← Torna a Intelligenza artificiale — AI Act (Regolamento UE 2024/1689)
Ultimo aggiornamento: 1 Giugno 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
  • I fornitori di sistemi di IA ad alto rischio stabiliti al di fuori dell'Unione europea devono nominare, prima di immettere il sistema sul mercato UE, un rappresentante autorizzato stabilito nell'Unione, mediante mandato scritto.
  • Il mandato deve abilitare il rappresentante a verificare la conformità, conservare la documentazione per dieci anni, fornirla alle autorità su richiesta e cooperare con le autorità di vigilanza.
  • Il rappresentante è il principale interlocutore delle autorità nazionali competenti per tutte le questioni di conformità al regolamento.
  • Se il rappresentante accerta che il fornitore agisce in violazione del regolamento, deve risolvere il mandato e notificarlo immediatamente all'autorità di vigilanza del mercato.
  • Il meccanismo ricalca quello già previsto dal Regolamento sui dispositivi medici e dal GDPR per i titolari del trattamento non stabiliti nell'UE.

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Art. 22 Reg. (UE) 2024/1689 — Rappresentanti autorizzati dei fornitori dei sistemi di IA ad alto rischio

Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (regolamento sull’intelligenza artificiale)

1. Prima di mettere a disposizione i sistemi di IA ad alto rischio sul mercato dell'Unione, i fornitori stabiliti in paesi terzi nominano, mediante mandato scritto, un rappresentante autorizzato stabilito nell'Unione.

2. Il fornitore consente al suo rappresentante autorizzato di eseguire i compiti specificati nel mandato ricevuto dal fornitore.

3. Il rappresentante autorizzato esegue i compiti specificati nel mandato ricevuto dal fornitore. Fornisce una copia del mandato alle autorità di vigilanza del mercato, su richiesta, in una delle lingue ufficiali delle istituzioni dell'Unione indicata dall'autorità competente. Ai fini del presente regolamento, il mandato consente al rappresentante autorizzato di eseguire i compiti seguenti:

a) verificare che la dichiarazione di conformità UE di cui all’articolo 47 e la documentazione tecnica di cui all'articolo 11 siano state redatte e che il fornitore abbia eseguito un'appropriata procedura di valutazione della conformità;

b) tenere a disposizione delle autorità competenti e delle autorità o degli organismi nazionali di cui all'articolo 74, paragrafo 10, per un periodo di 10 anni dopo la data di immissione sul mercato o di messa in servizio del sistema di IA ad alto rischio, i dati di contatto del fornitore che ha nominato il rappresentante autorizzato, una copia della dichiarazione di conformità UE di cui all’articolo 47, la documentazione tecnica e, se del caso, il certificato rilasciato dall'organismo notificato;

c) fornire all'autorità competente, su richiesta motivata, tutte le informazioni e la documentazione, comprese quelle di cui alla lettera b) del presente comma, necessarie per dimostrare la conformità di un sistema di IA ad alto rischio ai requisiti di cui alla sezione 2, compreso l'accesso ai log, di cui all'articolo 12, paragrafo 1, generati automaticamente dal sistema di IA ad alto rischio nella misura in cui tali log sono sotto il controllo del fornitore;

d) cooperare con le autoritàcompetenti, su richiesta motivata, in merito a qualsiasi azione intrapresa da queste ultime in relazione al sistema di IA ad alto rischio, in particolare per ridurre e attenuare i rischi posti dal sistema di IA ad alto rischio;

e) ove applicabile, rispettare gli obblighi di registrazione di cui all'articolo 49, paragrafo 1, o, se la registrazione è effettuata dal fornitore stesso, garantire la correttezza delle informazioni di cui all'allegato VIII, sezione A, punto 3.

Il mandato consente al rappresentante autorizzato di fare da interlocutore, in aggiunta o in sostituzione del fornitore, con le autorità competenti per tutte le questioni relative al rispetto del presente regolamento.

4. Il rappresentante autorizzato pone fine al mandato se ritiene o ha motivi per ritenere che il fornitore agisca in contrasto con i propri obblighi a norma del presente regolamento. In tal caso, comunica immediatamente alla pertinente autorità di vigilanza del mercato, nonché, se del caso, all'organismo notificato pertinente, la cessazione del mandato e i relativi motivi.

Stesso numero, altri codici

Commento

La ratio dell'obbligo: garantire un punto di contatto nell'Unione

Il Regolamento (UE) 2024/1689 si applica non solo ai fornitori stabiliti nell'Unione europea, ma anche a quelli stabiliti in paesi terzi che immettono sistemi di IA ad alto rischio sul mercato UE o li mettono in servizio nel territorio dell'Unione. Per rendere effettivo il sistema di supervisione e di enforcement, l'articolo 22 richiede che questi fornitori nominino un rappresentante autorizzato stabilito nell'Unione, prima ancora di rendere il sistema disponibile.

La logica è analoga a quella già sperimentata in altri ambiti del diritto UE: il Regolamento (UE) 2016/679 (GDPR) prevede all'articolo 27 l'obbligo di designare un rappresentante per i titolari e responsabili del trattamento non stabiliti nell'Unione; il Regolamento (UE) 2017/745 sui dispositivi medici impone una figura analoga ai fabbricanti extraeuropei. L'AI Act inserisce questo schema nel contesto specifico dei sistemi di IA ad alto rischio, con compiti modellati sulle peculiarità del regolamento.

Come si costituisce il mandato

Il mandato deve essere scritto e deve abilitare il rappresentante a eseguire specifici compiti elencati dall'articolo 22. Non è sufficiente una generica lettera di incarico: il documento deve dettagliare le facoltà conferite, poiché il rappresentante può fare da interlocutore con le autorità «in aggiunta o in sostituzione del fornitore». Una copia del mandato deve essere messa a disposizione delle autorità di vigilanza del mercato su richiesta, in una delle lingue ufficiali delle istituzioni UE indicata dall'autorità competente.

Il fornitore ha l'obbligo di «consentire» al rappresentante di eseguire i compiti: ciò implica non solo il conferimento formale delle facoltà, ma anche la messa a disposizione di tutte le informazioni, i documenti e gli accessi tecnici necessari. Un mandato formalmente corretto ma sostanzialmente svuotato dal comportamento del fornitore non soddisfa il requisito normativo.

I compiti del rappresentante autorizzato

L'articolo 22 elenca tassativamente i compiti che il mandato deve abilitare il rappresentante a eseguire:

  • Verifica della conformità iniziale: accertare che la dichiarazione di conformità UE (articolo 47) e la documentazione tecnica (articolo 11) siano state predisposte e che sia stata completata un'appropriata procedura di valutazione della conformità. Non si tratta di una verifica tecnica approfondita, ma di un controllo formale sulla completezza della documentazione.
  • Conservazione decennale della documentazione: tenere a disposizione delle autorità, per dieci anni dalla data di immissione sul mercato o di messa in servizio, i dati di contatto del fornitore, la dichiarazione di conformità, la documentazione tecnica e, se del caso, il certificato rilasciato dall'organismo notificato. La durata decennale è rilevante: il rappresentante deve garantire la propria operatività e la conservazione dei documenti per l'intero periodo.
  • Cooperazione con le autorità: fornire alle autorità competenti, su richiesta motivata, tutte le informazioni e la documentazione necessarie a dimostrare la conformità, incluso l'accesso ai log automatici generati dal sistema nella misura in cui sono sotto il controllo del fornitore.
  • Misure di riduzione del rischio: cooperare con le autorità in relazione a qualsiasi azione intrapresa per ridurre o attenuare i rischi del sistema.
  • Registrazione nella banca dati UE: dove applicabile, rispettare gli obblighi di registrazione di cui all'articolo 49 o, se la registrazione è effettuata dal fornitore, garantire la correttezza delle informazioni inserite.
L'obbligo di risolvere il mandato in caso di violazioni

Il paragrafo 4 introduce una disposizione insolita nel panorama normativo UE: il rappresentante ha non solo la facoltà, ma l'obbligo di risolvere il mandato se accerta o ha fondati motivi di ritenere che il fornitore agisca in contrasto con i propri obblighi. La risoluzione deve essere comunicata immediatamente all'autorità di vigilanza del mercato e, se del caso, all'organismo notificato.

Questa disposizione trasforma il rappresentante in un soggetto dotato di una funzione quasi-pubblica di segnalazione: non si limita a eseguire i compiti affidatigli, ma deve attivarsi autonomamente quando rileva irregolarità. Dal punto di vista pratico, il rappresentante deve dotarsi di strumenti di monitoraggio continuo del comportamento del fornitore — verifiche periodiche della documentazione, canali di comunicazione diretta con il team di compliance del fornitore — per poter adempiere a questo obbligo.

Responsabilità del rappresentante e rischi di responsabilità

L'AI Act non definisce esplicitamente il regime di responsabilità del rappresentante autorizzato nei confronti delle autorità o dei soggetti danneggiati. Tuttavia, il fatto che il mandato consenta al rappresentante di agire «in sostituzione del fornitore» con le autorità competenti suggerisce che possa essere destinatario di provvedimenti sanzionatori e ordini di vigilanza in luogo del fornitore extraeuropeo. Le società che offrono servizi di rappresentanza autorizzata AI devono pertanto strutturare contrattualmente con il fornitore adeguate forme di manleva e di accesso alle informazioni necessarie per adempiere ai propri obblighi.

Coordinamento con il GDPR e con altre normative UE

Se il sistema di IA ad alto rischio tratta dati personali, il fornitore extraeuropeo potrebbe essere tenuto anche a designare un rappresentante ai sensi dell'articolo 27 GDPR. Le due figure possono coincidere se la stessa persona fisica o giuridica soddisfa i requisiti di entrambi i regolamenti e se il mandato copre esplicitamente entrambi i ruoli. Tuttavia, i compiti e le responsabilità sono distinti: il rappresentante GDPR risponde delle questioni di protezione dei dati, il rappresentante AI Act risponde delle questioni di conformità al regolamento sull'IA. Una sovrapposizione incompleta o ambigua potrebbe creare lacune nell'adempimento degli obblighi.

Casi pratici

Caso 1:

Caso 2:

Caso 3:

Domande frequenti

Un fornitore extraeuropeo può immettere un sistema di IA ad alto rischio sul mercato UE prima di nominare il rappresentante autorizzato?

No. L'articolo 22 richiede che il rappresentante sia nominato prima di mettere il sistema a disposizione sul mercato dell'Unione. L'assenza del rappresentante al momento dell'immissione sul mercato è una violazione diretta del regolamento, sanzionabile ai sensi dell'articolo 99.

Il rappresentante autorizzato AI Act può coincidere con il rappresentante GDPR?

Sì, in linea di principio, purché la stessa persona o società soddisfi i requisiti di entrambi i ruoli e il mandato copra esplicitamente entrambe le funzioni. Tuttavia i due ruoli hanno compiti e responsabilità distinte: è consigliabile che il mandato le articoli chiaramente per evitare confusioni in caso di richieste delle autorità.

Per quanto tempo il rappresentante deve conservare la documentazione tecnica?

Per dieci anni dalla data di immissione sul mercato o di messa in servizio del sistema di IA ad alto rischio. Il rappresentante deve garantire la propria operatività e la disponibilità della documentazione per l'intero periodo, anche in caso di cessazione del mandato, prevedendo contrattualmente procedure di trasferimento dei documenti al successore.

Cosa accade se il rappresentante autorizzato risolve il mandato?

Deve comunicare immediatamente la cessazione e i relativi motivi all'autorità di vigilanza del mercato e, se del caso, all'organismo notificato. Il fornitore extraeuropeo deve nominare un nuovo rappresentante senza ritardo; in mancanza, non può continuare a commercializzare il sistema nell'Unione fino alla nuova nomina.

Il deployer di un sistema di IA ad alto rischio sviluppato da un fornitore extraeuropeo ha responsabilità rispetto al mandato del rappresentante?

Il deployer non è direttamente coinvolto nella nomina o nel mandato del rappresentante autorizzato, che è un obbligo esclusivo del fornitore. Tuttavia, nella due diligence contrattuale, il deployer dovrebbe verificare che il fornitore abbia correttamente nominato un rappresentante autorizzato nell'Unione, poiché la mancanza di tale nomina è indice di non conformità del sistema alle norme applicabili.

Vedi anche

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.