Art. 37 Reg. (UE) 2024/1689 — Contestazione della competenza degli organismi notificati

Commento

Il ruolo degli organismi notificati nel sistema di conformità AI Act

Per i sistemi di IA ad alto rischio che non possono autocertificarsi tramite la sola dichiarazione del fornitore, il Regolamento (UE) 2024/1689 prevede il coinvolgimento di organismi indipendenti — i cosiddetti organismi notificati — che svolgono la valutazione della conformità di terza parte. Questi soggetti sono designati dagli Stati membri in base ai requisiti tecnici e organizzativi previsti dall'articolo 31 e comunicati («notificati») alla Commissione europea e agli altri Stati membri tramite lo strumento NANDO (New Approach Notified and Designated Organisations).

La qualità e l'indipendenza degli organismi notificati è essenziale per l'integrità dell'intero sistema: se un organismo non è realmente competente o indipendente, i certificati e le valutazioni da esso emessi non offrono le garanzie che il regolamento intende assicurare. L'articolo 37 attribuisce alla Commissione europea un potere di controllo e di intervento diretto per preservare la fiducia nel sistema.

Il potere di indagine della Commissione

Il paragrafo 1 attribuisce alla Commissione il potere di indagare «ove necessario» su tutti i casi in cui vi siano motivi di dubitare della competenza di un organismo notificato o della continuità della sua conformità ai requisiti dell'articolo 31. La formula è ampia: i «motivi di dubbio» possono derivare da segnalazioni di operatori del mercato, da autorità nazionali, da verifiche incrociate tra certificati emessi da organismi diversi, da risultanze di ispezioni parallele condotte in altri ambiti normativi (dispositivi medici, cybersicurezza).

L'autorità di notifica — ovvero l'autorità dello Stato membro che ha designato l'organismo — ha l'obbligo di fornire alla Commissione, su richiesta, tutte le informazioni relative alla notifica o al mantenimento della competenza dell'organismo. Si tratta di un obbligo di cooperazione attiva, non di una mera facoltà: l'autorità di notifica non può opporre ragioni di riservatezza nazionale per sottrarsi alla richiesta informativa della Commissione, fermo restando il trattamento riservato delle informazioni sensibili previsto dall'articolo 78.

Le misure conseguenti all'accertamento delle carenze

Se la Commissione accerta che un organismo non soddisfa, o non soddisfa più, i requisiti per la notifica, informa il relativo Stato membro e gli chiede di adottare misure correttive, «compresa la sospensione o il ritiro della notifica». La formulazione è graduata: la Commissione indica le misure necessarie, ma lascia allo Stato membro la scelta dello strumento più appropriato nel contesto nazionale.

Il meccanismo si articola in due livelli:

• Intervento primario dello Stato membro: è lo Stato membro a dover adottare le misure correttive. Questa priorità rispetta il principio di sussidiarietà e la competenza degli Stati nella gestione dei propri organismi di accreditamento e notifica.
• Intervento sussidiario della Commissione: se lo Stato membro non adotta le misure necessarie, la Commissione può intervenire direttamente con un atto di esecuzione — adottato secondo la procedura d'esame dell'articolo 98, paragrafo 2 — per sospendere, limitare o ritirare la designazione dell'organismo. È un potere eccezionale, ma chiaramente definito, che impedisce che l'inerzia di uno Stato membro comprometta la fiducia nel sistema europeo di valutazione della conformità.

La riservatezza delle informazioni nell'indagine

Il paragrafo 3 richiama espressamente l'articolo 78, che disciplina la riservatezza nel contesto dell'AI Act. Le informazioni sensibili ottenute nel corso delle indagini — che potrebbero includere dati tecnici riservati, valutazioni interne degli organismi, informazioni commerciali dei fornitori che hanno ricevuto certificati — devono essere trattate in modo riservato. Questo obbligo si affianca alle norme generali sulla protezione dei segreti commerciali e delle informazioni commerciali riservate previste dal diritto UE e nazionale.

Implicazioni pratiche per i fornitori con certificati emessi da organismi contestati

Un fornitore di sistemi di IA ad alto rischio che ha ottenuto un certificato da un organismo notificato successivamente sospeso o il cui mandato è stato revocato si trova in una situazione di incertezza giuridica significativa. Il regolamento non disciplina esplicitamente gli effetti sui certificati già emessi in caso di revoca della designazione di un organismo: per analogia con altri settori regolatori (dispositivi medici, marcatura CE), i certificati emessi prima della revoca mantengono in genere validità temporanea, ma il fornitore deve avviare senza ritardo la procedura per ottenere una nuova valutazione della conformità da un organismo notificato valido.

Dal punto di vista operativo, i fornitori dovrebbero inserire nei propri contratti con gli organismi notificati clausole che disciplinino cosa accade in caso di sospensione o revoca della designazione, inclusa la restituzione della documentazione tecnica e la collaborazione per il trasferimento del fascicolo a un altro organismo.

Coordinamento con il sistema NANDO e con l'Ufficio per l'IA

La designazione e le eventuali restrizioni degli organismi notificati sono pubblicate nel sistema NANDO, accessibile a tutti gli operatori. I fornitori e i deployer dovrebbero effettuare verifiche periodiche dello stato dell'organismo notificato con cui intendono lavorare o da cui hanno già ottenuto certificati. L'Ufficio per l'IA, istituito nell'ambito della Commissione, svolge un ruolo di coordinamento e può contribuire al processo di indagine previsto dall'articolo 37, in particolare per i sistemi di IA con profili di rischio trasversali rispetto a più settori.