Accredia / Norme e Leggi / Intelligenza Artificiale e semplificazione dei controlli

Intelligenza Artificiale e semplificazione dei controlli

Punto Normativo
31 luglio 2024

Disposizioni che interessano l’Infrastruttura per la Qualità:

  • Intelligenza Artificiale – Regolamento UE 2024/1689 – AI Act
  • Semplificazioni dei controlli – D.Lgs. 103/2024

 


Intelligenza Artificiale – Regolamento UE 2024/1689 – AI Act


E’ stato pubblicato (GU UE L del 12 luglio scorso) il Regolamento UE 2024/1689, cosiddetto AI Act, che stabilisce regole armonizzate sull’Intelligenza Artificiale (IA), che ha l’obiettivo di promuovere lo sviluppo di una IA sicura, affidabile e umano-centrica. Il Regolamento si applicherà dal 2 agosto 2026, mentre le norme relative ai sistemi ad alto rischio si applicheranno dal 2 agosto 2027.

A tal fine, i sistemi di IA sono classificati in base al rischio che potrebbe essere generato dal loro utilizzo: rischio inaccettabile, rischio alto, rischio basso o minimo. Sono vietati i sistemi con rischio inaccettabile, quali i sistemi utilizzati per inferire le emozioni di una persona fisica nell’ambito del luogo di lavoro e degli istituti di istruzione.

Sistemi ad alto rischio

Un sistema di IA viene considerato ad alto rischio se sono soddisfatte entrambe le seguenti condizioni:

  1. il sistema di IA è destinato a essere utilizzato come componente di sicurezza di un prodotto, o il sistema di IA è esso stesso un prodotto, disciplinato dalla normativa di armonizzazione dell’UE elencata nell’Allegato I, che si basa sul cd “nuovo quadro legislativo”.
  2. b) il prodotto, il cui componente di sicurezza a norma della lettera a) è il sistema di IA, o il sistema di IA stesso in quanto prodotto, è soggetto a una valutazione della conformità da parte di terzi ai fini dell’immissione sul mercato o della messa in servizio di tale prodotto ai sensi della normativa di armonizzazione dell’UE elencata nell’Allegato I.

Rientrano nella categoria “alto rischio” anche i sistemi elencati all’Allegato III, a meno che non sia dimostrata l’assenza di un rischio significativo di danno per la salute, la sicurezza o i diritti fondamentali delle persone fisiche (art. 6).

I sistemi alto rischio dovranno rispettare specifici requisiti, tra i quali, a titolo esemplificativo, la robustezza, la cibersicurezza, la trasparenza, il controllo umano. Tali requisiti saranno ulteriormente dettagliati grazie alla normazione tecnica, attualmente in fase di sviluppo (artt. 8-15).

La conformità al Regolamento dovrà essere dimostrata tramite una delle procedure di valutazione della conformità descritte (art. 43).

In particolare, per i sistemi di IA ad alto rischio disciplinati dalla normativa di armonizzazione dell’UE elencata nell’Allegato I, sezione A, il fornitore segue la pertinente procedura di valutazione della conformità prevista da tali atti giuridici.  Tra gli atti giuridici ricadenti in tale Allegato, rientrano, a titolo esemplificativo, la Direttiva giocattoli, i Regolamenti sui dispositivi medici e i dispositivi medici in vitro, la Direttiva sugli ascensori.

Per i sistemi di cui al punto I dell’Allegato III (afferenti alla biometrica), il fornitore potrà scegliere se applicare:

  • la procedura di controllo interno della conformità (dettagliata all’Allegato VI)
  • la procedura di conformità basata su una valutazione del sistema di gestione della qualità e su una valutazione della documentazione tecnica (Allegato VII), che prevede il coinvolgimento di un organismo notificato.

Organismi accreditati e notificati

La procedura di conformità di cui all’Allegato VII dovrà obbligatoriamente essere applicata nei seguenti casi:

  1. a) non esistono le norme armonizzate e non sono disponibili le specifiche comuni
  2. b) il fornitore non ha applicato la norma armonizzata o ne ha applicato solo una parte
  3. c) esistono le specifiche comuni di cui alla lettera a), ma il fornitore non le ha applicate
  4. d) una o più norme armonizzate di cui alla lettera a) sono state pubblicate con una limitazione e soltanto sulla parte della norma che è oggetto di limitazione.

Per gli altri sistemi di IA di cui all’Allegato III, invece, è previsto il ricorso alla procedura di controllo interno (Allegato VI).

Ultimata la procedura di valutazione della conformità, in caso di esito positivo, potrà essere apposta la marcatura CE. Il marchio potrà essere apposto sull’imballaggio o sui documenti di accompagnamento dei sistemi di IA o digitalmente.

Per ottenere la qualifica di organismi notificati, gli organismi di valutazione della conformità dovranno dimostrare il possesso di requisiti di competenza, imparzialità e indipendenza dettagliati nel Regolamento e, a tal fine, potranno allegare un certificato di accreditamento rilasciato da un Ente nazionale di accreditamento.  L’accreditamento, oltre a fornire garanzie sugli organismi, riduce altresì il tempo entro il quale la Commissione o gli Stati membri possono sollevare obiezioni circa la notifica.

Prove e laboratori

Nelle premesse del Regolamento, inoltre, si sottolinea come sia opportuno che la Commissione europea agevoli, nella misura del possibile, l’accesso agli impianti di prova e sperimentazione di organismi, gruppi o laboratori istituiti o accreditati a norma di qualsiasi pertinente normativa di armonizzazione dell’UE che assolvono compiti nel contesto della valutazione della conformità di prodotti o dispositivi contemplati da tale normativa di armonizzazione dell’UE. Ciò vale in particolare per quanto riguarda i gruppi di esperti, i laboratori specializzati e i laboratori di riferimento nel settore dei dispositivi medici a norma dei Regolamenti UE 2017/745 e UE 2017/746.

Per i sistemi rientranti nelle altre classi di rischio non è prevista una specifica procedura di valutazione della conformità.

 


Semplificazioni dei controlli – D.Lgs. 103/2024


E’ stato pubblicato (GU n. 167 del 18 luglio scorso) il D.Lgs. 03/2024 “Semplificazione dei controlli sulle attività economiche, in attuazione della delega al Governo di cui all’articolo 27, comma 1, della legge 5 agosto 2022, n. 118”.

L’obiettivo del Decreto è razionalizzare i controlli della Pubblica Amministrazione, orientandoli verso i soggetti che presentano maggiori profili di rischio.

Al tal fine, è istituito un sistema di identificazione e gestione del rischio su base volontaria, riferito ai seguenti ambiti omogenei:

  1. a) Protezione ambientale
  2. b) Igiene e salute pubblica
  3. c) Sicurezza pubblica
  4. d) Tutela della fede pubblica
  5. e) Sicurezza dei lavoratori

Per ciascuno degli ambiti, l’Ente di normazione italiano (UNI) dovrà elaborare Prassi di Riferimento o norme tecniche, che saranno successivamente approvate con Decreto del Ministro delle Imprese e del Made in Italy, sentite le altre Amministrazioni interessate, al fine di definire “un livello di rischio basso al quale è associabile un Report certificativo”.

Nella determinazione del livello di rischio basso sono presi in considerazione diversi parametri, tra cui:

  1. a) il possesso di almeno una certificazione del sistema di gestione, rilasciata da un organismo di certificazione accreditato ai sensi del Regolamento CE 765/2008 del 9 luglio 2008
  2. b) altre certificazioni, analogamente rilasciate sotto accreditamento, riconducibili ai principi ESG (Environmental, Social , Governance)
  3. c) l’esito dei controlli subiti nei precedenti tre anni di attività
  4. d) il settore economico in cui opera il soggetto controllato
  5. e) le caratteristiche e la dimensione dell’attività economica svolta dal soggetto controllato.

Il report certificativo sarà rilasciato, su istanza dei soggetti interessati, da organismi di certificazione, ispezione, validazione o verifica, accreditati presso l’Organismo nazionale di accreditamento riconosciuto e firmatario degli Accordi di mutuo riconoscimento (MLA) dell’Associazione di cooperazione europea per l’accreditamento (EA).

Dopo il rilascio del certificato, le imprese saranno sottoposte ad audit periodici, volti a valutare il mantenimento dei requisiti previsti dalla norma di riferimento.

Nei confronti dei soggetti in possesso del report di basso rischio le Amministrazioni programmeranno ed effettueranno i controlli ordinari non più di una volta l’anno, fatte salve le eccezioni previste dal comma 3 dell’art. 5 (es. controlli per la sicurezza sui luoghi di lavoro).

Tra gli obiettivi del provvedimento vi è anche il rafforzamento dell’utilizzo del fascicolo informatico d’impresa.