← Torna a Intelligenza artificiale — AI Act (Regolamento UE 2024/1689)
Ultimo aggiornamento: 1 Giugno 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
  • La vigilanza del mercato sui sistemi di IA si fonda sul Regolamento (UE) 2019/1020 (vigilanza del mercato e conformità dei prodotti), adattato alle specificità dell'IA: gli operatori AI sono equiparati agli operatori economici e i sistemi di IA ai prodotti.
  • L'autorità di vigilanza competente varia in funzione del settore: per i sistemi integrati in prodotti dell'allegato I è l'autorità settoriale; per i sistemi finanziari è l'autorità di vigilanza finanziaria; per i sistemi di contrasto, giustizia e biometrica sono le autorità di protezione dei dati.
  • Il Garante europeo della protezione dei dati (EDPB/GEPD) funge da autorità di vigilanza del mercato per i sistemi di IA delle istituzioni dell'Unione.
  • Le autorità possono accedere alla documentazione tecnica, ai set di dati di addestramento e, su richiesta motivata, al codice sorgente dei sistemi ad alto rischio, quando necessario per valutare la conformità.
  • Le autorità di vigilanza comunicano annualmente alla Commissione informazioni su pratiche vietate rilevate e dati rilevanti per il diritto della concorrenza.

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Art. 74 Reg. (UE) 2024/1689 — Vigilanza del mercato e controllo dei sistemi di IA nel mercato dell’Unione

Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (regolamento sull’intelligenza artificiale)

1. Il regolamento (UE) 2019/1020 si applica ai sistemi di IA disciplinati dal presente regolamento. Ai fini dell'efficace applicazione del presente regolamento:

a) ogni riferimento a un operatore economico a norma del regolamento (UE) 2019/1020 si intende fatto anche a tutti gli operatori di cui all'articolo 2, paragrafo 1, del presente regolamento;

b) ogni riferimento a un prodotto a norma del regolamento (UE) 2019/1020 si intende fatto anche a tutti i sistemi di IA che rientrano nell'ambito di applicazione del presente regolamento.

2. Nell'ambito dei loro obblighi in materia di segnalazione a norma dell'articolo 34, paragrafo 4, del regolamento (UE) 2019/1020, le autorità di vigilanza del mercato comunicano annualmente alla Commissione e alle pertinenti autorità nazionali garanti della concorrenza qualsiasi informazione individuata nel corso delle attività di vigilanza del mercato che possa essere di potenziale interesse per l'applicazione del diritto dell'Unione in materia di concorrenza. Essi riferiscono inoltre annualmente alla Commissione in merito al ricorso a pratiche vietate verificatosi nel corso di tale anno e alle misure adottate.

3. Per i sistemi di IA ad alto rischio collegati a prodotti disciplinati dalla normativa di armonizzazione dell'Unione elencata nell'allegato I, sezione A, l'autorità di vigilanza del mercato ai fini del presente regolamento è l'autorità responsabile delle attività di vigilanza del mercato designata a norma di tali atti giuridici. In deroga al primo comma e in determinate circostanze, gli Stati membri possono designare un’altra autorità pertinente che agisca in qualità di autorità di vigilanza del mercato, a condizione che garantiscano il coordinamento con le pertinenti autorità settoriali di vigilanza del mercato responsabili dell’esecuzione della normativa di armonizzazione dell’Unione elencata nell'allegato I.

4. Le procedure di cui agli articoli da 79 a 83 del presente regolamento non si applicano ai sistemi di IA collegati a prodotti disciplinati dalla normativa di armonizzazione dell'Unione elencata nell'allegato I, sezione A, qualora tali atti giuridici prevedano già procedure che garantiscono un livello equivalente di protezione e aventi lo stesso obiettivo. In tali casi si applicano invece le pertinenti procedure settoriali.

5. Fatti salvi i poteri delle autorità di vigilanza del mercato di cui all'articolo 14 del regolamento (UE) 2019/1020, al fine di garantire l'efficace applicazione del presente regolamento, le autorità di vigilanza del mercato possono esercitare i poteri di cui all'articolo 14, paragrafo 4, lettere d) e j), di tale regolamento a distanza, se del caso.

6. Per i sistemi di IA ad alto rischio immessi sul mercato, messi in servizio o usati da istituti finanziari disciplinati dal diritto dell'Unione in materia di servizi finanziari, l'autorità di vigilanza del mercato ai fini del presente regolamento è l'autorità nazionale pertinente responsabile della vigilanza finanziaria di tali enti ai sensi di tale diritto, nella misura in cui l'immissione sul mercato, la messa in servizio o l'uso del sistema di IA siano direttamente collegati alla fornitura di tali servizi finanziari.

7. In deroga al paragrafo 6, in determinate circostanze e a condizione che sia garantito il coordinamento, lo Stato membro può individuare un'altra autorità competente come autorità di vigilanza del mercato ai fini del presente regolamento. Le autorità nazionali di vigilanza del mercato che controllano gli enti creditizi disciplinati nel quadro della direttiva 2013/36/UE, che partecipano al meccanismo di vigilanza unico istituito dal regolamento (UE) n, 1024/2013, dovrebbero comunicare senza indugio alla Banca centrale europea qualsiasi informazione individuata nel corso delle attività di vigilanza del mercato che possa essere di potenziale interesse per i compiti in materia di vigilanza prudenziale della Banca centrale europea specificati in tale regolamento.

8. Per i sistemi di IA ad alto rischio elencati nell'allegato III del presente regolamento, punto 1, nella misura in cui tali sistemi sono utilizzati a fini di attività di contrasto, gestione delle frontiere, giustizia e democrazia e per i sistemi di IA ad alto rischio elencati nell'allegato III del presente regolamento, punti 6, 7 e 8, gli Stati membri designano come autorità di vigilanza del mercato ai fini del presente regolamento le autorità di controllo competenti per la protezione dei dati a norma del regolamento (UE) 2016/679 o della direttiva (UE) 2016/680 o qualsiasi altra autorità designata a norma delle stesse condizioni di cui agli articoli da 41 a 44 della direttiva (UE) 2016/680. Le attività di vigilanza del mercato non pregiudicano in alcun modo l'indipendenza delle autorità giudiziarie né interferiscono in altro modo con le loro attività nell'esercizio delle loro funzioni giurisdizionali.

9. Nei casi in cui le istituzioni, gli organi e gli organismi dell'Unione rientrano nell'ambito di applicazione del presente regolamento, il Garante europeo della protezione dei dati agisce in qualità di autorità di vigilanza del mercato, tranne nei confronti della Corte di giustizia dell'Unione europea nell'esercizio delle sue funzioni giurisdizionali.

10. Gli Stati membri agevolano il coordinamento tra le autorità di vigilanza del mercato designate a norma del presente regolamento e altre autorità o organismi nazionali pertinenti che controllano l'applicazione della normativa di armonizzazione dell'Unione elencata nell'allegato I o di altre disposizioni del diritto dell'Unione che potrebbero essere pertinenti per i sistemi di IA ad alto rischio di cui all'allegato III.

11. Le autorità di vigilanza del mercato e la Commissione possono proporre attività congiunte, comprese indagini congiunte, che dovrebbero essere condotte dalle autorità di vigilanza del mercato o dalle autorità di vigilanza del mercato di concerto con la Commissione, al fine di promuovere la conformità, individuare casi di non conformità, sensibilizzare e fornire orientamenti in relazione al presente regolamento riguardo a specifiche categorie di sistemi di IA ad alto rischio che si rileva presentino un rischio grave in due o più Stati membri conformemente all'articolo 9 del regolamento (UE) 2019/1020. L'ufficio per l'IA fornisce sostegno di coordinamento per le indagini congiunte.

12. Fatti salvi i poteri di cui al regolamento (UE) 2019/1020 e se del caso e nei limiti di quanto necessario per lo svolgimento dei loro compiti, i fornitori concedono alle autorità di vigilanza del mercato pieno accesso alla documentazione nonché ai set di dati di addestramento, convalida e prova utilizzati per lo sviluppo dei sistemi di IA ad alto rischio, anche, ove opportuno e fatte salve le garanzie di sicurezza, attraverso interfacce di programmazione delle applicazioni (API) o altri mezzi e strumenti tecnici pertinenti che consentano l'accesso remoto.

13. Alle autorità di vigilanza del mercato è concesso l'accesso al codice sorgente del sistema di IA ad alto rischio su richiesta motivata e solo qualora siano soddisfatte entrambe le condizioni seguenti:

a) l'accesso al codice sorgente è necessario per valutare la conformità di un sistema di IA ad alto rischio ai requisiti di cui al capo III, sezione 2; e

b) le procedure di prova o di audit e le verifiche basate sui dati e sulla documentazione presentati dal fornitore sono state esaurite o si sono dimostrate insufficienti.

14. Qualsiasi informazione o documentazione ottenuta dalle autorità di vigilanza del mercato è trattata in conformità degli obblighi di riservatezza di cui all'articolo 78.

Stesso numero, altri codici

Commento

Il sistema di vigilanza del mercato nell'AI Act: una struttura composita

L'articolo 74 del Regolamento (UE) 2024/1689 disciplina il sistema di vigilanza del mercato applicabile ai sistemi di IA, costruendo un'architettura istituzionale che presenta una caratteristica distintiva rispetto ad altri settori regolati: la pluralità delle autorità competenti, distribuite in funzione del settore di utilizzo del sistema e del tipo di soggetto che lo utilizza. Non esiste un'unica «autorità AI» per la vigilanza del mercato: il Regolamento sceglie di innestarsi sulle strutture di controllo già esistenti, attribuendo competenze settoriali alle autorità già attive nei rispettivi domini.

Il primo ancoraggio normativo è il Regolamento (UE) 2019/1020 sulla vigilanza del mercato e sulla conformità dei prodotti, che costituisce la lex generalis applicabile. L'art. 74, par. 1, prevede che questo Regolamento si applichi ai sistemi di IA, con due adattamenti interpretativi: i riferimenti agli «operatori economici» si intendono estesi a tutti gli operatori rilevanti ai sensi dell'art. 2, par. 1, AI Act (fornitori, deployer, importatori, distributori, rappresentanti autorizzati); i riferimenti ai «prodotti» si intendono estesi a tutti i sistemi di IA nel campo di applicazione del Regolamento.

La ripartizione delle competenze tra autorità

I paragrafi da 3 a 9 dell'articolo 74 definiscono un sistema articolato di distribuzione delle competenze di vigilanza del mercato, che vale la pena esaminare in modo sistematico perché ha conseguenze dirette per le imprese che vogliono sapere a quale autorità rivolgersi o da quale autorità aspettarsi controlli.

Sistemi ad alto rischio integrati in prodotti dell'allegato I (normativa di armonizzazione settoriale). Per i sistemi di IA che sono componenti di sicurezza di prodotti soggetti a normative di armonizzazione (dispositivi medici, macchinari, veicoli, ascensori, apparecchiature radio, ecc.), la vigilanza del mercato spetta all'autorità già competente per i prodotti in questione. In Italia, a seconda del settore, ciò può significare il Ministero della Salute per i dispositivi medici, l'Ispettorato del Lavoro per le macchine, il Ministero dei Trasporti per i veicoli. Gli Stati membri possono in determinate circostanze designare un'altra autorità, purché garantiscano il coordinamento con le autorità settoriali.

Sistemi di IA usati dagli istituti finanziari. Per i sistemi ad alto rischio immessi sul mercato, messi in servizio o usati da istituti finanziari nell'ambito della fornitura di servizi finanziari, la vigilanza del mercato spetta all'autorità nazionale di vigilanza finanziaria competente. In Italia, ciò implica in linea generale la Banca d'Italia per le banche e gli intermediari finanziari, la CONSOB per i mercati mobiliari, e l'IVASS per il settore assicurativo. La deroga settoriale riflette la scelta del legislatore di non creare una duplicazione di controlli su attività già sottoposte a stringente vigilanza prudenziale.

Sistemi di contrasto, biometria, giustizia e democrazia. Per i sistemi ad alto rischio usati a fini di contrasto, gestione delle frontiere, giustizia e democrazia (allegato III, punto 1, per la biometria; punti 6, 7 e 8 per le altre categorie), gli Stati membri designano come autorità di vigilanza del mercato le autorità di protezione dei dati personali competenti ai sensi del GDPR o della Direttiva (UE) 2016/680 sulla protezione dei dati nelle attività di polizia e giustizia penale. In Italia, il Garante per la protezione dei dati personali assume quindi un ruolo di vigilanza del mercato AI per questi specifici settori, creando un intreccio significativo tra la sua funzione tradizionale e quella nuova assegnata dall'AI Act.

Istituzioni dell'Unione europea. Quando le istituzioni, gli organi e gli organismi dell'Unione rientrano nel campo di applicazione dell'AI Act, il Garante europeo della protezione dei dati (GEPD) funge da autorità di vigilanza del mercato, con esclusione della Corte di giustizia dell'Unione europea nell'esercizio delle proprie funzioni giurisdizionali.

I poteri di accesso alle informazioni e al codice sorgente

I paragrafi 12 e 13 dell'articolo 74 disciplinano due poteri di accesso particolarmente rilevanti per la pratica della vigilanza.

Il paragrafo 12 impone ai fornitori di concedere alle autorità di vigilanza del mercato pieno accesso alla documentazione tecnica e ai set di dati di addestramento, convalida e prova, anche attraverso API o altri strumenti di accesso remoto. Questo obbligo di trasparenza è fondamentale per consentire una vigilanza effettiva: senza accesso ai dati usati per addestrare il sistema, le autorità non possono valutare se i requisiti di qualità dei dati e non discriminazione siano stati rispettati.

Il paragrafo 13 disciplina l'accesso al codice sorgente: questo è subordinato a una richiesta motivata e a due condizioni cumulative. Prima condizione: l'accesso è necessario per valutare la conformità del sistema ai requisiti del Capo III, Sezione 2. Seconda condizione: le procedure di prova e audit basate sulla documentazione presentata dal fornitore si sono dimostrate insufficienti o sono state esaurite. L'accesso al codice sorgente è quindi uno strumento residuale e proporzionato, non la regola. Le informazioni ottenute sono soggette agli obblighi di riservatezza di cui all'art. 78.

Il flusso informativo verso la Commissione e le autorità della concorrenza

Il paragrafo 2 impone alle autorità di vigilanza del mercato due obblighi di segnalazione annuale. Il primo è verso la Commissione europea e le autorità nazionali della concorrenza: devono comunicare qualsiasi informazione individuata nel corso delle attività di vigilanza che possa essere di potenziale interesse per il diritto della concorrenza. Questo obbligo riflette la consapevolezza del legislatore che i sistemi di IA ad alto rischio, se concentrati nelle mani di pochi operatori dominanti, possono creare distorsioni della concorrenza. Il secondo obbligo è verso la Commissione: le autorità devono riferire annualmente sul ricorso a pratiche vietate (art. 5 AI Act) rilevato nel corso delle attività di vigilanza.

Le indagini congiunte come strumento di cooperazione transfrontaliera

Il paragrafo 11 prevede la possibilità per le autorità di vigilanza del mercato e la Commissione di avviare attività congiunte, comprese indagini congiunte, per promuovere la conformità, individuare casi di non conformità e sensibilizzare su specifiche categorie di sistemi ad alto rischio che presentano rischi gravi in due o più Stati membri. L'Ufficio per l'IA fornisce supporto di coordinamento per queste indagini congiunte. Questo strumento è particolarmente rilevante per i sistemi di IA distribuiti in modo transfrontaliero, che per loro natura sfuggono a controlli limitati al territorio di un singolo Stato membro.

Implicazioni per i fornitori e i deployer

Per le imprese che sviluppano o utilizzano sistemi di IA ad alto rischio, l'articolo 74 ha conseguenze operative concrete. In primo luogo, è necessario identificare correttamente quale autorità è competente per la vigilanza del mercato del proprio sistema specifico, poiché questa determina l'interlocutore in caso di ispezione, richiesta di documentazione o contestazione di non conformità. In secondo luogo, i fornitori devono mantenere la documentazione tecnica, i set di dati e, se necessario, il codice sorgente in uno stato di accessibilità tale da poter rispondere prontamente a una richiesta motivata delle autorità. In terzo luogo, le imprese attive in settori con più autorità potenzialmente competenti (es. un sistema di IA per servizi finanziari usato anche per la valutazione del rischio di credito) devono valutare attentamente quale autorità sia effettivamente competente per il proprio caso specifico, eventualmente con il supporto di un consulente legale specializzato.

Casi pratici

Caso 1:

Caso 2:

Caso 3:

Domande frequenti

Quale autorità controlla la conformità di un sistema di IA usato da una banca?

Per i sistemi ad alto rischio immessi sul mercato o usati dagli istituti finanziari nell'ambito della fornitura di servizi finanziari, l'autorità di vigilanza del mercato è l'autorità nazionale di vigilanza finanziaria competente (es. Banca d'Italia per le banche). Se il sistema è integrato in un prodotto soggetto a normativa di armonizzazione dell'allegato I, potrebbe applicarsi la regola settoriale dell'art. 74, par. 3.

Le autorità di vigilanza possono sempre accedere al codice sorgente del sistema di IA?

No. L'accesso al codice sorgente è un potere residuale: è consentito solo su richiesta motivata e solo se le procedure di prova e audit basate sulla documentazione presentata dal fornitore si sono dimostrate insufficienti o sono state esaurite, e se l'accesso è necessario per valutare la conformità ai requisiti del Capo III, Sezione 2 (art. 74, par. 13).

Il Garante per la protezione dei dati può fare ispezioni sui sistemi di IA?

Sì, per determinate categorie di sistemi. L'art. 74, par. 8, designa le autorità di protezione dei dati come autorità di vigilanza del mercato per i sistemi ad alto rischio usati a fini di contrasto, gestione delle frontiere, giustizia e democrazia, nonché per i sistemi dell'allegato III, punti 6, 7 e 8 (relativi a istruzione, occupazione, accesso ai servizi essenziali, giustizia).

Cosa sono le indagini congiunte previste dall'art. 74?

Sono attività di controllo coordinate tra più autorità di vigilanza del mercato di diversi Stati membri, eventualmente con il coinvolgimento della Commissione, per affrontare casi di non conformità che si manifestano in due o più Stati membri. L'Ufficio per l'IA fornisce supporto di coordinamento. Possono riguardare categorie specifiche di sistemi ad alto rischio che presentano rischi gravi su scala transfrontaliera.

Le autorità di vigilanza del mercato devono comunicare qualcosa alla Commissione ogni anno?

Sì, due tipi di informazioni. Il primo: qualsiasi informazione rilevata nel corso delle attività di vigilanza che possa interessare l'applicazione del diritto della concorrenza (comunicata anche alle autorità nazionali della concorrenza). Il secondo: un rapporto annuale sul ricorso a pratiche vietate rilevato e sulle misure adottate, comunicato alla Commissione ai sensi dell'art. 74, par. 2.

Vedi anche

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.