← Torna a Intelligenza artificiale — AI Act (Regolamento UE 2024/1689)
Ultimo aggiornamento: 1 Giugno 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
  • Il fornitore di un sistema di IA ad alto rischio deve conservare la documentazione tecnica e di conformità per 10 anni dall'immissione sul mercato o dalla messa in servizio.
  • I documenti da conservare comprendono: documentazione tecnica (art. 11), sistema di gestione della qualità (art. 17), decisioni degli organismi notificati e dichiarazione di conformità UE (art. 47).
  • Ogni Stato membro deve definire le modalità di conservazione per il caso in cui il fornitore o il suo rappresentante autorizzato cessi l'attività o fallisca prima della scadenza del termine.
  • I fornitori che sono istituti finanziari possono conservare la documentazione tecnica all'interno della documentazione già richiesta dalla normativa sui servizi finanziari, evitando duplicazioni.

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Art. 18 Reg. (UE) 2024/1689 — Conservazione dei documenti

Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (regolamento sull’intelligenza artificiale)

1. Il fornitore, per un periodo che termina 10 anni dopo che il sistema di IA ad alto rischio è stato immesso sul mercato o messo in servizio, tiene a disposizione delle autorità nazionali competenti:

a) la documentazione tecnica di cui all'articolo 11;

b) la documentazione relativa al sistema di gestione della qualità di cui all'articolo 17;

c) la documentazione relativa alle modifiche approvate dagli organismi notificati, ove applicabile;

d) le decisioni e gli altri documenti rilasciati dagli organismi notificati, ove applicabile;

e) la dichiarazione di conformità UE di cui all'articolo 47.

2. Ciascuno Stato membro stabilisce le condizioni alle quali la documentazione di cui al paragrafo 1 resta a disposizione delle autorità nazionali competenti per il periodo indicato in tale paragrafo nel caso in cui il prestatore o il rappresentante autorizzato stabilito nel suo territorio fallisca o cessi la sua attività prima della fine di tale periodo.

3. I fornitori che sono istituti finanziari soggetti a requisiti in materia di governance, dispositivi o processi interni stabiliti a norma del diritto dell'Unione in materia di servizi finanziari, conservano la documentazione tecnica nell'ambito della documentazione conservata a norma del pertinente diritto dell'Unione in materia di servizi finanziari.

Stesso numero, altri codici

Commento

La ratio dell'obbligo: sorveglianza post-mercato e responsabilità continuativa

L'articolo 18 del Regolamento (UE) 2024/1689 disciplina la conservazione dei documenti da parte del fornitore di sistemi di IA ad alto rischio. L'obbligo non è formalistico: è il presupposto della sorveglianza del mercato. Le autorità nazionali competenti devono poter accedere, anche a distanza di anni dall'immissione sul mercato, a tutta la documentazione che attesta come il sistema è stato progettato, valutato e certificato. Senza questo archivio, l'enforcement del regolamento diventerebbe impossibile.

Il termine decennale è significativo. Rispecchia la logica del diritto dei prodotti: un sistema di IA ad alto rischio può rimanere operativo per molti anni, e le sue conseguenze dannose possono emergere con ritardo. Dieci anni garantiscono che, nel momento in cui un'autorità avvia un'indagine o una persona lesa agisce in giudizio, i documenti siano disponibili.

Cosa deve conservare il fornitore

L'elenco del par. 1 è tassativo e comprende cinque categorie:

  • Documentazione tecnica (lett. a, rimanda all'art. 11): descrizione del sistema, finalità prevista, specifiche tecniche, dati di addestramento, misure di gestione del rischio, metriche di performance, metodi di supervisione umana. È il documento più corposo e rilevante.
  • Documentazione del sistema di gestione della qualità (lett. b, rimanda all'art. 17): politiche, procedure, istruzioni operative, protocolli di test, processi di modifica e gestione degli incidenti.
  • Documentazione relativa alle modifiche approvate dagli organismi notificati (lett. c): rilevante per le modifiche sostanziali ai sensi dell'art. 3, n. 23, che hanno richiesto un nuovo intervento dell'organismo notificato.
  • Decisioni e altri documenti degli organismi notificati (lett. d): certificati, pareri, report di audit. La loro conservazione è fondamentale per dimostrare la legittimità della marcatura CE.
  • Dichiarazione di conformità UE (lett. e, rimanda all'art. 47): il documento in cui il fornitore dichiara sotto la propria responsabilità che il sistema soddisfa i requisiti del regolamento.

Tutti questi documenti devono essere conservati in forma tale da essere «messi a disposizione» delle autorità nazionali competenti quando richiesto. Non basta archiviarli: devono essere accessibili in modo tempestivo e organizzato.

Il problema della continuità: cessazione del fornitore

Il par. 2 affronta uno scenario concreto e spesso sottovalutato: cosa accade se il fornitore fallisce o cessa l'attività prima della scadenza del termine decennale? La norma delega agli Stati membri la definizione delle condizioni. In pratica, ciò può tradursi in obblighi di deposito presso registri nazionali, trasferimento della documentazione a un curatore fallimentare con onere di conservazione, oppure accordi contrattuali con terzi custodi.

Le imprese fornitrici — e in particolare le startup del settore AI — dovrebbero considerare questo profilo nella fase di pianificazione societaria: la liquidazione della società non estingue gli obblighi documentali verso le autorità. È opportuno prevedere clausole specifiche nei piani di liquidazione o nei contratti di acquisizione.

Istituti finanziari: integrazione con la documentazione di settore

Il par. 3 introduce una semplificazione per i fornitori che sono istituti finanziari soggetti a requisiti di governance interna ai sensi del diritto UE sui servizi finanziari (si pensi alla normativa CRD/CRR, DORA, o alle norme EBA). Per questi soggetti, la documentazione tecnica dell'AI Act può essere conservata nell'ambito della documentazione già richiesta dalla normativa finanziaria, evitando duplicazioni di archivi.

Questa previsione è coerente con l'approccio intersettoriale dell'AI Act: il regolamento non mira a creare oneri burocratici aggiuntivi dove obblighi analoghi già esistono. Gli istituti finanziari devono però verificare che la documentazione conservata ai sensi del diritto finanziario soddisfi materialmente tutti i requisiti dell'art. 18, par. 1: la semplificazione è formale (unico archivio), non sostanziale (i contenuti devono essere completi).

Implicazioni operative per i fornitori

Dal punto di vista operativo, l'art. 18 impone di predisporre un sistema di gestione documentale strutturato fin dalla fase di sviluppo del sistema. Non è sufficiente produrre i documenti al momento della conformità: occorre archiviarli in modo da garantire l'accesso per un decennio, con procedure di backup, versionamento e controllo degli accessi. Nei contratti con i fornitori di infrastruttura cloud e nei piani di disaster recovery, il termine decennale deve essere espressamente considerato.

Casi pratici

Caso 1:

Caso 2:

Caso 3:

Domande frequenti

Per quanti anni il fornitore deve conservare la documentazione di un sistema AI ad alto rischio?

Per 10 anni a decorrere dall'immissione sul mercato o dalla messa in servizio del sistema. Il termine è fisso e non varia in base alla durata operativa del sistema.

Cosa succede se il fornitore fallisce prima della scadenza del termine decennale?

Il par. 2 dell'art. 18 delega agli Stati membri la definizione delle condizioni per garantire la continuità della conservazione. In pratica, ciò può comportare l'obbligo di trasferire la documentazione a un custode designato o alla procedura fallimentare, con onere di conservarla per il periodo residuo.

Il deployer ha obblighi di conservazione dei documenti?

L'art. 18 riguarda specificamente il fornitore. Tuttavia il deployer ha propri obblighi documentali: conserva i log generati dal sistema ad alto rischio (art. 26, par. 5) per almeno 6 mesi e documenta le istruzioni ricevute dal fornitore. I due regimi si affiancano senza sovrapposizione.

Un istituto bancario che sviluppa un sistema AI per la valutazione del credito deve creare un archivio separato?

No. Ai sensi del par. 3, i fornitori che sono istituti finanziari soggetti a requisiti di governance del diritto UE sui servizi finanziari possono conservare la documentazione tecnica dell'AI Act nell'ambito della documentazione già richiesta dalla normativa finanziaria, purché i contenuti siano completi.

La documentazione deve essere conservata in formato specifico?

L'art. 18 non impone un formato specifico. I documenti devono però essere 'messi a disposizione' delle autorità nazionali competenti, il che implica che devono essere accessibili in modo tempestivo e leggibile. I formati digitali standard (PDF, XML) con adeguati sistemi di backup sono la soluzione più comune.

Vedi anche

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.