← Torna a Intelligenza artificiale — AI Act (Regolamento UE 2024/1689)
Ultimo aggiornamento: 1 Giugno 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
  • Gli organismi notificati sono enti terzi indipendenti incaricati di eseguire le valutazioni della conformità dei sistemi di IA ad alto rischio quando richiesto dall'AI Act.
  • Devono avere personalità giuridica, essere istituiti a norma del diritto nazionale di uno Stato membro e soddisfare requisiti organizzativi, di qualità, di risorse e di cibersicurezza.
  • Il requisito di indipendenza è assoluto: nessun interesse economico nei sistemi valutati, nessuna attività di progettazione o sviluppo, nessun conflitto di interessi.
  • Il personale deve mantenere la riservatezza sulle informazioni acquisite durante le valutazioni, con obbligo di segreto professionale.
  • Gli organismi notificati devono disporre di competenze interne sufficienti e partecipare alle attività di coordinamento e normazione europee.

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Art. 31 Reg. (UE) 2024/1689 — Requisiti relativi agli organismi notificati

Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (regolamento sull’intelligenza artificiale)

1. Un organismo notificato è istituito a norma del diritto nazionale di uno Stato membro e ha personalità giuridica.

2. Gli organismi notificati soddisfano i requisiti organizzativi, di gestione della qualità e relativi alle risorse e ai processi necessari all'assolvimento dei loro compiti nonché i requisiti idonei di cibersicurezza.

3. La struttura organizzativa, l'assegnazione delle responsabilità, le linee di riporto e il funzionamento degli organismi notificati garantiscono la fiducia nelle loro prestazioni e nei risultati delle attività di valutazione della conformità che essi effettuano.

4. Gli organismi notificati sono indipendenti dal fornitore di un sistema di IA ad alto rischio in relazione al quale svolgono attività di valutazione della conformità. Gli organismi notificati sono inoltre indipendenti da qualsiasi altro operatore avente un interesse economico nei sistemi di IA ad alto rischio oggetto della valutazione, nonché da eventuali concorrenti del fornitore. Ciò non preclude l'uso dei sistemi di IA ad alto rischio oggetto della valutazione che sono necessari per il funzionamento dell'organismo di valutazione della conformità o l'uso di tali sistemi di IA ad alto rischio per scopi privati.

5. L'organismo di valutazione della conformità, i suoi alti dirigenti e il personale incaricato di svolgere i compiti di valutazione della conformità non intervengono direttamente nella progettazione, nello sviluppo, nella commercializzazione o nell'utilizzo di sistemi di IA ad alto rischio, né rappresentano i soggetti impegnati in tali attività. Essi non intraprendono alcuna attività che possa essere in conflitto con la loro indipendenza di giudizio o la loro integrità per quanto riguarda le attività di valutazione della conformità per le quali sono notificati. Ciò vale in particolare per i servizi di consulenza.

6. Gli organismi notificati sono organizzati e gestiti in modo da salvaguardare l'indipendenza, l'obiettività e l'imparzialità delle loro attività. Gli organismi notificati documentano e attuano una struttura e procedure per salvaguardare l'imparzialità e per promuovere e applicare i principi di imparzialità in tutta l'organizzazione, tra il personale e nelle attività di valutazione.

7. Gli organismi notificati dispongono di procedure documentate per garantire che il loro personale, i loro comitati, le affiliate, i subappaltatori e qualsiasi altra organizzazione associata o il personale di organismi esterni mantengano, conformemente all'articolo 78, la riservatezza delle informazioni di cui vengono in possesso nello svolgimento delle attività di valutazione della conformità, salvo quando la normativa ne prescriva la divulgazione. Il personale degli organismi notificati è tenuto a osservare il segreto professionale riguardo a tutte le informazioni ottenute nello svolgimento dei propri compiti a norma del presente regolamento, tranne che nei confronti delle autorità di notifica dello Stato membro in cui svolge le proprie attività.

8. Gli organismi notificati dispongono di procedure per svolgere le attività che tengono debitamente conto delle dimensioni di un fornitore, del settore in cui opera, della sua struttura e del grado di complessità del sistema di IA interessato.

9. Gli organismi notificati sottoscrivono un'adeguata assicurazione di responsabilità per le loro attività di valutazione della conformità, a meno che lo Stato membro in cui sono stabiliti non si assuma tale responsabilità a norma del diritto nazionale o non sia esso stesso direttamente responsabile della valutazione della conformità.

10. Gli organismi notificati sono in grado di eseguire tutti i compiti assegnati loro in forza del presente regolamento con il più elevato grado di integrità professionale e di competenza richiesta nel settore specifico, indipendentemente dal fatto che tali compiti siano eseguiti dagli organismi notificati stessi o per loro conto e sotto la loro responsabilità.

11. Gli organismi notificati dispongono di sufficienti competenze interne per poter valutare efficacemente i compiti svolti da parti esterne per loro conto.Gli organismi notificati dispongono permanentemente di sufficiente personale amministrativo, tecnico, giuridico e scientifico dotato di esperienza e conoscenze relative ai tipi di sistemi di IA, ai dati, al calcolo dei dati pertinenti, nonché ai requisiti di cui alla sezione 2.

12. Gli organismi notificati partecipano alle attività di coordinamento di cui all'articolo 38. Inoltre essi partecipano direttamente o sono rappresentati in seno alle organizzazioni europee di normazione o garantiscono di essere informati e di mantenersi aggiornati in merito alle norme pertinenti.

Stesso numero, altri codici

Commento

Il ruolo degli organismi notificati nel sistema AI Act

L'AI Act, per i sistemi di IA ad alto rischio che richiedono la valutazione della conformità da parte di un terzo (art. 43), si affida agli organismi notificati: enti privati o pubblici, designati dagli Stati membri e notificati alla Commissione europea, che operano come «guardiani» indipendenti del sistema di certificazione. Il modello riprende quello consolidato della normativa europea di prodotto («new approach»), già applicato a dispositivi medici, macchinari, dispositivi di protezione individuale.

L'art. 31 stabilisce i requisiti strutturali, organizzativi e professionali che un ente deve soddisfare per essere designato e mantenere la propria notifica. Si tratta di requisiti severi, pensati per garantire che la valutazione della conformità sia effettivamente indipendente, competente e affidabile — non una mera formalità amministrativa.

Requisiti organizzativi e di governance

L'organismo notificato deve essere istituito a norma del diritto nazionale (par. 1) e avere personalità giuridica propria. La struttura organizzativa deve garantire fiducia nelle prestazioni e nei risultati (par. 3): ciò significa che le linee di riporto, l'assegnazione delle responsabilità e il funzionamento interno devono essere documentati e orientati all'obiettività.

Il par. 6 richiede l'adozione di procedure formali per salvaguardare l'imparzialità: non solo a livello apicale, ma diffusa in tutta l'organizzazione e in ogni singola attività di valutazione. Questo implica, in pratica, sistemi di audit interno, rotazione del personale valutatore e meccanismi di segnalazione dei conflitti di interessi.

Il requisito di indipendenza: cuore dell'art. 31

Il par. 4 è il più critico dal punto di vista operativo: l'organismo notificato deve essere indipendente dal fornitore del sistema di IA che valuta, da tutti gli altri operatori che hanno un interesse economico nel sistema, e dai concorrenti del fornitore. La norma precisa che questa indipendenza non esclude il semplice uso del sistema valutato — per esempio per esigenze operative proprie dell'organismo — ma esclude qualsiasi coinvolgimento nella progettazione, sviluppo, commercializzazione o utilizzo dei sistemi valutati.

Il par. 5 rafforza il principio: il personale incaricato delle valutazioni non deve avere partecipato direttamente al ciclo di vita del sistema. Questo vale anche per i servizi di consulenza: un organismo che abbia fornito consulenza per la progettazione del sistema non può poi valutarlo. La separazione è strutturale, non solo individuale.

Competenze tecniche e risorse

I par. 10 e 11 affrontano il requisito di competenza, particolarmente rilevante per l'IA. Valutare la conformità di un sistema di machine learning richiede competenze molto diverse da quelle necessarie per un dispositivo meccanico: conoscenze di statistica, ingegneria dei dati, architetture di reti neurali, validazione dei modelli. Il regolamento richiede «sufficiente personale amministrativo, tecnico, giuridico e scientifico dotato di esperienza e conoscenze relative ai tipi di sistemi di IA, ai dati, al calcolo dei dati pertinenti» nonché ai requisiti tecnici dell'AI Act.

Questa è probabilmente la sfida maggiore per la costruzione del sistema di organismi notificati in Europa: non esistono ancora molti enti con le competenze trasversali necessarie a valutare sistemi di IA sofisticati in domini specializzati come la medicina, la finanza o la sicurezza pubblica.

Riservatezza e segreto professionale

Il par. 7 impone procedure documentate per garantire che tutto il personale, i comitati, le affiliate, i subappaltatori e le organizzazioni associate mantengano la riservatezza delle informazioni acquisite durante le valutazioni. Il segreto professionale si applica a tutte le informazioni ottenute nell'esercizio delle funzioni, con l'unica eccezione delle autorità di notifica dello Stato membro di stabilimento.

Questa disposizione è particolarmente rilevante quando le informazioni acquisite durante la valutazione riguardano dati di addestramento, architetture proprietarie o strategie commerciali del fornitore. L'obbligo di riservatezza è un elemento fondamentale della fiducia che i fornitori devono poter riporre negli organismi notificati.

Coordinamento e partecipazione alle attività normative

Il par. 12 richiede che gli organismi notificati partecipino alle attività di coordinamento (art. 38) e alle organizzazioni europee di normazione (CEN, CENELEC) o si mantengano aggiornati sulle norme pertinenti. Questo requisito è fondamentale perché le norme armonizzate — che l'AI Act rimanda per la specificazione tecnica di molti requisiti — sono in corso di elaborazione: chi valuta la conformità deve essere al passo con gli sviluppi normativi.

Casi pratici

Caso 1:

Caso 2:

Caso 3:

Domande frequenti

Come si verifica se un organismo notificato è autorizzato per l'AI Act?

La Commissione europea mantiene la banca dati NANDO (New Approach Notified and Designated Organisations) dove sono elencati tutti gli organismi notificati per i vari regolamenti UE. Con l'entrata in vigore dell'AI Act, gli organismi notificati specifici per questo regolamento saranno inseriti nella stessa banca dati. Prima di affidarsi a un organismo, è buona prassi verificare la notifica e lo scope autorizzato.

Un organismo notificato può valutare un sistema di IA che ha contribuito a progettare?

No. L'art. 31, par. 5, vieta espressamente che il personale dell'organismo notificato intervenga direttamente nella progettazione, sviluppo, commercializzazione o utilizzo dei sistemi che poi valuta. Questo vale anche per i servizi di consulenza pregressi. L'indipendenza è strutturale, non solo nominale.

Le informazioni riservate del fornitore sono protette durante la valutazione della conformità?

Sì. L'art. 31, par. 7, impone obblighi rigorosi di riservatezza a tutto il personale dell'organismo notificato, incluse le affiliate e i subappaltatori. Il segreto professionale copre tutte le informazioni acquisite durante la valutazione — comprese architetture proprietarie, dati di addestramento e strategie commerciali — salvo obbligo di divulgazione previsto dalla normativa.

Un organismo notificato può subappaltare la valutazione a terzi?

Sì, ma solo mantenendo la piena responsabilità del lavoro svolto dai subappaltatori. Il par. 11 richiede che l'organismo abbia competenze interne sufficienti per valutare efficacemente i compiti esternalizzati. I subappaltatori sono soggetti agli stessi obblighi di riservatezza e indipendenza.

Quali competenze specifiche deve avere il personale degli organismi notificati per l'IA?

Il par. 11 richiede personale con esperienza e conoscenze relative ai tipi di sistemi di IA oggetto di valutazione, ai dati, al calcolo dei dati pertinenti e ai requisiti tecnici dell'AI Act. In pratica: competenze in machine learning, gestione dei dati di addestramento, architetture software, settori di applicazione specifici (sanità, finanza, ecc.) e normativa di armonizzazione UE.

Vedi anche

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.