- Prima di immettere sul mercato un sistema di IA ad alto rischio (allegato III), il fornitore o il suo rappresentante autorizzato deve registrarsi e registrare il sistema nella banca dati UE istituita dall'art. 71.
- Anche i sistemi che il fornitore ha auto-valutato come non ad alto rischio ai sensi dell'art. 6, paragrafo 3, devono essere registrati nella banca dati UE.
- I deployer che sono autorità pubbliche o istituzioni UE devono registrarsi e registrare l'uso dei sistemi di IA ad alto rischio nella stessa banca dati, prima di metterli in servizio.
- Per i sistemi nei settori di contrasto, migrazione e controllo delle frontiere, la registrazione avviene in una sezione riservata non pubblica della banca dati, accessibile solo alla Commissione e alle autorità nazionali designate.
- I sistemi di allegato III, punto 2 (infrastrutture critiche) sono registrati a livello nazionale, non nella banca dati UE centralizzata.
Testo dell'articoloVigente
Art. 49 Reg. (UE) 2024/1689 — Registrazione
Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (regolamento sull’intelligenza artificiale)
1. Prima di immettere sul mercato o mettere in servizio un sistema di IA ad alto rischio elencato nell'allegato III, ad eccezione dei sistemi di IA ad alto rischio di cui all'allegato III, punto 2, il fornitore o, ove applicabile, il rappresentante autorizzato si registra e registra il suo sistema nella banca dati dell'UE di cui all'articolo 71.
2. Prima di immettere sul mercato o mettere in servizio un sistema di IA che il fornitore ha concluso non essere ad alto rischio a norma dell'articolo 6, paragrafo 3, il fornitore o, ove applicabile, il rappresentante autorizzato si registra o registra tale sistema nella banca dati dell'UE di cui all'articolo 71.
3. Prima di mettere in servizio o utilizzare un sistema di IA ad alto rischio elencato nell'allegato III, ad eccezione dei sistemi di IA ad alto rischio elencati nel punto 2 dell'allegato III, i deployer che sono autorità pubbliche, istituzioni, organi e organismi dell'Unione o persone che agiscono per loro conto si registrano, selezionano il sistema e ne registrano l'uso nella banca dati dell'UE di cui all'articolo 71.
4. Per i sistemi di IA ad alto rischio di cui all'allegato III, punti 1, 6 e 7, nei settori delle attività di contrasto, della migrazione, dell'asilo e della gestione del controllo delle frontiere, la registrazione di cui ai paragrafi 1, 2 e 3 del presente articolo si trova in una sezione sicura non pubblica della banca dati dell'UE di cui all'articolo 71 e comprende, a seconda dei casi, solo le informazioni seguenti di cui:
a) all'allegato VIII, sezione A, punti da 1 a 5 e punti 8 e 9;
b) all'allegato VIII, sezione B, punti da 1 a 5 e punti 8 e 9;
c) all'allegato VIII, sezione C, punti da 1 a 3;
d) all'allegato IX, punti 1, 2, 3 e 5.
Solo la Commissione e le autorità nazionali di cui all'articolo 74, paragrafo 8, hanno accesso alle rispettive sezioni riservate della banca dati dell'UE elencate al primo comma del presente paragrafo.
5. I sistemi di IA ad alto rischio di cui all'allegato III, punto 2, sono registrati a livello nazionale.
Stesso numero, altri codici
- Art. 49 D.Lgs. 504/1995 — Irregolarità nella circolazione
- Articolo 49 L. 184/1983: Inventario dei beni dell'adottato
- Art. 49 D.Lgs. 159/2011 — Regolamento
- Art. 49 D.Lgs. 209/2005 — (Riserve tecniche)
- Art. 49 D.Lgs. 42/2004 — Manifesti e cartelli pubblicitari
- Art. 49 CAD — Segretezza della corrispondenza trasmessa per via te...
Commento
La banca dati UE come pilastro della trasparenza e della vigilanza
Il Regolamento (UE) 2024/1689 (AI Act) fonda il proprio sistema di governance su un principio di trasparenza strutturata: i sistemi di IA ad alto rischio non possono circolare in modo anonimo sul mercato europeo. La banca dati UE istituita dall'art. 71 è lo strumento operativo di questo principio: un registro pubblico che consente alle autorità di vigilanza, ai deployer e ai cittadini di conoscere quali sistemi di IA ad alto rischio sono disponibili, chi li ha sviluppati, per quali scopi e con quale documentazione di supporto. L'art. 49 stabilisce quando e chi deve registrarsi in questa banca dati. Si tratta di un obbligo pre-market: la registrazione non è un adempimento post-hoc, ma una condizione che deve essere soddisfatta prima dell'immissione sul mercato o della messa in servizio.
Obbligo del fornitore: sistemi ad alto rischio dell'allegato III
Il paragrafo 1 riguarda la categoria principale: i sistemi di IA ad alto rischio elencati nell'allegato III dell'AI Act. Questo allegato identifica le aree di impiego nelle quali un sistema di IA è presunto ad alto rischio: biometria, infrastrutture critiche, istruzione e formazione professionale, occupazione e gestione dei lavoratori, accesso ai servizi pubblici e privati essenziali, attività di contrasto, migrazione e asilo, amministrazione della giustizia. Prima di immettere sul mercato UE un sistema che rientra in queste categorie, il fornitore — o, se il fornitore è stabilito fuori dall'UE, il suo rappresentante autorizzato — deve compiere due operazioni distinte: registrare se stesso (come soggetto responsabile) e registrare il sistema di IA (con le informazioni richieste dall'allegato VIII). L'eccezione riguarda i sistemi di allegato III, punto 2 (infrastrutture critiche): per questi, la registrazione avviene a livello nazionale, non nella banca dati UE (paragrafo 5).
Obbligo del fornitore: sistemi auto-valutati come non ad alto rischio
Il paragrafo 2 introduce un obbligo che merita attenzione particolare: anche i sistemi che il fornitore ha concluso non essere ad alto rischio ai sensi dell'art. 6, paragrafo 3 devono essere registrati nella banca dati UE. L'art. 6, paragrafo 3, consente al fornitore di effettuare una autovalutazione e concludere che il proprio sistema — pur rientrando astrattamente in una categoria dell'allegato III — non è concretamente ad alto rischio perché non presenta rischi significativi per la salute, la sicurezza o i diritti fondamentali. Questa auto-classificazione «al ribasso» non esime però dalla registrazione. La ratio è evidente: la registrazione dei sistemi auto-classificati permette alle autorità di vigilanza e alla Commissione di monitorare la correttezza delle auto-valutazioni e di intervenire se ritenute infondate. In sostanza, il fornitore che ritiene di non ricadere nell'alto rischio deve comunque rendere pubblica questa valutazione.
Obbligo del deployer pubblico: registrazione dell'uso
Il paragrafo 3 introduce un obbligo che non grava sul fornitore ma sul deployer, a condizione che quest'ultimo sia un'autorità pubblica, un'istituzione, organo o organismo dell'Unione europea, o una persona che agisce per loro conto. Questi soggetti devono, prima di mettere in servizio o utilizzare un sistema di IA ad alto rischio dell'allegato III (con l'eccezione del punto 2), registrarsi nella banca dati UE, selezionare il sistema già registrato dal fornitore e registrare il proprio uso specifico. Questo obbligo aggiuntivo rispetto ai deployer privati riflette la particolare posizione delle autorità pubbliche: quando uno Stato membro o un'istituzione dell'Unione usa sistemi di IA per prendere decisioni che incidono sui cittadini (concessione di sussidi, controlli fiscali, valutazione di domande di asilo), la trasparenza è un requisito di legittimità democratica oltre che di conformità normativa.
La sezione riservata per i settori sensibili
Il paragrafo 4 introduce un bilanciamento tra trasparenza e sicurezza pubblica. Per i sistemi di IA ad alto rischio impiegati nei settori delle attività di contrasto, della migrazione, dell'asilo e del controllo delle frontiere (allegato III, punti 1, 6 e 7), la registrazione non avviene nella sezione pubblica della banca dati, ma in una sezione riservata. La norma specifica quali informazioni degli allegati VIII e IX devono essere comunque registrate in questa sezione: in sostanza, le informazioni identificative del sistema e del fornitore, gli scopi d'uso e le modalità di supervisione, ma non tutte le informazioni tecniche dettagliate. L'accesso alla sezione riservata è limitato alla Commissione europea e alle autorità nazionali designate ai sensi dell'art. 74, paragrafo 8: tipicamente le autorità di vigilanza del mercato, le autorità di contrasto e le autorità di protezione dei dati. La ratio è quella di evitare che la pubblicità delle informazioni sul sistema comprometta l'efficacia operativa delle autorità di sicurezza o esponga dati sensibili sulle tecniche investigative.
Come adempiere in concreto: passi operativi per i fornitori
Per un fornitore che deve registrare il proprio sistema di IA ad alto rischio, l'iter operativo comprende alcuni passaggi essenziali. Il primo è la classificazione del sistema: verificare se rientra nell'allegato III e in quale punto specifico, e valutare se sussistono le condizioni per una auto-classificazione al ribasso ai sensi dell'art. 6, paragrafo 3. Il secondo è la raccolta delle informazioni richieste dall'allegato VIII per la registrazione: nome e descrizione del sistema, finalità d'uso, categorie di persone interessate, capacità e limitazioni, meccanismi di supervisione umana, informazioni sulla valutazione della conformità. Il terzo è la registrazione effettiva nella banca dati UE — operazione che la Commissione dovrà rendere accessibile attraverso un portale dedicato — prima dell'immissione sul mercato. Va ricordato che gli obblighi per i sistemi di IA ad alto rischio dell'allegato III si applicano in pieno a partire dal 2 agosto 2026 (art. 113, par. 6), con l'eccezione dei sistemi biometrici per i quali i termini sono diversi.
Casi pratici
Caso 1:
Caso 2:
Caso 3:
Domande frequenti
Quando entra in vigore l'obbligo di registrazione?
Per i sistemi di IA ad alto rischio dell'allegato III (con l'eccezione dei sistemi biometrici), gli obblighi pieni — inclusa la registrazione — si applicano a partire dal 2 agosto 2026 (art. 113, par. 6 dell'AI Act). I sistemi già in servizio prima di tale data beneficiano di un regime transitorio. È comunque consigliabile avviare la preparazione dei dati necessari alla registrazione con anticipo.
La banca dati UE è già operativa?
La banca dati UE di cui all'art. 71 deve essere istituita e resa operativa dalla Commissione europea. Al momento dell'entrata in vigore degli obblighi di alto rischio (agosto 2026), la banca dati dovrà essere disponibile. La Commissione sta sviluppando l'infrastruttura attraverso l'Ufficio per l'IA istituito dall'art. 64.
I deployer privati devono registrarsi?
No, l'obbligo di registrazione nella banca dati UE riguarda i fornitori (per tutti i sistemi di alto rischio dell'allegato III) e i deployer che siano autorità pubbliche o istituzioni UE. I deployer privati non hanno un obbligo autonomo di registrazione, sebbene siano soggetti agli altri obblighi previsti dall'AI Act per i deployer.
Cosa si intende per 'rappresentante autorizzato'?
Il rappresentante autorizzato è la persona fisica o giuridica stabilita nell'UE che il fornitore non stabilito nell'UE designa per adempiere agli obblighi dell'AI Act in suo nome (art. 22). In assenza di un rappresentante autorizzato, un fornitore extra-UE non può immettere legalmente sistemi di IA ad alto rischio nel mercato europeo.
Le informazioni nella banca dati sono pubbliche?
In linea di principio sì, per i sistemi non rientranti nei settori di contrasto, migrazione e controllo delle frontiere. Per questi ultimi, le informazioni sono inserite in una sezione riservata accessibile solo alla Commissione e alle autorità nazionali designate. Le informazioni pubbliche includono denominazione del sistema, fornitore, scopo d'uso e stato della valutazione della conformità.
Vedi anche