- L'articolo 82 disciplina il caso in cui un sistema di IA ad alto rischio sia formalmente conforme al regolamento ma rappresenti comunque un rischio concreto per la salute, la sicurezza, i diritti fondamentali o l'interesse pubblico.
- L'autorità di vigilanza del mercato, dopo aver consultato la competente autorità pubblica nazionale, può chiedere all'operatore di adottare misure correttive entro un termine definito.
- Il fornitore o altro operatore pertinente deve estendere le misure correttive a tutti i sistemi interessati già commercializzati nell'Unione.
- Lo Stato membro informa immediatamente la Commissione e gli altri Stati membri, con tutti i dettagli sull'identità del sistema, la natura del rischio e le misure adottate.
- La Commissione consulta gli Stati membri e gli operatori, valuta le misure nazionali e può proporre ulteriori misure appropriate.
Testo dell'articoloVigente
Art. 82 Reg. (UE) 2024/1689 — Sistemi di IA conformi che presentano un rischio
Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (regolamento sull’intelligenza artificiale)
1. Se, dopo aver effettuato una valutazione a norma dell'articolo 79 e aver consultato la pertinente autorità pubblica nazionale di cui all'articolo 77, paragrafo 1, l'autorità di vigilanza del mercato di uno Stato membro ritiene che un sistema di IA ad alto rischio, pur conforme al presente regolamento, rappresenti comunque un rischio per la salute o la sicurezza delle persone, per i diritti fondamentali o per altri aspetti della tutela dell'interesse pubblico, essa chiede all'operatore pertinente di adottare tutte le misure adeguate a far sì che il sistema di IA in questione, all'atto della sua immissione sul mercato o messa in servizio, non presenti più tale rischio senza indebito ritardo entro un termine che essa può prescrivere.
2. Il fornitore o un altro operatore pertinente garantisce l'adozione di misure correttive nei confronti di tutti i sistemi di IA interessati che ha messo a disposizione sul mercato dell'Unione entro il termine prescritto dall'autorità di vigilanza del mercato dello Stato membro di cui al paragrafo 1.
3. Gli Stati membri informano immediatamente la Commissione e gli altri Stati membri della conclusione cui sono giunti conformemente al paragrafo 1. Tali informazioni comprendono tutti i dettagli disponibili, in particolare i dati necessari all'identificazione del sistema di IA interessato, l'origine e la catena di approvvigionamento del sistema di IA, la natura del rischio connesso, nonché la natura e la durata delle misure nazionali adottate.
4. La Commissione avvia senza indebito ritardo consultazioni con gli Stati membri interessati e gli operatori pertinenti e valuta le misure nazionali adottate. In base ai risultati di tale valutazione, la Commissione decide se la misura sia giustificata e propone, ove necessario, altre misure appropriate.
5. La Commissione comunica immediatamente la propria decisione agli Stati membri interessati e agli operatori pertinenti e ne informa anche gli altri Stati membri.
Stesso numero, altri codici
- Articolo 82 L. 184/1983: Esenzioni fiscali e copertura finanziaria
- Art. 82 Cod. Amb. — acque utilizzate per l'estrazione di acqua potabile
- Art. 82 D.Lgs. 159/2011 — Oggetto
- Art. 82 D.Lgs. 209/2005 — Articolo abrogato
- Art. 82 D.Lgs. 42/2004 — Azione di restituzione a favore dell'Italia
- Art. 82 CAD — Articolo abrogato
Commento
Il paradosso del sistema conforme ma rischioso
Il Regolamento (UE) 2024/1689 costruisce un sistema di conformità articolato su requisiti tecnici, documentazione, valutazioni della conformità, registrazione e dichiarazioni. In linea di principio, un sistema che soddisfa tutti questi requisiti dovrebbe essere sicuro e rispettoso dei diritti fondamentali. La realtà normativa e tecnologica è più complessa: un sistema può essere formalmente conforme in ogni suo aspetto documentabile eppure rivelarsi, nel contesto specifico del suo utilizzo, fonte di rischi concreti non previsti ex ante.
L'articolo 82 affronta questa situazione con un meccanismo che possiamo definire di conformità sostanziale ex post: anche un sistema che ha superato la valutazione della conformità e che porta la marcatura CE può essere oggetto di intervento correttivo da parte delle autorità, se le evidenze concrete di utilizzo rivelano rischi che la valutazione ex ante non aveva potuto rilevare. È una disposizione che presidia il principio secondo cui la conformità non è uno stato statico, ma deve essere mantenuta nel tempo e nel contesto reale di impiego.
Il procedimento a livello nazionale
Il procedimento si articola in due fasi distinte. La prima, disciplinata dal paragrafo 1, è di livello nazionale:
La nozione di «operatore pertinente» è ampia: può essere il fornitore, il distributore, il deployer o il rappresentante autorizzato, a seconda di chi è nella posizione più adeguata per adottare le misure richieste. In molti casi l'interlocutore principale sarà il fornitore, che ha la capacità tecnica per modificare il sistema, ma il deployer potrebbe essere chiamato a interventi di carattere organizzativo o procedurale (ad esempio, rafforzamento della supervisione umana).
Il paragrafo 2 estende l'obbligo correttivo: il fornitore o l'operatore pertinente deve adottare le misure non solo per l'esemplare specifico segnalato, ma per «tutti i sistemi di IA interessati» messi a disposizione sul mercato UE. È una clausola di portata generale che impedisce di limitare l'intervento correttivo al singolo caso segnalato, qualora il problema abbia natura sistemica.
L'escalation a livello europeo
La seconda fase del procedimento è di livello europeo. Il paragrafo 3 impone agli Stati membri di informare «immediatamente» la Commissione e gli altri Stati membri della conclusione cui sono giunti, con tutti i dettagli disponibili: identificazione del sistema, origine e catena di approvvigionamento, natura del rischio, natura e durata delle misure adottate. Questa comunicazione inter-statale è lo strumento attraverso cui un problema rilevato in un solo Stato membro può attivare una risposta coordinata a livello europeo.
La Commissione avvia poi consultazioni con gli Stati membri interessati e con gli operatori pertinenti e valuta le misure nazionali adottate (paragrafo 4). All'esito della valutazione, può decidere se la misura è giustificata e proporre, ove necessario, «altre misure appropriate». La decisione è comunicata immediatamente agli Stati membri e agli operatori (paragrafo 5).
Il rapporto con la clausola di salvaguardia dell'articolo 81
L'articolo 82 deve essere letto in coordinamento con l'articolo 81, che disciplina la procedura da seguire quando un'autorità di vigilanza adotta misure restrittive nei confronti di sistemi di IA conformi alla marcatura CE (la cosiddetta «clausola di salvaguardia»). L'articolo 81 si applica quando l'autorità ritiene che il sistema non soddisfi effettivamente i requisiti nonostante la conformità formale; l'articolo 82 si applica al caso più radicale in cui il sistema è pienamente conforme ma genera comunque rischi. La distinzione è sottile ma rilevante: nell'articolo 82 non si contesta la conformità del sistema, ma si riconosce un gap tra l'insieme dei requisiti normativi e la protezione effettiva dei soggetti esposti.
Implicazioni operative per fornitori e deployer
Per i fornitori, l'articolo 82 introduce un elemento di rischio residuale che non può essere eliminato nemmeno dalla conformità più rigorosa: il sistema potrebbe essere richiamato o modificato sulla base di evidenze di rischio emerse nel contesto reale di utilizzo. Questo rende essenziale l'implementazione di sistemi di monitoraggio post-immissione sul mercato (previsti dall'articolo 72) che consentano di rilevare tempestivamente segnali di rischio prima che l'autorità di vigilanza intervenga.
Per i deployer, la possibilità che un sistema conforme venga sottoposto a misure correttive impone di includere nei contratti con i fornitori clausole che disciplinino i tempi e le modalità di implementazione delle modifiche richieste dall'autorità, i costi relativi e l'eventuale sospensione temporanea dell'utilizzo del sistema durante il periodo di adeguamento.
Coordinamento con il GDPR
Quando il rischio rilevato attiene al trattamento di dati personali — ad esempio, un sistema di riconoscimento facciale conforme all'AI Act che nella pratica genera percentuali di errore sproporzionate per determinati gruppi demografici — il procedimento dell'articolo 82 si affianca alle misure che l'autorità di protezione dei dati può adottare ai sensi del GDPR. In questi casi, il fornitore e il deployer si troveranno a fronteggiare procedimenti paralleli davanti ad autorità diverse, con esigenze di coordinamento della risposta.
Casi pratici
Caso 1:
Caso 2:
Caso 3:
Domande frequenti
Un sistema di IA ad alto rischio conforme al regolamento può essere ritirato dal mercato in base all'articolo 82?
L'articolo 82 non prevede esplicitamente il ritiro dal mercato come misura, ma dispone che l'operatore adotti 'tutte le misure adeguate' per eliminare il rischio. In linea di principio, se non esistono misure tecniche o organizzative in grado di eliminare il rischio, la sospensione dell'utilizzo o il ritiro dal mercato potrebbero essere misure proporzionate. La Commissione può proporre ulteriori misure appropriate sulla base della valutazione delle misure nazionali.
Chi sopporta i costi delle misure correttive richieste dall'autorità ai sensi dell'articolo 82?
Il regolamento non disciplina l'allocazione dei costi tra fornitore e deployer: è una questione contrattuale. Se il problema emerge da un difetto del sistema, i costi saranno tendenzialmente a carico del fornitore; se emerge dall'uso improprio del deployer, saranno a carico di quest'ultimo. È quindi essenziale che i contratti tra fornitori e deployer di sistemi ad alto rischio regolino espressamente questo scenario.
L'articolo 82 si applica anche ai sistemi di IA non classificati come ad alto rischio?
L'articolo 82 riguarda specificamente i sistemi di IA 'ad alto rischio'. Per i sistemi a rischio limitato o minimo, il regolamento prevede meccanismi di vigilanza del mercato differenti. Tuttavia, principi analoghi potrebbero applicarsi a questi sistemi in base alle norme generali di sicurezza dei prodotti e di tutela dei consumatori del diritto UE.
Se un fornitore è stabilito in un paese terzo, chi è l'interlocutore dell'autorità di vigilanza del mercato in caso di applicazione dell'articolo 82?
L'autorità di vigilanza si rivolge al rappresentante autorizzato del fornitore extraeuropeo, nominato ai sensi dell'articolo 22, che è tenuto a cooperare con l'autorità e ad adottare o trasmettere le misure correttive richieste. Il deployer stabilito nell'UE può essere anche lui interlocutore diretto, nella misura in cui le misure correttive riguardino le modalità di utilizzo del sistema.
La notifica alla Commissione e agli altri Stati membri prevista dall'articolo 82 è immediata o può essere ritardata?
Il paragrafo 3 impone la notifica 'immediatamente', senza prevedere un termine dilatorio. Lo Stato membro deve informare la Commissione e gli altri Stati appena giunge alla conclusione che il sistema conforme presenta un rischio, anche contestualmente all'adozione delle misure correttive nazionali.
Vedi anche