Art. 8 Reg. (UE) 2024/1689 — Conformità ai requisiti

Commento

Funzione dell'articolo nel sistema dei requisiti per l'alto rischio

L'articolo 8 del Regolamento (UE) 2024/1689 svolge una funzione di cerniera: introduce il principio generale di conformità ai requisiti per i sistemi di IA classificati come ad alto rischio, rinviando ai criteri sostanziali degli artt. 9-15 e, in parallelo, coordinando l'applicazione del regolamento con le normative di armonizzazione settoriali già vigenti nell'Unione europea. Il suo carattere apparentemente «generale» non deve trarre in inganno: per i fornitori costituisce il punto di partenza obbligato per impostare qualunque piano di conformità relativo a un sistema di IA ad alto rischio.

La valutazione in base alla finalità prevista e allo stato dell'arte

Il paragrafo 1 stabilisce che i requisiti si applicano «tenendo conto delle loro previste finalità nonché dello stato dell'arte generalmente riconosciuto». Questa formulazione ha implicazioni operative rilevanti. In primo luogo, la conformità non è valutata in astratto ma rispetto all'uso concreto per cui il sistema è progettato e immesso sul mercato: un sistema di supporto diagnostico medico sarà giudicato con parametri diversi da un sistema di selezione dei curricula, anche se entrambi figurano nell'Allegato III.

In secondo luogo, il riferimento allo «stato dell'arte» introduce una componente dinamica: i requisiti tecnici devono aggiornarsi al progredire delle migliori pratiche disponibili nel settore. Questo allineamento si realizza tipicamente attraverso le norme armonizzate europee (elaborate da CEN/CENELEC su mandato della Commissione) e, in attesa della loro pubblicazione, attraverso le specifiche tecniche comuni o i codici di buone pratiche. Il fornitore non può dunque «cristallizzare» la conformità al momento dell'immissione sul mercato: deve verificare che il sistema rimanga conforme durante l'intero ciclo di vita.

Il raccordo con il sistema di gestione dei rischi (art. 9)

L'articolo 8, paragrafo 1 rinvia espressamente all'articolo 9 come strumento per garantire la conformità ai requisiti. Il sistema di gestione dei rischi non è un documento separato, ma un processo continuo e iterativo che accompagna il sistema di IA durante tutto il suo ciclo di vita. In pratica, la catena è la seguente: il fornitore identifica i rischi prevedibili (art. 9, par. 2, lett. a), li valuta in relazione alla finalità prevista e agli usi impropri ragionevolmente prevedibili, adotta misure di gestione e verifica la loro efficacia. Il risultato di questo processo determina se e in che misura i requisiti dell'artt. 9-15 sono soddisfatti.

Per le imprese, questo significa che non è sufficiente redigere documentazione tecnica a posteriori: il sistema di gestione dei rischi deve essere costruito nelle prime fasi dello sviluppo del sistema («privacy by design» e, per analogia, «compliance by design»). Le politiche di conformità interne devono prevedere revisioni periodiche, in special modo quando cambia l'uso del sistema o il contesto normativo di riferimento.

L'interazione con la normativa di armonizzazione UE (Allegato I, sez. A)

Il paragrafo 2 affronta una casistica molto frequente nella prassi industriale: i sistemi di IA ad alto rischio che sono componenti di prodotti già sottoposti a normativa di armonizzazione UE. L'Allegato I, sezione A, include ad esempio la Direttiva macchine, la Direttiva dispositivi medici, il Regolamento sui dispositivi medico-diagnostici in vitro, il Regolamento sull'aviazione civile e altri. In questi casi il fornitore deve soddisfare sia i requisiti dell'AI Act sia quelli della normativa di settore applicabile.

La regola di coordinamento prevista al par. 2 consente, ove appropriato, di integrare le procedure di prova, le comunicazioni e la documentazione richieste dall'AI Act nelle procedure già esistenti previste dalla normativa di armonizzazione. L'obiettivo dichiarato è duplice: evitare duplicazioni burocratiche e ridurre gli oneri aggiuntivi per i fornitori. In concreto, un produttore di dispositivi medici che adotta già una procedura di valutazione della conformità ai sensi del Regolamento (UE) 2017/745 potrà integrare in quella procedura le verifiche AI Act relative al sistema di IA incorporato nel dispositivo, anziché costruire un percorso completamente separato.

Questa integrazione non è automatica: richiede che il fornitore verifichi puntualmente la sovrapponibilità dei requisiti e che la documentazione prodotta copra, senza lacune, tutti gli obblighi AI Act. In presenza di gap, la procedura integrata deve essere completata con verifiche aggiuntive specifiche.

Implicazioni per i fornitori: piano di conformità pratico

Dal combinato disposto dell'articolo 8, le imprese devono strutturare il piano di conformità attorno a tre pilastri: la mappatura della finalità prevista (scopo del sistema, ambiente di utilizzo, usi impropri ragionevolmente prevedibili); l'allineamento allo stato dell'arte (monitoraggio delle norme armonizzate e dei codici di buone pratiche, con aggiornamenti periodici); la gestione integrata della documentazione (quando il sistema è soggetto anche ad altre normative di armonizzazione UE, sfruttare l'art. 8, par. 2 per evitare duplicazioni, documentando quali requisiti AI Act sono coperti dalle procedure esistenti). La gran parte degli obblighi per i sistemi ad alto rischio si applica dal 2 agosto 2026 (art. 113); il termine è prorogato al 2 agosto 2027 per i sistemi di cui all'art. 6, par. 1.