Articolo 9 del Regolamento (UE) 2024/1689 — Sistema di gestione dei rischi. Testo ufficiale, interpretazione pratica, obblighi principali e implicazioni per la conformità.
Sintesi del Testo Ufficiale
L'Articolo 9 del Regolamento (UE) 2024/1689 impone un sistema obbligatorio e continuo di gestione dei rischi ai fornitori di sistemi di IA ad alto rischio per l'intero ciclo di vita del sistema. La disposizione richiede che il sistema di gestione dei rischi consista in un processo iterativo integrato nello sviluppo e nell'operatività del sistema di IA ad alto rischio, aggiornato regolarmente alla luce delle nuove informazioni raccolte durante il monitoraggio post-commercializzazione.
In concreto, l'Articolo 9 richiede ai fornitori di: (a) identificare e analizzare tutti i rischi noti e ragionevolmente prevedibili associati al sistema di IA ad alto rischio; (b) stimare e valutare i rischi che possono materializzarsi quando il sistema è utilizzato in conformità alla sua destinazione d'uso prevista e in condizioni di uso improprio ragionevolmente prevedibile; (c) valutare i rischi derivanti dai dati disponibili e dal comportamento delle persone che interagiscono con il sistema; e (d) adottare adeguate misure di gestione dei rischi sulla base di questa analisi.
Le misure di gestione dei rischi devono essere tali che qualsiasi rischio residuo associato a ciascun pericolo, nonché il rischio residuo complessivo del sistema di IA ad alto rischio, sia giudicato accettabile. L'Articolo 9 specifica inoltre che i test devono essere effettuati per identificare le misure appropriate, e che tali test devono essere condotti rispetto a metriche definite e soglie probabilistiche. È richiesta particolare attenzione laddove il sistema sia probabile che interagisca con bambini o altri gruppi vulnerabili. Le informazioni derivanti dall'esperienza degli operatori devono essere reinserite nel processo di gestione dei rischi del fornitore del sistema.
Cosa Significa in Pratica
L'Articolo 9 è uno dei requisiti operativamente più onerosi del Titolo III del Regolamento UE sull'IA. Si applica a qualsiasi persona giuridica che si qualifica come fornitore di un sistema di IA ad alto rischio — ovvero l'entità che sviluppa il sistema o lo fa sviluppare e lo immette sul mercato o lo mette in servizio con il proprio nome o marchio.
In termini pratici, la conformità richiede l'istituzione di un quadro documentato di gestione dei rischi prima che il sistema venga immesso sul mercato. Non si tratta di un semplice esercizio di spunta di caselle: il regolamento richiede un processo iterativo che persiste per la durata di vita del prodotto, il che significa che la documentazione di gestione dei rischi deve evolversi man mano che il sistema viene aggiornato, ri-addestrato o distribuito in nuovi contesti.
Un sistema di gestione dei rischi conforme includerà tipicamente: una procedura strutturata di identificazione dei rischi che copre sia l'uso previsto che i plausibili scenari di uso improprio; una matrice di stima dei rischi che valuta la probabilità e la gravità del danno; un catalogo di misure di mitigazione con la motivazione documentata per la loro selezione; test formali pre-commercializzazione rispetto a metriche definite; e un meccanismo per assorbire i feedback post-commercializzazione — inclusi i dati sugli incidenti forniti dagli operatori — nell'analisi dei rischi in corso.
Ad esempio, un fornitore di uno strumento di credit scoring basato sull'IA, classificato come ad alto rischio ai sensi dell'Allegato III, deve documentare come il modello potrebbe produrre risultati discriminatori, quali misure tecniche e organizzative riducono tale rischio e come i dati di performance reali attiveranno una ri-valutazione. Un sistema di IA utilizzato in un contesto medico deve inoltre affrontare il dovere di cura rafforzato quando sono coinvolti utenti vulnerabili. I risultati della gestione dei rischi alimentano direttamente la documentazione tecnica richiesta dall'Articolo 11 e la valutazione di conformità ai sensi degli Articoli 43-44.
Obblighi Principali
- Istituire e mantenere un sistema continuo di gestione dei rischi che copra l'intero ciclo di vita del sistema di IA ad alto rischio, dalla progettazione alla dismissione, aggiornato alla luce dei dati di monitoraggio post-commercializzazione.
- Identificare tutti i rischi noti e ragionevolmente prevedibili, inclusi i rischi derivanti da un uso improprio ragionevolmente prevedibile, dall'interazione con altri sistemi e dal contesto sociotecnico della distribuzione.
- Stimare e valutare i rischi in relazione alla loro probabilità di occorrenza e alla gravità del potenziale danno, tenendo conto della destinazione d'uso prevista e delle categorie di persone che è probabile vengano interessate, inclusi i gruppi vulnerabili e i bambini.
- Adottare misure di gestione dei rischi che riducano i rischi identificati a un livello residuo accettabile; laddove le misure tecniche siano insufficienti, misure organizzative o informative devono integrarle.
- Condurre test pre-commercializzazione utilizzando metriche definite e soglie probabilistiche appropriate alla destinazione d'uso prevista, per validare che le misure selezionate siano efficaci e che il rischio residuo sia accettabile.
- Integrare i feedback del monitoraggio post-commercializzazione da parte di operatori e utenti finali nel processo continuo di gestione dei rischi, garantendo che il sistema rimanga reattivo alle prove reali di danni o eventi quasi-incidentali.
Relazione con Altri Articoli
L'Articolo 9 si trova al centro del quadro dei requisiti del Capitolo 2 ed è strutturalmente collegato a diverse altre disposizioni. Dipende dall'Articolo 6 e dall'Allegato III per il suo ambito di applicazione: solo i sistemi che si qualificano come ad alto rischio sono soggetti ai suoi obblighi. I risultati del processo dell'Articolo 9 alimentano direttamente l'Articolo 11 (documentazione tecnica), che richiede ai fornitori di dimostrare che esiste un sistema di gestione dei rischi conforme e che è stato applicato.
L'Articolo 9 è anche strettamente connesso all'Articolo 10 (dati e governance dei dati), poiché la qualità dei dati di addestramento, validazione e test influenza materialmente il profilo di rischio che deve essere gestito. L'Articolo 13 (trasparenza e fornitura di informazioni) richiede che determinate informazioni relative ai rischi siano comunicate agli operatori, e l'Articolo 14 (sorveglianza umana) specifica misure che spesso fungono da strumenti di mitigazione del rischio di prima linea ai sensi dell'Articolo 9. L'Articolo 26 pone obblighi a valle sugli operatori per monitorare l'uso reale e riportare informazioni rilevanti ai fornitori, chiudendo il ciclo di feedback che l'Articolo 9 richiede. Infine, l'Articolo 72 (monitoraggio post-commercializzazione) formalizza i meccanismi di raccolta dei dati che sostengono il processo iterativo di gestione dei rischi nel tempo.
Calendario di Conformità
Il Regolamento UE sull'IA è entrato in vigore il 1° agosto 2024. L'Articolo 9, come requisito fondamentale del Capitolo 2 applicabile ai sistemi di IA ad alto rischio, segue il calendario generale di conformità per gli obblighi del Titolo III:
- 1° agosto 2024 — Il regolamento entra in vigore; inizia il periodo transitorio di 24 mesi per la maggior parte degli obblighi ad alto rischio.
- 2 febbraio 2025 — Diventano applicabili i divieti sulle pratiche di IA a rischio inaccettabile (Articolo 5). L'Articolo 9 non è ancora applicabile.
- 2 agosto 2025 — Diventano applicabili le regole sui modelli di IA per uso generale (Titolo VIII). L'Articolo 9 non è ancora obbligatorio per la maggior parte dei sistemi ad alto rischio.
- 2 dicembre 2026 — L'Articolo 9 diventa pienamente applicabile ai sistemi di IA ad alto rischio elencati nell'Allegato III (sistemi di IA in settori quali istruzione, occupazione, servizi essenziali, applicazione della legge, migrazione e amministrazione della giustizia). I fornitori devono avere un sistema di gestione dei rischi conforme in vigore entro questa data.
- 2 agosto 2027 — Scadenza estesa per i sistemi di IA ad alto rischio che sono componenti di sicurezza di prodotti già coperti dalla legislazione di armonizzazione dell'Unione esistente elencata nell'Allegato I (ad es. macchinari, dispositivi medici, aviazione civile).
I fornitori che sviluppano o acquisiscono sistemi di IA ad alto rischio dovrebbero trattare il 2 dicembre 2026 come la loro scadenza ferma per la conformità all'Articolo 9, integrando i quadri di gestione dei rischi nei loro processi di sviluppo con largo anticipo per consentire il tempo necessario per test, documentazione e valutazione della conformità.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
I fornitori di sistemi di IA ad alto rischio come definiti all'Articolo 6 e nell'Allegato III del Regolamento (UE) 2024/1689 sono tenuti a istituire e mantenere un sistema di gestione dei rischi prima di immettere il loro sistema sul mercato o di metterlo in servizio.
Il sistema deve identificare e analizzare i rischi noti e ragionevolmente prevedibili, stimare e valutare i rischi che possono emergere durante l'uso, adottare misure adeguate di gestione dei rischi e garantire che i rischi residui siano giudicati accettabili ai sensi del regolamento.
No. L'Articolo 9 richiede un processo continuo e iterativo che si estende per l'intero ciclo di vita del sistema di IA ad alto rischio, incluso il monitoraggio post-commercializzazione. Il sistema deve essere aggiornato man mano che emergono nuove informazioni sui rischi.
L'Articolo 9 richiede espressamente che i fornitori tengano conto dei rischi derivanti da un uso improprio ragionevolmente prevedibile — non solo dall'uso previsto. Ciò significa che i fornitori devono analizzare i modi plausibili in cui il sistema potrebbe essere utilizzato in modo errato o in malafede e mitigare tali rischi di conseguenza.
L'Articolo 9, paragrafo 7 richiede che vengano definite e condotte procedure di test per identificare le misure di gestione dei rischi più appropriate. I test devono essere eseguiti rispetto a metriche precedentemente definite e soglie probabilistiche appropriate allo scopo previsto, e devono avvenire prima dell'immissione sul mercato.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.