Obblighi dell'EU AI Act per l'IA nei dispositivi medici, i sistemi diagnostici e il supporto alle decisioni cliniche. Include l'interazione MDR/IVDR e la doppia conformità all'Annex I.
Perché l'EU AI Act riveste particolare importanza in ambito sanitario
L'EU AI Act (Regolamento (UE) 2024/1689) impone gli obblighi di conformità più rigorosi proprio nei settori in cui gli errori dell'IA possono avere conseguenze letali. La sanità e le scienze della vita si trovano all'intersezione di due di queste esigenze: la classificazione strutturale dell'IA per dispositivi medici come ad alto rischio ai sensi dell'Art. 6(1) e la già densa regolamentazione settoriale prevista dal MDR (UE) 2017/745, dall'IVDR (UE) 2017/746, dall'Art. 9 del GDPR e dal Regolamento sulla sperimentazione clinica (UE) 536/2014.
Per i fornitori e i deployer di IA in ambito sanitario, questa intersezione non è semplicemente additiva. Essa genera insiemi di obblighi stratificati che devono essere progettati, documentati e monitorati congiuntamente. Un sistema di IA integrato in un dispositivo di diagnostica per immagini deve superare la valutazione della conformità da parte di un organismo notificato ai sensi del MDR e una distinta valutazione della conformità ai sensi dell'EU AI Act. Un ospedale che impiega uno strumento di triage basato sull'IA diventa un deployer ai sensi dell'Art. 26 con obblighi autonomi che non possono essere adempiuti facendo affidamento unicamente sul marchio CE del fornitore.
Le sanzioni in caso di inosservanza sono corrispondentemente elevate. Le autorità di vigilanza nazionali possono irrogare sanzioni fino a €30 milioni o al 6% del fatturato annuo mondiale per l'immissione sul mercato di IA ad alto rischio non conforme. Oltre alle sanzioni pecuniarie, gli ordini di ritiro dal mercato, la sospensione dell'uso clinico e le azioni correttive obbligatorie possono interrompere su larga scala l'assistenza ai pazienti.
Il doppio binario normativo
Il tratto strutturale distintivo della conformità dell'IA in sanità è l'applicazione simultanea della normativa sulla sicurezza dei prodotti e della normativa specifica per l'IA. Laddove un sistema di IA costituisce una componente di sicurezza di un dispositivo medico ai sensi dell'Annex I dell'EU AI Act (con rinvio al Nuovo quadro legislativo), esso è automaticamente classificato come ad alto rischio ai sensi dell'Art. 6(1) senza alcuna ulteriore valutazione della probabilità o gravità del danno. La classificazione è categorica.
Ciò significa che le organizzazioni devono mantenere due binari paralleli di valutazione della conformità — uno ai sensi del MDR o dell'IVDR, uno ai sensi dell'EU AI Act — e devono dimostrare la conformità a entrambi nella banca dati UE per i sistemi di IA ad alto rischio (EUAI DB) prima dell'immissione sul mercato.
Casi d'uso di IA ad alto rischio — Dispositivi medici ed erogazione delle cure
IA per la diagnostica per immagini
I sistemi di IA impiegati in radiologia, anatomia patologica e oftalmologia per analizzare immagini al fine di rilevare, classificare o caratterizzare lesioni, anomalie o stati patologici sono, in quasi tutte le configurazioni clinicamente rilevanti, componenti di sicurezza di dispositivi medici di Classe IIa o superiore ai sensi del MDR. Sono pertanto ad alto rischio ai sensi dell'Art. 6(1) e devono conformarsi al Capitolo III Sezione 2 dell'EU AI Act, che disciplina la governance dei dati (Art. 10), la documentazione tecnica (Art. 11, Annex IV), la registrazione automatica (Art. 12), la trasparenza (Art. 13), la supervisione umana (Art. 14) e l'accuratezza, la robustezza e la cibersicurezza (Art. 15).
Sistemi di supporto alle decisioni cliniche
Gli strumenti di supporto alle decisioni cliniche (CDS) coprono un ampio spettro di rischio a seconda del loro ruolo funzionale. La distinzione normativa cruciale è se il sistema sostituisce o assiste il giudizio clinico:
- Output autonomo o quasi autonomo: un sistema CDS che genera una raccomandazione prescrittiva, determina il dosaggio di un farmaco per un paziente o lo classifica come richiedente un intervento d'urgenza senza richiedere la revisione del clinico prima che l'output venga attuato è probabilmente ad alto rischio ai sensi dell'Annex III e potrebbe costituire un dispositivo medico ai sensi del MDR.
- Output filtrato per la revisione del clinico: un CDS che presenta diagnosi differenziali classificate o segnala risultati di laboratorio come anomali, laddove un clinico qualificato esamina e approva ciascuna raccomandazione prima che essa incida sulla gestione del paziente, potrebbe non qualificarsi come ad alto rischio, a condizione che non soddisfi autonomamente i criteri dell'Annex III per altri motivi.
Tale distinzione deve essere documentata nella dichiarazione della destinazione d'uso prevista del sistema di IA, che costituisce parte sia della documentazione tecnica dell'AI Act sia del fascicolo tecnico MDR.
Prioritizzazione del triage dei pazienti in contesti di emergenza
I sistemi di IA che stabiliscono l'ordine in cui i pazienti del pronto soccorso ricevono assistenza — inclusi i modelli di predizione della sepsi e i sistemi di monitoraggio in terapia intensiva che attivano protocolli di escalation — operano in condizioni di pressione temporale e complessità clinica che rendono la supervisione umana ai sensi dell'Art. 14 particolarmente impegnativa. Le organizzazioni che li impiegano devono garantire che il meccanismo di supervisione sia genuinamente efficace: il clinico designato alla supervisione deve possedere la comprensione tecnica, l'accesso al ragionamento dell'IA e il tempo nel flusso di lavoro per intervenire prima che l'output del sistema incida sugli esiti dei pazienti.
IA per lo screening della salute mentale
Gli strumenti di IA utilizzati per lo screening di popolazioni o singoli pazienti in relazione a condizioni di salute mentale — punteggi di rischio di depressione, stratificazione del rischio suicidario, screening del burnout — coinvolgono sia le disposizioni ad alto rischio dell'AI Act (laddove influenzino l'accesso alle cure o l'allocazione delle risorse) sia l'Art. 9 del GDPR in una dimensione particolarmente sensibile. I dati sulla salute mentale sono dati sanitari ai fini del GDPR; il loro trattamento per l'addestramento o l'inferenza di sistemi di IA richiede una base giuridica ai sensi dell'Art. 9(2) e adeguate garanzie ai sensi dell'Art. 22 (processo decisionale individuale automatizzato).
Robotica chirurgica e procedure guidate dall'IA
Le componenti di IA integrate in sistemi robotici chirurgici che adattano i parametri procedurali in tempo reale — posizionamento degli strumenti, modulazione del feedback aptico, classificazione dei tessuti — sono componenti di sicurezza di dispositivi impiantabili attivi o di dispositivi medici di Classe III ai sensi del MDR. Il carico della valutazione della conformità è di conseguenza il più elevato disponibile: valutazione da parte di un organismo notificato ai sensi dell'Annex IX o X del MDR, combinata con la valutazione della conformità all'EU AI Act ai sensi dell'Art. 43. Gli obblighi di sorveglianza post-commercializzazione previsti da entrambi i quadri devono essere integrati in un unico sistema di follow-up clinico e monitoraggio delle prestazioni.
Annex III, punto 5(a) — Accesso ai servizi sanitari essenziali
Al di là del percorso per i dispositivi medici, l'Annex III, punto 5(a) dell'EU AI Act classifica separatamente come ad alto rischio i sistemi di IA utilizzati per determinare l'accesso ai servizi pubblici essenziali, inclusa la sanità. Un sistema di IA che determina se un paziente ha diritto a un trattamento rimborsato, viene incluso in una lista d'attesa per trapianti o è ammissibile a una sperimentazione clinica è ad alto rischio ai sensi di questa disposizione, anche se non è integrato in un dispositivo medico.
Obblighi del fornitore e del deployer in ambito sanitario
Obblighi del fornitore
Le organizzazioni che sviluppano, immettono sul mercato o mettono in servizio un sistema di IA sanitario ad alto rischio in qualità di fornitori ai sensi dell'Art. 16 devono:
- Istituire e attuare un sistema di gestione della qualità (QMS) ai sensi dell'Art. 17, che comprenda i controlli di progettazione, la gestione del rischio allineata alla ISO 14971 (armonizzata con il MDR) e le procedure di monitoraggio post-commercializzazione.
- Predisporre la documentazione tecnica ai sensi dell'Annex IV, inclusi la destinazione d'uso prevista, il fascicolo di gestione del rischio, le descrizioni dei dati di addestramento, i risultati di validazione e test e il piano di monitoraggio post-commercializzazione.
- Registrare il sistema nella banca dati UE prima dell'immissione sul mercato (Art. 49).
- Assicurare che il sistema rechi il marchio CE e fornire una Dichiarazione di Conformità UE.
- Nominare un Rappresentante Autorizzato UE se stabiliti al di fuori dell'UE.
- Conservare la documentazione tecnica e i log per 10 anni dall'immissione sul mercato (Art. 18).
Obblighi del deployer
Ospedali, cliniche, reti farmaceutiche e altre istituzioni sanitarie che agiscono come deployer di sistemi di IA ad alto rischio di terze parti sono titolari di obblighi ai sensi dell'Art. 26 indipendenti dalla conformità del fornitore:
- Implementare il sistema nell'ambito delle istruzioni per l'uso del fornitore — qualsiasi utilizzo al di fuori di tale ambito potrebbe riclassificare l'istituzione come fornitore.
- Attribuire le responsabilità di supervisione umana al personale dotato della competenza, dell'autorità e degli strumenti per monitorare il funzionamento del sistema e intervenirvi.
- Conservare i log operativi per almeno sei mesi, o per un periodo più lungo laddove la normativa settoriale applicabile (vigilanza MDR, norme sulla tenuta delle cartelle cliniche) lo richieda.
- Segnalare tempestivamente al fornitore gli incidenti gravi o i malfunzionamenti e, laddove sia implicata la sicurezza dei pazienti, alle autorità sanitarie competenti ai sensi delle procedure di vigilanza dell'Art. 87 MDR.
- Effettuare valutazioni d'impatto sui diritti fondamentali (FRIA) ai sensi dell'Art. 27 laddove il sistema di IA venga utilizzato per adottare o assistere decisioni che incidono su singoli pazienti su larga scala.
Interazione con MDR, IVDR e GDPR
MDR e IVDR: il regime di doppia valutazione della conformità
L'Art. 6(1) dell'EU AI Act, letto congiuntamente all'Annex I, stabilisce il percorso della componente di sicurezza. Laddove un sistema di IA sia una componente di sicurezza di un prodotto regolamentato ai sensi del MDR o dell'IVDR, la valutazione della conformità all'EU AI Act deve essere integrata nella procedura MDR/IVDR esistente. L'Art. 8(1) dell'EU AI Act attribuisce prevalenza alle norme settoriali specifiche del MDR/IVDR laddove esse impongano obblighi equivalenti o più stringenti, ma non elimina gli obblighi dell'AI Act — ne adegua la procedura, non il requisito.
Per i dispositivi medici di Classe IIb e Classe III con IA integrata, è obbligatoria la valutazione da parte di un organismo notificato ai sensi dell'Annex IX del MDR (gestione della qualità) o dell'Annex X (esame del tipo). Lo stesso organismo notificato, se designato ai sensi dell'AI Act, può condurre la valutazione della conformità all'AI Act nell'ambito di una procedura integrata. Per i SaMD (software come dispositivo medico) di Classe I, i fabbricanti devono valutare autonomamente se il sistema di IA si qualifica come ad alto rischio ai sensi dell'AI Act per motivi diversi dall'Art. 6(1).
Art. 9 del GDPR e dati di addestramento
I dati sanitari utilizzati per addestrare, validare o testare modelli di IA sono dati di categoria speciale ai sensi dell'Art. 9(1) del GDPR. Il trattamento è vietato in assenza di una delle deroghe di cui all'Art. 9(2), in particolare:
- Art. 9(2)(a): consenso esplicito dell'interessato
- Art. 9(2)(h): trattamento necessario a fini di diagnosi medica o fornitura di assistenza sanitaria, soggetto al segreto professionale
- Art. 9(2)(j): ricerca scientifica, soggetta alle garanzie dell'Art. 89
Gli obblighi di governance dei dati dell'Art. 10 dell'EU AI Act — che richiedono la documentazione dell'origine, dei metodi di raccolta, della rappresentatività e delle limitazioni note dei dataset — devono essere soddisfatti in modo coerente con la base giuridica del GDPR applicabile. L'utilizzo retrospettivo di dataset clinici senza consenso esplicito richiede una deroga per finalità di ricerca e, tipicamente, l'approvazione di un comitato etico ai sensi del Regolamento sulla sperimentazione clinica o della normativa nazionale sulla ricerca applicabile.
Integrazione della sorveglianza post-commercializzazione
Sia il MDR (Art. 83, Follow-up clinico post-commercializzazione) che l'EU AI Act (Art. 72, monitoraggio post-commercializzazione) richiedono la raccolta e l'analisi continuativa dei dati di prestazione nel mondo reale. Laddove entrambi si applichino, un unico sistema integrato di sorveglianza post-commercializzazione può soddisfare entrambi i quadri, a condizione che acquisisca i punti dati richiesti da ciascuno — inclusi i requisiti di evidenza clinica del MDR e i requisiti dell'AI Act per la registrazione automatica del funzionamento del sistema di IA.
Autorità di enforcement
Agenzia Europea per i Medicinali e agenzie nazionali dei medicinali
L'Agenzia Europea per i Medicinali (EMA) non ha un ruolo diretto di enforcement ai sensi dell'EU AI Act per l'IA non relativa a medicinali, ma le sue linee guida sull'IA nello sviluppo di medicinali e nella farmacovigilanza sono autorevoli per le aziende delle scienze della vita. Le agenzie nazionali dei medicinali — tra cui ANSM (Francia), BfArM (Germania) e i loro omologhi — esercitano l'autorità di sorveglianza del mercato MDR e IVDR e possono esaminare i sistemi di IA integrati in dispositivi medici nell'ambito del loro mandato di sorveglianza post-commercializzazione.
Organismi notificati
Per i sistemi di IA ad alto rischio che sono componenti di sicurezza di dispositivi medici, gli organismi notificati designati ai sensi del MDR/IVDR e, separatamente o congiuntamente, ai sensi dell'EU AI Act conducono le valutazioni della conformità. I loro certificati sono un prerequisito per il marchio CE. Gli organismi notificati possono sospendere o ritirare i certificati laddove la sorveglianza post-commercializzazione riveli non conformità.
Autorità nazionali di vigilanza sull'IA
Ogni Stato membro dell'UE ha designato o sta designando un'autorità nazionale di vigilanza sull'IA (autorità competente ai sensi dell'Art. 70 dell'EU AI Act). Nel settore sanitario, è richiesta la coordinazione tra l'autorità di vigilanza sull'IA e l'agenzia nazionale dei medicinali laddove vi sia sovrapposizione di giurisdizione. L'autorità di vigilanza sull'IA ha il potere di richiedere documentazione, effettuare audit, imporre misure correttive e trasmettere i casi per l'irrogazione di sanzioni pecuniarie.
Roadmap di conformità — Priorità per l'IA in sanità
Fase 1: Classificazione e valutazione dell'ambito di applicazione
Mappare tutti i sistemi di IA in fase di sviluppo o impiego rispetto all'Art. 6(1) (componente di sicurezza di un dispositivo medico) e all'Annex III, punto 5(a) (accesso a servizi essenziali). Documentare la destinazione d'uso prevista di ciascun sistema con sufficiente precisione a supporto delle decisioni di classificazione ai sensi dell'AI Act e del MDR/IVDR. Coinvolgere consulenti regolatori per la valutazione degli strumenti CDS di confine.
Fase 2: Pianificazione della doppia valutazione della conformità
Per ciascun sistema di IA ad alto rischio che costituisce anche un dispositivo medico, individuare il percorso di valutazione della conformità MDR/IVDR applicabile e verificare se l'organismo notificato designato sia accreditato anche ai sensi dell'EU AI Act. Pianificare la valutazione della conformità come procedura integrata ove possibile, al fine di ridurre le duplicazioni.
Fase 3: Governance dei dati e allineamento al GDPR
Eseguire un audit dei dataset di addestramento e validazione per i sistemi di IA in sanità. Documentare le basi giuridiche ai sensi dell'Art. 9(2) del GDPR per tutti i dati sanitari utilizzati nello sviluppo dei modelli. Istituire procedure di governance dei dati ai sensi dell'Art. 10 dell'EU AI Act e assicurarne il recepimento nella documentazione tecnica richiesta dall'Annex IV.
Fase 4: Protocolli di supervisione umana
Progettare e attuare meccanismi di supervisione umana ai sensi dell'Art. 14 per ciascun impiego di IA ad alto rischio. La supervisione deve essere operativamente realistica: richiede personale formato, meccanismi di intervento accessibili e integrazione nel flusso di lavoro — non una mera formalità. Per i contesti di emergenza con pressione temporale, la progettazione della supervisione richiede una cura particolare.
Fase 5: Integrazione della sorveglianza post-commercializzazione
Progettare un sistema di sorveglianza post-commercializzazione che soddisfi sia l'Annex III del MDR (PMCF) che i requisiti dell'Art. 72 dell'EU AI Act. Istituire procedure di segnalazione degli incidenti allineate ai termini della vigilanza MDR (Art. 87: incidenti gravi segnalati entro 15 giorni) e alla segnalazione degli incidenti gravi ai sensi dell'Art. 73 dell'AI Act.
Fase 6: Due diligence del deployer
Le istituzioni sanitarie che acquistano strumenti diagnostici o CDS basati sull'IA di terze parti dovrebbero richiedere ai fornitori di produrre la Dichiarazione di Conformità UE, le istruzioni per l'uso e una sintesi della documentazione tecnica. I contratti di acquisto dovrebbero specificare gli obblighi di conservazione dei log, le responsabilità di segnalazione degli incidenti e i limiti dell'ambito di utilizzo consentito, al fine di evitare una riclassificazione involontaria come fornitore.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
No. Le valutazioni della conformità MDR e IVDR e le valutazioni della conformità dell'EU AI Act sono obblighi giuridici distinti che operano in parallelo. Un sistema di IA integrato in un dispositivo medico di Classe IIb deve soddisfare entrambi i quadri normativi in modo indipendente. Laddove un organismo notificato sia già coinvolto ai sensi del MDR o dell'IVDR, tale organismo potrà essere designato anche come organismo notificato ai sensi dell'AI Act, consentendo una valutazione coordinata, ma la piena conformità a entrambi i quadri rimane obbligatoria.
Non automaticamente. La classificazione dipende dalla funzione e dall'autonomia dello strumento. Se il sistema di IA sostituisce o scavalca in misura sostanziale il giudizio clinico — ad esempio, determinando autonomamente una diagnosi o prescrivendo un trattamento — è più probabile che si qualifichi come ad alto rischio ai sensi dell'Annex III o come componente di sicurezza di un dispositivo medico ai sensi dell'Art. 6(1). Se il sistema si limita a segnalare o filtrare informazioni per un clinico che conserva piena autorità decisionale, potrebbe non rientrare nella definizione di alto rischio, a condizione che non soddisfi altri criteri dell'Annex III.
L'Art. 10 dell'EU AI Act richiede che i dataset di addestramento, validazione e test siano soggetti a pratiche di governance dei dati che ne documentino l'origine, i metodi di raccolta, i bias noti e la rappresentatività. Per l'IA in ambito sanitario, questo obbligo si interseca con l'Art. 9 del GDPR, che classifica i dati sanitari come dati di categoria speciale e richiede un'esplicita base giuridica — tipicamente il consenso esplicito o una deroga ai sensi dell'Art. 9(2)(h) o (j) — per il relativo trattamento. I fornitori devono documentare la composizione dei dataset nella documentazione tecnica richiesta dall'Annex IV e dimostrare che i dati di addestramento non introducono bias sistematici che potrebbero compromettere l'accuratezza diagnostica tra le sottopopolazioni di pazienti.
Gli ospedali che agiscono come deployer di sistemi di IA ad alto rischio ai sensi dell'Art. 26 devono: verificare che il sistema di IA rechi il marchio CE e disponga di una Dichiarazione di Conformità UE; attuare le istruzioni per l'uso del fornitore; attribuire le responsabilità di supervisione umana al personale clinico qualificato; conservare i log di funzionamento del sistema per un minimo di sei mesi; e segnalare al fornitore gli incidenti gravi o i malfunzionamenti e, laddove sia interessata la sicurezza dei pazienti, alle autorità sanitarie competenti secondo le norme di vigilanza MDR applicabili. I deployer non possono modificare i sistemi di IA ad alto rischio in modo da alterarne la destinazione d'uso prevista senza attivare obblighi di rivalutazione.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.