← Torna a Intelligenza artificiale — AI Act (Regolamento UE 2024/1689)
Ultimo aggiornamento: 1 Giugno 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
  • Un sistema di IA che presenta rischi per salute, sicurezza o diritti fondamentali è trattato come un «prodotto che presenta un rischio» ai sensi del regolamento (UE) 2019/1020 sulla vigilanza del mercato.
  • L'autorità di vigilanza del mercato può ordinare all'operatore di adottare misure correttive, ritirare o richiamare il sistema entro 15 giorni lavorativi (o il termine più breve previsto).
  • Se la non conformità ha portata transfrontaliera, l'autorità notifica la Commissione e gli altri Stati membri per attivare una risposta coordinata a livello UE.
  • In caso di inerzia dell'operatore, l'autorità può adottare misure provvisorie per vietare o limitare la disponibilità del sistema sul mercato nazionale.
  • La misura provvisoria nazionale si consolida se nessun altro Stato membro o la Commissione solleva obiezioni entro tre mesi (ridotti a 30 giorni per i divieti dell'art. 5).

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Art. 79 Reg. (UE) 2024/1689 — Procedura a livello nazionale per i sistemi di IA che presentano un rischio

Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (regolamento sull’intelligenza artificiale)

1. Un sistema di IA che presenta un rischio è inteso come un «prodotto che presenta un rischio» quale definito all'articolo 3, punto 19, del regolamento (UE) 2019/1020 nella misura in cui presenta rischi per la salute o la sicurezza o per i diritti fondamentali delle persone.

2. Qualora l'autorità di vigilanza del mercato di uno Stato membro abbia un motivo sufficiente per ritenere che un sistema di IA presenti un rischio di cui al paragrafo 1 del presente articolo, essa effettua una valutazione del sistema di IA interessato per quanto riguarda la sua conformità a tutti i requisiti e gli obblighi di cui al presente regolamento. Particolare attenzione è prestata ai sistemi di IA che presentano un rischio per i gruppi vulnerabili. Qualora siano individuati rischi per i diritti fondamentali, l'autorità di vigilanza del mercato informa anche le autorità o gli organismi pubblici nazionali competenti di cui all'articolo 77, paragrafo 1, e coopera pienamente con essi. I pertinenti operatori cooperano, per quanto necessario, con l'autorità di vigilanza del mercato e con le altre autorità o gli altri organismi pubblici nazionali di cui all'articolo 77, paragrafo 1. Se, nel corso di tale valutazione, l'autorità di vigilanza del mercato o, se del caso, l'autorità di vigilanza del mercato in cooperazione con l'autorità pubblica nazionale di cui all'articolo 77, paragrafo 1, rilevano che il sistema di IA non è conforme ai requisiti e agli obblighi di cui al presente regolamento, esse chiedono senza indebito ritardo al pertinente operatore di adottare tutte le misure correttive adeguate al fine di rendere il sistema di IA conforme, ritirarlo dal mercato o richiamarlo entro il termine che l'autorità di vigilanza del mercato può prescrivere o, in ogni caso, entro 15 giorni lavorativi a seconda di quale termine sia il più breve, oppure entro il termine previsto dalla pertinente normativa di armonizzazione dell'Unione. L'autorità di vigilanza del mercato informa di conseguenza l'organismo notificato pertinente. L'articolo 18 del regolamento (UE) 2019/1020 si applica alle misure di cui al secondo comma del presente paragrafo.

3. Qualora ritenga che la non conformità non sia limitata al territorio nazionale, l'autorità di vigilanza del mercato informa la Commissione e gli altri Stati membri senza indebito ritardo dei risultati della valutazione e delle azioni che hanno chiesto all'operatore economico di intraprendere.

4. L'operatore garantisce che siano adottate tutte le opportune misure correttive nei confronti di tutti i sistemi di IA interessati che ha messo a disposizione sul mercato dell'Unione.

5. Qualora l'operatore di un sistema di IA non adotti misure correttive adeguate nel periodo di cui al paragrafo 2, l'autorità di vigilanza del mercato adotta tutte le misure provvisorie del caso per vietare o limitare la messa a disposizione o la messa in servizio del sistema di IA sul mercato nazionale, per ritirare il prodotto o il sistema di IA autonomo dal mercato o per richiamarlo. Tale autorità notifica senza indebito ritardo tali misure alla Commissione e agli altri Stati membri.

6. La notifica di cui al paragrafo 5 include tutti i particolari disponibili, soprattutto le informazioni necessarie all'identificazione del sistema di IA non conforme, la sua origine e la catena di approvvigionamento, la natura della presunta non conformità e dei rischi connessi, la natura e la durata delle misure nazionali adottate, nonché gli argomenti espressi dal pertinente operatore. Le autorità di vigilanza del mercato indicano in particolare se la non conformità sia dovuta a una o più delle cause seguenti:

a) non conformità al divieto delle pratiche di IA di cui all'articolo 5;

b) mancato rispetto da parte di un sistema di IA ad alto rischio dei requisiti di cui al capo III, sezione 2;

c) carenze nelle norme armonizzate o nelle specifiche comuni, di cui agli articoli 40 e 41, che conferiscono la presunzione di conformità;

d) non conformità all'articolo 50.

7. Le autorità di vigilanza del mercato diverse dall'autorità di vigilanza del mercato dello Stato membro che ha avviato la procedura comunicano senza indebito ritardo alla Commissione e agli altri Stati membri tutte le misure adottate, tutte le altre informazioni a loro disposizione sulla non conformità del sistema di IA interessato e, in caso di disaccordo con la misura nazionale notificata, le loro obiezioni.

8. Se, entro tre mesi dal ricevimento della notifica di cui al paragrafo 5 del presente articolo, un'autorità di vigilanza del mercato di uno Stato membro o la Commissione non sollevano obiezioni contro la misura provvisoria adottata da un'autorità di vigilanza del mercato di un altro Stato membro, tale misura è ritenuta giustificata. Ciò non pregiudica i diritti procedurali dell'operatore interessato in conformità dell'articolo 18 del regolamento (UE) 2019/1020. Il periodo di tre mesi di cui al presente paragrafo è ridotto a 30 giorni in caso di non conformità al divieto delle pratiche di IA di cui all'articolo 5 del presente regolamento.

9. Le autorità di vigilanza del mercato garantiscono che siano adottate senza indebito ritardo adeguate misure restrittive in relazione al prodotto o al sistema di IA interessato, come il ritiro del prodotto o del sistema di IA dal loro mercato.

Stesso numero, altri codici

Commento

La procedura di vigilanza del mercato come strumento di enforcement

Il Regolamento (UE) 2024/1689 (AI Act) non è solo un insieme di regole: è anche un sistema di enforcement. Il capo VIII — nel quale si colloca l'art. 79 — disciplina la vigilanza del mercato, ossia l'attività delle autorità pubbliche che verificano se i sistemi di IA immessi sul mercato o messi in servizio rispettino effettivamente i requisiti del regolamento. L'art. 79 in particolare disciplina la procedura da seguire quando un'autorità nazionale di vigilanza del mercato individua un sistema di IA che presenta un rischio. La procedura è modellata sul sistema di vigilanza già collaudato per i prodotti fisici (regolamento (UE) 2019/1020) e adattata alle specificità dei sistemi di IA, in particolare alla necessità di coordinamento europeo per prodotti che per loro natura circolano in tutto il mercato interno.

Il concetto di «sistema di IA che presenta un rischio»

Il paragrafo 1 definisce quando un sistema di IA «presenta un rischio»: quando presenta rischi per la salute o la sicurezza oppure per i diritti fondamentali delle persone. Questa definizione richiama quella di «prodotto che presenta un rischio» del regolamento 2019/1020, estendendola esplicitamente ai diritti fondamentali — una categoria estranea alla tradizionale vigilanza sui prodotti fisici, che era centrata su salute e sicurezza. L'inclusione dei diritti fondamentali è coerente con l'approccio dell'AI Act, che non si limita a prevenire danni fisici ma tutela anche la dignità, la non discriminazione, la privacy e il giusto processo. Questa estensione implica che l'autorità di vigilanza del mercato deve avere competenze non solo tecniche ma anche giuridiche in senso lato, e che deve cooperare con le autorità nazionali competenti per i diritti fondamentali (art. 77).

La fase di valutazione e la richiesta di misure correttive

Quando l'autorità di vigilanza del mercato ha «un motivo sufficiente» per ritenere che un sistema presenti un rischio, avvia una valutazione di conformità del sistema rispetto a tutti i requisiti dell'AI Act. Non è sufficiente un sospetto generico: deve esserci un fondamento ragionevole — una segnalazione documentata, un incidente, dati di sorveglianza — che giustifichi l'apertura del procedimento. Particolare attenzione è prevista per i sistemi che presentano rischi per i gruppi vulnerabili. Se la valutazione rileva una non conformità, l'autorità chiede all'operatore di adottare «tutte le misure correttive adeguate» entro un termine da essa indicato o, comunque, entro 15 giorni lavorativi (salvo che il termine più breve imposto dalla normativa di armonizzazione applicabile prevalga). Le misure correttive possono includere la modifica del sistema, il suo ritiro dal mercato o il richiamo delle unità già distribuite. Il termine di 15 giorni lavorativi è significativamente più breve di quello usuale per altri prodotti, a testimonianza dell'urgenza riconosciuta ai rischi dell'IA.

La dimensione transnazionale: notifica agli altri Stati e alla Commissione

Il paragrafo 3 introduce il meccanismo di coordinamento transfrontaliero: se l'autorità ritiene che la non conformità «non sia limitata al territorio nazionale» — perché il sistema è immesso sul mercato in più Stati membri o perché il fornitore è stabilito altrove — informa immediatamente la Commissione europea e le autorità degli altri Stati membri. Questo innesca una procedura di risposta coordinata: le autorità degli altri Stati possono adottare le stesse misure sul proprio territorio, o sollevare obiezioni. Il coordinamento è essenziale per evitare che un sistema rimosso dal mercato italiano continui a circolare in Germania o Francia senza restrizioni.

Le misure provvisorie in caso di inerzia dell'operatore

Il paragrafo 5 disciplina il caso in cui l'operatore non adotti misure correttive adeguate nel termine assegnato. In questo caso l'autorità di vigilanza del mercato ha il potere di adottare autonomamente misure provvisorie: divieto o limitazione della messa a disposizione del sistema sul mercato nazionale, ritiro o richiamo dal mercato. Queste misure vengono notificate immediatamente alla Commissione e agli altri Stati membri (paragrafo 6), con tutte le informazioni necessarie a identificare il sistema, la catena di approvvigionamento, la natura della non conformità e i rischi connessi. Il paragrafo 6 elenca le cause di non conformità che devono essere specificate nella notifica: la violazione dei divieti dell'art. 5, il mancato rispetto dei requisiti per i sistemi ad alto rischio, le carenze nelle norme armonizzate, la non conformità all'art. 50 (obblighi di trasparenza per alcuni sistemi).

Il meccanismo di silenzio-assenso e la tutela dell'operatore

Il paragrafo 8 introduce un meccanismo di silenzio-assenso a livello europeo: se entro tre mesi dalla notifica nessuna autorità degli altri Stati membro e neanche la Commissione solleva obiezioni contro la misura provvisoria, questa si consolida come «giustificata». Il periodo è ridotto a 30 giorni per le violazioni dei divieti dell'art. 5 (pratiche di IA vietate), data la gravità di queste violazioni. Questo meccanismo garantisce che le misure nazionali non rimangano indefinitamente in un limbo procedurale: dopo tre mesi (o 30 giorni), l'operatore sa con certezza che la misura è definitivamente in vigore e deve adottare le azioni conseguenti. Tuttavia, il paragrafo 8 precisa che il consolidamento della misura «non pregiudica i diritti procedurali dell'operatore interessato in conformità dell'art. 18 del regolamento (UE) 2019/1020»: l'operatore mantiene il diritto di contestare la misura e di far valere le proprie ragioni nelle sedi appropriate.

Implicazioni operative per fornitori e deployer

La procedura dell'art. 79 ha conseguenze concrete per i soggetti del mercato dell'IA. Per i fornitori, il rischio di essere soggetti a una misura provvisoria — con il conseguente ritiro dal mercato del sistema — è un potente incentivo a mantenere la conformità dopo la commercializzazione e a rispondere prontamente alle richieste delle autorità di vigilanza. I tempi sono molto stretti: 15 giorni lavorativi per adottare misure correttive è poco tempo per sistemi complessi, e la decisione di non rispondere tempestivamente può comportare il divieto immediato di vendita. Per i deployer, la procedura è rilevante in quanto sono tenuti a cooperare con l'autorità di vigilanza e ad adottare le misure necessarie nei confronti di tutti i sistemi già in uso quando vengono richiamati dal fornitore (paragrafo 4). La mancata cooperazione può configurare una violazione autonoma degli obblighi del deployer.

Casi pratici

Caso 1:

Caso 2:

Caso 3:

Domande frequenti

Cosa si intende per 'motivo sufficiente' per avviare la procedura dell'art. 79?

Il 'motivo sufficiente' è un fondamento ragionevole e documentato — non un semplice sospetto — che il sistema di IA presenti rischi per la salute, la sicurezza o i diritti fondamentali. Può derivare da segnalazioni di utenti o associazioni, da dati di sorveglianza post-commercializzazione, da segnalazioni di altri Stati membri o da analisi proattive dell'autorità di vigilanza.

I 15 giorni lavorativi sono perentori?

Sono il termine massimo previsto dall'art. 79, paragrafo 2, ma il paragrafo precisa che si applica il termine più breve tra quello indicato dall'autorità, quello di 15 giorni lavorativi e quello previsto dalla normativa di armonizzazione UE applicabile. In casi di urgenza l'autorità può imporre un termine più breve. La mancata risposta nel termine apre la via alle misure provvisorie del paragrafo 5.

Un deployer privato può subire le misure dell'art. 79?

Il paragrafo 2 si rivolge al 'pertinente operatore', categoria che include sia i fornitori sia i deployer. Tuttavia le misure più incisive — ritiro dal mercato, richiamo — riguardano tipicamente i fornitori. I deployer sono principalmente tenuti a cooperare e ad adottare le misure necessarie a livello di uso del sistema. In ogni caso, il deployer che non coopera può essere destinatario di misure correttive autonome.

Cosa succede se gli Stati membri sono in disaccordo sulla misura nazionale?

Gli Stati membri che dissentono dalla misura provvisoria adottata da un altro Stato comunicano le proprie obiezioni alla Commissione entro il termine di tre mesi. La Commissione valuta le obiezioni e può adottare una decisione che dichiari la misura giustificata o ingiustificata, eventualmente coordinando un approccio uniforme a livello europeo.

Come si coordina la procedura dell'art. 79 con il GDPR?

Quando un sistema di IA che presenta un rischio tratta anche dati personali, l'autorità di vigilanza del mercato che avvia la procedura dell'art. 79 deve informare l'autorità di protezione dei dati competente e cooperare con essa. I due procedimenti (AI Act e GDPR) possono correre in parallelo: la non conformità all'AI Act non implica automaticamente una violazione del GDPR e viceversa, ma spesso le criticità sono sovrapponibili.

Vedi anche

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.