← Torna a Intelligenza artificiale — AI Act (Regolamento UE 2024/1689)
Ultimo aggiornamento: 1 Giugno 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
  • I fornitori di sistemi di IA ad alto rischio devono fornire alle autorità competenti, su richiesta motivata, tutta la documentazione necessaria a dimostrare la conformità ai requisiti della sezione 2, in una lingua ufficiale dell'UE indicata dallo Stato membro.
  • Su richiesta motivata, i fornitori devono concedere l'accesso ai log automatici del sistema (art. 12, par. 1), nella misura in cui questi sono sotto il loro controllo.
  • Le informazioni acquisite dall'autorità competente sono trattate nel rispetto degli obblighi di riservatezza di cui all'art. 78.
  • L'obbligo di cooperazione è distinto dall'obbligo di notifica degli incidenti gravi (art. 73): qui si tratta di rispondere a richieste specifiche delle autorità, non di segnalazioni spontanee.

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Art. 21 Reg. (UE) 2024/1689 — Cooperazione con le autorità competenti

Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (regolamento sull’intelligenza artificiale)

1. I fornitori di sistemi di IA ad alto rischio, su richiesta motivata di un'autoritàcompetente, forniscono a tale autorità tutte le informazioni e la documentazione necessarie per dimostrare la conformità del sistema di IA ad alto rischio ai requisiti di cui alla sezione 2, in una lingua che può essere compresa facilmente dall'autorità in una delle lingue ufficiali delle istituzioni dell'Unione indicata dallo Stato membro interessato.

2. Su richiesta motivata di un'autorità competente, i fornitori concedono inoltre all'autorità competente richiedente, a seconda dei casi, l'accesso ai log generati automaticamente del sistema di IA ad alto rischio di cui all'articolo 12, paragrafo 1, nella misura in cui tali log sono sotto il loro controllo.

3. Qualsiasi informazione ottenuta da un'autorità competente a norma del presente articolo è trattata in conformità degli obblighi di riservatezza di cui all'articolo 78.

Stesso numero, altri codici

Commento

Il contesto: la vigilanza sui sistemi di IA ad alto rischio

L'articolo 21 si inserisce nel sistema di supervisione ex post previsto dall'AI Act per i sistemi di IA ad alto rischio. Una volta che il sistema è stato immesso sul mercato o messo in servizio, le autorità nazionali competenti — e, in determinati contesti, l'Ufficio per l'IA a livello europeo — devono poter verificare nel tempo il rispetto dei requisiti. L'art. 21 definisce l'obbligo specifico di cooperazione documentale e informativa che grava sui fornitori in questa fase di vigilanza continua.

Va sottolineato che l'obbligo di cooperazione ricade sul fornitore, cioè su chi ha sviluppato il sistema e lo ha immesso sul mercato. Il deployer — l'impresa che usa il sistema sotto la propria autorità — ha obblighi di cooperazione distinti, disciplinati dall'art. 26. Questa distinzione è rilevante soprattutto nelle catene di fornitura complesse, dove lo stesso sistema può transitare attraverso più operatori prima di arrivare all'utilizzatore finale.

La documentazione da fornire su richiesta

Il par. 1 impone al fornitore di trasmettere alle autorità competenti, su richiesta motivata, «tutte le informazioni e la documentazione necessarie per dimostrare la conformità del sistema di IA ad alto rischio ai requisiti di cui alla sezione 2». La sezione 2 del capo III — artt. 9-15 — detta i requisiti tecnici per i sistemi ad alto rischio: sistema di gestione del rischio, governance dei dati, documentazione tecnica, registrazione automatica, trasparenza verso i deployer, sorveglianza umana, robustezza e sicurezza informatica.

Il termine «tutte le informazioni e la documentazione» ha una portata ampia: include la documentazione tecnica redatta ai sensi dell'art. 11 e dell'allegato IV, le politiche di gestione del rischio, i dati di test e validazione, le istruzioni d'uso e qualsiasi altro documento rilevante per valutare la conformità. La richiesta deve essere motivata dall'autorità competente: non si tratta di un'ispezione generalizzata ma di un'attività di verifica indirizzata a elementi specifici.

Un aspetto operativo rilevante è la lingua: la documentazione deve essere trasmessa in una lingua comprensibile all'autorità richiedente, ossia in una delle lingue ufficiali delle istituzioni dell'Unione indicata dallo Stato membro interessato. Per le imprese italiane che esportano sistemi in altri Stati membri, ciò può comportare l'obbligo di predisporre traduzioni della documentazione tecnica in lingua inglese, francese o tedesca. È opportuno pianificare questa esigenza già in fase di sviluppo.

L'accesso ai log automatici

Il par. 2 prevede un obbligo ulteriore: su richiesta motivata, il fornitore deve concedere alle autorità competenti l'accesso ai log generati automaticamente dal sistema di IA ad alto rischio di cui all'art. 12, par. 1, nella misura in cui tali log sono sotto il suo controllo.

L'art. 12 impone ai fornitori di progettare i sistemi ad alto rischio in modo da registrare automaticamente gli eventi rilevanti per il monitoraggio del funzionamento («logging»). I log consentono alle autorità di ricostruire il comportamento del sistema nel tempo, identificare anomalie e valutare se si siano verificati incidenti o comportamenti non conformi. La locuzione «nella misura in cui tali log sono sotto il loro controllo» è importante: il fornitore non risponde di log che sono nella disponibilità esclusiva del deployer, ma deve collaborare per l'accesso a quelli che restano nella propria sfera di controllo — ad esempio i log di addestramento, i log di sistema centralizzati o quelli archiviati sui server del fornitore.

Questa norma si raccorda con l'obbligo del deployer di conservare i log per almeno sei mesi ai sensi dell'art. 26, par. 5. In caso di incidente, le autorità possono richiedere i log sia al fornitore sia al deployer, ricostruendo così la catena completa degli eventi.

Riservatezza delle informazioni

Il par. 3 richiama espressamente l'art. 78, che disciplina gli obblighi di riservatezza a carico delle autorità competenti. Le informazioni acquisite nell'esercizio dei poteri di vigilanza — incluse quelle trasmesse ai sensi dell'art. 21 — devono essere trattate in modo riservato: le autorità non possono divulgarle a terzi, se non nei casi e nei modi previsti dal regolamento. Questo presidio tutela i segreti commerciali dei fornitori e le informazioni tecniche sensibili, bilanciando le esigenze di trasparenza pubblica con quelle di protezione dell'innovazione.

Per le imprese, questa tutela è rilevante: la trasmissione di documentazione tecnica dettagliata alle autorità non implica automaticamente la sua pubblicazione o accessibilità a concorrenti. È tuttavia prudente verificare, caso per caso, se le informazioni trasmesse possano essere oggetto di accesso agli atti da parte di terzi nell'ambito delle normative nazionali sulla trasparenza amministrativa.

Implicazioni pratiche per i fornitori

Per essere pronti a rispondere alle richieste delle autorità ai sensi dell'art. 21, i fornitori di sistemi di IA ad alto rischio dovrebbero adottare alcune misure organizzative preventive: (1) predisporre e aggiornare la documentazione tecnica in forma strutturata e facilmente accessibile; (2) designare un referente interno responsabile della gestione delle richieste delle autorità competenti; (3) pianificare la conservazione dei log per la durata prevista dalla normativa; (4) valutare la disponibilità di traduzioni della documentazione nelle lingue degli Stati membri in cui il sistema è commercializzato. La mancata risposta a una richiesta motivata dell'autorità può configurare un'infrazione al regolamento, con le conseguenze sanzionatorie previste dall'art. 99.

Casi pratici

Caso 1:

Caso 2:

Caso 3:

Domande frequenti

Chi è tenuto a rispondere alle richieste delle autorità ai sensi dell'art. 21: il fornitore o il deployer?

L'art. 21 si rivolge specificamente al fornitore, cioè a chi ha sviluppato il sistema e lo ha immesso sul mercato. Il deployer ha obblighi di cooperazione distinti, previsti dall'art. 26. In pratica, le autorità possono richiedere documentazione e log a entrambi gli operatori, ciascuno per la parte di propria competenza.

In quale lingua devo trasmettere la documentazione all'autorità competente?

In una delle lingue ufficiali delle istituzioni dell'Unione (italiano, inglese, francese, tedesco, spagnolo, ecc.) indicata dallo Stato membro interessato. Se commercializzate il sistema in più Stati membri, è prudente predisporre la documentazione tecnica in inglese come lingua comune, verificando i requisiti specifici di ogni Stato.

I log che conservo come deployer devono essere trasmessi all'autorità su richiesta?

Sì, ma in base all'art. 26, par. 5 (obblighi del deployer), non all'art. 21 che riguarda il fornitore. Come deployer, dovete conservare i log per almeno sei mesi e trasmetterli all'autorità su richiesta. Se i log sono gestiti in parte dal fornitore (es. log centralizzati su server del fornitore), l'autorità può rivolgersi direttamente al fornitore ai sensi dell'art. 21.

Le informazioni trasmesse all'autorità rimangono riservate?

Sì, l'art. 21, par. 3 richiama l'art. 78, che impone alle autorità competenti obblighi di riservatezza sulle informazioni acquisite nell'esercizio dei poteri di vigilanza. Le informazioni non possono essere divulgate a terzi salvo nei casi previsti dal regolamento. Tuttavia, verificate la normativa nazionale sulla trasparenza amministrativa, che potrebbe in alcuni casi consentire l'accesso agli atti da parte di terzi.

Cosa rischio se non rispondo a una richiesta motivata dell'autorità ai sensi dell'art. 21?

La mancata cooperazione con le autorità competenti configura una violazione del regolamento. Le sanzioni per il mancato rispetto degli obblighi applicabili agli operatori sono previste dall'art. 99: per le infrazioni diverse da quelle previste ai parr. 3 e 4, la sanzione può arrivare fino a 15 milioni di euro o al 3% del fatturato mondiale annuo del fornitore, se superiore. Rispondete sempre alle richieste motivate nei termini indicati.

Vedi anche

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.