← Torna a Intelligenza artificiale — AI Act (Regolamento UE 2024/1689)
Ultimo aggiornamento: 1 Giugno 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
  • Gli organismi notificati verificano la conformità dei sistemi di IA ad alto rischio secondo le procedure di valutazione previste dall'art. 43 dell'AI Act.
  • Devono svolgere le proprie attività evitando oneri inutili per i fornitori, tenendo conto delle dimensioni, del settore e della complessità del sistema valutato.
  • È prevista una protezione specifica per microimprese e piccole imprese, con minimizzazione degli oneri amministrativi e dei costi di conformità.
  • Il rigore nella valutazione non può essere sacrificato per ragioni di proporzionalità: l'organismo notificato deve comunque garantire il livello di tutela necessario.
  • Tutta la documentazione pertinente — inclusa quella del fornitore — deve essere trasmessa all'autorità di notifica su richiesta, per agevolare il monitoraggio e la valutazione.

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Art. 34 Reg. (UE) 2024/1689 — Obblighi operativi degli organismi notificati

Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (regolamento sull’intelligenza artificiale)

1. Gli organismi notificati verificano la conformità dei sistemi di IA ad alto rischio secondo le procedure di valutazione della conformità di cui all'articolo 43.

2. Gli organismi notificati evitano oneri inutili per i fornitori nello svolgimento delle loro attività e tengono debitamente conto delle dimensioni del fornitore, del settore in cui opera, della sua struttura e del grado di complessità del sistema di IA ad alto rischio interessato, in particolare al fine di ridurre al minimo gli oneri amministrativi e i costi di conformità per le microimprese e le piccole imprese ai sensi della raccomandazione 2003/361/CE. L'organismo notificato rispetta tuttavia il grado di rigore e il livello di tutela necessari per la conformità del sistema di IA ad alto rischio rispetto ai requisiti del presente regolamento.

3. Gli organismi notificati mettono a disposizione e trasmettono su richiesta tutta la documentazione pertinente, inclusa la documentazione del fornitore, all'autorità di notifica di cui all'articolo 28 per consentirle di svolgere le proprie attività di valutazione, designazione, notifica e monitoraggio e per agevolare la valutazione di cui alla presente sezione.

Stesso numero, altri codici

Commento

Il ruolo degli organismi notificati nel sistema di valutazione della conformità

Il Regolamento (UE) 2024/1689 (AI Act) prevede che i sistemi di IA ad alto rischio, prima di essere immessi sul mercato, superino una procedura di valutazione della conformità. Per molte categorie di sistemi, questa valutazione può essere effettuata dal fornitore stesso mediante autovalutazione (procedura interna di controllo, art. 43, par. 1). Tuttavia, per alcune categorie specifiche — in particolare i sistemi di biometria, i sistemi di infrastruttura critica e altri settori ad elevato impatto — è richiesto il coinvolgimento di un organismo notificato: un soggetto terzo, accreditato e designato da uno Stato membro, che valuta in modo indipendente la conformità del sistema. L'art. 34 disciplina come gli organismi notificati devono svolgere questa funzione nella pratica operativa.

La procedura di valutazione: il rinvio all'art. 43

Il paragrafo 1 dell'art. 34 stabilisce che gli organismi notificati verificano la conformità dei sistemi di IA ad alto rischio «secondo le procedure di valutazione della conformità di cui all'articolo 43». Questo rinvio è fondamentale perché l'art. 43 distingue tre scenari: l'autovalutazione (procedura di controllo interno), la valutazione da parte di un organismo notificato mediante esame del tipo UE, e il modello di garanzia della qualità. L'organismo notificato interviene quando la procedura prescelta o quella imposta richiede una verifica terza. La scelta della procedura appropriata dipende dal tipo di sistema e dalla categoria di allegato III in cui ricade: l'organismo notificato deve quindi essere in grado di comprendere la classificazione del sistema prima ancora di avviare la valutazione.

Il principio di proporzionalità: evitare oneri inutili

Il paragrafo 2 introduce un principio operativo di grande rilevanza pratica: gli organismi notificati devono evitare di imporre ai fornitori oneri inutili nello svolgimento delle loro attività. La norma specifica che a tal fine si tiene conto delle dimensioni del fornitore, del settore in cui opera, della struttura organizzativa e del grado di complessità del sistema di IA in esame. In particolare, il legislatore europeo ha voluto proteggere microimprese e piccole imprese ai sensi della Raccomandazione 2003/361/CE (microimprese: meno di 10 dipendenti e fatturato o totale di bilancio annuo non superiore a 2 milioni di euro; piccole imprese: meno di 50 dipendenti e non superiore a 10 milioni di euro). Per questi soggetti, gli oneri amministrativi e i costi di conformità devono essere ridotti al minimo compatibile con la verifica effettiva della conformità. Questa disposizione ha un carattere bilanciante: l'organismo notificato non può usare la sua posizione per imporre richieste documentali eccessive o procedure sproporzionate, ma nemmeno può rinunciare al rigore necessario in nome della semplificazione.

Il limite invalicabile: il livello di tutela necessario

La seconda parte del paragrafo 2 chiarisce che la proporzionalità non può andare a scapito dell'effettività della valutazione: l'organismo notificato deve rispettare «il grado di rigore e il livello di tutela necessari per la conformità del sistema di IA ad alto rischio rispetto ai requisiti del presente regolamento». Questo significa che la semplificazione delle procedure per le PMI non può tradursi in una riduzione sostanziale dei controlli o in una valutazione superficiale. In caso di contestazione da parte dell'autorità di notifica o di incidente successivo alla certificazione, l'organismo notificato non potrebbe difendersi sostenendo di aver alleggerito le procedure per favorire una piccola impresa: la responsabilità della valutazione rimane piena e indelegabile.

Trasparenza e cooperazione con l'autorità di notifica

Il paragrafo 3 disciplina gli obblighi di trasparenza e cooperazione dell'organismo notificato nei confronti dell'autorità di notifica — l'autorità nazionale che ha designato l'organismo e ne monitora l'operato. Su richiesta, l'organismo notificato deve mettere a disposizione e trasmettere tutta la documentazione pertinente, inclusa quella del fornitore. Questo obbligo serve a consentire all'autorità di notifica di svolgere le attività di valutazione, designazione, notifica e monitoraggio previste dagli articoli da 28 in poi. La norma riconosce esplicitamente il ruolo della documentazione del fornitore: l'organismo notificato non può opporre la riservatezza commerciale del fornitore per sottrarsi all'obbligo di trasmissione, poiché la vigilanza dell'autorità di notifica è funzionale alla protezione dell'interesse pubblico.

Implicazioni operative per i fornitori che si rivolgono a un organismo notificato

Per un fornitore che deve sottoporre il proprio sistema di IA ad alto rischio alla valutazione di un organismo notificato, l'art. 34 ha alcune implicazioni pratiche importanti. Primo, il fornitore può ragionevolmente attendersi che l'organismo calibri la procedura in base alle sue dimensioni e alla complessità del sistema: se le richieste sembrano sproporzionate, è legittimo segnalarlo all'organismo e, se necessario, all'autorità di notifica. Secondo, il fornitore deve essere consapevole che tutta la documentazione tecnica consegnata all'organismo potrebbe essere trasmessa all'autorità di notifica: deve quindi strutturarla con cura, verificando che rifletta accuratamente le caratteristiche effettive del sistema. Terzo, il fornitore deve considerare che la valutazione da parte di un organismo notificato non è un passaggio burocratico, ma una verifica sostanziale che impegna l'organismo in piena responsabilità: una certificazione ottenuta su documentazione incompleta o ingannevole espone il fornitore a rischi significativi in sede di sorveglianza post-commercializzazione.

Casi pratici

Caso 1:

Caso 2:

Caso 3:

Domande frequenti

Tutti i sistemi di IA ad alto rischio richiedono un organismo notificato?

No. La maggior parte dei sistemi di IA ad alto rischio prevede la possibilità di autovalutazione da parte del fornitore (procedura di controllo interno). Il coinvolgimento obbligatorio di un organismo notificato è richiesto per specifiche categorie — in particolare i sistemi di biometria remota in tempo reale in spazi pubblici e alcune applicazioni infrastrutturali — come previsto dall'art. 43 dell'AI Act.

Chi sono gli organismi notificati per l'AI Act?

Gli organismi notificati sono enti terzi indipendenti, designati dagli Stati membri e notificati alla Commissione europea. Per essere designati, devono rispettare i requisiti degli artt. 31-33 dell'AI Act (indipendenza, competenza, risorse, imparzialità). Un elenco aggiornato è disponibile nella banca dati NANDO della Commissione.

Un fornitore PMI può contestare le richieste dell'organismo notificato?

Sì. Se le richieste documentali o procedurali sembrano sproporzionate rispetto alle dimensioni dell'impresa e alla complessità del sistema, il fornitore può invocare il principio di proporzionalità dell'art. 34, paragrafo 2, e proporre modalità alternative di adempimento. In caso di disaccordo persistente, può rivolgersi all'autorità di notifica.

La documentazione tecnica del fornitore può essere condivisa con altri?

L'organismo notificato deve trasmettere la documentazione all'autorità di notifica su richiesta (art. 34, par. 3). Non è invece prevista una condivisione automatica con altri soggetti. Tuttavia, il fornitore deve essere consapevole che la documentazione tecnica potrebbe essere esaminata anche dall'autorità di vigilanza del mercato in caso di indagini o incidenti.

Cosa succede se l'organismo notificato effettua una valutazione non conforme?

Se l'autorità di notifica accerta che l'organismo notificato non rispetta i requisiti dell'AI Act o svolge le proprie attività in modo non corretto, può adottare misure correttive, sospendere o revocare la notifica (artt. 28-33 AI Act). Le certificazioni rilasciate in modo irregolare possono essere invalidate, con conseguenze per i fornitori che le abbiano utilizzate come base della propria dichiarazione di conformità.

Vedi anche

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.