← Torna a Intelligenza artificiale — AI Act (Regolamento UE 2024/1689)
Ultimo aggiornamento: 1 Giugno 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
  • L'art. 28 obbliga ciascuno Stato membro a designare almeno un'autorità di notifica responsabile della valutazione, designazione e monitoraggio degli organismi di valutazione della conformità.
  • La valutazione e il monitoraggio possono essere delegati a un organismo nazionale di accreditamento ai sensi del Regolamento (CE) n. 765/2008.
  • Le autorità di notifica devono essere strutturate in modo da garantire l'assenza di conflitti di interesse con gli organismi che valutano, e l'obiettività delle loro decisioni.
  • Le decisioni di notifica devono essere prese da personale diverso da chi ha effettuato la valutazione (principio di separazione funzionale).
  • È vietato alle autorità di notifica svolgere attività commerciali o di consulenza sovrapponibili a quelle degli organismi valutati.
  • Le autorità di notifica devono disporre di personale competente anche in materia di diritto, IT, IA e diritti fondamentali.

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Art. 28 Reg. (UE) 2024/1689 — Autorità di notifica

Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (regolamento sull’intelligenza artificiale)

1. Ciascuno Stato membro designa o istituisce almeno un'autorità di notifica responsabile della predisposizione e dell'esecuzione delle procedure necessarie per la valutazione, la designazione e la notifica degli organismi di valutazione della conformità e per il loro monitoraggio. Tali procedure sono sviluppate nell'ambito della collaborazione tra le autorità di notifica di tutti gli Stati membri.

2. Gli Stati membri possono decidere che la valutazione e il monitoraggio di cui al paragrafo 1 siano eseguiti da un organismo nazionale di accreditamento ai sensi e in conformità del regolamento (CE) n, 765/2008.

3. Le autorità di notifica sono istituite, organizzate e gestite in modo tale che non sorgano conflitti di interesse con gli organismi di valutazione della conformità e che siano salvaguardate l'obiettività e l'imparzialità delle loro attività.

4. Le autorità di notifica sono organizzate in modo che le decisioni relative alla notifica di un organismo di valutazione della conformità siano prese da persone competenti, diverse da quelle che hanno effettuato la valutazione.

5. Le autorità di notifica non offrono né svolgono alcuna delle attività eseguite dagli organismi di valutazione della conformità, né servizi di consulenza su base commerciale o concorrenziale.

6. Le autorità di notifica salvaguardano la riservatezza delle informazioni che ottengono conformemente all'articolo 78.

7. Le autorità di notifica dispongono di un numero adeguato di dipendenti competenti per l'adeguata esecuzione dei relativi compiti. I dipendenti competenti dispongono, se del caso, delle competenze necessarie per svolgere le proprie funzioni in settori quali le tecnologie dell'informazione, l'IA e il diritto, compreso il controllo dei diritti fondamentali.

Stesso numero, altri codici

Commento

Il ruolo delle autorità di notifica nel sistema di conformità dell'AI Act

Il Regolamento (UE) 2024/1689 non si affida esclusivamente all'autocontrollo dei fornitori per verificare che i sistemi di IA ad alto rischio rispettino i requisiti della sezione 2 del capo III. Per i sistemi rientranti nell'allegato III, punto 1 (identificazione biometrica) e per i casi in cui le norme armonizzate non siano applicate o siano applicate parzialmente, il regolamento prevede il coinvolgimento obbligatorio di organismi di valutazione della conformità terzi e indipendenti, comunemente noti come «organismi notificati». L'art. 28 disciplina il meccanismo pubblico che presiede alla selezione e al controllo di questi organismi: le autorità di notifica.

La logica del sistema è quella consolidata del diritto europeo dei prodotti: lo Stato membro non certifica direttamente i prodotti (o i sistemi di IA), ma certifica i certificatori, assicurandosi che siano qualificati, indipendenti e affidabili. Le autorità di notifica sono dunque guardiani di secondo livello: non entrano nel merito tecnico di ogni singolo sistema di IA, ma garantiscono che gli organismi abilitati a farlo abbiano le competenze e le garanzie strutturali necessarie.

Il processo di designazione e notifica

La procedura che porta un organismo di valutazione della conformità a diventare «notificato» si articola in tre fasi: valutazione da parte dell'autorità di notifica (o dell'organismo di accreditamento delegato), designazione formale da parte dello Stato membro, e notifica alla Commissione e agli altri Stati membri tramite il sistema NANDO. L'art. 28 disciplina la prima componente istituzionale di questo processo: chi è competente a valutare e come deve essere organizzato.

Il paragrafo 2 consente agli Stati membri di affidare la valutazione tecnica al proprio organismo nazionale di accreditamento ai sensi del Regolamento (CE) n. 765/2008, che in Italia è Accredia. Questa opzione è coerente con il modello europeo di accreditamento: Accredia possiede già l'infrastruttura tecnica, le procedure e le competenze per valutare organismi di certificazione in numerosi settori regolamentati. L'estensione al settore IA richiede tuttavia che l'organismo di accreditamento acquisisca competenze specifiche, in particolare sulle metodologie di addestramento dei modelli, sui test di robustezza e sulla valutazione dell'impatto sui diritti fondamentali.

I requisiti strutturali: imparzialità e assenza di conflitti di interesse

I paragrafi 3, 4 e 5 delineano i requisiti strutturali che le autorità di notifica devono rispettare per garantire l'affidabilità del sistema. Il principio cardine è l'imparzialità: l'autorità di notifica deve essere organizzata in modo tale da non avere interessi — diretti o indiretti — nel settore che monitora. La norma individua due modalità concrete di attuazione:

In primo luogo, la separazione delle funzioni (par. 4): le decisioni di notifica devono essere prese da persone diverse da quelle che hanno condotto la valutazione. Questo principio — mutuato dalla tradizione dei sistemi di accreditamento e certificazione — impedisce che chi ha istruito il fascicolo abbia anche il potere di deciderne l'esito, riducendo il rischio di derive valutative o conflitti psicologici.

In secondo luogo, il divieto di attività commerciali concorrenti (par. 5): l'autorità di notifica non può offrire né svolgere le stesse attività degli organismi di valutazione della conformità che è chiamata a valutare, né servizi di consulenza a essi sovrapponibili su base commerciale o concorrenziale. Un ente pubblico che contemporaneamente valuta e certifica sistemi di IA e vende servizi di consulenza per la certificazione degli stessi non può essere autorità di notifica: il conflitto di interessi sarebbe strutturale.

Riservatezza e coordinamento transfrontaliero

Il paragrafo 6 richiama l'obbligo di riservatezza sancito dall'art. 78 del regolamento. Le autorità di notifica, nell'esercizio delle loro funzioni, vengono a conoscenza di informazioni tecniche e commerciali potenzialmente sensibili — metodologie di addestramento, dati di testing, architetture proprietarie dei sistemi. La tutela di queste informazioni è essenziale per evitare distorsioni competitive e per mantenere la fiducia degli operatori nel sistema di certificazione.

Il paragrafo 1, nella sua parte finale, prevede che le procedure di valutazione e notifica siano sviluppate «nell'ambito della collaborazione tra le autorità di notifica di tutti gli Stati membri». Questo richiamo alla cooperazione transfrontaliera è cruciale: in un mercato unico, un organismo notificato da uno Stato membro può certificare sistemi di IA per l'intera Unione. La coerenza delle procedure di valutazione tra le diverse autorità nazionali è dunque un presupposto del livellamento del campo competitivo e della fiducia reciproca nel sistema.

Requisiti di competenza del personale

Il paragrafo 7 introduce un requisito che spesso passa in secondo piano nelle analisi giuridiche ma è di primaria importanza pratica: le autorità di notifica devono disporre di personale adeguato per competenze e numero. Le competenze richieste spaziano dall'informatica e dall'intelligenza artificiale al diritto, con menzione specifica del «controllo dei diritti fondamentali». Quest'ultimo requisito è significativo: non è sufficiente avere ingegneri del machine learning che valutino la robustezza tecnica di un modello; è necessario che chi valuta un organismo di certificazione di sistemi di IA sappia anche ragionare in termini di proporzionalità, non discriminazione, tutela della privacy e rispetto dei diritti fondamentali della Carta.

Nella fase di costituzione delle autorità di notifica nei diversi Stati membri, questo requisito di competenza multidisciplinare è probabilmente la sfida più difficile: il mercato del lavoro per figure che combinino competenze legali, tecniche e di tutela dei diritti fondamentali nel settore dell'IA è ancora scarso, e la costruzione di queste capacità richiede tempo e investimenti significativi.

Profilo operativo per le imprese: perché l'art. 28 è rilevante

Per un fornitore di sistemi di IA ad alto rischio, l'art. 28 non genera obblighi diretti, ma ha ricadute operative importanti. In primo luogo, la qualità dell'autorità di notifica influisce sulla qualità degli organismi notificati: autorità ben strutturate, con personale competente e procedure rigorose, tendono a designare organismi di valutazione più affidabili, il che riduce il rischio di false conformità e di contestazioni successive. In secondo luogo, in caso di controversie sulla notifica di un organismo o sulla sua idoneità, il fornitore che si è affidato a quell'organismo potrebbe dover interagire con l'autorità di notifica. Infine, per i deployer che operano in più Stati membri, è rilevante sapere che i sistemi notificati da un'autorità di notifica di uno Stato membro producono effetti in tutta l'UE, ma la qualità della supervisione può variare: nelle fasi iniziali di implementazione, è prudente verificare la reputazione e l'esperienza dell'organismo notificato scelto dal fornitore.

Casi pratici

Caso 1:

Caso 2:

Caso 3:

Domande frequenti

In Italia quale organismo svolge le funzioni di autorità di notifica per l'AI Act?

Il Regolamento (UE) 2024/1689 lascia a ciascuno Stato membro la designazione. L'Italia, come previsto dall'art. 28, par. 2, può delegare le funzioni valutative ad Accredia, già organismo nazionale di accreditamento ai sensi del Regolamento (CE) n. 765/2008. La designazione formale deve essere comunicata alla Commissione tramite il sistema NANDO.

Un'autorità di notifica può anche valutare direttamente i sistemi di IA per la conformità?

No. L'art. 28, par. 5 vieta alle autorità di notifica di svolgere le stesse attività degli organismi di valutazione della conformità o di offrire servizi di consulenza concorrenziali. La funzione dell'autorità di notifica è esclusivamente quella di valutare, designare e monitorare gli organismi notificati, non di sostituirli.

Un organismo notificato designato da uno Stato membro può certificare sistemi di IA per altri Paesi UE?

Sì. Gli organismi notificati operano nell'intero mercato unico: una volta notificati, possono rilasciare certificazioni valide in tutti gli Stati membri. Questo è uno dei principi fondanti del sistema di mutuo riconoscimento del diritto europeo dei prodotti, ora esteso ai sistemi di IA.

Quali competenze deve avere il personale di un'autorità di notifica?

L'art. 28, par. 7 richiede competenze in tecnologie dell'informazione, intelligenza artificiale e diritto, con specifica menzione del controllo dei diritti fondamentali. Si tratta di un profilo multidisciplinare che combina competenze tecniche e giuridiche: non è sufficiente avere solo ingegneri o solo giuristi.

Cosa succede se un'autorità di notifica designa un organismo poi rivelatosi non conforme?

L'autorità di notifica è responsabile del monitoraggio continuo degli organismi che ha designato (art. 28, par. 1). Se un organismo non soddisfa più i requisiti, l'autorità di notifica può limitare, sospendere o revocare la notifica. Le certificazioni già rilasciate dall'organismo potrebbero dover essere rivalutate, con potenziale impatto sui fornitori che vi hanno fatto affidamento.

Vedi anche

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.