- Ogni Stato membro deve designare almeno un'autorità di notifica e almeno un'autorità di vigilanza del mercato per l'AI Act, che devono operare in modo indipendente e imparziale.
- Entro il 2 agosto 2025 ogni Stato deve rendere pubblici i contatti delle autorità competenti e designare un'autorità di vigilanza come punto di contatto unico notificato alla Commissione.
- Le autorità devono disporre di risorse tecniche, finanziarie e umane adeguate, con personale competente in materia di IA, protezione dei dati, cibersicurezza e diritti fondamentali.
- Per le istituzioni, gli organi e gli organismi dell'UE, il Garante europeo della protezione dei dati (GEPD) svolge il ruolo di autorità competente.
- Le autorità possono fornire orientamenti e consulenza alle imprese, in particolare alle PMI e alle startup, sull'attuazione del Regolamento.
Testo dell'articoloVigente
Art. 70 Reg. (UE) 2024/1689 — Designazione delle autorità nazionali competenti e dei punti di contatto unici
Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (regolamento sull’intelligenza artificiale)
1. Ciascuno Stato membro istituisce o designa come autorità nazionali competenti ai fini del presente regolamento almeno un'autorità di notifica e almeno un'autorità di vigilanza del mercato. Tali autorità nazionali competenti esercitano i loro poteri in modo indipendente, imparziale e senza pregiudizi, in modo da salvaguardare i principi di obiettività delle loro attività e dei loro compiti e garantire l'applicazione e l'attuazione del presente regolamento. I membri di tali autorità si astengono da qualsiasi atto incompatibile con le loro funzioni. A condizione che siano rispettati detti principi, tali compiti e attività possono essere svolti da una o più autorità designate, conformemente alle esigenze organizzative dello Stato membro.
2. Gli Stati membri comunicano alla Commissione l'identità delle autorità di notifica e delle autorità di vigilanza del mercato e i compiti di tali autorità, nonché ogni successiva modifica degli stessi. Gli Stati membri mettono a disposizione del pubblico le informazioni sulle modalità con cui le autorità competenti e i punti di contatto unici possono essere contattati, tramite mezzi di comunicazione elettronica, entro il 2 agosto 2025. Gli Stati membri designano un'autorità di vigilanza del mercato che funga da punto di contatto unico per il presente regolamento e notificano alla Commissione l'identità del punto di contatto unico. La Commissione elabora un elenco dei punti di contatto unici disponibili al pubblico.
3. Gli Stati membri garantiscono che le loro autorità nazionali competenti dispongano di risorse tecniche, finanziarie e umane adeguate, nonché delle infrastrutture necessarie per svolgere efficacemente i loro compiti a norma del presente regolamento. In particolare, le autorità nazionali competenti dispongono di sufficiente personale permanentemente disponibile, le cui competenze e conoscenze comprendono una comprensione approfondita delle tecnologie, dei dati e del calcolo dei dati di IA, della protezione dei dati personali, della cibersicurezza, dei diritti fondamentali, dei rischi per la salute e la sicurezza e una conoscenza delle norme e dei requisiti giuridici esistenti. Gli Stati membri valutano e, se necessario, aggiornano annualmente i requisiti in termini di competenze e risorse di cui al presente paragrafo.
4. Le autorità nazionali competenti adottano misure adeguate per garantire un livello adeguato di cibersicurezza.
5. Nello svolgimento dei propri compiti, le autorità nazionali competenti agiscono in conformità degli obblighi di riservatezza di cui all'articolo 78.
6. Entro il 2 agosto 2025, e successivamente una volta ogni due anni, gli Stati membri riferiscono alla Commissione in merito allo stato delle risorse finanziarie e umane delle autorità nazionali competenti, con una valutazione della loro adeguatezza. La Commissione trasmette tali informazioni al consiglio per l'IA affinché le discuta e formuli eventuali raccomandazioni.
7. La Commissione agevola lo scambio di esperienze tra autorità nazionali competenti.
8. Le autorità nazionali competenti possono fornire orientamenti e consulenza sull'attuazione del presente regolamento, in particolare alle PMI, comprese le start-up, tenendo conto degli orientamenti e della consulenza del consiglio per l'IA e della Commissione, a seconda dei casi. Ogniqualvolta le autorità nazionali competenti intendono fornire orientamenti e consulenza in relazione a un sistema di IA in settori disciplinati da altre disposizioni di diritto dell'Unione, sono consultate le autorità nazionali competenti a norma di tali disposizioni di diritto dell'Unione, come opportuno.
9. Qualora le istituzioni, gli organi e gli organismi dell'Unione rientrino nell'ambito di applicazione del presente regolamento, il Garante europeo della protezione dei dati agisce in qualità di autorità competente per la loro vigilanza.
Commento
L'architettura di governance nazionale: un requisito fondante
L'articolo 70 del Regolamento (UE) 2024/1689 definisce l'architettura istituzionale nazionale per l'attuazione dell'AI Act. Pur non riguardando direttamente le imprese nella loro attività quotidiana, disegna il contesto entro cui si svolge la vigilanza: chi controlla, con quali poteri e risorse, in quale relazione con le istituzioni europee. Questo è essenziale per i fornitori e i deployer che devono sapere a quale autorità rivolgersi, a chi segnalare incidenti e dove presentare reclami.
Le due autorità nazionali: notifica e vigilanza del mercato
Ogni Stato membro deve designare o istituire almeno due tipi di autorità nazionali competenti:
L'autorità di notifica è responsabile della procedura di accreditamento e notifica degli organismi di valutazione della conformità — i cosiddetti «organismi notificati» — che hanno il compito di effettuare le valutazioni della conformità di terza parte per i sistemi di IA ad alto rischio (artt. 43-49). La corretta selezione e supervisione degli organismi notificati è cruciale per garantire che la marcatura CE abbia effettivo valore di garanzia qualitativa.
L'autorità di vigilanza del mercato è responsabile della sorveglianza post-commercializzazione: verifica che i sistemi immessi sul mercato rispettino il Regolamento, conduce ispezioni, può richiedere documentazione ai fornitori e ai deployer, può ordinare il ritiro o il richiamo di sistemi non conformi, e irroga le sanzioni amministrative previste dagli artt. 99 e 101. Questa autorità svolge un ruolo centrale anche nella gestione dei reclami presentati da persone fisiche o giuridiche ai sensi dell'art. 85.
La norma consente che i compiti di notifica e vigilanza siano attribuiti alla stessa autorità o a autorità diverse, purché i principi di indipendenza, imparzialità e obiettività siano comunque rispettati. Questa flessibilità è importante: consente agli Stati membri di assegnare le funzioni alle autorità di regolazione settoriale già competenti per i settori toccati dall'AI Act (es. autorità sanitarie per i dispositivi medici IA, autorità finanziarie per i sistemi di scoring creditizio, autorità di protezione dei dati).
Il punto di contatto unico: semplificazione e coordinamento
Tra le autorità di vigilanza designate, ogni Stato membro deve indicarne una che funga da punto di contatto unico per il Regolamento. Il punto di contatto unico è l'interlocutore primario per la Commissione, per l'Ufficio per l'IA e per le controparti degli altri Stati membri nell'ambito della rete di autorità di vigilanza del mercato (art. 74). Entro il 2 agosto 2025, ogni Stato deve notificare alla Commissione l'identità di questo punto di contatto, che sarà incluso in un elenco pubblico pubblicato dalla Commissione stessa.
Per le imprese che operano in più Stati membri, il punto di contatto unico è rilevante soprattutto in situazioni di conflitto o incertezza sulla competenza: sapere a quale autorità rivolgersi nei diversi Paesi di operatività semplifica la gestione della compliance transfrontaliera.
I requisiti di risorse: una condizione necessaria per un enforcement efficace
Il paragrafo 3 impone che le autorità nazionali dispongano di risorse tecniche, finanziarie e umane adeguate, con personale competente in tecnologie AI, protezione dei dati, cibersicurezza e diritti fondamentali. L'elenco riflette la multidisciplinarietà dell'AI Act: non applicabile solo da giuristi o solo da ingegneri, ma da team misti. Il paragrafo 4 aggiunge l'obbligo di adottare misure di cibersicurezza per i propri sistemi, data la sensibilità delle informazioni tecniche che le autorità raccolgono. Il paragrafo 6 impone agli Stati una relazione biennale alla Commissione sulle risorse disponibili, con valutazione dell'adeguatezza trasmessa al Consiglio per l'IA.
GEPD per le istituzioni UE e supporto alle PMI
Il paragrafo 9 stabilisce che quando le istituzioni europee rientrano nell'ambito del Regolamento, il Garante europeo della protezione dei dati (GEPD) agisce come autorità competente per la loro vigilanza, in coerenza con il ruolo già svolto ai sensi del Regolamento (UE) 2018/1725 sulla protezione dei dati nelle istituzioni UE. Il paragrafo 8 attribuisce alle autorità nazionali la facoltà di fornire orientamenti e consulenza sull'attuazione del Regolamento, con priorità esplicita per PMI e startup, affiancando così gli orientamenti dell'Ufficio per l'IA e della Commissione.
Casi pratici
Caso 1:
Caso 2:
Caso 3:
Domande frequenti
Ogni Paese UE deve creare una nuova autorità per l'AI Act?
No, l'art. 70 consente agli Stati di designare autorità già esistenti come autorità di notifica e di vigilanza del mercato. Molti Stati potranno quindi attribuire le funzioni ad autorità di regolazione settoriale preesistenti (es. autorità di protezione dei dati, autorità per i dispositivi medici, autorità finanziarie) purché rispettino i requisiti di indipendenza e imparzialità.
Entro quando gli Stati devono designare le autorità e renderle operative?
Entro il 2 agosto 2025, gli Stati devono comunicare alla Commissione l'identità delle autorità designate e del punto di contatto unico, e devono rendere pubblici i contatti tramite mezzi di comunicazione elettronica. Entro la stessa data devono anche presentare la prima relazione sulle risorse finanziarie e umane delle autorità.
Chi vigila sull'IA usata dalle istituzioni dell'Unione europea?
Il Garante europeo della protezione dei dati (GEPD) agisce come autorità competente per la vigilanza sull'uso dei sistemi di IA da parte delle istituzioni, degli organi e degli organismi dell'Unione europea, garantendo coerenza con il suo ruolo già svolto in materia di protezione dei dati personali.
Le PMI possono ricevere supporto dalle autorità nazionali per capire come rispettare l'AI Act?
Sì. L'art. 70, par. 8 prevede esplicitamente la facoltà delle autorità nazionali di fornire orientamenti e consulenza sull'attuazione del Regolamento, con priorità per le PMI e le startup. Questi orientamenti si affiancano a quelli che la Commissione e l'Ufficio per l'IA pubblicheranno a livello europeo.
Cosa succede se uno Stato membro non dota l'autorità di risorse adeguate?
Il Regolamento prevede che gli Stati riferiscano ogni due anni alla Commissione sullo stato delle risorse delle autorità, con valutazione dell'adeguatezza. La Commissione trasmette queste informazioni al Consiglio per l'IA che può formulare raccomandazioni. Si tratta di uno strumento di pressione istituzionale e reputazionale, non di una sanzione diretta, ma in prospettiva la Commissione potrebbe avviare procedure di infrazione se l'inadeguatezza delle risorse compromette sistematicamente l'applicazione del Regolamento.
Vedi anche