- Il fornitore di un sistema di IA ad alto rischio che rileva o ha ragione di ritenere una non conformità deve adottare immediatamente le misure correttive necessarie: adeguamento, ritiro, disabilitazione o richiamo del sistema.
- Il fornitore è tenuto a informare distributori, deployer, rappresentante autorizzato e importatori della non conformità e delle azioni intraprese.
- Se la non conformità integra un rischio ai sensi dell'art. 79, par. 1, il fornitore deve avviare un'indagine immediata in collaborazione con il deployer segnalante e informare le autorità di vigilanza del mercato competenti e, se pertinente, l'organismo notificato che ha rilasciato la certificazione.
- L'obbligo di informazione riguarda sia la natura della non conformità sia le misure correttive adottate o in corso.
Testo dell'articoloVigente
Art. 20 Reg. (UE) 2024/1689 — Misure correttive e dovere di informazione
Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (regolamento sull’intelligenza artificiale)
1. I fornitori di sistemi di IA ad alto rischio che ritengono o hanno motivo di ritenere che un sistema di IA ad alto rischio da essi immesso sul mercato o messo in servizio non sia conforme al presente regolamento adottano immediatamente le misure correttive necessarie per rendere conforme tale dispositivo, ritirarlo, disabilitarlo o richiamarlo, a seconda dei casi. Essi informano di conseguenza i distributori del sistema di IA ad alto rischio interessato e, ove applicabile, i deployer, il rappresentante autorizzato e gli importatori.
2. Qualora il sistema di IA ad alto rischio presenti un rischio ai sensi dell'articolo 79, paragrafo 1, e il fornitore ne venga a conoscenza, tale fornitore indaga immediatamente sulle cause, in collaborazione con il deployer che ha effettuato la segnalazione, se del caso, e ne informa le autorità di vigilanza del mercato competenti per il sistema di IA ad alto rischio interessato e, ove applicabile, l'organismo notificato che ha rilasciato un certificato per il sistema di IA ad alto rischio in conformità dell'articolo 44, in particolare in merito alla natura della non conformità e all'eventuale misura correttiva pertinente adottata.
Stesso numero, altri codici
- Art. 20 D.Lgs. 504/1995
- Articolo 20 L. 184/1983: Cessazione dello stato di adottabilità
- Art. 20 Cod. Amb. — Consultazione preventiva
- Art. 20 D.Lgs. 148/2015 — Campo di applicazione
- Art. 20 D.Lgs. 159/2011 — (Sequestro)
- Art. 20 D.Lgs. 209/2005 — Assicurazione malattia in sostituzione di un regime legale di previdenza sociale
Commento
Il contesto: vigilanza post-mercato e reazione alle non conformità
L'art. 20 del Regolamento (UE) 2024/1689 disciplina la fase cruciale della vigilanza post-mercato per i sistemi di IA ad alto rischio: cosa deve fare il fornitore quando scopre — o ha fondati motivi per ritenere — che il proprio sistema non è conforme ai requisiti del regolamento. La norma si articola in due livelli di intensità: una reazione standard (par. 1) per qualsiasi non conformità, e una reazione aggravata (par. 2) quando la non conformità configura un rischio grave ai sensi dell'art. 79, par. 1. Comprendere la distinzione è essenziale per strutturare correttamente i processi interni di qualità e di incident management.
Obbligo di reazione immediata: il par. 1
Il par. 1 impone al fornitore che «ritiene o ha motivo di ritenere» una non conformità di adottare «immediatamente» le misure correttive necessarie. La soglia è bassa: non è richiesta la certezza della non conformità, ma la mera fondatezza di un sospetto ragionevole. Le misure elencate seguono una progressione di severità: (a) adeguamento del sistema per renderlo conforme; (b) ritiro dal mercato; (c) disabilitazione; (d) richiamo dei sistemi già immessi. La scelta della misura deve essere proporzionata alla natura e all'entità della non conformità. L'obbligo di informazione verso la catena distributiva — distributori, deployer, rappresentante autorizzato, importatori — è contestuale all'adozione delle misure: non può essere ritardato per completare le indagini interne. Questo impone ai fornitori di dotarsi di canali di comunicazione rapida verso tutti i soggetti a valle della catena di distribuzione, con procedure prestabilite per la notifica di emergenza.
La soglia del rischio grave: il par. 2 e il raccordo con l'art. 79
Il par. 2 eleva gli obblighi quando la non conformità configura un rischio ai sensi dell'art. 79, par. 1 — vale a dire quando il sistema di IA ad alto rischio presenta un rischio che può pregiudicare la salute, la sicurezza o i diritti fondamentali. In questo caso si aggiungono due adempimenti: (a) indagine immediata sulle cause, da condurre in collaborazione con il deployer che ha effettuato la segnalazione (se applicabile); (b) informazione alle autorità di vigilanza del mercato competenti e all'organismo notificato che ha rilasciato la certificazione, con specifica indicazione della natura della non conformità e delle misure correttive adottate. Il termine «immediatamente» richiama uno standard di urgenza reale: non è ammissibile una dilazione motivata dalla necessità di completare verifiche interne, almeno per quanto riguarda la notifica alle autorità. Il raccordo con l'organismo notificato è particolarmente rilevante per i sistemi certificati: la non conformità può comportare la revisione o la sospensione del certificato emesso ai sensi dell'art. 44.
Implicazioni operative per fornitori e deployer
L'art. 20 impone ai fornitori di sistemi ad alto rischio di strutturare un vero e proprio sistema di vigilanza post-mercato (richiesto anche dall'art. 72), con procedure documentate per: rilevazione tempestiva delle non conformità; valutazione del livello di rischio associato; attivazione delle misure correttive proporzionate; comunicazione immediata alla rete distributiva; notifica alle autorità in caso di rischio grave. Per i deployer, l'art. 20 par. 2 implica l'obbligo indiretto di segnalare al fornitore qualsiasi non conformità rilevata nell'uso del sistema (obbligo che trova il proprio fondamento diretto nell'art. 26 AI Act, relativo agli obblighi dei deployer). La collaborazione fornitore-deployer nell'indagine è istituzionalizzata dalla norma: il fornitore non può condurre l'indagine ignorando le informazioni operative del deployer. Questo richiede accordi contrattuali chiari tra le parti — nelle clausole di fornitura di sistemi di IA ad alto rischio deve essere esplicitamente previsto il canale di segnalazione e le modalità di collaborazione nelle indagini.
Coordinamento con il GDPR e con altri regimi di vigilanza
I sistemi di IA ad alto rischio che trattano dati personali sono soggetti sia all'art. 20 AI Act sia agli obblighi di notifica delle violazioni previsti dagli artt. 33-34 GDPR. Quando una non conformità del sistema di IA ha determinato o può determinare una violazione di dati personali, il fornitore (se titolare del trattamento) e il deployer (tipicamente titolare del trattamento verso gli interessati) devono gestire parallelamente le due procedure di notifica, con tempistiche diverse: il GDPR prevede la notifica all'autorità di controllo «entro 72 ore» dalla scoperta della violazione. La duplicità degli obblighi richiede un coordinamento interno tra il responsabile della conformità AI Act e il DPO.
Casi pratici
Caso 1:
Caso 2:
Caso 3:
Domande frequenti
Cosa si intende per 'motivo di ritenere' una non conformità ai sensi dell'art. 20?
La soglia è inferiore alla certezza: è sufficiente che il fornitore disponga di informazioni — segnalazioni da deployer, dati di monitoraggio, risultati di test — che, valutate da un professionista diligente, rendano ragionevolmente fondato il sospetto di una non conformità. Non è necessario attendere la conferma tecnica definitiva per adottare le prime misure e avviare le comunicazioni.
Il deployer ha obblighi analoghi all'art. 20 in caso di non conformità rilevata?
Il deployer non ha un obbligo autonomo ai sensi dell'art. 20, che è rivolto al fornitore. Tuttavia, l'art. 26 AI Act impone al deployer di segnalare immediatamente al fornitore qualsiasi incidente o malfunzionamento che possa costituire una non conformità. La collaborazione nell'indagine prevista dall'art. 20, par. 2, presuppone che il deployer abbia già segnalato il problema.
Cosa succede se l'organismo notificato viene informato di una non conformità grave?
L'organismo notificato che ha rilasciato un certificato ai sensi dell'art. 44 può, alla luce della non conformità comunicata, avviare una revisione del certificato, sospenderlo o revocarlo. Il fornitore deve cooperare con l'organismo notificato nell'indagine. La revoca del certificato comporta l'obbligo di ritirare il sistema dal mercato fino alla nuova certificazione.
L'art. 20 si applica anche ai sistemi di IA ad alto rischio già in uso prima dell'entrata in applicazione del regolamento?
Per i sistemi immessi sul mercato prima del 2 agosto 2026 (data di applicazione degli obblighi per l'alto rischio), le disposizioni dell'AI Act si applicano secondo i termini transitori dell'art. 113. Per i sistemi già in uso alla data di applicazione, il fornitore deve comunque dotarsi di un sistema di vigilanza post-mercato conforme e applicare le procedure dell'art. 20 a partire da quella data.
Le notifiche alle autorità di vigilanza del mercato ai sensi dell'art. 20 seguono un formato predefinito?
L'art. 20 non specifica un formato standard, ma indica che la notifica deve includere almeno la natura della non conformità e le misure correttive adottate. Le autorità di vigilanza del mercato nazionali potranno fornire modelli e procedure specifiche. Il raccordo con la normativa di vigilanza del mercato generale (Reg. 2019/1020) orienta le modalità operative.
Vedi anche