Art. 102 Reg. (UE) 2024/1689 — Modifica del regolamento (CE) n, 300/2008

Commento

Il contesto: la sicurezza aerea e l'intelligenza artificiale

L'articolo 102 del Regolamento (UE) 2024/1689 (AI Act) è una norma di coordinamento che modifica il Regolamento (CE) n. 300/2008, il testo normativo dell'Unione europea che stabilisce le norme comuni nel settore della sicurezza dell'aviazione civile. La modifica si inserisce in un quadro normativo in cui i sistemi di IA sono sempre più impiegati negli aeroporti europei: dai sistemi di riconoscimento biometrico per i controlli dei passeggeri, agli scanner automatici per il rilevamento di sostanze pericolose nei bagagli, fino ai sistemi di analisi comportamentale per l'individuazione di minacce.

Prima dell'AI Act, questi sistemi erano disciplinati esclusivamente dal Regolamento 300/2008 e dai relativi atti di esecuzione della Commissione. Con l'adozione dell'AI Act, i sistemi che rientrano nell'allegato III — in particolare i sistemi di identificazione biometrica (punto 1) e i sistemi impiegati nella gestione della migrazione, dell'asilo e del controllo delle frontiere (punto 7) — sono soggetti anche ai requisiti del Capo III, Sezione 2, dell'AI Act, che include trasparenza, dati di addestramento, robustezza, accuratezza, cibersicurezza e sorveglianza umana.

La modifica normativa: testo e portata

L'art. 102 aggiunge all'art. 4, par. 3, del Regolamento (CE) n. 300/2008 un comma secondo cui, nell'adottare misure dettagliate relative alle specifiche tecniche e alle procedure per l'approvazione e l'uso di attrezzature di sicurezza aeroportuale che impiegano sistemi di IA ai sensi dell'AI Act, si tiene conto dei requisiti del Capo III, Sezione 2, di tale regolamento.

La portata applicativa è chiara: la Commissione, quando adotta atti di esecuzione che definiscono le specifiche tecniche delle attrezzature di sicurezza aeroportuale (es. requisiti per gli scanner biometrici di nuova generazione, standard per i sistemi di rilevamento automatico degli esplosivi), deve tenere conto dei requisiti tecnici che l'AI Act impone ai sistemi ad alto rischio. In altri termini, le specifiche tecniche settoriali non possono ignorare o contraddire i requisiti di trasparenza, accuratezza, robustezza e cibersicurezza previsti dall'AI Act per i sistemi ad alto rischio.

Raccordo con l'allegato I AI Act: la doppia conformità

L'art. 102 si collega sistematicamente all'allegato I dell'AI Act, che elenca la normativa di armonizzazione dell'Unione nell'ambito della quale i sistemi di IA ad alto rischio devono rispettare sia la normativa settoriale sia i requisiti dell'AI Act. La doppia conformità — al Regolamento 300/2008 e all'AI Act — non è un onere aggiuntivo discrezionale, ma una conseguenza diretta dell'architettura normativa del Regolamento.

Per i fornitori di attrezzature di sicurezza aeroportuale che impiegano sistemi di IA, ciò si traduce in obblighi concreti:

• La documentazione tecnica (allegato IV AI Act) deve essere predisposta anche per i sistemi di IA integrati nelle attrezzature aeroportuali;
• La valutazione di conformità deve considerare sia i requisiti del Regolamento 300/2008 sia quelli dell'AI Act;
• Se il sistema rientra in categorie per cui è prevista la valutazione di conformità da parte di organismi notificati (artt. 43-44 AI Act), questa procedura si affianca agli eventuali processi di certificazione previsti dalla normativa aeroportuale.

Implicazioni operative per i fornitori e per le autorità aeroportuali

Sul piano operativo, l'art. 102 ha implicazioni per due categorie di soggetti principali:

Fornitori di attrezzature di sicurezza aeroportuale: le aziende che producono e commercializzano sistemi di IA per gli aeroporti europei devono verificare se i propri sistemi rientrano nell'allegato III dell'AI Act (in particolare punto 1 per i sistemi biometrici, punto 7 per i sistemi di controllo alle frontiere) e, in caso affermativo, avviare le procedure di conformità AI Act in parallelo con quelle già previste dal Regolamento 300/2008. La marcatura CE e la dichiarazione di conformità UE AI Act si affiancano agli eventuali marchi di approvazione previsti dalla normativa aeroportuale.

Autorità aeroportuali e deployer: gli enti che gestiscono gli aeroporti e che impiegano questi sistemi in qualità di deployer devono rispettare gli obblighi dell'art. 26 AI Act (obblighi dei deployer) e, se organismi di diritto pubblico che utilizzano sistemi ad alto rischio classificabili nell'allegato III, potenzialmente anche l'obbligo di valutazione d'impatto sui diritti fondamentali di cui all'art. 27 AI Act. La sorveglianza umana prevista dall'art. 14 AI Act si traduce, in ambito aeroportuale, nella garanzia che le decisioni generate dai sistemi automatici siano sempre soggette a verifica da parte di personale qualificato prima di produrre effetti sui passeggeri.

Il principio di coordinamento tra normative settoriali e AI Act

L'art. 102 è uno dei diversi articoli del Titolo IX dell'AI Act dedicati alle «Modifiche ad altri atti normativi dell'Unione» (artt. 97-110). Insieme agli artt. 103 (modifica del Regolamento (CE) n. 810/2009 sul codice visti), 104 (Frontex), 105 (Eurojust) e altri, costituisce il meccanismo di integrazione orizzontale dell'AI Act nel diritto dell'Unione settoriale. Il principio comune è che l'AI Act non sostituisce le normative settoriali, ma si affianca a esse: le attrezzature e i sistemi già regolati da normative specifiche devono rispettare anche i requisiti AI Act quando integrano sistemi di IA classificabili come ad alto rischio. Questo approccio di «layered compliance» è coerente con la struttura del mercato unico europeo, dove i prodotti sono soggetti a più regimi normativi che si intersecano.