Articolo 35 del Regolamento (UE) 2024/1689 — Numeri di identificazione ed elenchi degli organismi notificati. Testo ufficiale, interpretazione pratica, obblighi principali e implicazioni per la conformità.
Sintesi del testo ufficiale
L'articolo 35 del Regolamento (UE) 2024/1689 (il Regolamento UE sull'IA) stabilisce il quadro amministrativo e di trasparenza che disciplina l'identificazione e l'elencazione pubblica degli organismi notificati operanti ai sensi del regolamento. L'articolo pone obblighi principalmente alla Commissione europea e alle autorità di notifica degli Stati membri.
Ai sensi dell'articolo 35, la Commissione è tenuta ad assegnare un numero di identificazione a ciascun organismo notificato. È fondamentale che, quando un organismo è notificato ai sensi di più di un atto dell'Unione, riceva un unico numero di identificazione, garantendo la coerenza tra gli strumenti legislativi. La Commissione è inoltre tenuta a rendere pubblicamente accessibile un elenco di tutti gli organismi notificati, compresi i loro numeri di identificazione e le attività per cui sono stati notificati. Tale elenco deve essere mantenuto aggiornato.
Gli Stati membri hanno un obbligo complementare: devono informare la Commissione di qualsiasi modifica allo stato di un organismo notificato — compresa la concessione di nuove notifiche e qualsiasi restrizione, sospensione o ritiro delle notifiche esistenti. La Commissione è quindi responsabile di riflettere tali modifiche nell'elenco pubblico senza indebito ritardo.
L'articolo opera nell'ambito del Capo 4 del Titolo III, che disciplina l'architettura complessiva della notifica: chi può valutare la conformità dei sistemi IA ad alto rischio, a quali condizioni e con quale supervisione. L'articolo 35 si occupa specificamente dello strato di identificazione e visibilità di tale architettura, garantendo che il mercato — compresi i fornitori che cercano una valutazione, gli utenti a valle e le autorità nazionali — possa identificare in modo affidabile quali organismi sono autorizzati, per quale ambito, e se tale autorizzazione rimane attuale.
Cosa significa nella pratica
L'articolo 35 ha implicazioni operative dirette per tre categorie di attori: i fornitori di sistemi IA ad alto rischio, gli stessi organismi notificati e le autorità nazionali di notifica.
Per i fornitori che cercano una valutazione della conformità da parte di terzi ai sensi dell'Allegato VI o della via del sistema di gestione della qualità completo, l'articolo 35 fornisce il principale meccanismo di verifica. Prima di coinvolgere un organismo notificato, un fornitore dovrebbe consultare la banca dati NANDO della Commissione per confermare che l'organismo dispone di una notifica valida ai sensi del Regolamento UE sull'IA, che copre la specifica categoria di prodotto o il tipo di sistema IA in questione. Fare affidamento su un organismo la cui notifica è scaduta, è stata sospesa o non è mai stata formalmente estesa all'ambito del Regolamento IA crea una lacuna di conformità che potrebbe invalidare un certificato di valutazione della conformità.
Per gli organismi notificati, l'articolo 35 crea un obbligo indiretto di cooperare con la propria autorità nazionale di notifica per garantire che qualsiasi modifica al loro ambito operativo o allo stato dell'autorizzazione venga prontamente comunicata. Un organismo che espande il proprio ambito di valutazione — ad esempio aggiungendo una nuova categoria ad alto rischio come i sistemi di categorizzazione biometrica — non può legittimamente agire nell'ambito di tale ambito espanso fino a quando la notifica non è stata aggiornata e riflessa nell'elenco della Commissione.
Per le autorità nazionali di notifica, l'obbligo è procedurale ma significativo: le modifiche allo stato di un organismo devono essere comunicate prontamente alla Commissione. I ritardi creano una finestra durante la quale l'elenco pubblico è impreciso, potenzialmente fuorviando i fornitori o compromettendo le azioni di vigilanza del mercato intraprese dalle autorità in altri Stati membri.
In termini concreti, un team legale o di conformità che si prepara per una valutazione della conformità dovrebbe inserire una fase di checklist che confronta il numero di identificazione dell'organismo notificato selezionato su NANDO, verifica che l'ambito della notifica corrisponda alla classificazione del rischio del sistema e controlla che non compaiano restrizioni o sospensioni contro tale record.
Obblighi principali
- La Commissione europea deve assegnare un unico numero di identificazione a ciascun organismo notificato, coerente in tutti gli atti dell'Unione ai sensi dei quali tale organismo opera.
- La Commissione deve pubblicare e mantenere un elenco accessibile al pubblico e aggiornato di tutti gli organismi notificati, compresi i loro numeri di identificazione e l'ambito notificato.
- Gli Stati membri e le loro autorità di notifica devono informare la Commissione senza indebito ritardo di qualsiasi concessione, restrizione, sospensione o ritiro di notifica.
- La Commissione deve aggiornare l'elenco pubblico per riflettere le modifiche allo stato degli organismi notificati senza indebito ritardo a seguito della notifica degli Stati membri.
- Gli organismi notificati non possono agire al di là del loro ambito notificato; qualsiasi espansione dell'ambito richiede un aggiornamento formale della notifica prima che l'organismo possa condurre valutazioni nell'ambito di tale ambito esteso.
- I fornitori devono verificare, prima di coinvolgere un organismo notificato, che l'attuale elencazione dell'organismo nella banca dati della Commissione copra l'attività pertinente e rimanga in buono stato.
Relazione con altri articoli
L'articolo 35 non può essere letto in isolamento; fa parte di un quadro coerente nell'ambito del Capo 4 del Titolo III.
L'articolo 28 definisce i requisiti che le autorità di notifica — gli organismi nazionali responsabili della definizione e dell'attuazione delle procedure di notifica — devono esse stesse soddisfare, fornendo il fondamento istituzionale su cui si basano i flussi di notifica dell'articolo 35. L'articolo 29 stabilisce i requisiti dettagliati di domanda che un organismo di valutazione della conformità deve soddisfare prima di poter essere notificato, mentre l'articolo 30 disciplina la procedura di notifica stessa, compresa la comunicazione formale alla Commissione che attiva un'elencazione ai sensi dell'articolo 35. L'articolo 31 tratta la presunzione di conformità per gli organismi notificati certificati ai sensi delle pertinenti norme armonizzate.
Dal punto di vista operativo, l'articolo 35 si collega agli articoli 43 e 44, che disciplinano le procedure di valutazione della conformità per i sistemi IA ad alto rischio e i relativi certificati — documenti la cui validità è inscindibile dallo stato dell'organismo emittente come organismo correttamente elencato ai sensi dell'articolo 35. Anche l'articolo 74 (vigilanza del mercato) si basa su elenchi accurati ai sensi dell'articolo 35, poiché le autorità che coordinano la supervisione transfrontaliera devono identificare quale organismo ha rilasciato un determinato certificato e se tale organismo rimane autorizzato.
Calendario di conformità
Il Regolamento UE sull'IA è entrato in vigore il 1° agosto 2024, venti giorni dopo la pubblicazione nella Gazzetta ufficiale. L'applicazione è graduale:
- 2 febbraio 2025 — Sono diventati applicabili i divieti sulle pratiche IA a rischio inaccettabile (Titolo II).
- 2 agosto 2025 — Sono diventate applicabili le disposizioni sui modelli IA per uso generale (Titolo VIII) e gli obblighi di governance.
- 2 agosto 2026 — La maggior parte del Titolo III, compreso il quadro degli organismi notificati ai sensi del Capo 4, diventa pienamente applicabile per i sistemi IA ad alto rischio elencati nell'Allegato III, ad eccezione di quelli coperti dal termine prorogato di seguito.
- 2 agosto 2027 — Termine prorogato per i sistemi IA ad alto rischio coperti dalla normativa di armonizzazione dell'Unione esistente elencata nell'Allegato I (ad es., macchinari, dispositivi medici), che offre a tali settori tempo aggiuntivo per integrare i requisiti di valutazione della conformità del Regolamento IA nei flussi di lavoro di certificazione esistenti.
L'articolo 35 stesso, come parte dell'infrastruttura degli organismi notificati, diventa operativamente rilevante in parallelo con l'applicazione dei requisiti di valutazione della conformità del Capo 4. Gli Stati membri e la Commissione dovrebbero garantire che le procedure di notifica, l'assegnazione dei numeri di identificazione e la banca dati pubblica siano pienamente operativi prima della data di agosto 2026, affinché i fornitori di sistemi IA ad alto rischio possano coinvolgere organismi notificati conformi dal momento in cui si applicano gli obblighi obbligatori di valutazione della conformità.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
L'articolo 35 richiede che la Commissione europea assegni un unico numero di identificazione a ciascun organismo notificato, indipendentemente dal numero di atti UE ai sensi dei quali è stato notificato. Ciò garantisce un'identità coerente e tracciabile per ciascun organismo in tutti i settori regolamentati, consentendo ai fornitori e alle autorità di vigilanza del mercato di verificare in modo inequivocabile lo stato e l'ambito di un organismo.
La Commissione mantiene un elenco accessibile al pubblico di tutti gli organismi notificati nel sistema informativo NANDO (New Approach Notified and Designated Organisations). Questo elenco include il numero di identificazione di ciascun organismo, l'ambito della notifica e lo stato attuale, e viene aggiornato man mano che le notifiche vengono concesse, sospese o ritirate.
Gli Stati membri devono notificare senza indugio la Commissione e gli altri Stati membri quando lo stato di un organismo notificato cambia — inclusa la sospensione, la restrizione o il ritiro dell'autorizzazione. La Commissione aggiorna l'elenco ufficiale di conseguenza, e l'organismo deve cessare di effettuare valutazioni della conformità nell'ambito interessato dalla modifica.
No. Se un organismo è già notificato ai sensi di altra normativa di armonizzazione dell'Unione, conserva il proprio numero di identificazione esistente. Il sistema del Regolamento IA è progettato per l'interoperabilità con i quadri normativi esistenti, affinché un unico numero identifichi l'organismo in tutti gli atti UE applicabili.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.