← Torna a Intelligenza artificiale — AI Act (Regolamento UE 2024/1689)
Ultimo aggiornamento: 1 Giugno 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
  • L'art. 43 stabilisce le procedure di valutazione della conformità per i sistemi di IA ad alto rischio: controllo interno (allegato VI) o valutazione con organismo notificato (allegato VII), a seconda del tipo di sistema.
  • Per i sistemi biometrici (allegato III, punto 1), il fornitore può scegliere il controllo interno solo se ha applicato le norme armonizzate; altrimenti è obbligatorio il coinvolgimento di un organismo notificato.
  • Per tutti gli altri sistemi ad alto rischio (allegato III, punti 2-8), è sufficiente il controllo interno senza organismo notificato.
  • Una modifica sostanziale del sistema già certificato impone una nuova procedura di valutazione della conformità; le modifiche predeterminate documentate nella documentazione tecnica non lo richiedono.
  • Per i sistemi disciplinati dalla normativa di armonizzazione UE (allegato I, sezione A), si applica la procedura prevista da quella normativa, integrata dai requisiti AI Act.
  • La Commissione può modificare con atti delegati le procedure applicabili, in particolare estendendo l'obbligo dell'organismo notificato a categorie oggi soggette al solo controllo interno.

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Art. 43 Reg. (UE) 2024/1689 — Valutazione della conformità

Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (regolamento sull’intelligenza artificiale)

1. Per i sistemi di IA ad alto rischio elencati nell'allegato III, punto 1, se ha applicato le norme armonizzate di cui all'articolo 40 o, ove applicabile, le specifiche comuni di cui all'articolo 41, nel dimostrare la conformità di un sistema di IA ad alto rischio ai requisiti di cui alla sezione 2, il fornitore sceglie una delle seguenti procedure di valutazione della conformità basate sugli elementi qui di seguito:

a) il controllo interno di cui all'allegato VI; oppure

b) la valutazione del sistema di gestione della qualità e la valutazione della documentazione tecnica, con il coinvolgimento di un organismo notificato, di cui all'allegato VII.

Nel dimostrare la conformità di un sistema di IA ad alto rischio ai requisiti di cui alla sezione 2, il fornitore segue la procedura di valutazione della conformità di cui all'allegato VII se:

a) non esistono le norme armonizzate di cui all'articolo 40 e non sono disponibili le specifiche comuni di cui all'articolo 41;

b) il fornitore non ha applicato la norma armonizzata o ne ha applicato solo una parte;

c) esistono le specifiche comuni di cui alla lettera a), ma il fornitore non le ha applicate;

d) una o più norme armonizzate di cui alla lettera a) sono state pubblicate con una limitazione e soltanto sulla parte della norma che è oggetto di limitazione.

Ai fini della procedura di valutazione della conformità di cui all'allegato VII, il fornitore può scegliere uno qualsiasi degli organismi notificati. Tuttavia, se il sistema di IA ad alto rischio è destinato ad essere messo in servizio dalle autorità competenti in materia di contrasto, di immigrazione o di asilo, nonché da istituzioni, organi o organismi dell'Unione, l'autorità di vigilanza del mercato di cui all'articolo 74, paragrafo 8 o 9, a seconda dei casi, agisce in qualità di organismo notificato.

2. Per i sistemi di IA ad alto rischio di cui all'allegato III, punti da 2 a 8, i fornitori seguono la procedura di valutazione della conformità basata sul controllo interno di cui all'allegato VI, che non prevede il coinvolgimento di un organismo notificato.

3. Per i sistemi di IA ad alto rischio disciplinati dalla normativa di armonizzazione dell'Unione elencata nell'allegato I, sezione A, il fornitore segue la pertinente procedura di valutazione della conformità prevista da tali atti giuridici. I requisiti di cui alla sezione 2 del presente capo si applicano a tali sistemi di IA ad alto rischio e fanno parte di tale valutazione. Si applicano anche i punti 4.3, 4.4, 4.5 e il punto 4.6, quinto comma, dell'allegato VII. Ai fini di tale valutazione, gli organismi notificati che sono stati notificati a norma di tali atti giuridici hanno la facoltà di controllare la conformità dei sistemi di IA ad alto rischio ai requisiti di cui alla sezione 2, a condizione che la conformità di tali organismi notificati ai requisiti di cui all'articolo 31, paragrafi 4, 10 e 11, sia stata valutata nel contesto della procedura di notifica a norma di tali atti giuridici. Qualora un atto giuridico elencato nell'allegato I, sezione A, consenta al fabbricante del prodotto di sottrarsi a una valutazione della conformità da parte di terzi, purché abbia applicato tutte le norme armonizzate che contemplano tutti i requisiti pertinenti, tale fabbricante può avvalersi di tale facoltà solo se ha applicato anche le norme armonizzate o, ove applicabili, le specifiche comuni di cui all'articolo 41, che contemplano tutti i requisiti di cui alla sezione 2 del presente capo.

4. I sistemi di IA ad alto rischio che sono già stati oggetto di una procedura di valutazione della conformità sono sottoposti a una nuova procedura di valutazione della conformità nel caso di una modifica sostanziale, indipendentemente dal fatto che il sistema modificato sia destinato a essere ulteriormente distribuito o continui a essere usato dal deployer attuale. Per i sistemi di IA ad alto rischio che proseguono il loro apprendimento dopo essere stati immessi sul mercato o messi in servizio, le modifiche apportate al sistema di IA ad alto rischio e alle sue prestazioni che sono state predeterminate dal fornitore al momento della valutazione iniziale della conformità e fanno parte delle informazioni contenute nella documentazione tecnica di cui all'allegato IV, punto 2, lettera f), non costituiscono una modifica sostanziale.

5. Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 97 al fine di modificare gli allegati VI e VII aggiornandoli alla luce del progresso tecnico.

6. Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 97 che modificano i paragrafi 1 e 2 del presente articolo per assoggettare i sistemi di IA ad alto rischio di cui all'allegato III, punti da 2 a 8, alla procedura di valutazione della conformità di cui all'allegato VII o a parti di essa. La Commissione adotta tali atti delegati tenendo conto dell'efficacia della procedura di valutazione della conformità basata sul controllo interno di cui all'allegato VI nel prevenire o ridurre al minimo i rischi per la salute, la sicurezza e la protezione dei diritti fondamentali posti da tali sistemi, nonché della disponibilità di capacità e risorse adeguate tra gli organismi notificati.

Stesso numero, altri codici

Commento

Il sistema delle valutazioni della conformità nell'AI Act

La valutazione della conformità è il cuore del processo che trasforma i requisiti astratti del Regolamento (UE) 2024/1689 in un giudizio concreto sull'ammissibilità di un sistema di IA ad alto rischio al mercato europeo. L'art. 43 non inventa un sistema nuovo, ma adatta al settore dell'IA le procedure consolidate del diritto europeo dei prodotti, distinguendo tra auto-certificazione (controllo interno) e certificazione di terza parte (con organismo notificato). La scelta del legislatore è graduata in base al livello di sensibilità del sistema: più il sistema incide sui diritti fondamentali, più è difficile accedere al controllo interno esclusivo.

Gli obblighi dell'art. 43 si applicano ai fornitori, ossia a chi sviluppa il sistema e lo immette sul mercato o lo mette in servizio. La valutazione della conformità deve essere completata prima dell'immissione sul mercato o della messa in servizio: non è un adempimento successivo, ma una precondizione. La decorrenza degli obblighi per la gran parte dei sistemi ad alto rischio è il 2 agosto 2026 (art. 113), con anticipo al 2 agosto 2025 per i sistemi GPAI disciplinati dal capo V.

Tre regimi di valutazione in base alla categoria del sistema

L'art. 43 articola il regime di valutazione in base alla categoria di appartenenza del sistema.

Primo regime — sistemi biometrici e infrastrutture critiche (allegato III, punto 1): per questi sistemi, il fornitore ha una scelta condizionata. Se ha applicato integralmente le norme armonizzate che coprono tutti i requisiti pertinenti della sezione 2 del capo III (accuratezza, robustezza, cibersicurezza, gestione dei dati, documentazione tecnica, sorveglianza umana, trasparenza), può procedere con il controllo interno di cui all'allegato VI. In tutti gli altri casi — mancanza di norme armonizzate, applicazione parziale, esistenza di specifiche comuni non applicate, norme pubblicate con limitazione — è obbligatorio il coinvolgimento di un organismo notificato per la valutazione del sistema di gestione della qualità e della documentazione tecnica (allegato VII). La scelta dell'organismo notificato è libera, con un'importante eccezione: se il sistema è destinato ad autorità di polizia, immigrazione o asilo, o a istituzioni UE, l'organismo notificato è individuato nell'autorità di vigilanza del mercato competente ai sensi dell'art. 74.

Secondo regime — tutti gli altri sistemi ad alto rischio (allegato III, punti 2-8): per questi sistemi — che comprendono infrastrutture critiche diverse dalla biometria, istruzione e formazione professionale, occupazione, accesso a servizi privati essenziali, migrazione e asilo, giustizia — il fornitore segue esclusivamente il controllo interno di cui all'allegato VI. Non è richiesto il coinvolgimento di un organismo notificato. Questa scelta del legislatore è stata oggetto di dibattito: sistemi che decidono sull'accesso a prestazioni sociali, sulla valutazione del personale o sull'elaborazione di domande di asilo sono potenzialmente molto impattanti sui diritti fondamentali. Il regolamento lascia tuttavia questo margine di flessibilità, riservandosi di estendere il regime con organismo notificato tramite atti delegati della Commissione (par. 6).

Terzo regime — sistemi disciplinati dalla normativa di armonizzazione (allegato I, sezione A): quando un sistema di IA è incorporato in un prodotto già soggetto a normativa di armonizzazione UE (ad esempio un dispositivo medico, un macchinario, un'apparecchiatura radio), si applica la procedura di valutazione della conformità prevista da quella normativa, integrata dai requisiti AI Act della sezione 2. Gli organismi notificati già abilitati per la normativa di settore sono competenti anche per la componente AI Act, a condizione che abbiano superato la verifica dei requisiti aggiuntivi di cui all'art. 31, paragrafi 4, 10 e 11.

Il controllo interno (allegato VI)

Il controllo interno è una procedura di auto-certificazione: il fornitore è responsabile di verificare che il proprio sistema soddisfi tutti i requisiti pertinenti della sezione 2, senza l'intervento di un soggetto terzo. L'allegato VI descrive le fasi: il fornitore deve disporre di un sistema di gestione della qualità conforme all'art. 17, completare la documentazione tecnica di cui all'allegato IV, sottoporsi internamente alle prove necessarie, redigere la dichiarazione UE di conformità ai sensi dell'art. 47 e apporre il marchio CE ai sensi dell'art. 48. Il controllo interno non è sinonimo di procedura leggera: il fornitore deve essere in grado di dimostrare alle autorità di vigilanza del mercato, su richiesta, che ha seguito la procedura correttamente e che il sistema è conforme.

La valutazione con organismo notificato (allegato VII)

Quando è richiesta la valutazione con organismo notificato, la procedura di cui all'allegato VII prevede due elementi distinti: la valutazione del sistema di gestione della qualità e la valutazione della documentazione tecnica. L'organismo notificato esamina se il sistema di gestione della qualità del fornitore è conforme all'art. 17 e ai requisiti dell'allegato VII, e se la documentazione tecnica dimostra adeguatamente la conformità del sistema ai requisiti della sezione 2. L'esito positivo porta al rilascio di un certificato di conformità con durata massima di cinque anni, rinnovabile. Il certificato è registrato nella banca dati UE degli organismi notificati (NANDO) ed è valido in tutti gli Stati membri.

Modifiche sostanziali e nuova valutazione

Il paragrafo 4 introduce un principio cruciale per la gestione del ciclo di vita dei sistemi di IA: una modifica sostanziale — che altera in modo significativo le prestazioni, la finalità prevista o i parametri del sistema rispetto a quanto valutato nella procedura originale — impone una nuova valutazione della conformità. Questo principio risponde a una caratteristica peculiare dei sistemi di IA: la loro capacità di cambiare nel tempo, ad esempio attraverso il ri-addestramento del modello su nuovi dati o l'estensione del perimetro di utilizzo. Il regolamento tuttavia introduce un'eccezione importante: le modifiche predeterminate dal fornitore al momento della valutazione iniziale e documentate nella documentazione tecnica (allegato IV, punto 2, lett. f) non costituiscono modifica sostanziale. Questa previsione consente ai fornitori di sistemi con apprendimento continuo di pianificare in anticipo il range di evoluzione consentita senza dover ri-certificare ogni aggiornamento.

Rischi operativi e checklist per i fornitori

Per un fornitore, l'errore più costoso in materia di valutazione della conformità è sottovalutare la categoria di appartenenza del sistema. Un'impresa che ritiene erroneamente di poter procedere con il solo controllo interno su un sistema biometrico — magari perché non ha verificato se le norme armonizzate applicabili siano effettivamente disponibili e integralmente applicate — si espone a una conformità invalida, che le autorità di vigilanza possono contestare. Le conseguenze includono il ritiro dal mercato del sistema, le sanzioni dell'art. 99 e i danni reputazionali connessi. È quindi essenziale che il fornitore svolga una mappatura preliminare che risponda a tre domande: (1) il sistema rientra nell'allegato III, punto 1, o nei punti 2-8? (2) se rientra nel punto 1, esistono norme armonizzate applicabili e sono state integralmente adottate? (3) esistono normative di armonizzazione di settore (allegato I, sezione A) che già disciplinano il prodotto in cui il sistema è incorporato? In base alle risposte, la procedura da seguire è determinata in modo preciso.

Casi pratici

Caso 1:

Caso 2:

Caso 3:

Domande frequenti

Tutti i sistemi di IA ad alto rischio devono essere valutati da un organismo notificato?

No. Solo i sistemi rientranti nell'allegato III, punto 1 (biometria e infrastrutture critiche di primo tipo) richiedono l'organismo notificato quando non sono disponibili o non sono integralmente applicate le norme armonizzate. I sistemi degli allegati III, punti 2-8 possono essere auto-certificati tramite controllo interno (allegato VI).

Cosa si intende per 'modifica sostanziale' che impone una nuova valutazione della conformità?

Il regolamento non fornisce una definizione analitica, ma le linee guida e la logica dell'art. 43, par. 4 indicano che è sostanziale qualsiasi modifica che alteri significativamente le prestazioni dichiarate, la finalità prevista, l'architettura del modello o il perimetro di utilizzo rispetto a quanto valutato originariamente. Le modifiche predeterminate e documentate nella documentazione tecnica originale non sono sostanziali.

Un fornitore può scegliere liberamente l'organismo notificato per la valutazione?

In generale sì, purché l'organismo sia notificato per lo specifico ambito di applicazione. Eccezione: quando il sistema è destinato ad autorità di contrasto, immigrazione o asilo, o a istituzioni UE, l'organismo notificato è identificato nell'autorità di vigilanza del mercato competente ai sensi dell'art. 74, par. 8 o 9.

La valutazione della conformità ha una scadenza?

Il certificato rilasciato dall'organismo notificato ai sensi dell'allegato VII ha una durata massima di cinque anni ed è rinnovabile. Inoltre, una modifica sostanziale del sistema obbliga a una nuova valutazione prima che il sistema modificato sia rimesso sul mercato o continui a essere usato.

Un sistema di IA già certificato CE per un'altra normativa deve ripetere integralmente la valutazione AI Act?

No, ma deve integrarla. L'art. 43, par. 3 prevede che per i sistemi disciplinati dalla normativa di armonizzazione dell'allegato I, sezione A (dispositivi medici, macchinari, ecc.), si segua la procedura di quella normativa integrata dai requisiti AI Act. L'organismo notificato deve essere abilitato anche per l'AI Act.

Vedi anche

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.