← Torna a Intelligenza artificiale — AI Act (Regolamento UE 2024/1689)
Ultimo aggiornamento: 1 Giugno 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
  • I certificati rilasciati dagli organismi notificati ai sensi dell'allegato VII AI Act devono essere redatti in una lingua comprensibile alle autorità dello Stato membro in cui è stabilito l'organismo.
  • La validità massima è di cinque anni per i sistemi di IA disciplinati dall'allegato I (normativa di armonizzazione) e di quattro anni per quelli dell'allegato III (alto rischio elencato).
  • Il fornitore può richiedere la proroga della validità per ulteriori periodi analoghi, previa nuova valutazione secondo le procedure applicabili.
  • L'organismo notificato può sospendere, ritirare o limitare il certificato se il sistema cessa di soddisfare i requisiti, salvo che il fornitore adotti misure correttive entro un termine adeguato.
  • Le decisioni degli organismi notificati sui certificati, comprese le revoche, sono soggette a procedura di ricorso.

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Art. 44 Reg. (UE) 2024/1689 — Certificati

Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (regolamento sull’intelligenza artificiale)

1. I certificati rilasciati dagli organismi notificati a norma dell'allegato VII sono redatti in una lingua che può essere facilmente compresa dalle autorità pertinenti dello Stato membro in cui è stabilito l'organismo notificato.

2. I certificati sono validi per il periodo da essi indicato che non supera i cinque anni per i sistemi di IA disciplinati dall'allegato I e i quattro anni per i sistemi di IA disciplinati dall'allegato III. Su domanda del fornitore, la validità di un certificato può essere prorogata per ulteriori periodi, ciascuno non superiore a cinque anni per i sistemi di IA disciplinati dall'allegato I e a quattro anni per i sistemi di IA disciplinati dall'allegato III, sulla base di una nuova valutazione secondo le procedure di valutazione della conformità applicabili. Ogni supplemento del certificato rimane valido purché sia valido il certificato cui si riferisce.

3. Qualora constati che il sistema di IA non soddisfa più i requisiti di cui alla sezione 2, l'organismo notificato, tenendo conto del principio di proporzionalità, sospende o ritira il certificato rilasciato o impone limitazioni, a meno che la conformità a tali requisiti sia garantita mediante opportune misure correttive adottate dal fornitore del sistema entro un termine adeguato stabilito dall'organismo notificato. L'organismo notificato motiva la propria decisione. È disponibile una procedura di ricorso contro le decisioni degli organismi notificati, anche sui certificati di conformità rilasciati.

Stesso numero, altri codici

Commento

Funzione e struttura dei certificati nell'AI Act

L'articolo 44 del Regolamento (UE) 2024/1689 disciplina il regime dei certificati rilasciati dagli organismi notificati nell'ambito delle procedure di valutazione della conformità per i sistemi di IA ad alto rischio. Il certificato è il documento che attesta formalmente che un sistema di IA è stato valutato da un terzo indipendente e risulta conforme ai requisiti essenziali del Capo III, Sezione 2 del Regolamento. È quindi lo strumento principale che consente al fornitore di apporre la marcatura CE — nei casi in cui essa è richiesta — e di dimostrare alle autorità di vigilanza del mercato la conformità del proprio sistema.

La disciplina dei certificati nell'AI Act si inserisce nella tradizione del «Nuovo Quadro Legislativo» europeo, con alcune specificità dettate dalla natura dinamica e adattiva dei sistemi di IA. A differenza di un prodotto fisico, il cui comportamento è sostanzialmente stabile nel tempo, un sistema di IA può evolvere attraverso aggiornamenti, cambiamenti nei dati di addestramento o nel contesto di utilizzo, rendendo necessaria una gestione attiva della validità del certificato.

Durata e proroga della validità

Il paragrafo 2 introduce un sistema differenziato di durata massima dei certificati in funzione del tipo di normativa che disciplina il sistema di IA certificato.

Per i sistemi di IA che sono componenti di sicurezza di prodotti soggetti alla normativa di armonizzazione dell'Unione elencata nell'allegato I (dispositivi medici, macchine, veicoli, ascensori, apparecchiature radio, ecc.), la validità massima è di cinque anni. Questa durata è coerente con le analoghe disposizioni delle normative settoriali di riferimento.

Per i sistemi di IA ad alto rischio elencati direttamente nell'allegato III dell'AI Act (sistemi di identificazione biometrica, sistemi usati per infrastrutture critiche, sistemi di selezione del personale, sistemi di scoring creditizio, sistemi usati nell'istruzione, sistemi usati nell'amministrazione della giustizia, ecc.), la validità massima è di quattro anni. La durata leggermente inferiore riflette una valutazione di maggiore volatilità tecnologica e contestuale di questi sistemi.

Il fornitore può richiedere la proroga della validità prima della scadenza. La proroga non è automatica: richiede una nuova valutazione secondo le procedure applicabili, che può includere la verifica dell'aggiornamento del sistema, dei dati di addestramento, delle procedure di gestione del rischio e della documentazione tecnica. Ogni supplemento del certificato rimane valido solo purché il certificato principale a cui si riferisce sia ancora valido: se il certificato principale scade o viene revocato, i supplementi perdono automaticamente efficacia.

Sospensione, ritiro e limitazione del certificato

Il paragrafo 3 disciplina i poteri dell'organismo notificato di intervenire sul certificato in corso di validità quando constati che il sistema non soddisfa più i requisiti. Le misure a disposizione sono tre, graduate per intensità: la limitazione (restrizione dell'ambito di validità del certificato a determinate categorie di utilizzo o configurazioni), la sospensione (blocco temporaneo dell'efficacia del certificato in attesa di misure correttive) e il ritiro (revoca definitiva del certificato).

Prima di adottare queste misure, l'organismo deve applicare il principio di proporzionalità: se la non conformità è rimediabile, deve fissare al fornitore un termine adeguato per adottare le misure correttive necessarie. Solo se il fornitore non interviene efficacemente entro tale termine, o se la violazione è di natura tale da non essere rimediabile, l'organismo può procedere alla sospensione o al ritiro.

L'obbligo di motivazione delle decisioni è esplicito: «l'organismo notificato motiva la propria decisione». Questa disposizione garantisce la sindacabilità della decisione sia in sede di ricorso amministrativo che, eventualmente, in sede giurisdizionale.

Il diritto di ricorso

Il paragrafo 3 in fine sancisce espressamente la disponibilità di una procedura di ricorso contro le decisioni degli organismi notificati, comprese quelle sui certificati di conformità rilasciati. La norma non specifica la natura del ricorso (amministrativo o giurisdizionale), rimandando ai sistemi procedurali degli Stati membri. In Italia, ad esempio, le decisioni di un organismo notificato di diritto privato saranno impugnabili davanti all'autorità giudiziaria ordinaria o, se l'organismo è di diritto pubblico o svolge funzioni pubbliche delegate, eventualmente davanti al giudice amministrativo.

Il diritto di ricorso è un elemento essenziale del sistema di garanzie per i fornitori: un mercato funzionante richiede che le decisioni degli organismi di terza parte siano contestabili secondo procedure chiare, rapide e accessibili.

Implicazioni operative per i fornitori

I fornitori devono gestire attivamente il ciclo di vita del certificato: monitorare le scadenze, avviare per tempo le procedure di rinnovo, documentare le modifiche al sistema e comunicarle proattivamente all'organismo notificato. Un certificato scaduto o ritirato impedisce la continuazione della commercializzazione; la prosecuzione senza certificato valido costituisce violazione del Regolamento soggetta alle sanzioni di cui all'art. 99.

Casi pratici

Caso 1:

Caso 2:

Caso 3:

Domande frequenti

Qual è la differenza di validità tra i certificati per i sistemi dell'allegato I e quelli dell'allegato III?

Per i sistemi di IA componenti di prodotti soggetti alla normativa di armonizzazione dell'Unione (allegato I, es. dispositivi medici, macchine), la validità massima è cinque anni. Per i sistemi ad alto rischio elencati nell'allegato III (es. sistemi biometrici, scoring creditizio, selezione personale), la validità massima è quattro anni. In entrambi i casi, la validità può essere prorogata previo nuovo esame.

Il certificato si rinnova automaticamente alla scadenza?

No. Il rinnovo non è automatico: il fornitore deve presentare una domanda di proroga prima della scadenza e sottoporsi a una nuova valutazione secondo le procedure applicabili. Se il certificato scade senza essere rinnovato, il fornitore non può continuare a commercializzare il sistema come certificato conforme.

Cosa deve fare il fornitore se l'organismo notificato segnala una non conformità?

L'organismo fissa un termine adeguato per adottare misure correttive. Il fornitore deve intervenire entro tale termine e documentare le azioni adottate. Se agisce efficacemente, l'organismo può mantenere il certificato valido o revocare una sospensione cautelativa. Se non interviene, l'organismo procede alla sospensione o al ritiro definitivo del certificato.

Come si impugna la decisione di un organismo notificato di revocare un certificato?

L'art. 44 garantisce l'accesso a una procedura di ricorso, le cui modalità dipendono dall'ordinamento nazionale. In Italia, a seconda della natura giuridica dell'organismo, il ricorso può essere proposto davanti al giudice ordinario o al giudice amministrativo. È consigliabile verificare se l'organismo ha previsto anche una fase di ricorso interno prima del ricorso esterno.

Un aggiornamento del sistema di IA richiede necessariamente un nuovo certificato?

Non sempre. Dipende dalla natura dell'aggiornamento: modifiche che non incidono sui requisiti essenziali certificati (manutenzione ordinaria, correzione di bug minori) possono non richiedere una nuova valutazione. Modifiche sostanziali che cambiano le prestazioni, la logica del modello o il contesto di utilizzo richiedono invece una nuova valutazione, che può risultare in un supplemento del certificato esistente o in un nuovo certificato.

Vedi anche

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.