Regolamento UE sull'IA, Articolo 43: percorsi di valutazione della conformità per l'IA ad alto rischio

L'Articolo 43 del Regolamento UE sull'IA stabilisce i percorsi di valutazione della conformità per i sistemi di IA ad alto rischio. Per la maggior parte dei sistemi SaaS ad alto rischio, è sufficiente l'autovalutazione tramite controllo interno. In casi specifici (principalmente IA biometrica), è necessario il coinvolgimento di un organismo notificato. Comprendere quale percorso si applica è fondamentale per la pianificazione della conformità, soprattutto considerati i vincoli di capacità degli organismi notificati.

I due percorsi di valutazione della conformità

L'Articolo 43(1) offre la scelta tra due percorsi per l'IA ad alto rischio: (a) controllo interno ai sensi dell'Allegato VI, in cui il fornitore effettua l'autovalutazione rispetto agli standard; oppure (b) valutazione della conformità ai sensi dell'Allegato VII con il coinvolgimento di un organismo notificato. L'Allegato VI è disponibile per la maggior parte delle categorie dell'Allegato III. L'Allegato VII è richiesto per i sistemi ad alto rischio di cui al punto 1 dell'Allegato III (identificazione e categorizzazione biometrica) quando le norme armonizzate non esistono ancora o non sono state integralmente applicate.

Autovalutazione tramite controllo interno — Allegato VI

Percorso Allegato VI: il fornitore valuta la propria conformità rispetto alle pertinenti norme armonizzate, specifiche comuni o altre specifiche tecniche. Documentazione richiesta: documentazione tecnica ai sensi dell'Articolo 11, prove del sistema di gestione dei rischi ai sensi dell'Articolo 9, prove del sistema di gestione della qualità ai sensi dell'Articolo 17, prove del monitoraggio successivo all'immissione sul mercato ai sensi dell'Articolo 72. Il fornitore rilascia una dichiarazione di conformità UE ai sensi dell'Articolo 47 e appone la marcatura CE ai sensi dell'Articolo 48. Non è richiesta la validazione da parte di soggetti esterni.

Valutazione da parte dell'organismo notificato — Allegato VII

Il percorso dell'Allegato VII richiede che un organismo notificato (designato ai sensi dell'Articolo 31) valuti il sistema di gestione della qualità e la documentazione tecnica. L'organismo notificato rilascia un certificato. Per i sistemi SaaS, questo percorso è attualmente richiesto principalmente per i sistemi ad alto rischio di tipo biometrico, per i quali le norme armonizzate sono ancora in fase di sviluppo. A causa dei vincoli di capacità, nel 2026 le liste d'attesa degli organismi notificati sono di 9-18 mesi; pianificare di conseguenza.

Quale percorso si applica a quale categoria dell'Allegato III

Punto 1 dell'Allegato III (biometria): è richiesto l'organismo notificato ai sensi dell'Allegato VII laddove le norme armonizzate non siano ancora disponibili. Per la maggior parte degli altri punti: è consentita l'autovalutazione ai sensi dell'Allegato VI. Lo stato attuale delle norme armonizzate (in fase di sviluppo nell'ambito del CEN-CENELEC JTC 21) consente alla maggior parte dei sistemi SaaS ad alto rischio non biometrici di utilizzare il percorso di autovalutazione. La Commissione europea può modificare questa situazione tramite atti delegati man mano che le norme maturano.

Approccio pratico alla conformità

Per l'autovalutazione ai sensi dell'Allegato VI, predisporre tempestivamente il pacchetto di documentazione tecnica. Elementi richiesti: descrizione del sistema, specifiche di progettazione, documentazione sulla gestione dei rischi, documentazione sui dati di addestramento, risultati dei test di accuratezza e robustezza, specifiche sulla supervisione umana, piano di monitoraggio successivo all'immissione sul mercato. Avvalersi di un consulente in materia di conformità (come Disclos) per verificare che la documentazione soddisfi i requisiti dell'Allegato VI prima della firma della dichiarazione di conformità UE. Per l'Allegato VII, avviare il coinvolgimento dell'organismo notificato con 9-18 mesi di anticipo rispetto a qualsiasi lancio del prodotto nell'UE.

Frequently asked questions

Quando entra in vigore l'Articolo 43?

Il 2 agosto 2026 per la maggior parte dei sistemi ad alto rischio dell'Allegato III. L'IA come componente di sicurezza ai sensi dell'Allegato II segue la tempistica della legislazione armonizzata sottostante.

Posso sempre ricorrere all'autovalutazione?

No — i sistemi ad alto rischio di tipo biometrico di cui al punto 1 dell'Allegato III possono richiedere l'organismo notificato ai sensi dell'Allegato VII. Le altre categorie dell'Allegato III consentono generalmente l'autovalutazione ai sensi dell'Allegato VI.

Quanto tempo richiedono le valutazioni degli organismi notificati?

Attualmente da 9 a 18 mesi a causa dei vincoli di capacità. Avviare le pratiche con largo anticipo.

Cos'è la marcatura CE?

Marcatura obbligatoria ai sensi dell'Articolo 48 per l'IA ad alto rischio a seguito della valutazione della conformità. Indica che il sistema è conforme ai requisiti del Regolamento UE sull'IA.

Un unico audit può coprire più sistemi ad alto rischio?

Sì, se condividono un'infrastruttura sostanzialmente comune di progettazione e di gestione della qualità. Ogni sistema necessita di una propria documentazione tecnica, ma il sistema di gestione della qualità (QMS) e i processi possono essere condivisi.

Sources

Last updated: 2026-05-28