Art. 83 Reg. (UE) 2024/1689 — Non conformità formale

Commento

La non conformità formale come categoria autonoma di illecito

L'articolo 83 del Regolamento (UE) 2024/1689 introduce una categoria distinta di violazione dell'AI Act: la non conformità formale. Si tratta di vizi che attengono agli adempimenti documentali, di marcatura e di registrazione richiesti dal regolamento, piuttosto che alla qualità tecnica o alla sicurezza intrinseca del sistema di IA. L'utilità di questa categoria autonoma è duplice: da un lato, consente alle autorità di vigilanza di intervenire in modo rapido e standardizzato quando rilevano vizi formali facilmente accertabili; dall'altro, invia un segnale chiaro ai fornitori che gli obblighi documentali non sono «burocrazia di secondo piano» ma elementi costitutivi della conformità, la cui violazione è sanzionabile.

La norma si inserisce in un solco già consolidato nella legislazione europea sui prodotti: analoghe disposizioni esistono, ad esempio, nel Regolamento (CE) n. 765/2008 sulla vigilanza del mercato e nella Direttiva 2006/42/CE sulle macchine. L'AI Act replica questo schema adattandolo al settore dei sistemi di IA ad alto rischio.

Il catalogo dei vizi formali (par. 1)

Il paragrafo 1 elenca sette tipologie di non conformità formale che legittimano l'intervento dell'autorità di vigilanza. Vale la pena analizzarle singolarmente, poiché ciascuna corrisponde a un obbligo preciso del regolamento la cui violazione è autonomamente rilevante.

La prima tipologia (lett. a) riguarda la marcatura CE apposta in violazione dell'art. 48: si tratta del caso in cui il fornitore ha apposto la marcatura CE senza aver completato la procedura di conformità richiesta, o in assenza dei presupposti. La seconda tipologia (lett. b) riguarda invece l'omissione totale della marcatura CE su un sistema che avrebbe dovuto recarla. La terza e quarta tipologia (lett. c e d) riguardano la dichiarazione di conformità UE ex art. 47: rispettivamente, la sua mancata redazione e la sua redazione scorretta (ad esempio, con dati incompleti o non conformi al modello prescritto). La quinta tipologia (lett. e) riguarda la mancata registrazione nella banca dati UE degli sistemi di IA ad alto rischio ex art. 71, strumento fondamentale per la trasparenza e la vigilanza del mercato. La sesta tipologia (lett. f) riguarda la mancata nomina del rappresentante autorizzato ex art. 22 per i fornitori extra-UE. La settima tipologia (lett. g) riguarda la documentazione tecnica non disponibile — sia nel senso della mancata redazione sia in quello della mancata messa a disposizione dell'autorità su richiesta.

La procedura di intervento: termine e misure (par. 2)

La procedura disciplinata dall'art. 83 è articolata in due fasi sequenziali. Nella prima fase, l'autorità di vigilanza del mercato che accerta una non conformità formale «chiede al fornitore pertinente di porre fine alla contestata non conformità entro un termine che essa può prescrivere». Il termine non è prefissato dalla norma ma determinato dall'autorità caso per caso: questo consente di calibrare il tempo concesso in base alla natura del vizio (una mancanza documentale è normalmente sanabile più rapidamente di un problema strutturale).

La seconda fase si attiva solo se la non conformità persiste dopo la scadenza del termine concesso. In tal caso, l'autorità adotta «misure appropriate e proporzionate» per: limitare o proibire la messa a disposizione sul mercato del sistema, oppure garantirne il richiamo o il ritiro senza ritardo. Il principio di proporzionalità vincola la scelta tra queste misure: non è automaticamente legittimo disporre il ritiro dal mercato per un vizio formale che il fornitore avrebbe potuto sanare con un minimo sforzo, mentre il divieto di ulteriore commercializzazione può essere giustificato in presenza di vizi gravi e persistenti.

Distinzione dalla non conformità sostanziale

È importante distinguere la non conformità formale disciplinata dall'art. 83 dalla non conformità «sostanziale» (o materiale), che riguarda il mancato rispetto dei requisiti tecnici degli artt. 9-15. Le due procedure sono distinte: la non conformità sostanziale è disciplinata dagli artt. 79-82, che prevedono un iter più articolato con coinvolgimento delle autorità degli altri Stati membri e, in certi casi, della Commissione. La non conformità formale dell'art. 83 è invece concepita come procedura più rapida e snella, proprio perché i vizi formali sono più facilmente accertabili e sanabili.

Nella pratica, le due tipologie possono concorrere: un sistema che non rispetta i requisiti tecnici dell'art. 10 (governance dei dati) potrebbe anche mancare della documentazione tecnica (art. 83, lett. g) che dovrebbe descrivere le misure adottate per la gestione dei dati. In tal caso, l'autorità può avviare parallelamente entrambe le procedure.

Implicazioni per i piani di conformità dei fornitori

L'art. 83 impone di trattare gli adempimenti documentali e di marcatura con la stessa serietà dei requisiti tecnici. Una checklist pre-lancio deve verificare: (1) procedura di valutazione della conformità completata e marcatura CE apposta correttamente; (2) dichiarazione di conformità UE redatta ex art. 47; (3) registrazione nella banca dati UE ex art. 71; (4) nomina del rappresentante autorizzato nell'UE (per i fornitori extra-UE); (5) documentazione tecnica pronta per la trasmissione all'autorità su richiesta. La scadenza generale per i sistemi ad alto rischio è il 2 agosto 2026.