Articolo 21 del Regolamento (UE) 2024/1689 — Cooperazione con le autorità competenti. Testo ufficiale, interpretazione pratica, obblighi principali e implicazioni per la conformità.
Sintesi del testo ufficiale
L'articolo 21 del Regolamento (UE) 2024/1689 (il Regolamento UE sull'IA) stabilisce un obbligo generale per i fornitori di sistemi di IA ad alto rischio di cooperare con le autorità nazionali competenti su richiesta. Ai sensi di tale disposizione, i fornitori — e, ove applicabile, i loro rappresentanti autorizzati — devono fornire alle autorità competenti tutte le informazioni e la documentazione necessarie per dimostrare che il sistema di IA ad alto rischio in questione è conforme ai requisiti di cui al Capo 2 del Titolo III. Tale obbligo di cooperazione si estende alla concessione dell'accesso al sistema di IA stesso laddove l'autorità competente ritenga tale accesso necessario per adempiere ai propri doveri di vigilanza o di sorveglianza del mercato.
L'articolo opera nell'ambito del più ampio quadro di sorveglianza del mercato del Regolamento e deve essere letto in combinato disposto con i poteri di vigilanza conferiti alle autorità nazionali ai sensi del Titolo X. Non crea un obbligo di divulgazione proattiva nel normale corso degli affari; piuttosto, si attiva su richiesta formale o informale di un organismo di vigilanza. L'obbligo è incondizionato nella portata: i fornitori non possono rifiutare la cooperazione adducendo ragioni di riservatezza commerciale, segreto industriale o preoccupazioni proprietarie, sebbene il Regolamento preveda salvaguardie distinte per il trattamento delle informazioni riservate da parte delle autorità. L'articolo 21 funziona effettivamente come il collegamento tra gli obblighi di conformità imposti ai fornitori e la capacità di applicazione dell'infrastruttura normativa istituita dagli Stati membri e dall'Ufficio europeo per l'IA.
Cosa significa nella pratica
Per i fornitori di sistemi di IA ad alto rischio, l'articolo 21 richiede che sia mantenuta in ogni momento una postura di conformità strutturata e pronta per l'audit — non solo al momento della valutazione della conformità. Quando un'autorità nazionale di sorveglianza del mercato, un organismo notificato che agisce per delega o l'Ufficio europeo per l'IA avvia un'indagine, il fornitore deve essere in grado di rispondere prontamente con documentazione tecnica completa, risultati della valutazione di conformità, registrazioni di gestione del rischio e dati di monitoraggio post-commercializzazione.
Chi è interessato. I fornitori che immettono sistemi di IA ad alto rischio (elencati nell'Allegato III o contemplati dalla legislazione settoriale dell'Allegato I) sul mercato UE sono i principali soggetti obbligati. I rappresentanti autorizzati che agiscono per conto di fornitori di paesi terzi hanno lo stesso obbligo nell'ambito del loro mandato. I deployer non sono i principali destinatari dell'articolo 21, ma possono essere coinvolti in procedure di cooperazione qualora i loro dati operativi o l'accesso al sistema dispiegato siano richiesti da un'autorità.
Esempi concreti. Un produttore di dispositivi medici che integra uno strumento diagnostico basato sull'IA deve, su richiesta, consegnare il fascicolo tecnico completo, comprensivo delle descrizioni dei dati di addestramento, dei protocolli di validazione e dei registri di monitoraggio post-dispiegamento. Un selezionatore del personale che utilizza uno strumento di screening dei CV assistito da IA classificato come ad alto rischio ai sensi dell'Allegato III deve facilitare l'accesso dell'autorità alla logica decisionale del sistema e ai parametri di configurazione qualora venga aperta un'indagine.
Preparazione operativa. Le organizzazioni dovrebbero designare una funzione di collegamento regolatorio, mantenere una documentazione tecnica sotto controllo di versione e stabilire un protocollo interno per le richieste delle autorità, comprensivo di tempistiche di revisione legale che non ostacolino la cooperazione tempestiva.
Obblighi principali
- Fornire documentazione su richiesta. I fornitori devono mettere a disposizione delle autorità competenti tutte le informazioni e la documentazione tecnica necessarie per valutare la conformità al Capo 2 del Titolo III, incluso il fascicolo tecnico richiesto ai sensi dell'articolo 11 e i registri tenuti ai sensi dell'articolo 12.
- Consentire l'accesso al sistema di IA. Quando un'autorità competente determina che l'ispezione o l'interazione con il sistema di IA è necessaria, i fornitori devono facilitare tale accesso senza indugio ingiustificato o ostruzione.
- Cooperare tramite rappresentanti autorizzati. I fornitori di paesi terzi devono assicurarsi che il loro rappresentante autorizzato stabilito nell'UE sia abilitato ad adempiere pienamente agli obblighi di cooperazione per loro conto, come previsto dall'articolo 22.
- Mantenere le informazioni in forma recuperabile. L'utilità pratica dell'articolo 21 dipende dal fatto che la documentazione sia aggiornata, accurata e recuperabile. I fornitori non devono consentire che i registri tecnici diventino obsoleti o inaccessibili al momento in cui viene ricevuta una richiesta.
- Astenersi dall'ostruzione. Qualsiasi atto od omissione che impedisca, ritardi o vanifichi un'indagine di vigilanza — compresi la divulgazione selettiva, la distruzione di registri o la sottrazione di credenziali di accesso — costituisce una violazione dell'articolo 21 e può comportare sanzioni ai sensi dell'articolo 99.
- Estendere la cooperazione alle attività di sorveglianza post-commercializzazione. La cooperazione ai sensi dell'articolo 21 non si limita ai controlli di conformità precedenti all'immissione sul mercato; comprende la sorveglianza continua per tutto il ciclo di vita del sistema di IA ad alto rischio.
Relazione con altri articoli
L'articolo 21 si colloca all'intersezione tra gli obblighi dei fornitori e l'applicazione normativa e non può essere letto in isolamento. Dipende direttamente dall'articolo 11 (documentazione tecnica) e dall'articolo 12 (conservazione dei registri e registrazione), poiché tali disposizioni definiscono il corpus di informazioni che un fornitore deve essere in grado di fornire. Si collega all'articolo 17 (sistema di gestione della qualità), che disciplina i processi organizzativi alla base della prontezza documentale. L'articolo 22 (rappresentanti autorizzati) operazionalizza l'articolo 21 per i fornitori di paesi terzi designando chi porta gli obblighi di cooperazione nell'UE. Sul fronte dell'applicazione, l'articolo 21 si inserisce nel regime di sorveglianza del mercato del Titolo X (articoli 74-76), nei poteri dell'Ufficio europeo per l'IA ai sensi del Titolo VIII, e nel quadro sanzionatorio dell'articolo 99, che collega sanzioni alla mancata cooperazione. L'articolo 9 (gestione del rischio) è anch'esso rilevante, poiché le autorità possono verificare se i registri di identificazione e mitigazione del rischio siano adeguati. La lettura dell'articolo 21 congiuntamente agli articoli 13 (trasparenza) e 14 (supervisione umana) offre un quadro completo del contesto informativo che i fornitori devono mantenere.
Calendario di conformità
Il Regolamento UE sull'IA è entrato in vigore il 1° agosto 2024, venti giorni dopo la pubblicazione nella Gazzetta Ufficiale. Le sue disposizioni si applicano secondo un calendario progressivo:
- 2 febbraio 2025 — Sono diventati applicabili i divieti sulle pratiche di IA a rischio inaccettabile (Titolo II). L'articolo 21 stesso non era ancora in vigore per i sistemi ad alto rischio.
- 2 agosto 2025 — Sono diventate applicabili le disposizioni sui modelli di IA per uso generale (Titolo VIII) e gli obblighi dell'Ufficio europeo per l'IA.
- 2 agosto 2026 — L'articolo 21, insieme all'intero insieme di obblighi del Titolo III per i sistemi di IA ad alto rischio elencati nell'Allegato III (diversi da quelli coperti dalla precedente legislazione settoriale), diventa applicabile. I fornitori i cui sistemi rientrano in questa categoria devono essere pienamente pronti alla cooperazione entro questa data.
- 2 agosto 2027 — I sistemi di IA ad alto rischio disciplinati dalla legislazione di armonizzazione dell'Unione elencata nell'Allegato I (ad esempio, dispositivi medici, macchinari, aviazione) che sono già soggetti a procedure di valutazione della conformità hanno tempo fino a questa data prima che si applichino i pieno gli obblighi del Regolamento sull'IA ad alto rischio, incluso l'articolo 21, ai prodotti preesistenti.
I fornitori dovrebbero trattare il periodo precedente alla loro data di applicazione non come un periodo di grazia, bensì come tempo di implementazione: la documentazione tecnica, l'infrastruttura di registrazione e i protocolli di cooperazione interni devono essere operativi ben prima della scadenza.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
L'articolo 21 si applica principalmente ai fornitori di sistemi di IA ad alto rischio, nonché ai loro rappresentanti autorizzati stabiliti nell'UE. Anche i deployer possono essere soggetti a obblighi di cooperazione quando le autorità competenti richiedono informazioni o accesso rilevanti a un sistema di IA ad alto rischio dispiegato.
I fornitori devono fornire alle autorità competenti tutte le informazioni e la documentazione richieste per dimostrare la conformità ai requisiti del Titolo III, Capo 2. Ciò include l'accesso alla documentazione tecnica, ai registri e ai risultati dei test. La cooperazione deve essere tempestiva e completa — trattenere informazioni rilevanti o ostacolare un'indagine costituisce una violazione dell'articolo 21.
I sistemi di IA ad alto rischio immessi sul mercato o messi in servizio prima delle date di applicazione pertinenti possono beneficiare di disposizioni transitorie, ma una volta scaduti tali periodi si applicano pienamente gli obblighi di cooperazione. I fornitori non devono presumere che i sistemi preesistenti siano esenti dal controllo di vigilanza.
Sì. L'articolo 21 è sufficientemente ampio da comprendere le richieste di accesso al sistema di IA, ai suoi componenti e al suo ambiente operativo, ove ciò sia necessario affinché l'autorità adempia al proprio mandato di vigilanza. I fornitori devono essere preparati a forme di cooperazione sia documentale sia tecnica.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.