna, e la parte più frustrante del mio lavoro è stata spiegare perché l'approccio prevalente all'AI aziendale è strutturalmente incapace di sopravvivere al vaglio giudiziario. Non perché i modelli siano scadenti. Perché l'architettura è negligente.
La maggior parte degli strumenti di AI per le assunzioni — e qui non sto puntando il dito contro Eightfold, questo vale per tutto il settore — è costruita su ciò che io chiamo il modello del "mega-prompt." Prendi un curriculum, una descrizione del lavoro, magari qualche dato estratto da LinkedIn, stipi tutto in un unico prompt enorme, lo mandi a GPT-4 o a un modello simile, e speri che il risultato sia ragionevole. Il sistema "spera" — e uso questa parola deliberatamente — che il modello selezioni, classifichi e giustifichi la sua decisione in un unico passaggio.
Ho scritto in modo approfondito su questa crisi architetturale nel nostro whitepaper interattivo, ma il problema di fondo è semplice: un mega-prompt non può dimostrare perché ha fatto ciò che ha fatto.
Quando un candidato chiede "perché sono stato respinto?", il sistema non sa rispondere. Non perché stia nascondendo qualcosa, ma perché genuinamente non lo sa. Il ragionamento è non deterministico. Esegui lo stesso prompt due volte e potresti ottenere risultati diversi. Cambia una parola nella descrizione del lavoro e le classifiche si rimescolano. Non c'è alcuna traccia di controllo, nessun registro passo-passo, nessun modo per verificare che un dato proibito — come il codice postale del candidato usato come indicatore indiretto della razza — non abbia influenzato il risultato.
Il problema dell'AI a scatola nera nelle assunzioni non è che potrebbe essere distorta. È che non puoi mai dimostrare che non lo sia stata.
All'inizio del 2025 ho avuto un'accesa discussione con un investitore su questo tema. Aveva esaminato i nostri diagrammi architetturali — l'orchestrazione multi-agente, gli agenti di conformità, il tracciamento della provenienza — e disse: "È sovraingegnerizzato. Usate semplicemente GPT con un buon prompt. Spedite più in fretta." Gli risposi che spedire più in fretta dritti dentro una causa non era una strategia aziendale. Non ha investito. Non rimpiango quella conversazione.
Come si presenta davvero il panorama normativo del 2026?
La causa Eightfold non sta avvenendo in isolamento. È il bordo più tagliente di un'ondata normativa che si andava costruendo dal 2023, e se stai implementando l'AI nelle assunzioni — ovunque negli Stati Uniti — ora stai navigando in un mosaico di leggi statali che collettivamente pongono fine all'era del "muoviti in fretta e rompi le cose."
La Local Law 144 di New York City richiede audit annuali indipendenti sui bias per gli strumenti automatizzati di decisione sull'occupazione dal 2023. La HB 3773 dell'Illinois, in vigore da gennaio 2026, vieta l'AI che "ha l'effetto" di discriminare — nota il termine, effetto, non intento — e impone avvisi "facilmente comprensibili" ai candidati. Le nuove normative della California prevedono la responsabilità per impatto disparato indipendentemente dall'intento e richiedono quattro anni di conservazione dei documenti. L'AI Act del Colorado, che entra in vigore a giugno 2026, crea un "dovere di diligenza" giuridico per proteggere dalla discriminazione algoritmica.
La conseguenza pratica: se sei un'azienda della Fortune 500 che assume in più stati, il tuo sistema di AI deve comportarsi in modo diverso a seconda di dove si trova il candidato. Un candidato in Illinois attiva requisiti di divulgazione diversi rispetto a uno in Texas. Un rifiuto a New York City richiede una documentazione che non sarebbe obbligatoria in Florida.
Nessun mega-prompt gestisce tutto questo. Serve un'architettura.
Cosa significa davvero "AI profonda" per le assunzioni?

Quando io e il mio team parliamo di soluzioni di AI profonda — in contrapposizione all'approccio "wrapper" — descriviamo un modo fondamentalmente diverso di costruire sistemi che prendono decisioni consequenziali sulla vita delle persone.
Invece di un unico modello monolitico che fa tutto, usiamo ciò che si chiama Sistema Multi-Agente Specializzato. Pensalo meno come un genio che prende una decisione e più come una squadra di specialisti, ciascuno con un ruolo definito e una traccia documentale.
C'è un Agente di Pianificazione che riceve la candidatura e determina il flusso di lavoro richiesto in base alle leggi vigenti e alle politiche aziendali. Se il candidato è in Illinois, garantisce che l'obbligatorio passaggio di divulgazione venga eseguito prima che inizi qualsiasi selezione. C'è un Agente di Provenienza dei Dati che verifica la tracciabilità di ogni dato — distingue tra i dati che il candidato ha inviato e i dati dedotti da fonti esterne, e segnala questi ultimi affinché non possano mai influenzare silenziosamente una classifica finale. C'è un Agente di Conformità che revisiona i registri del processo prima che qualsiasi punteggio venga finalizzato, verificando se attributi proibiti abbiano influenzato il risultato. E c'è un Agente di Spiegabilità che traduce la decisione tecnica in linguaggio semplice sia per il recruiter sia per il candidato.
Ogni agente registra ogni azione. Ogni decisione è riproducibile. Il sistema può dirti, mesi dopo, esattamente perché il Candidato A è stato classificato sopra il Candidato B, quali dati hanno contribuito, e se un revisore umano ha confermato o annullato la raccomandazione.
Ricordo la prima volta che abbiamo eseguito un test completo end-to-end di questa architettura su uno scenario di assunzione realistico — 200 candidati sintetici, tre giurisdizioni, due categorie di lavoro. Ci vollero quarantacinque minuti per ripercorrere la traccia di controllo di un singolo candidato. Il mio ingegnere capo mi guardò e disse: "Questo è folle. Nessuno vorrà questo livello di dettaglio." Io risposi: "Un giudice sì."
Perché non si può semplicemente aggiungere la spiegabilità a una scatola nera esistente?

Questa è la domanda che mi viene posta più spesso, e rivela un fraintendimento comune. La gente pensa che la spiegabilità sia una funzione che si applica dopo i fatti — come aggiungere una dashboard a un sistema esistente. Non lo è. O meglio, può esserlo, ma ciò che ottieni è una razionalizzazione post-hoc, non una spiegazione genuina.
Tecniche come SHAP (Shapley Additive Explanations) e LIME (Local Interpretable Model-agnostic Explanations) sono strumenti potenti. SHAP, radicato nella teoria dei giochi cooperativi, può dirti matematicamente quanto ciascuna caratteristica — anni di esperienza, certificazioni specifiche, linguaggi di programmazione — abbia contribuito al punteggio di un candidato. LIME può approssimare il comportamento del modello localmente attorno a un singolo candidato per spiegare un rifiuto specifico. Le spiegazioni controfattuali possono dire a un candidato: "Se avessi avuto la Certificazione X, il tuo punteggio sarebbe aumentato di questa misura."
Integriamo tutte queste tecniche nella nostra pipeline di produzione. Ma ecco la distinzione cruciale: queste tecniche sono affidabili solo quando l'architettura sottostante è verificabile. Se il processo di ragionamento del modello è non deterministico — se potrebbe aver usato la posizione del candidato come indicatore indiretto di qualcos'altro, e non puoi dimostrare che non l'abbia fatto — allora i tuoi valori SHAP stanno spiegando un processo che non controlli del tutto.
La spiegabilità senza integrità architetturale è solo un modo più sofisticato di dire "fidati di me."
La causa Eightfold rende tutto questo concreto. Anche se Eightfold potesse generare retroattivamente valori SHAP per ogni punteggio di corrispondenza, l'atto di citazione reggerebbe comunque — perché la questione fondamentale è che ai candidati non è mai stato detto che i punteggi esistessero, non sono mai stati mostrati loro i dati che li alimentavano, e non è mai stato dato loro un meccanismo per contestare gli errori. La spiegabilità è necessaria ma non sufficiente. Serve un'architettura che supporti la divulgazione, l'accesso e la contestazione fin dalle fondamenta.
Per l'analisi tecnica completa di come queste tecniche di spiegabilità si integrino con un'architettura di governance multi-agente, consulta il nostro documento di ricerca.
Il problema della provenienza dei dati che nessuno vuole risolvere
C'è una parte dell'atto di citazione contro Eightfold su cui continuo a tornare. L'accusa che la piattaforma abbia raccolto dati da LinkedIn, GitHub e altre fonti per costruire profili su persone che non hanno mai acconsentito a essere profilate.
Che quella specifica accusa si riveli vera o meno in tribunale, indica un problema reale e diffuso: la maggior parte dei sistemi di AI aziendali non ha alcuna rigorosa catena di custodia per i propri dati di addestramento e di inferenza. Non sanno dirti da dove è venuto un dato, quando è stato raccolto, se il soggetto ha dato il consenso, o se è stato modificato dopo l'acquisizione.
In Veriprajna, trattiamo la provenienza dei dati — la traccia documentata dell'origine, del movimento e della trasformazione dei dati — come un requisito infrastrutturale non negoziabile. A ogni dato che entra nel nostro sistema viene apposta un'etichetta con la sua fonte, il suo metodo di raccolta e il suo stato di consenso. I dati inviati dal candidato sono trattati in modo diverso dai dati dedotti da fonti esterne. L'hashing crittografico garantisce che, una volta acquisito un curriculum, qualsiasi modifica non autorizzata sia rilevabile.
Questo suona come il requisito minimo. Dovrebbe esserlo. Ma ho parlato con decine di fornitori di AI aziendale, e la risposta onesta della maggior parte di loro è che non riescono a risalire con certezza a un dato specifico fino alla sua origine. Hanno costruito per la velocità e la scala. La provenienza è stata un ripensamento, ammesso che ci abbiano mai pensato.
L'ambiente normativo del 2026 rende tutto ciò insostenibile. Le nuove normative della California richiedono alle piattaforme di rilevare e divulgare se un contenuto è stato significativamente alterato dall'AI generativa. L'AI Act del Colorado esige valutazioni del rischio documentate. Il FCRA, se applicato alle piattaforme di punteggio basate sull'AI, richiede che i soggetti possano vedere e contestare i dati usati sul loro conto. Non puoi conformarti a nulla di tutto ciò se non sai da dove provengono i tuoi dati.
Cosa dovrebbero fare le imprese proprio adesso?
Le persone mi chiedono sempre se dovrebbero farsi prendere dal panico riguardo ai loro attuali strumenti di AI per le assunzioni. Non penso che il panico sia produttivo, ma penso che l'urgenza sia giustificata. Ecco cosa dico loro.
Primo, sappi cosa stai effettivamente usando. Conduci un inventario approfondito di ogni strumento di AI nella tua pipeline di assunzione. Non dare per scontato che uno strumento non sia "AI" solo perché il fornitore lo commercializza come "Talent Intelligence" o "Analisi Predittiva." Se genera punteggi, classifiche o raccomandazioni che influenzano le decisioni di assunzione, è uno strumento automatizzato di decisione sull'occupazione, ed è soggetto al quadro normativo emergente.
Secondo, interroga i tuoi fornitori. Chiedi loro: Quali fonti di dati usate? Attingete informazioni al di fuori della candidatura? Generate punteggi o classifiche? Potete produrre una traccia di controllo per la valutazione di un candidato specifico? Potete fornire una spiegazione in linguaggio semplice del perché un candidato è stato valutato nel modo in cui lo è stato? Se non sanno rispondere a queste domande con chiarezza, quella è la tua risposta.
Terzo — e questo è quello che richiede un impegno reale — comincia a trattare le raccomandazioni dell'AI come input, non come verdetti. La posizione più difendibile dal punto di vista legale nel 2026 è quella in cui un revisore umano vede la raccomandazione dell'AI, la considera insieme ad altri fattori, e documenta il proprio ragionamento per la decisione finale. Questa non è solo buona prassi. In giurisdizioni come New York City e l'Illinois, potrebbe presto diventare un requisito di legge.
Il gioco di lungo periodo, però, è architetturale. Servono sistemi costruiti fin dalle fondamenta per la trasparenza, la verificabilità e l'autonomia del candidato. Non wrapper con dashboard di spiegabilità applicate sopra. Non mega-prompt con checklist di conformità appese in coda. Sistemi in cui ogni decisione può essere tracciata, spiegata e contestata.
La scomoda verità sull'"assunzione basata sull'AI"
Voglio concludere con qualcosa che mi frulla in testa fin da quella chiamata con la società di servizi finanziari.
L'industria dell'AI per le assunzioni ha venduto una storia seducente: dateci i vostri candidati, e troveremo i migliori più velocemente, a minor costo e con meno pregiudizi degli esseri umani. E parti di quella storia sono vere — l'AI può elaborare un volume che nessun team umano può eguagliare, e sistemi ben progettati possono far emergere candidati che altrimenti verrebbero trascurati.
Ma l'industria ha costruito quella capacità su una scorciatoia. Invece di progettare sistemi in grado di spiegare e difendere le proprie decisioni, ha costruito scatole nere che producevano numeri comodi. Invece di rispettare l'autonomia del candidato, ha trattato chi cerca lavoro come dati da raccogliere e a cui assegnare un punteggio. Invece di investire nel duro lavoro architetturale di conformità e trasparenza, ha spedito wrapper e sperato che nessuno facesse domande scomode.
Qualcuno ha fatto domande scomode. Due persone, in realtà — Erin Kistler e Sruti Bhaumik — che hanno avuto la legittimazione e la perseveranza per intentare una causa capace di ridisegnare il settore.
L'era della sperimentazione dell'AI senza conseguenze nelle assunzioni è finita. Ciò che la sostituirà sarà definito dal fatto che sceglieremo la responsabilità architetturale oppure solo migliori pubbliche relazioni.
In Veriprajna, abbiamo dato all'azienda il nome della parola sanscrita "Prajna" — saggezza trascendente. È una scelta deliberata. La saggezza non è solo conoscere la risposta. È sapere come sei arrivato alla risposta, essere in grado di mostrare il tuo lavoro, ed essere disposto a essere messo in discussione su di esso. Questo è ciò che l'AI aziendale deve a ogni persona che valuta.
Le aziende che comprenderanno tutto ciò costruiranno sistemi che sono non solo più difendibili ma anche più affidabili, più efficaci e — in un modo che conta — più umani. Le aziende che non lo faranno continueranno a sperare che nessuno chieda di vedere il punteggio.
Qualcuno lo chiede sempre.
