Articolo 33 del Regolamento (UE) 2024/1689 — Filiali degli organismi notificati e subappalto. Testo ufficiale, interpretazione pratica, obblighi principali e implicazioni in materia di conformità.
Sintesi del Testo Ufficiale
L'articolo 33 del Regolamento (UE) 2024/1689 disciplina le condizioni alle quali gli organismi notificati possono delegare attività di valutazione della conformità a filiali o subappaltatori esterni. L'articolo stabilisce che un organismo notificato che intenda subappaltare specifici compiti di valutazione della conformità o avvalersi di una filiale per l'esecuzione di tali compiti deve prima ottenere il consenso del cliente a tale accordo.
Quando si ricorre ad accordi di subappalto o di filiale, l'organismo notificato è tenuto ad assicurarsi che il subappaltatore o la filiale soddisfi gli stessi requisiti stabiliti per gli organismi notificati con riguardo ai compiti specifici oggetto di delega. Tale obbligo riflette i requisiti di qualificazione, imparzialità e operativi stabiliti altrove nel Capitolo 4 del Titolo III.
In modo cruciale, l'articolo 33 attribuisce in modo inequivocabile la responsabilità all'organismo notificato: questo deve assumersi la piena responsabilità per il lavoro svolto da subappaltatori e filiali, indipendentemente da dove tali entità siano stabilite — sia all'interno dell'UE che in un paese terzo. L'organismo notificato è altresì tenuto a mantenere a disposizione della propria autorità notificante tutta la documentazione pertinente concernente la valutazione delle qualifiche del subappaltatore o della filiale e il lavoro svolto da tali entità nell'ambito della delega.
Questo articolo garantisce che la delega di compiti di valutazione della conformità non possa essere utilizzata per eludere i requisiti stringenti che gli stessi organismi notificati devono soddisfare, e che la responsabilità rimanga concentrata a livello dell'organismo formalmente designato dall'autorità notificante.
Cosa Significa nella Pratica
L'articolo 33 riguarda direttamente gli organismi notificati che operano ai sensi del Regolamento IA dell'UE, le loro capogruppo societarie, le filiali e qualsiasi prestatore di servizi terzo da essi incaricato di eseguire parti del lavoro di valutazione della conformità per i sistemi di IA ad alto rischio.
Per un organismo notificato che intenda ampliare le proprie operazioni o avvalersi di competenze specialistiche, il subappalto e l'utilizzo di filiali offrono flessibilità operativa — ma tale flessibilità comporta rigidi requisiti di responsabilità. Prima di ingaggiare un subappaltatore, l'organismo notificato deve verificare che il subappaltatore soddisfi i pertinenti requisiti di qualificazione applicabili agli organismi notificati per quei compiti specifici. Un contratto generico con un fornitore non è sufficiente; deve essere condotta e documentata una valutazione sostanziale della conformità della competenza e dell'indipendenza del subappaltatore.
Il cliente della valutazione della conformità — tipicamente il fornitore del sistema di IA ad alto rischio — deve acconsentire esplicitamente a qualsiasi accordo di subappalto. In pratica, ciò significa che gli accordi contrattuali per i servizi di valutazione della conformità dovrebbero affrontare il subappalto sin dall'inizio, specificando se il consenso viene concesso in generale o deve essere richiesto caso per caso.
Per i fornitori di sistemi di IA sottoposti a valutazione della conformità da parte terza, l'articolo 33 prevede un diritto alla trasparenza: devono sapere chi sta svolgendo la valutazione e avere la possibilità di opporsi. I fornitori dovrebbero includere clausole di divulgazione del subappalto nei loro accordi con gli organismi notificati e verificare che i subappaltatori ingaggiati siano adeguatamente qualificati.
Per gli organismi notificati con strutture di gruppo internazionali, l'articolo 33 è particolarmente rilevante: il lavoro svolto da una filiale non UE per conto dell'organismo notificato rientra nell'ambito di applicazione, e l'organismo notificato con sede nell'UE rimane responsabile della qualità e della conformità di tale lavoro.
Obblighi Principali
- Consenso preventivo del cliente: L'organismo notificato deve ottenere il consenso esplicito del cliente della valutazione della conformità prima di subappaltare qualsiasi compito o di avvalersi di una filiale per svolgere attività di valutazione della conformità.
- Equivalenza dei requisiti: I subappaltatori e le filiali devono soddisfare gli stessi requisiti applicabili all'organismo notificato stesso per i compiti specifici di valutazione della conformità oggetto di delega, inclusi competenza, imparzialità e standard operativi.
- Piena responsabilità mantenuta: L'organismo notificato mantiene la piena responsabilità legale e regolamentare per tutto il lavoro svolto da subappaltatori e filiali; tale responsabilità non può essere trasferita, delegata o contrattualmente esclusa.
- Notifica all'autorità notificante: L'organismo notificato deve informare la propria autorità notificante degli accordi di subappalto e delle attività delle filiali, e deve rendere disponibile tutta la documentazione pertinente riguardante le qualifiche dei subappaltatori e il lavoro da essi svolto.
- Documentazione e tenuta dei registri: L'organismo notificato deve conservare registri completi delle valutazioni delle qualifiche dei subappaltatori e dei risultati dei compiti di valutazione della conformità delegati, disponibili per l'autorità notificante su richiesta.
- Portata geografica: Gli obblighi si applicano indipendentemente dal fatto che il subappaltatore o la filiale siano stabiliti all'interno dell'Unione europea o in un paese terzo.
Relazione con Altri Articoli
L'articolo 33 deve essere letto in stretta congiunzione con il quadro più ampio per gli organismi notificati stabilito nel Capitolo 4 del Titolo III. L'articolo 28 (Organismi notificati) stabilisce i requisiti sostanziali — inclusi competenza, indipendenza e imparzialità — che subappaltatori e filiali devono soddisfare ai sensi dell'articolo 33. L'articolo 29 (Indipendenza degli organismi notificati) è ugualmente rilevante, poiché gli accordi di subappalto non devono compromettere l'imparzialità del processo di valutazione della conformità. Gli articoli 30 e 31 disciplinano il processo di notifica e designazione degli organismi notificati e definiscono gli standard che un organismo deve soddisfare per essere idoneo a svolgere compiti di valutazione della conformità.
L'articolo 43 (Procedure di valutazione della conformità per i sistemi di IA ad alto rischio) definisce l'ambito delle attività di valutazione della conformità che gli organismi notificati sono chiamati a svolgere, e quindi le attività alle quali si applicano le norme di subappalto dell'articolo 33. L'articolo 74 (Sorveglianza del mercato) è anch'esso rilevante, poiché le autorità di sorveglianza del mercato possono esaminare se gli organismi notificati e i loro subappaltatori hanno rispettato gli obblighi dell'articolo 33 nell'esaminare le violazioni di conformità.
Calendario di Conformità
Il Regolamento IA dell'UE (Regolamento 2024/1689) è entrato in vigore il 1° agosto 2024. L'articolo 33, in quanto parte del quadro che disciplina gli organismi notificati e i loro requisiti operativi, è soggetto al calendario generale di applicazione graduale:
- 1° agosto 2024: Entrata in vigore. Il Regolamento diventa diritto UE vincolante.
- 2 febbraio 2025: Si applicano i divieti relativi alle pratiche di IA con rischio inaccettabile (Titolo II).
- 2 agosto 2025: Cominciano ad applicarsi le norme sui modelli di IA per uso generale (Titolo VIII) e le disposizioni di governance.
- 2 dicembre 2026: Il quadro di valutazione della conformità — comprese le norme sugli organismi notificati ai sensi del Titolo III, Capitolo 4, e quindi l'articolo 33 — si applica ai sistemi di IA ad alto rischio elencati nell'Allegato I (sistemi di componenti di sicurezza disciplinati dalla legislazione di armonizzazione dell'Unione).
- 2 agosto 2027: Piena applicazione degli obblighi di valutazione della conformità per i sistemi di IA ad alto rischio elencati nell'Allegato III, compresi i requisiti operativi ai sensi dell'articolo 33 per il subappalto e l'utilizzo di filiali.
Gli organismi notificati che richiedono la designazione ai sensi del Regolamento IA dell'UE dovrebbero trattare la conformità all'articolo 33 come parte della loro preparazione iniziale alla designazione, assicurando che le politiche di subappalto, i quadri di governance delle filiali e i modelli di contratto con i clienti riflettano i requisiti dell'articolo ben prima delle date di applicazione pertinenti.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Sì, ma solo a condizioni rigorose. L'organismo notificato deve ottenere il consenso del cliente della valutazione della conformità, assicurarsi che il subappaltatore soddisfi gli stessi requisiti applicabili agli organismi notificati per i compiti specifici, e mantenere la piena responsabilità per il lavoro svolto. L'organismo notificato deve inoltre informare la propria autorità notificante dell'accordo di subappalto.
Le filiali che svolgono attività di valutazione della conformità per conto di un organismo notificato devono rispettare gli stessi requisiti applicabili all'organismo notificato stesso. L'organismo notificato deve informare la propria autorità notificante delle attività della filiale e assumersi la piena responsabilità per il lavoro svolto dalle filiali.
L'organismo notificato mantiene la piena responsabilità legale per il lavoro svolto da subappaltatori e filiali, indipendentemente dalla loro ubicazione all'interno o all'esterno dell'Unione. L'organismo notificato non può trasferire o diluire la propria responsabilità attraverso accordi di subappalto o di filiale.
Sì. L'articolo 33 richiede che il consenso del cliente della valutazione della conformità sia ottenuto prima che il subappalto abbia luogo. Ciò garantisce la trasparenza e consente al cliente di valutare se il subappaltatore proposto sia adeguato per i compiti in questione.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.