- Le microimprese (fino a 10 dipendenti e 2 milioni di euro di fatturato, ai sensi della raccomandazione 2003/361/CE) possono conformarsi al sistema di gestione della qualità (art. 17) in modo semplificato, se non hanno imprese associate o collegate.
- La Commissione è incaricata di elaborare orientamenti specifici per le microimprese sugli elementi del QMS suscettibili di applicazione semplificata.
- La deroga è esclusivamente formale: le microimprese non sono esonerate dagli altri obblighi sostanziali per i sistemi ad alto rischio (artt. 9-15, 72, 73).
- La semplificazione non può incidere sul livello di protezione garantito dal regolamento né sulla necessità di conformità ai requisiti dei sistemi ad alto rischio.
Testo dell'articoloVigente
Art. 63 Reg. (UE) 2024/1689 — Deroghe per operatori specifici
Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (regolamento sull’intelligenza artificiale)
1. Le microimprese ai sensi della raccomandazione 2003/361/CE possono conformarsi a determinati elementi del sistema di gestione della qualità di cui all'articolo 17 del presente regolamento in modo semplificato, purché non abbiano imprese associate o collegate ai sensi di tale raccomandazione. A tal fine, la Commissione elabora orientamenti sugli elementi del sistema di gestione della qualità che possono essere rispettati in modo semplificato tenendo conto delle esigenze delle microimprese, senza incidere sul livello di protezione o sulla necessità di conformità ai requisiti per quanto riguarda i sistemi di IA ad alto rischio.
2. Il paragrafo 1 del presente articolo non è interpretato nel senso che esenta tali operatori dal rispetto di altri requisiti e obblighi di cui al presente regolamento, compresi quelli stabiliti agli articoli 9, 10, 11, 12, 13, 14, 15, 72 e 73.
Stesso numero, altri codici
- Art. 63 D.Lgs. 504/1995 — Licenze di esercizio e diritti annuali
- Articolo 63 L. 184/1983: Modifica del capo II del titolo VIII del codice civile
- Art. 63 Cod. Amb. — Autorità di bacino distrettuale
- Art. 63 D.Lgs. 159/2011 — Dichiarazione di fallimento successiva al sequestro
- Art. 63 D.Lgs. 209/2005 — (Responsabilità del consiglio di amministrazione e sistema di governo societario)
- Art. 63 D.Lgs. 42/2004 — Obbligo di denuncia dell'attività commerciale e di tenuta del registro. Obbligo di denuncia della vendita o dell'acquisto di documenti
Commento
Contesto: perché una deroga per le microimprese?
L'AI Act ha un ambito di applicazione universale: si applica a chiunque sviluppi o utilizzi sistemi di IA con effetti nell'Unione europea, indipendentemente dalla dimensione. Tuttavia, il sistema di gestione della qualità (QMS) richiesto dall'art. 17 — con le sue politiche scritte, procedure documentate, piani di test, processi di modifica e revisione della direzione — ha un peso strutturale pensato per organizzazioni di media e grande dimensione.
L'articolo 63 introduce una valvola di decompressione per le microimprese: riconosce che richiedere a un'impresa di due dipendenti gli stessi formalismi documentali di una multinazionale sarebbe sproporzionato e potenzialmente deterrente all'innovazione. Al tempo stesso, il legislatore non rinuncia alla sostanza della protezione.
Chi è «microimpresa» ai sensi dell'art. 63?
La definizione rinvia alla Raccomandazione della Commissione 2003/361/CE: microimpresa è un'impresa con meno di 10 occupati e un fatturato annuo o un totale di bilancio annuo non superiore a 2 milioni di euro. La qualifica si determina sulla base dei dati del più recente esercizio contabile chiuso. È essenziale la condizione aggiuntiva dell'art. 63: la microimpresa non deve avere «imprese associate o collegate» ai sensi della stessa raccomandazione. Una startup con 8 dipendenti che fa capo a un gruppo più grande non accede alla deroga.
La ratio è evitare che grandi operatori frammentino artificialmente la propria struttura societaria per accedere alle semplificazioni. La verifica dello status di microimpresa «autonoma» deve essere documentata con i dati di bilancio e la struttura societaria.
Cosa può essere semplificato: in attesa degli orientamenti
Il par. 1 demanda alla Commissione la definizione degli elementi del QMS che possono essere rispettati in modo semplificato. Fino all'adozione di tali orientamenti, le microimprese si trovano in una situazione di incertezza applicativa. In via interpretativa, gli elementi che più si prestano a una forma semplificata sono quelli di natura organizzativo-procedurale (riunioni formali di riesame della direzione, procedure di audit interno strutturate), mentre quelli tecnici sostanziali — come la gestione del rischio (art. 9), la qualità dei dati (art. 10) e la documentazione tecnica (art. 11) — sembrano difficilmente semplificabili senza incidere sul livello di protezione.
Cosa non cambia: gli obblighi sostanziali restano invariati
Il par. 2 è inequivocabile: la semplificazione del QMS «non è interpretata nel senso che esenta tali operatori dal rispetto di altri requisiti e obblighi». L'elenco esplicito comprende: gestione del rischio (art. 9), governance dei dati (art. 10), documentazione tecnica (art. 11), registrazione delle operazioni (art. 12), trasparenza e informazioni agli utenti (art. 13), supervisione umana (art. 14), accuratezza e robustezza (art. 15), monitoraggio post-mercato (art. 72), segnalazione degli incidenti gravi (art. 73).
In concreto, una microimpresa che sviluppa un sistema di IA ad alto rischio deve comunque: redigere la documentazione tecnica completa, implementare un sistema di gestione del rischio, garantire la qualità dei dati di addestramento, assicurare meccanismi di supervisione umana e segnalare gli incidenti gravi alle autorità. La semplificazione riguarda solo come è organizzato e documentato il sistema di qualità, non cosa il sistema deve essere in grado di fare e dimostrare.
Implicazioni pratiche per startup e PMI innovative
L'articolo 63 è rilevante per il crescente ecosistema di startup AI europee. Una startup con 8 sviluppatori che costruisce un sistema di IA per la gestione delle richieste di prestito (allegato III, punto 5, lett. b) può beneficiare della semplificazione del QMS, ma non può esimersi dagli obblighi sostanziali. La pianificazione della compliance deve quindi partire dagli artt. 9-15 e 72-73 — che applicano in pieno — e solo successivamente calibrare la forma del QMS secondo i futuri orientamenti della Commissione.
Casi pratici
Caso 1:
Caso 2:
Caso 3:
Domande frequenti
Quale soglia dimensionale determina la qualifica di microimpresa ai sensi dell'art. 63 AI Act?
Meno di 10 occupati e fatturato annuo o totale di bilancio annuo non superiore a 2 milioni di euro, ai sensi della Raccomandazione 2003/361/CE. La microimpresa non deve avere imprese associate o collegate ai sensi della stessa raccomandazione.
Una startup finanziata da un fondo di venture capital può accedere alla deroga?
Dipende dalla struttura societaria. Se il fondo detiene una partecipazione tale da qualificarsi come 'impresa associata' ai sensi della raccomandazione 2003/361/CE, la startup non è microimpresa autonoma e non accede alla deroga. È necessaria una verifica caso per caso sulla struttura del cap table.
Quando saranno disponibili gli orientamenti della Commissione sulle semplificazioni?
Il regolamento non fissa un termine preciso per l'adozione degli orientamenti. Le microimprese devono monitorare le pubblicazioni della Commissione europea sul portale AI Act. Nel frattempo, devono conformarsi in pieno a tutti gli obblighi sostanziali degli artt. 9-15, 72, 73.
Una microimpresa deployer (non fornitore) beneficia dell'art. 63?
L'art. 63 riguarda il sistema di gestione della qualità (art. 17), che è un obbligo del fornitore. Il deployer microimpresa non deve implementare un QMS ai sensi dell'art. 17, ma resta soggetto agli obblighi del deployer previsti dall'art. 26 del regolamento.
La semplificazione del QMS riduce anche gli obblighi di segnalazione degli incidenti?
No. Il par. 2 dell'art. 63 esplicita che gli obblighi degli artt. 72 (monitoraggio post-mercato) e 73 (segnalazione di incidenti gravi) si applicano integralmente anche alle microimprese. La semplificazione riguarda solo alcuni aspetti formali del QMS, non gli obblighi sostanziali di sicurezza.
Vedi anche