Articolo 32 del Regolamento (UE) 2024/1689 — Presunzione di conformità degli organismi notificati. Testo ufficiale, interpretazione pratica, obblighi principali e implicazioni per la conformità.
Sintesi del testo ufficiale
L'articolo 32 del Regolamento (UE) 2024/1689 stabilisce una presunzione di conformità per gli organismi notificati che applicano norme armonizzate adottate ai sensi del diritto dell'Unione europea. Nello specifico, quando un organismo di valutazione della conformità dimostra la conformità ai criteri stabiliti nelle norme armonizzate — o nelle parti pertinenti di tali norme — i cui riferimenti sono stati pubblicati nella Gazzetta ufficiale dell'Unione europea, si presume che tale organismo soddisfi i requisiti stabiliti all'articolo 31, nella misura in cui le norme armonizzate applicabili coprono tali requisiti.
L'articolo 31 stabilisce i criteri sostanziali che un organismo di valutazione della conformità deve soddisfare prima che l'autorità di notifica di uno Stato membro possa notificarlo alla Commissione europea: indipendenza, competenza tecnica, imparzialità, solidità finanziaria, copertura della responsabilità, obblighi di riservatezza e appropriate strutture di governance interna. L'articolo 32 crea un percorso probatorio semplificato attraverso il quale un organismo può dimostrare la conformità a tali criteri facendo riferimento a norme armonizzate pubblicate, piuttosto che richiedere una valutazione caso per caso di ciascun criterio a partire dai principi fondamentali.
La presunzione è confutabile e condizionale: si applica solo nella misura in cui le norme armonizzate in questione coprono effettivamente i pertinenti requisiti dell'articolo 31. Dove esistono lacune — sia perché non è stata pubblicata alcuna norma sia perché una norma non affronta un requisito particolare — la conformità deve essere dimostrata attraverso altre prove. L'articolo funziona quindi come una scorciatoia di conformità all'interno di un quadro più ampio di responsabilità sostanziale, preservando l'integrità del sistema degli organismi notificati e riducendo al contempo le frizioni amministrative per gli organismi di valutazione ben governati.
Cosa significa in pratica
L'articolo 32 è rilevante principalmente per gli organismi di valutazione della conformità che cercano lo status di notifica ai sensi del Regolamento UE sull'IA e per le autorità di notifica nazionali che valutano le loro domande.
Per un organismo di valutazione della conformità che desidera agire come organismo notificato per i sistemi di IA ad alto rischio, il percorso pratico ai sensi dell'articolo 32 è in linea di principio semplice: identificare le norme armonizzate i cui riferimenti la Commissione ha pubblicato nella Gazzetta ufficiale, dimostrare la conformità a tali norme — tipicamente attraverso l'accreditamento da parte di un organismo nazionale di accreditamento che opera ai sensi del Regolamento (CE) n. 765/2008 — e beneficiare della presunzione quando l'autorità di notifica esamina la domanda ai sensi dell'articolo 28 e seguenti.
In pratica, la norma armonizzata più rilevante per gli organismi di valutazione della conformità che operano nel settore dell'IA è probabilmente la ISO/IEC 17065 (per gli organismi di certificazione dei prodotti) o la ISO/IEC 17020 (per gli organismi di ispezione), insieme a qualsiasi norma armonizzata specifica per l'IA che la Commissione sviluppa e a cui fa riferimento ai sensi dell'articolo 40. Fino alla pubblicazione di norme armonizzate specifiche per l'IA, gli organismi devono fare affidamento sulle norme esistenti e dimostrare come si mappano ai criteri dell'articolo 31.
Per le autorità di notifica — gli organismi nazionali designati ai sensi dell'articolo 28 — l'articolo 32 semplifica il carico di valutazione. Quando un organismo di valutazione della conformità presenta certificati di accreditamento validi rispetto alle norme armonizzate pubblicate, l'autorità può considerare soddisfatti i requisiti coperti senza effettuare una verifica indipendente di ciascun criterio. Ciò non elimina gli obblighi di vigilanza: le autorità di notifica mantengono i doveri di monitoraggio ai sensi dell'articolo 33 e devono agire se un organismo notificato non mantiene successivamente la conformità.
Per i fornitori di sistemi di IA ad alto rischio, l'articolo 32 è indirettamente importante: rafforza la fiducia che gli organismi notificati che valutano i loro sistemi siano stati verificati rispetto a standard rigorosi e pubblicamente noti.
Obblighi principali
- Un organismo di valutazione della conformità che desidera beneficiare della presunzione dell'articolo 32 deve dimostrare la conformità effettiva alle norme armonizzate pubblicate, non semplicemente dichiararla — l'accreditamento da parte di un organismo nazionale di accreditamento è il percorso standard per sostanziare tale conformità.
- La presunzione si applica solo nella misura in cui le norme armonizzate coprono i requisiti specifici dell'articolo 31 in questione; gli organismi devono dimostrare separatamente la conformità a qualsiasi requisito non affrontato dalle norme disponibili.
- Le autorità di notifica devono riconoscere la presunzione quando valutano le domande di notifica, ma mantengono il diritto e il dovere di confutarla se le prove indicano una non conformità ai requisiti sottostanti dell'articolo 31.
- Gli organismi notificati devono mantenere una conformità continua alle norme armonizzate applicabili per tutto il periodo di notifica, non solo al momento della valutazione iniziale.
- Quando la Commissione non ha ancora pubblicato i riferimenti alle pertinenti norme armonizzate nella Gazzetta ufficiale, gli organismi di valutazione della conformità devono dimostrare la conformità ai requisiti dell'articolo 31 attraverso prove alternative e verificabili.
- La Commissione deve pubblicare i riferimenti alle pertinenti norme armonizzate nella Gazzetta ufficiale dell'Unione europea affinché il meccanismo di presunzione dell'articolo 32 sia operativamente disponibile.
Relazione con altri articoli
L'articolo 32 non può essere letto isolatamente dal quadro del Capo 4 circostante. Il suo referente diretto è l'articolo 31, che elenca i requisiti sostanziali per gli organismi notificati; l'articolo 32 riguarda esclusivamente il meccanismo probatorio per soddisfare tali requisiti e non ha contenuto sostanziale indipendente.
L'articolo 28 istituisce le autorità di notifica responsabili della valutazione e della notifica degli organismi di valutazione della conformità, e tali autorità sono i principali attori che applicano o rifiutano di applicare la presunzione dell'articolo 32 durante le procedure di notifica disciplinate dagli articoli 29 e 30.
L'articolo 33 disciplina gli obblighi operativi degli organismi notificati una volta designati, comprese le obbligazioni di cooperazione con le autorità di notifica che sono rilevanti quando la presunzione deve essere mantenuta nel tempo. L'articolo 40 — che stabilisce il regime delle norme armonizzate per il Regolamento IA in senso più ampio — è il meccanismo attraverso il quale la Commissione sviluppa e fa riferimento alle norme su cui si basa l'articolo 32.
Al di là del Capo 4, l'articolo 43 è rilevante in quanto specifica le procedure di valutazione della conformità che gli organismi notificati devono condurre per i sistemi di IA ad alto rischio; la competenza e la governance di tali organismi, validate attraverso gli articoli 31 e 32, determinano direttamente la credibilità di tali valutazioni.
Calendario di conformità
Il Regolamento UE sull'IA è entrato in vigore il 1° agosto 2024, venti giorni dopo la sua pubblicazione nella Gazzetta ufficiale dell'Unione europea il 12 luglio 2024. L'articolo 32, situato nel Titolo III Capo 4, appartiene alle disposizioni che disciplinano l'infrastruttura per la vigilanza dei sistemi di IA ad alto rischio e non rientra nelle prime tranches di applicazione.
Le pratiche di IA vietate ai sensi dell'articolo 5 sono diventate applicabili il 2 febbraio 2025. Gli obblighi relativi ai modelli di IA per uso generale ai sensi del Titolo VIII sono diventati applicabili il 2 agosto 2025. Gli obblighi più direttamente connessi all'articolo 32 — il regime completo di valutazione della conformità dei sistemi di IA ad alto rischio, incluso il quadro degli organismi notificati — diventano applicabili progressivamente dal 2 agosto 2026 per i sistemi ad alto rischio elencati nell'Allegato III, con un'ulteriore estensione al 2 agosto 2027 per alcuni sistemi di IA ad alto rischio già soggetti alla vigente legislazione di armonizzazione dell'Unione elencata nell'Allegato I.
Gli organismi di valutazione della conformità che intendono agire come organismi notificati ai sensi del Regolamento IA dovrebbero pertanto aver avviato i loro processi di accreditamento e notifica ben prima dell'agosto 2026, poiché la procedura di notifica ai sensi degli articoli 28 e 30 comporta la valutazione dell'autorità nazionale, la notifica alla Commissione e un periodo di attesa prima che un organismo possa legittimamente effettuare valutazioni della conformità. Le autorità di notifica nazionali dovrebbero garantire che i loro quadri di valutazione riflettano le norme armonizzate pubblicate man mano che diventano disponibili, in modo che il meccanismo di presunzione dell'articolo 32 sia operativamente funzionale entro il momento in cui il regime ad alto rischio si applica pienamente.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Un organismo notificato che dimostra la conformità ai criteri stabiliti nelle pertinenti norme armonizzate, o in parti di esse, i cui riferimenti sono stati pubblicati nella Gazzetta ufficiale dell'Unione europea, è presunto soddisfare i requisiti stabiliti all'articolo 31 del Regolamento UE sull'IA, nella misura in cui le norme armonizzate applicabili coprono tali requisiti.
L'articolo 32 opera in riferimento diretto all'articolo 31, che stabilisce i requisiti sostanziali che gli organismi di valutazione della conformità devono soddisfare per poter essere notificati alla Commissione e inclusi nella banca dati NANDO come competenti a valutare i sistemi di IA ad alto rischio.
No. Le norme armonizzate forniscono un percorso verso una presunzione di conformità, ma non sono obbligatorie. Gli organismi notificati possono dimostrare la conformità ai requisiti dell'articolo 31 attraverso mezzi alternativi, a condizione di poter soddisfare le autorità nazionali competenti che i requisiti sostanziali sono rispettati.
La Commissione europea è responsabile della pubblicazione dei riferimenti alle norme armonizzate nella Gazzetta ufficiale dell'Unione europea. Una volta pubblicati, la conformità a tali norme attiva la presunzione stabilita ai sensi dell'articolo 32.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.