Articolo 17 — Sistema di gestione della qualità (Regolamento UE sull'IA)

Articolo 17 del Regolamento (UE) 2024/1689 — Sistema di gestione della qualità. Testo ufficiale, interpretazione pratica, obblighi fondamentali e implicazioni per la conformità.

Sintesi del testo ufficiale

L'articolo 17 del Regolamento (UE) 2024/1689 richiede ai fornitori di sistemi di IA ad alto rischio di istituire un sistema di gestione della qualità (SGQ) prima di immettere tali sistemi sul mercato o di metterli in servizio. Il SGQ deve essere documentato in modo sistematico e ordinato e deve coprire tutte le fasi del ciclo di vita del sistema di IA.

Il regolamento specifica che il SGQ deve affrontare, come minimo: la strategia del fornitore per la conformità normativa, incluse le procedure di valutazione della conformità; le tecniche, le procedure e le azioni sistematiche utilizzate per la progettazione, il controllo della progettazione e la verifica del sistema di IA; le procedure di gestione dei dati che coprono l'acquisizione, la raccolta, l'analisi, l'etichettatura, la conservazione, il filtraggio, l'estrazione, l'aggregazione e la conservazione dei dati; il sistema di gestione del rischio previsto dall'articolo 9; l'istituzione e l'attuazione del sistema di monitoraggio post-commercializzazione in conformità dell'articolo 72; le procedure per la segnalazione degli incidenti in linea con l'articolo 73; la gestione delle comunicazioni con le autorità competenti, gli organismi notificati e altri operatori rilevanti; i sistemi e le procedure per la tenuta dei registri; la gestione delle risorse, incluse le misure relative alla catena di approvvigionamento; e un quadro di responsabilità che documenta le responsabilità nell'intera organizzazione.

Qualora i fornitori siano persone fisiche o microimprese ai sensi della raccomandazione 2003/361/CE della Commissione, quest'ultima è abilitata ad adottare atti di esecuzione che consentano accordi SGQ semplificati, riconoscendo il principio di proporzionalità che percorre l'intero regolamento.

Cosa significa nella pratica

Per qualsiasi organizzazione che sviluppa o immette un sistema di IA ad alto rischio sul mercato dell'UE, l'articolo 17 significa che la conformità non può essere un esercizio una tantum condotto al momento del rilascio. Deve essere incorporata in un sistema organizzativo dinamico che governa l'intero ciclo di vita del prodotto — dalle decisioni iniziali di progettazione attraverso il deployment, il monitoraggio e l'eventuale dismissione.

In termini concreti, un fornitore deve essere in grado di dimostrare che procedure documentate esistono e sono seguite in ogni fase. Un fornitore di IA sanitaria, per esempio, non può semplicemente addestrare un modello e sottoporlo alla valutazione della conformità. L'organizzazione deve dimostrare che l'acquisizione dei dati ha seguito regole di governance documentate, che le scelte progettuali sono state esaminate rispetto a criteri di rischio, che le responsabilità di supervisione sono assegnate e registrate, e che esiste un meccanismo per rilevare e segnalare gli incidenti post-deployment.

Il requisito del SGQ significa che la conformità è tanto una sfida organizzativa e procedurale quanto tecnica. Le aziende che già operano sotto ISO 9001 o quadri di gestione settoriali — come l'ISO 13485 per i dispositivi medici — troveranno sovrapposizioni significative, ma dovranno comunque mappare esplicitamente i propri sistemi esistenti rispetto ai requisiti dell'AI Act piuttosto che presumere un'equivalenza.

I fornitori più piccoli beneficiano della disposizione di proporzionalità: le microimprese possono qualificarsi per accordi semplificati ai sensi degli atti di esecuzione emessi dalla Commissione. Tuttavia, questo non li esonera dagli obblighi sostanziali sottostanti; può solo incidere sulla forma in cui tali obblighi vengono documentati e gestiti.

In pratica, i fornitori dovrebbero considerare il SGQ come la colonna portante centrale da cui tutti gli altri artefatti di conformità — documentazione tecnica, registri dei rischi, piani di monitoraggio post-commercializzazione, registri degli incidenti — vengono generati e gestiti.

Obblighi fondamentali

Istituire un sistema di gestione della qualità documentato prima di immettere un sistema di IA ad alto rischio sul mercato o di metterlo in servizio, coprendo tutte le fasi del ciclo di vita.
Integrare le procedure di gestione del rischio richieste dall'articolo 9 nel SGQ, garantendo che l'identificazione, la valutazione e la mitigazione del rischio siano sistematiche e tracciabili.
Documentare le pratiche di gestione dei dati che coprono l'acquisizione, l'etichettatura, l'elaborazione, la conservazione e la ritenzione, coerentemente con i requisiti di governance dei dati dell'articolo 10.
Mantenere la documentazione tecnica specificata nell'articolo 11 e nell'Allegato IV come output del SGQ, mantenendola aggiornata e accessibile ai fini della valutazione della conformità e della sorveglianza del mercato.
Implementare procedure di monitoraggio post-commercializzazione e di segnalazione degli incidenti all'interno del quadro del SGQ, allineate rispettivamente agli articoli 72 e 73.
Definire e documentare le strutture di responsabilità, i ruoli e le responsabilità nell'intera organizzazione, inclusa la supervisione della catena di approvvigionamento quando componenti di terze parti contribuiscono al sistema di IA.

Rapporto con altri articoli

L'articolo 17 funziona come la spina dorsale organizzativa del regime di conformità dei sistemi di IA ad alto rischio istituito nel Titolo III, Capo 3. Trae il suo contenuto sostanziale da molteplici obblighi interconnessi: il sistema di gestione del rischio dell'articolo 9, i requisiti sui dati e sulla governance dei dati dell'articolo 10, e il regime di documentazione tecnica dell'articolo 11 confluiscono direttamente in ciò che il SGQ deve coprire e produrre.

Il SGQ deve inoltre supportare le procedure di valutazione della conformità degli articoli 43 e 44, poiché la documentazione che genera costituisce la prova principale esaminata dagli organismi notificati o dai processi di autovalutazione. Gli obblighi post-deployment ai sensi dell'articolo 72 (monitoraggio post-commercializzazione) e dell'articolo 73 (segnalazione di incidenti gravi) devono essere incorporati nelle procedure del SGQ piuttosto che gestiti come attività ad hoc separate.

L'articolo 26 impone obblighi ai deployer che sono distinti ma complementari agli obblighi del SGQ sui fornitori. Dove fornitori e deployer si sovrappongono — per esempio, dove un'organizzazione sviluppa e implementa internamente un sistema di IA ad alto rischio — il SGQ dell'articolo 17 deve essere letto insieme agli obblighi del deployer dell'articolo 26 per garantire una copertura completa.

Calendario di conformità

Il Regolamento UE sull'IA è entrato in vigore il 1° agosto 2024, a seguito della pubblicazione nella Gazzetta ufficiale dell'Unione europea. L'applicazione delle sue disposizioni è scaglionata:

Febbraio 2025 — Sono diventati applicabili i divieti sulle pratiche di IA a rischio inaccettabile (articolo 5).
Agosto 2025 — Sono diventati applicabili gli obblighi relativi ai modelli di IA per uso generale (Titolo VIII).
2 agosto 2026 — L'articolo 17 diventa applicabile ai fornitori di sistemi di IA ad alto rischio elencati nell'Allegato III (sistemi in settori quali biometria, infrastrutture critiche, istruzione, occupazione, servizi essenziali, applicazione della legge, migrazione e amministrazione della giustizia).
2 agosto 2027 — L'articolo 17 diventa applicabile ai fornitori di sistemi di IA ad alto rischio disciplinati dall'Allegato I (componenti IA in prodotti già soggetti alla legislazione di armonizzazione dell'Unione come dispositivi medici, macchinari e attrezzature aeronautiche).

I fornitori i cui sistemi sono già sul mercato prima di tali date beneficiano di disposizioni transitorie ai sensi dell'articolo 111, che possono differire gli obblighi di piena conformità SGQ soggetti a condizioni relative a modifiche significative e cicli di valutazione della conformità in corso. Le organizzazioni dovrebbero iniziare la progettazione del SGQ e le valutazioni dei gap con largo anticipo rispetto alla scadenza applicabile per consentire la validazione interna, il coinvolgimento degli organismi notificati ove necessario e il perfezionamento iterativo prima che l'obbligo si applichi.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-23 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Chi è tenuto a istituire un sistema di gestione della qualità ai sensi dell'articolo 17?

L'articolo 17 impone l'obbligo del sistema di gestione della qualità esclusivamente ai fornitori di sistemi di IA ad alto rischio come definiti all'articolo 6 e nell'Allegato III del Regolamento (UE) 2024/1689. I deployer non sono soggetti a questo specifico obbligo, sebbene abbiano doveri distinti ai sensi dell'articolo 26.

Cosa deve includere un sistema di gestione della qualità ai sensi dell'articolo 17?

Il SGQ deve coprire almeno: una strategia per la conformità normativa, metodologie di progettazione e sviluppo, procedure di gestione dei dati, la gestione del rischio come richiesta dall'articolo 9, la documentazione tecnica ai sensi dell'articolo 11, la tenuta di registri e la conservazione della documentazione, il monitoraggio post-commercializzazione ai sensi dell'articolo 72, gli obblighi di segnalazione degli incidenti e le disposizioni per la supervisione umana.

L'articolo 17 richiede un sistema di gestione della qualità certificato come l'ISO 9001?

L'articolo 17 non impone alcuno standard di certificazione specifico. Tuttavia, la conformità a standard riconosciuti come l'ISO 9001 o equivalenti settoriali può contribuire a dimostrare la conformità, in particolare quando le norme armonizzate ai sensi dell'articolo 40 incorporano requisiti del SGQ.

Qual è il rapporto tra il sistema di gestione della qualità e la documentazione tecnica?

Il SGQ e la documentazione tecnica sono strettamente collegati. Il SGQ deve generare e mantenere la documentazione tecnica richiesta dall'articolo 11 e dall'Allegato IV, e la documentazione stessa serve come prova principale del corretto funzionamento del SGQ durante la valutazione della conformità.

Quando diventa applicabile l'articolo 17?

L'articolo 17 si applica ai fornitori di sistemi di IA ad alto rischio elencati nell'Allegato III a partire dal 2 agosto 2026, e ai fornitori di sistemi di IA ad alto rischio disciplinati dall'Allegato I (legislazione settoriale di armonizzazione dell'Unione) a partire dal 2 agosto 2027, fatte salve le disposizioni transitorie dell'articolo 111.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.