Articolo 18 del Regolamento (UE) 2024/1689 — Conservazione della documentazione. Testo ufficiale, interpretazione pratica, obblighi principali e implicazioni per la conformità.
Sintesi del testo ufficiale
L'Articolo 18 del Regolamento (UE) 2024/1689 stabilisce obblighi obbligatori di conservazione della documentazione per i fornitori di sistemi di IA ad alto rischio classificati ai sensi dell'Allegato III o sviluppati ai sensi delle disposizioni del Titolo III, Capitolo 2. L'articolo richiede che i fornitori conservino, per un periodo di dieci anni dalla data in cui il sistema di IA ad alto rischio è immesso sul mercato o messo in servizio, un insieme specifico di documenti e registri che comprovino la conformità al Regolamento.
La documentazione che deve essere conservata include: la documentazione tecnica predisposta ai sensi dell'Articolo 11 e dell'Allegato IV; la documentazione del sistema di gestione della qualità richiesta dall'Articolo 17; la dichiarazione UE di conformità rilasciata ai sensi dell'Articolo 47; ove applicabile, la documentazione e i certificati rilasciati dagli organismi notificati a seguito delle valutazioni della conformità ai sensi dell'Articolo 43; e i piani di monitoraggio post-commercializzazione e i dati raccolti ai sensi dell'Articolo 72.
Laddove un fornitore sia stabilito al di fuori dell'Unione europea, l'obbligo di mantenere documentazione accessibile ricade congiuntamente sul fornitore e sul rappresentante autorizzato con sede nell'UE designato ai sensi dell'Articolo 22. L'articolo chiarisce inoltre che laddove il diritto settoriale dell'Unione — come il Regolamento sui dispositivi medici (UE) 2017/745 o il Regolamento sulle macchine (UE) 2023/1230 — prescriva un periodo di conservazione più lungo per registri tecnici equivalenti, si applica il requisito settoriale più rigoroso, garantendo coerenza tra i quadri normativi.
Cosa significa in pratica
Per i team di conformità e i product owner, l'Articolo 18 si traduce in un concreto programma di gestione dei documenti che deve essere progettato prima che un sistema di IA ad alto rischio raggiunga il mercato, non adeguato successivamente.
Chi è interessato. Qualsiasi soggetto giuridico che si qualifica come "fornitore" ai sensi dell'Articolo 3, paragrafo 3 — tipicamente l'organizzazione che sviluppa o fa sviluppare un sistema di IA ad alto rischio e lo immette sul mercato con il proprio nome o marchio — porta l'obbligo principale. I distributori terzi e gli importatori non sono direttamente soggetti all'Articolo 18, ma possono innescare obblighi equivalenti se modificano sostanzialmente un sistema ai sensi dell'Articolo 25.
Cosa conservare. L'obbligo copre l'intero ciclo di vita documentale: documentazione tecnica della fase di progettazione (architettura, set di dati di addestramento, valutazione dei rischi), documenti del sistema di gestione della qualità incluse le tracce di audit interno, la dichiarazione di conformità firmata, eventuali certificati di organismi notificati e il fascicolo di monitoraggio post-commercializzazione in evoluzione. Il controllo delle versioni è implicitamente richiesto perché gli aggiornamenti che costituiscono una modifica sostanziale azzerano gli obblighi di conformità e quindi il ciclo documentale.
Esempi pratici. Una società fintech che impiega un modello di credit scoring classificato ad alto rischio deve archiviare la scheda del modello, i rapporti di test sui bias, la dichiarazione di conformità e tutti i registri di incidenti post-deployment per dieci anni. Un produttore di dispositivi medici che integra uno strumento diagnostico alimentato da IA che ricade già sotto MDR deve verificare se si applica la regola di conservazione MDR di 15 anni, nel qual caso quel periodo più lungo governa.
Raccomandazione operativa. I fornitori dovrebbero implementare un sistema di gestione documentale (DMS) con accesso basato sui ruoli, calendari di conservazione automatizzati legati alle date di immissione sul mercato e una traccia di audit di chi ha acceduto o modificato i documenti — tutti elementi che supportano anche la prontezza per le ispezioni di sorveglianza del mercato ai sensi dell'Articolo 74.
Obblighi principali
- Conservare la documentazione tecnica compilata ai sensi dell'Articolo 11 e dell'Allegato IV per un minimo di 10 anni dalla data di immissione sul mercato o dalla messa in servizio del sistema di IA ad alto rischio.
- Conservare la documentazione del sistema di gestione della qualità richiesta dall'Articolo 17, inclusi i registri dei controlli interni, i risultati dei test e le azioni correttive, per lo stesso periodo di 10 anni.
- Preservare la dichiarazione UE di conformità rilasciata ai sensi dell'Articolo 47 e, ove una valutazione della conformità sia stata condotta da un organismo notificato ai sensi dell'Articolo 43, tutti i certificati e la corrispondenza correlata rilasciati da tale organismo.
- Mantenere i registri di monitoraggio post-commercializzazione raccolti conformemente al piano richiesto dall'Articolo 72, incluse le segnalazioni di incidenti e qualsiasi notifica di incidente grave presentata ai sensi dell'Articolo 73.
- Assicurarsi che la documentazione sia archiviata in modo da consentire la pronta produzione alle autorità nazionali di sorveglianza del mercato su richiesta per tutto il periodo di conservazione.
- Laddove un rappresentante autorizzato sia designato ai sensi dell'Articolo 22, tale rappresentante deve detenere una copia della documentazione ed essere abilitato a fornirla alle autorità competenti per conto del fornitore.
Relazione con altri articoli
L'Articolo 18 funge da spina dorsale archivistica del quadro di conformità per l'IA ad alto rischio e non può essere compreso in isolamento.
È a valle dell'Articolo 11 (documentazione tecnica) e dell'Allegato IV, che definiscono cosa deve essere creato; l'Articolo 18 disciplina poi per quanto tempo deve essere conservato. Dipende dall'Articolo 17 (sistema di gestione della qualità) perché i registri SGQ da esso prescritti devono essere preservati. Fa riferimento all'Articolo 47 (dichiarazione UE di conformità) e all'Articolo 43 (valutazione della conformità), i cui risultati fanno parte del fascicolo conservato.
Gli obblighi post-commercializzazione ai sensi dell'Articolo 72 (piano di monitoraggio post-commercializzazione) e dell'Articolo 73 (segnalazione di incidenti gravi) alimentano continuamente l'archivio documentale per tutto il ciclo di vita operativo del sistema. L'Articolo 74 (sorveglianza del mercato) e l'Articolo 75 (accesso ai dati e alla documentazione) sono le controparti di enforcement: gli ispettori che esercitano i poteri ai sensi di tali articoli richiederanno l'accesso esattamente ai documenti che l'Articolo 18 impone di conservare.
Per i fornitori al di fuori dell'UE, l'Articolo 22 sui rappresentanti autorizzati deve essere letto insieme all'Articolo 18 per determinare quale soggetto detiene i documenti fisici o elettronici all'interno dell'Unione.
Calendario di conformità
L'AI Act UE è entrato in vigore il 1° agosto 2024, avviando il calendario di applicazione graduale.
L'Articolo 18 rientra nel Titolo III, Capitolo 3, che disciplina gli obblighi per i fornitori e i deployer di sistemi di IA ad alto rischio elencati nell'Allegato III. Tali disposizioni si applicano dal 2 agosto 2026 — la data generale di applicazione per l'IA ad alto rischio, 24 mesi dopo l'entrata in vigore.
Per i sistemi di IA ad alto rischio coperti dalla legislazione settoriale elencata nell'Allegato I (es. macchinari, dispositivi medici, aviazione civile), il termine è prorogato al 2 agosto 2027, 36 mesi dopo l'entrata in vigore, in considerazione della necessità di allinearsi ai quadri di conformità settoriali esistenti.
I fornitori devono notare che l'orologio di conservazione di 10 anni inizia a decorrere dal momento in cui un sistema è immesso sul mercato o messo in servizio — il che può avvenire alla data di applicazione applicabile o poco dopo. Gli obblighi documentali hanno quindi effetto dalla stessa data in cui gli obblighi ad alto rischio nel loro complesso diventano eseguibili. Le organizzazioni che prevedono di immettere sistemi sul mercato in prossimità della data di agosto 2026 dovrebbero avere la propria infrastruttura di gestione dei documenti operativa in anticipo, poiché la documentazione tecnica ai sensi dell'Articolo 11 deve esistere prima del completamento della valutazione della conformità.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
I fornitori devono conservare la documentazione tecnica redatta ai sensi dell'Articolo 11, la dichiarazione UE di conformità, la documentazione del sistema di gestione della qualità richiesta dall'Articolo 17, qualsiasi decisione e documento rilasciato dagli organismi notificati, nonché le relazioni di monitoraggio post-commercializzazione. Tali documenti devono essere conservati per un periodo di 10 anni dopo che il sistema di IA ad alto rischio è stato immesso sul mercato o messo in servizio.
L'Articolo 18 impone obblighi di conservazione della documentazione principalmente ai fornitori. Tuttavia, i deployer hanno obblighi separati ai sensi dell'Articolo 26, inclusa la conservazione dei registri generati automaticamente dai sistemi di IA ad alto rischio nella misura in cui tali registri siano sotto il loro controllo. I due obblighi sono complementari e devono essere letti congiuntamente.
Il periodo generale di conservazione è di 10 anni dalla data in cui il sistema di IA ad alto rischio è immesso sul mercato o messo in servizio. Laddove il diritto settoriale dell'Unione imponga un periodo di conservazione più lungo, prevale il requisito settoriale più rigoroso.
La documentazione deve essere conservata in modo da poter essere messa a disposizione delle autorità nazionali competenti su richiesta per tutta la durata del periodo di conservazione. Non esiste un requisito esplicito che i documenti siano tenuti in un paese specifico, ma i fornitori devono essere in grado di produrli tempestivamente all'autorità di sorveglianza del mercato di qualsiasi Stato membro in cui il sistema è impiegato.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.