Regolamento UE sull'IA Articolo 73: segnalazione di incidenti per i fornitori di IA ad alto rischio
L'Articolo 73 del Regolamento UE sull'IA istituisce obblighi di segnalazione degli incidenti per i fornitori di sistemi di IA ad alto rischio. Gli incidenti gravi devono essere segnalati alle autorità nazionali di vigilanza del mercato entro 15 giorni dalla presa di conoscenza (termine più breve per gli incidenti che comportano decessi o violazioni su larga scala). La disposizione è modellata sull'Articolo 33 del GDPR relativo alla notifica delle violazioni dei dati, ma copre una gamma più ampia di incidenti.
Cosa costituisce un incidente grave
L'Articolo 3(49) definisce un incidente grave come qualsiasi incidente o malfunzionamento di un sistema di IA ad alto rischio che conduce direttamente o indirettamente a: (a) decesso di una persona, o danno grave alla salute di una persona; (b) perturbazione grave e irreversibile di infrastrutture critiche; (c) violazione di obblighi previsti dal diritto dell'Unione volti a proteggere i diritti fondamentali; (d) danno grave a beni materiali o all'ambiente. La definizione è ampia — il carattere «grave» dipende dai fatti specifici e la valutazione definitiva spetta all'autorità nazionale competente.
Scadenze per la segnalazione
Articolo 73(2): senza indebito ritardo dopo aver stabilito il nesso causale, e al più tardi entro 15 giorni dalla presa di conoscenza. Articolo 73(3): per gli incidenti che comportano una violazione diffusa o una perturbazione grave e irreversibile di infrastrutture critiche — termine ridotto di 2 giorni. Articolo 73(4): per gli incidenti che comportano decessi — segnalazione immediata, entro non più di 10 giorni. Il termine decorre dalla presa di conoscenza, non dalla conferma della causalità.
Informazioni richieste
Articolo 73(5): la segnalazione deve includere tutte le informazioni pertinenti disponibili, tra cui: identificazione del sistema di IA ad alto rischio, descrizione dell'incidente, identificazione delle persone o dei beni colpiti, descrizione della causa se nota, descrizione delle misure correttive adottate o pianificate. La segnalazione può essere integrata man mano che diventano disponibili ulteriori informazioni. Le autorità nazionali possono richiedere informazioni aggiuntive.
Chi effettua la segnalazione
Il fornitore del sistema di IA ad alto rischio ha il principale obbligo di segnalazione ai sensi dell'Articolo 73(1). In caso di status di fornitore acquisito ai sensi dell'Articolo 25 (modifica sostanziale), la parte subentrante provvede alla segnalazione. I deployer devono informare il fornitore degli incidenti rilevanti (Articolo 26(6)) e possono essere soggetti a obblighi paralleli di segnalazione previsti da normative settoriali specifiche (sorveglianza ai sensi della Direttiva Macchine, sorveglianza ai sensi del Regolamento sui Dispositivi Medici).
Configurazione pratica per la conformità
Predisporre il flusso di lavoro previsto dall'Articolo 73 prima di qualsiasi rilascio del prodotto. Elementi necessari: meccanismo di rilevamento degli incidenti (assistenza clienti, monitoraggio interno, segnalazioni degli utenti, monitoraggio post-commercializzazione ai sensi dell'Articolo 72), rubrica di classificazione degli incidenti per determinare la soglia di «gravità», modello di segnalazione allineato ai requisiti dell'Articolo 73(5), elenco dei contatti delle autorità nazionali competenti per ciascun paese UE in cui si opera, catena di escalation interna, sistema di monitoraggio delle scadenze. Verificare il flusso di lavoro annualmente. Documentare gli incidenti passati (anonimizzati) nell'archivio di conformità.
Frequently asked questions
Quando entra in vigore l'Articolo 73?
Il 2 agosto 2026 per i sistemi di IA ad alto rischio.
Qual è la scadenza per la segnalazione?
15 giorni dalla presa di conoscenza per gli incidenti gravi ordinari. 10 giorni per gli incidenti che comportano decessi. 2 giorni per violazioni diffuse o perturbazioni di infrastrutture critiche.
Chi effettua la segnalazione — il fornitore o il deployer?
Il fornitore in via principale ai sensi dell'Articolo 73(1). I deployer devono informare il fornitore ai sensi dell'Articolo 26(6) e possono essere soggetti a obblighi paralleli previsti da normative settoriali specifiche.
A chi si effettua la segnalazione?
All'autorità nazionale di vigilanza del mercato di ciascun paese UE in cui si è verificato l'incidente o in cui risiedono le persone colpite. Ogni Stato membro ha designato le autorità competenti ai sensi dell'Articolo 70.
Quali sono le sanzioni per le violazioni dell'Articolo 73?
Fino a 15 milioni di euro o al 3% del fatturato mondiale ai sensi dell'Articolo 99(4). La mancata segnalazione di incidenti gravi è trattata in modo analogo alle altre violazioni degli obblighi relativi all'IA ad alto rischio.
Sources
Last updated: 2026-05-28