← Torna a Intelligenza artificiale — AI Act (Regolamento UE 2024/1689)
Ultimo aggiornamento: 1 Giugno 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
  • I fornitori di sistemi di IA ad alto rischio devono istituire e documentare un sistema di monitoraggio post-mercato proporzionato alla natura del sistema e ai suoi rischi, attivo per tutta la durata del ciclo di vita.
  • Il sistema raccoglie, documenta e analizza dati sulle prestazioni del sistema, anche attraverso informazioni fornite dai deployer, per verificare la costante conformità ai requisiti del Capo III.
  • Il piano di monitoraggio post-mercato fa parte della documentazione tecnica (allegato IV); la Commissione adotterà entro il 2 febbraio 2026 un atto di esecuzione con un modello standard.
  • Per i sistemi già coperti da normativa di armonizzazione UE (allegato I) o da requisiti di governance nel settore finanziario, i fornitori possono integrare il piano nei sistemi di monitoraggio già esistenti, evitando duplicazioni.
  • I dati operativi sensibili dei deployer che sono autorità di contrasto sono esclusi dall'obbligo di comunicazione al fornitore.

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Art. 72 Reg. (UE) 2024/1689 — Monitoraggio successivo all’immissione sul mercato effettuato dai fornitori e piano di monitoraggio successivo all’immissione sul mercato per i sistemi di IA ad alto rischio

Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (regolamento sull’intelligenza artificiale)

1. I fornitori istituiscono e documentano un sistema di monitoraggio successivo all'immissione sul mercato che sia proporzionato alla natura delle tecnologie di IA e ai rischi del sistema di IA ad alto rischio.

2. Il sistema di monitoraggio successivo all'immissione sul mercato raccoglie, documenta e analizza attivamente e sistematicamente i dati pertinenti che possono essere forniti dai deployer o che possono essere raccolti tramite altre fonti sulle prestazioni dei sistemi di IA ad alto rischio per tutta la durata del loro ciclo di vita e consente al fornitore di valutare la costante conformità dei sistemi di IA ai requisiti di cui al capo III, sezione 2. Se del caso, il monitoraggio successivo all'immissione sul mercato include un'analisi dell'interazione con altri sistemi di IA. Tale obbligo non riguarda i dati operativi sensibili dei deployer che sono autorità di contrasto.

3. Il sistema di monitoraggio successivo all'immissione sul mercato si basa su un piano di monitoraggio successivo all'immissione sul mercato. Il piano di monitoraggio successivo all'immissione sul mercato fa parte della documentazione tecnica di cui all'allegato IV. La Commissione adotta un atto di esecuzione che stabilisce disposizioni dettagliate in cui si definisce un modello per il piano di monitoraggio successivo all'immissione sul mercato e un elenco di elementi da includere nel piano entro il 2 febbraio 2026. Tale atto di esecuzione è adottato secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.

4. Per i sistemi di IA ad alto rischio disciplinati dalla normativa di armonizzazione dell'Unione elencata nell'allegato I, sezione A, qualora tale normativa preveda già un sistema e un piano di monitoraggio successivo all'immissione sul mercato, al fine di garantire la coerenza, evitare duplicazioni e ridurre al minimo gli oneri aggiuntivi, i fornitori possono scegliere di integrare, se del caso, i necessari elementi di cui ai paragrafi 1, 2 e 3 utilizzando il modello di cui al paragrafo 3 nei sistemi e nei piani già esistenti in virtù di tale normativa, a condizione che consegua un livello di protezione equivalente. Il primo comma del presente paragrafo si applica anche ai sistemi di IA ad alto rischio di cui all'allegato III, punto 5, immessi sul mercato o messi in servizio da istituti finanziari soggetti a requisiti in materia di governance, dispositivi o processi interni stabiliti a norma del diritto dell'Unione in materia di servizi finanziari.

Stesso numero, altri codici

Commento

Il monitoraggio post-mercato nell'architettura di compliance AI Act

L'articolo 72 del Regolamento (UE) 2024/1689 (AI Act) disciplina il monitoraggio successivo all'immissione sul mercato dei sistemi di IA ad alto rischio, noto anche come post-market monitoring (PMM). Si tratta di un obbligo strutturale che il fornitore deve rispettare per tutta la durata del ciclo di vita del sistema: non è sufficiente che il sistema sia conforme al momento dell'immissione sul mercato, ma deve restare conforme nel tempo, e il fornitore deve disporre di meccanismi attivi per verificarlo.

La logica è quella del ciclo di vita regolato: un sistema di IA ad alto rischio non è un prodotto statico. Il suo comportamento può cambiare per effetto di aggiornamenti, di variazioni nei dati di input, di derive nel contesto di utilizzo o di interazioni con altri sistemi. Il monitoraggio post-mercato serve a rilevare queste variazioni in tempo reale e a permettere al fornitore di intervenire prima che le disfunzioni si traducano in danni concreti per le persone o in violazioni dei requisiti normativi.

Contenuto e struttura del sistema di monitoraggio

Il paragrafo 1 stabilisce che il sistema di monitoraggio deve essere proporzionato alla natura delle tecnologie di IA e ai rischi del sistema specifico. Non è quindi previsto un formato unico: un sistema di IA ad alto rischio impiegato in un settore critico come la sicurezza pubblica o la salute richiederà un piano di monitoraggio più articolato rispetto a un sistema impiegato nella selezione del personale in un'azienda di medie dimensioni.

Il paragrafo 2 definisce in modo più preciso le funzioni del sistema di monitoraggio: deve raccogliere, documentare e analizzare attivamente e sistematicamente i dati pertinenti sulle prestazioni del sistema per tutta la durata del ciclo di vita. L'avverbio «attivamente» è significativo: il fornitore non può limitarsi a ricevere passivamente segnalazioni dai deployer o dagli utenti, ma deve strutturare meccanismi proattivi di raccolta delle informazioni.

Le fonti dei dati includono:

  • I deployer: che sono in prima linea nell'utilizzo operativo del sistema e possono rilevare anomalie, derive nelle prestazioni o situazioni non previste nella fase di sviluppo. L'art. 26 AI Act, che disciplina gli obblighi dei deployer, prevede espressamente che i deployer comunichino al fornitore le informazioni rilevanti emerse durante l'uso;
  • Altre fonti: dati di performance interni, segnalazioni degli utenti finali, dati di mercato comparativi, rapporti di vigilanza delle autorità.

Se pertinente, il sistema di monitoraggio deve includere un'analisi delle interazioni con altri sistemi di IA. Questa previsione è particolarmente rilevante in contesti di IA composita o a pipeline, dove più sistemi interagiscono: una deriva in un sistema a monte può propagarsi e amplificarsi nei sistemi a valle.

Una deroga è prevista per i dati operativi sensibili dei deployer che sono autorità di contrasto: tali dati non rientrano nell'obbligo di comunicazione al fornitore, in considerazione delle esigenze di riservatezza tipiche delle attività di polizia e sicurezza.

Il piano di monitoraggio post-mercato: contenuto e modello standard

Il paragrafo 3 introduce il piano di monitoraggio post-mercato come documento formale che costituisce parte integrante della documentazione tecnica (allegato IV). Non è quindi una procedura interna informale, ma un documento strutturato che le autorità di vigilanza possono esaminare nell'ambito delle proprie attività di controllo.

La Commissione adotterà entro il 2 febbraio 2026 un atto di esecuzione che stabilisce un modello standard per il piano di monitoraggio e l'elenco degli elementi minimi da includere. Fino a quella data, i fornitori devono strutturare il piano in modo da soddisfare i requisiti generali dell'art. 72, tenendo conto delle indicazioni metodologiche contenute nelle linee guida dell'Ufficio per l'IA.

Un piano di monitoraggio ben strutturato dovrebbe tipicamente includere:

  • I KPI (Key Performance Indicators) selezionati per misurare le prestazioni del sistema rispetto alla finalità prevista;
  • Le soglie di allerta che, se superate, attivano procedure di revisione o notifica;
  • Le fonti di dati utilizzate e le relative procedure di raccolta;
  • La frequenza di revisione del piano e le condizioni che impongono una revisione straordinaria;
  • Le procedure di risposta in caso di rilevazione di anomalie o incidenti gravi (raccordo con l'art. 73 sulla segnalazione degli incidenti gravi);
  • I responsabili interni del monitoraggio e il flusso di escalation.
Coordinamento con normative settoriali preesistenti

Il paragrafo 4 introduce un importante principio di coordinamento ed efficienza normativa: per i sistemi di IA ad alto rischio già coperti dalla normativa di armonizzazione UE dell'allegato I (es. dispositivi medici, macchine, equipaggiamenti di protezione individuale) o da requisiti di governance nel settore finanziario (es. sistemi di IA di istituti finanziari soggetti a disposizioni di governance ai sensi del diritto UE sui servizi finanziari), i fornitori possono integrare i requisiti di monitoraggio dell'art. 72 nei sistemi e nei piani già esistenti.

Condizione: l'integrazione deve conseguire un livello di protezione equivalente a quello richiesto dall'art. 72. Questo principio evita che le imprese già soggette a obblighi di vigilanza post-mercato in altri settori si trovino a dover creare strutture parallele e duplicative. La documentazione integrata deve comunque soddisfare i requisiti formali dell'AI Act e deve essere identificabile come tale nella documentazione tecnica.

Raccordo con gli altri obblighi del ciclo di vita

L'art. 72 si inserisce in una catena normativa che collega strettamente il monitoraggio post-mercato ad altri obblighi del fornitore:

  • Art. 12 (logging): i dati registrati automaticamente dai log del sistema costituiscono una fonte primaria per il monitoraggio post-mercato;
  • Art. 73 (segnalazione degli incidenti gravi): quando il monitoraggio rileva un «incidente grave» o un «malfunzionamento», il fornitore ha obblighi di notifica alle autorità di vigilanza del mercato;
  • Art. 26, par. 5 (obblighi dei deployer): i deployer devono comunicare al fornitore le informazioni rilevanti emerse durante l'uso, diventando così parte integrante del sistema di monitoraggio post-mercato del fornitore;
  • Artt. 43-44 (valutazione della conformità): se il monitoraggio post-mercato rivela una modifica sostanziale del sistema, può essere necessario avviare una nuova procedura di valutazione della conformità.

Per i deployer che operano in settori regolamentati (finanza, sanità, sicurezza), è opportuno che i contratti con i fornitori disciplinino esplicitamente i flussi informativi richiesti dall'art. 72, definendo le modalità di segnalazione delle anomalie, i tempi di risposta e le responsabilità in caso di incidente.

Obblighi documentali e responsabilità interne: come strutturare il monitoraggio nella pratica

Uno degli aspetti operativi più impegnativi per le imprese è la definizione di chi, internamente, è responsabile del monitoraggio post-mercato. L'AI Act non impone un modello organizzativo specifico, ma la coerenza con gli obblighi di governance suggerisce che la funzione PMM sia assegnata a un soggetto con competenze tecniche e legali: in aziende strutturate, può essere un «AI Compliance Officer» o un team dedicato che coordina il DPO (per gli aspetti legati ai dati personali), il responsabile tecnico del sistema e il referente commerciale o contrattuale con i deployer.

La documentazione del sistema di monitoraggio deve essere aggiornata nel tempo: non è sufficiente redigere un piano di monitoraggio al momento dell'immissione sul mercato e poi dimenticarsene. Ogni modifica sostanziale del sistema (aggiornamento dell'algoritmo, ampliamento del dataset di addestramento, estensione delle finalità d'uso) può richiedere una revisione del piano e, in taluni casi, una nuova procedura di valutazione della conformità ai sensi degli artt. 43-44 AI Act.

Sul piano dei contratti commerciali con i deployer, il fornitore ha interesse a inserire clausole che:

  • Obbligano il deployer a comunicare tempestivamente qualsiasi anomalia rilevata durante l'uso del sistema, incluse le derive nelle prestazioni e i casi limite non coperti dalle istruzioni per l'uso;
  • Autorizzano il fornitore ad accedere, in forma anonimizzata e aggregata, ai dati operativi necessari per il monitoraggio post-mercato;
  • Definiscono le responsabilità reciproche in caso di incidente grave e le procedure di notifica all'autorità;
  • Prevedono obblighi di aggiornamento del sistema da parte del deployer quando il fornitore rilascia versioni correttive a seguito di anomalie rilevate nel monitoraggio.

Questi accordi contrattuali non sono solo una buona pratica gestionale: sono il meccanismo concreto attraverso cui il sistema di monitoraggio post-mercato del fornitore può funzionare efficacemente, dato che nella maggior parte dei casi i dati operativi rilevanti sono nella disponibilità del deployer, non del fornitore. La catena contrattuale tra fornitore, deployer e, dove applicabile, distributori, diventa quindi parte integrante dell'architettura di compliance AI Act.

Casi pratici

Caso 1:

Caso 2:

Caso 3:

Domande frequenti

Per quanto tempo il fornitore deve mantenere il sistema di monitoraggio post-mercato?

Il sistema di monitoraggio post-mercato deve essere attivo per tutta la durata del ciclo di vita del sistema di IA ad alto rischio. Non è previsto un termine fisso: finché il sistema è in uso, il fornitore è obbligato a mantenerlo operativo e ad analizzare attivamente i dati sulle prestazioni.

Il deployer ha obblighi di comunicazione al fornitore nell'ambito del monitoraggio post-mercato?

Sì. L'art. 26 AI Act impone ai deployer di comunicare al fornitore le informazioni pertinenti emerse durante l'uso del sistema, incluse anomalie nelle prestazioni o situazioni non previste. Questa comunicazione è parte integrante del sistema di monitoraggio post-mercato del fornitore. I contratti tra fornitore e deployer dovrebbero disciplinare esplicitamente questi flussi informativi.

Entro quando sarà disponibile il modello standard della Commissione per il piano PMM?

La Commissione adotterà un atto di esecuzione con il modello standard per il piano di monitoraggio post-mercato entro il 2 febbraio 2026. Fino a quella data, i fornitori devono strutturare il piano in modo da soddisfare i requisiti generali dell'art. 72, tenendo conto delle indicazioni metodologiche disponibili.

I fornitori nel settore finanziario o medico devono creare un piano PMM separato rispetto ai sistemi di vigilanza già esistenti?

No, non necessariamente. Il par. 4 dell'art. 72 consente ai fornitori già soggetti a normative settoriali di armonizzazione (allegato I) o a requisiti di governance nel settore finanziario di integrare i requisiti AI Act nei sistemi di monitoraggio già esistenti, a condizione che il livello di protezione equivalente sia garantito. Questo evita la duplicazione degli adempimenti.

Cosa succede se il monitoraggio post-mercato rileva che il sistema non è più conforme?

Se il monitoraggio rivela una non conformità o una modifica sostanziale del sistema, il fornitore è tenuto ad adottare le misure correttive necessarie e, se rilevante, a notificare le autorità di vigilanza ai sensi dell'art. 73 (incidenti gravi e malfunzionamenti). Se la non conformità riguarda una modifica sostanziale, può essere necessario avviare una nuova procedura di valutazione della conformità ai sensi degli artt. 43-44.

Vedi anche

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.