AI Act - Seconda Parte - I sistemi AI ad alto rischio
Titolo III - SISTEMI DI INTELLIGENZA ARTIFICIALE "AD ALTO RISCHIO"
Entriamo nel cuore del Progetto di Regolamento Europeo sull'Intelligenza Artificiale.
I sistemi di AI ad alto rischio sono quelli che hanno il potenziale di causare danni significativi (ad esempio ai diritti e libertà fondamentali, alla sicurezza alla salute), ma non al livello dei rischi inaccettabili. Questi sistemi sono soggetti a requisiti rigorosi, tra cui la valutazione della conformità prima dell'immissione sul mercato e l'obbligo di istituire un sistema di gestione dei rischi. Questi sistemi includono, ad esempio, i sistemi di AI utilizzati in contesti critici come la sanità, i trasporti e l'energia.
Il Regolamento stabilisce requisiti specifici per i sistemi di Intelligenza Artificiale (AI) ad alto rischio al fine di garantire la loro sicurezza e conformità. L'articolo 6 del Regolamento definisce le regole di classificazione per i sistemi di AI ad alto rischio, che includono la necessità che il sistema sia destinato a essere utilizzato come componente di sicurezza di un prodotto o sia un prodotto stesso disciplinato dalla normativa di armonizzazione dell'Unione. L'articolo 7 prevede il potere della Commissione di aggiornare l'elenco dei sistemi di AI ad alto rischio.
L’allegato III elenca una serie sistemi dedicati ad alto rischio:
I sistemi di AI ad alto rischio a norma dell'articolo 6, paragrafo 2, sono i sistemi di AI elencati in uno dei settori indicati di seguito:
1. Identificazione e categorizzazione biometrica delle persone fisiche: a) i sistemi di AI destinati a essere utilizzati per l'identificazione biometrica remota "in tempo reale" e "a posteriori" delle persone fisiche.
2. Gestione e funzionamento delle infrastrutture critiche: a) i sistemi di AI destinati a essere utilizzati come componenti di sicurezza nella gestione del traffico stradale e nella fornitura di acqua, gas, riscaldamento ed elettricità.
3. Istruzione e formazione professionale: a) i sistemi di AI destinati a essere utilizzati al fine di determinare l'accesso o l'assegnazione di persone fisiche agli istituti di istruzione e formazione professionale; b) i sistemi di AI destinati a essere utilizzati per valutare gli studenti negli istituti di istruzione e formazione professionale e per valutare i partecipanti alle prove solitamente richieste per l'ammissione agli istituti di istruzione.
4. Occupazione, gestione dei lavoratori e accesso al lavoro autonomo: a) i sistemi di AI destinati a essere utilizzati per l'assunzione o la selezione di persone fisiche, in particolare per pubblicizzare i posti vacanti, vagliare o filtrare le candidature, valutare i candidati nel corso di colloqui o prove; b) l'AI destinata a essere utilizzata per adottare decisioni in materia di promozione e cessazione dei rapporti contrattuali di lavoro, per l'assegnazione dei compiti e per il monitoraggio e la valutazione delle prestazioni e del comportamento delle persone nell'ambito di tali rapporti di lavoro.
5. Accesso a prestazioni e servizi pubblici e a servizi privati essenziali e fruizione degli stessi: a) i sistemi di AI destinati a essere utilizzati dalle autorità pubbliche o per conto di autorità pubbliche per valutare l'ammissibilità delle persone fisiche alle prestazioni e ai servizi di assistenza pubblica, nonché per concedere, ridurre, revocare o recuperare tali prestazioni e servizi; b) i sistemi di AI destinati a essere utilizzati per valutare l'affidabilità creditizia delle persone fisiche o per stabilire il loro merito di credito, a eccezione dei sistemi di AI messi in servizio per uso proprio da fornitori di piccole dimensioni; c) i sistemi di AI destinati a essere utilizzati per inviare servizi di emergenza di primo soccorso o per stabilire priorità in merito all'invio di tali servizi, compresi vigili del fuoco e assistenza medica.
6. Attività di contrasto: a) i sistemi di AI destinati a essere utilizzati dalle autorità di contrasto per effettuare valutazioni individuali dei rischi delle persone fisiche al fine di determinare il rischio di reato o recidiva in relazione a una persona fisica o il rischio per vittime potenziali di reati; b) i sistemi di AI destinati a essere utilizzati dalle autorità di contrasto, come poligrafi e strumenti analoghi, o per rilevare lo stato emotivo di una persona fisica; c) i sistemi di AI destinati a essere utilizzati dalle autorità di contrasto per individuare i "deep fake" di cui all'articolo 52, paragrafo 3; d) i sistemi di AI destinati a essere utilizzati dalle autorità di contrasto per la valutazione dell'affidabilità degli elementi probatori nel corso delle indagini o del perseguimento di reati; e) i sistemi di AI destinati a essere utilizzati dalle autorità di contrasto per prevedere il verificarsi o il ripetersi di un reato effettivo o potenziale sulla base della profilazione delle persone fisiche di cui all'articolo 3, paragrafo 4, della direttiva (UE) 2016/680 o per valutare i tratti e le caratteristiche della personalità o il comportamento criminale pregresso di persone fisiche o gruppi; f) i sistemi di AI destinati a essere utilizzati dalle autorità di contrasto per la profilazione delle persone fisiche di cui all'articolo 3, paragrafo 4, della direttiva (UE) 2016/680 nel corso dell'indagine, dell'accertamento e del perseguimento di reati; g) i sistemi di AI destinati a essere utilizzati per l'analisi criminale riguardo alle persone fisiche, che consentono alle autorità di contrasto di eseguire ricerche in set di dati complessi, correlati e non correlati, resi disponibili da fonti di dati diverse o in formati diversi, al fine di individuare modelli sconosciuti o scoprire relazioni nascoste nei dati.
7. Gestione della migrazione, dell'asilo e del controllo delle frontiere: a) i sistemi di AI destinati a essere utilizzati dalle autorità pubbliche competenti, come poligrafi e strumenti analoghi, o per rilevare lo stato emotivo di una persona fisica; b) i sistemi di AI destinati a essere utilizzati dalle autorità pubbliche competenti per valutare un rischio (compresi un rischio per la sicurezza, un rischio di immigrazione irregolare o un rischio per la salute) posto da una persona fisica che intende entrare o è entrata nel territorio di uno Stato membro; c) i sistemi di AI destinati a essere utilizzati dalle autorità pubbliche competenti per verificare l'autenticità dei documenti di viaggio e dei documenti giustificativi delle persone fisiche e per individuare i documenti non autentici mediante il controllo delle caratteristiche di sicurezza; d) i sistemi di AI destinati ad assistere le autorità pubbliche competenti nell'esame delle domande di asilo, di visto e di permesso di soggiorno e dei relativi reclami per quanto riguarda l'ammissibilità delle persone fisiche che richiedono tale status.
8. Amministrazione della giustizia e processi democratici: a) i sistemi di AI destinati ad assistere un'autorità giudiziaria nella ricerca e nell'interpretazione dei fatti e del diritto e nell'applicazione della legge a una serie concreta di fatti.
Per i sistemi di AI ad alto rischio, il Regolamento richiede l'implementazione di un sistema di gestione dei rischi. Questo sistema deve identificare, analizzare e mitigare i rischi associati al sistema di AI.
I criteri considerati nella valutazione del rischio includono:
1) la finalità prevista del sistema di AI,
2) l'uso e l'utilizzo passato del sistema,
3) l'esistenza di danni o impatti negativi precedenti,
4) la portata potenziale del danno o impatto negativo,
5) la dipendenza delle persone dai risultati prodotti dal sistema di AI
6) la vulnerabilità delle persone coinvolte.
L'articolo 10 del Regolamento riguarda la gestione dei dati utilizzati per l'addestramento dei modelli di AI ad alto rischio. Questi dati devono soddisfare criteri di qualità, inclusa la rappresentatività, l'accuratezza, la completezza e la robustezza. Devono essere adottate pratiche di governance e gestione dei dati adeguate, che includono la scelta progettuale, la raccolta, il trattamento e la valutazione dei dati.
La documentazione tecnica assume fondamentale importanza per dimostrare la conformità del sistema di AI ad alto rischio ai requisiti. Questa documentazione deve includere informazioni dettagliate sul sistema di AI, inclusi i dati utilizzati, le procedure di addestramento, le prestazioni e le misure di sicurezza adottate.
Si sottolinea l'importanza della trasparenza e della fornitura di informazioni agli utenti. I sistemi di AI ad alto rischio devono essere progettati e sviluppati in modo da garantire un funzionamento trasparente e devono essere accompagnati da istruzioni per l'uso che forniscono informazioni chiare, complete e pertinenti agli utenti e sviluppati in modo tale da garantire che il loro funzionamento sia sufficientemente trasparente da consentire agli utenti di interpretare l'output del sistema e utilizzarlo adeguatamente. È necessario fornire istruzioni per l'uso che contengano informazioni chiare, complete, corrette e pertinenti in un formato digitale o non digitale appropriato.
Le informazioni fornite agli utenti devono includere l'identità e i dati di contatto del fornitore, le caratteristiche, le capacità e i limiti delle prestazioni del sistema di AI ad alto rischio. Queste informazioni comprendono la finalità prevista del sistema, il livello di accuratezza, robustezza e cibersicurezza a cui il sistema è stato sottoposto a prova e qualsiasi circostanza nota e prevedibile che possa comportare rischi per la salute, la sicurezza o i diritti fondamentali. Inoltre, devono essere fornite specifiche per i dati di input e, se opportuno, la formazione degli utenti deve essere inclusa nelle informazioni fornite.
Fondamentale il tema della sorveglianza umana (cosiddetto principio Human in the loop) dei sistemi di AI ad alto rischio. Si sottolinea che questi sistemi devono essere progettati e sviluppati in modo tale da poter essere efficacemente supervisionati da persone fisiche durante il loro utilizzo. La sorveglianza umana mira a prevenire o ridurre al minimo i rischi per la salute, la sicurezza o i diritti fondamentali che possono emergere quando un sistema di AI ad alto rischio è utilizzato conformemente alla sua finalità prevista o in condizioni di uso improprio ragionevolmente prevedibile.
La sorveglianza umana può essere garantita tramite misure integrate nel sistema di AI ad alto rischio o tramite misure adottate dall'utente. Tali misure devono consentire alle persone incaricate della sorveglianza di comprendere appieno le capacità e i limiti del sistema di AI, monitorarne il funzionamento, interpretare correttamente l'output e prendere decisioni informate sulla base delle informazioni fornite dal sistema. Inoltre, per alcuni sistemi di AI ad alto rischio specifici, è richiesta la verifica e la conferma da parte di almeno due persone fisiche per l'identificazione risultante dal sistema.
L'articolo 15 stabilisce i requisiti per l'accuratezza, la robustezza e la cibersicurezza dei sistemi di AI ad alto rischio. I sistemi devono essere progettati e sviluppati in modo tale da conseguire, in base alla loro finalità prevista, un adeguato livello di accuratezza, robustezza e cibersicurezza, considerando anche i rischi derivanti da errori o malfunzionamenti del sistema.
L'accuratezza del sistema di AI ad alto rischio deve essere adeguata al contesto in cui il sistema viene utilizzato, tenendo conto dei suoi limiti e delle conseguenze dei risultati errati. La robustezza si riferisce alla capacità del sistema di mantenere le prestazioni previste in presenza di variazioni nelle condizioni operative o dei dati di input. La cibersicurezza si riferisce alla protezione del sistema contro minacce e attacchi informatici al fine di prevenire accessi non autorizzati, danni o intrusioni nella sua funzionalità o integrità.
I sistemi di AI ad alto rischio devono essere soggetti a valutazioni e test indipendenti per garantire la conformità ai requisiti di accuratezza, robustezza e cibersicurezza. Inoltre, i fornitori di tali sistemi devono mettere in atto misure adeguate a garantire che il software utilizzato sia aggiornato e sicuro durante tutto il suo ciclo di vita operativo.
In sintesi, il Titolo sulle disposizioni relative alla classificazione dei rischi dell'AI nel progetto di Regolamento europeo sull'AI stabilisce un quadro per valutare e gestire i rischi associati all'uso dell'AI. Questo quadro riflette l'approccio basato sul rischio del Regolamento, che mira a garantire che i requisiti normativi siano proporzionati al livello di rischio presentato da un determinato sistema di AI.
Obblighi dei fornitori, produttori, distributori, importatori, utenti ed altre parti dei sistemi AI
Questo Titolo stabilisce una serie di obblighi per i fornitori, produttori, distributori, importatori e utenti di sistemi di AI ad alto rischio.
Fornitori
Il fornitore è definito come "una persona fisica o giuridica, un'autorità pubblica, un'agenzia o un altro organismo che sviluppa un sistema di AI o che fa sviluppare un sistema di AI al fine di immetterlo sul mercato o metterlo in servizio con il proprio nome o marchio, a titolo oneroso o gratuito"
I fornitori di sistemi ad alto rischio sono tenuti a:
a) Garantire che i loro sistemi di AI ad alto rischio siano conformi ai requisiti stabiliti nel Regolamento.
b) Istituire un sistema di gestione della qualità conforme all'articolo 17, che assicuri la conformità al Regolamento. I fornitori dei sistemi di AI ad alto rischio devono garantire che il sistema sia sottoposto alla procedura di valutazione della conformità prevista dall'articolo 43 prima della sua immissione sul mercato o messa in servizio. Se il sistema di AI ad alto rischio risulta conforme ai requisiti del Regolamento, i fornitori devono redigere una dichiarazione di conformità UE in conformità all'articolo 48 e apporre la marcatura CE di conformità come previsto dall'articolo 49.
Il sistema di gestione della qualità deve garantire la conformità al Regolamento ed essere documentato in modo sistematico e ordinato attraverso politiche, procedure e istruzioni scritte. Il sistema di gestione della qualità deve includere almeno i seguenti aspetti:
1) Strategia per la conformità normativa, comprese le procedure di valutazione della conformità e le procedure per la gestione delle modifiche ai sistemi di AI ad alto rischio.
2) Tecniche, procedure e interventi per la progettazione, il controllo della progettazione e la verifica della progettazione del sistema di AI ad alto rischio.
3) Tecniche, procedure e interventi per lo sviluppo, il controllo e la garanzia della qualità del sistema di AI ad alto rischio.
4) Procedure di esame, prova e convalida da effettuare prima, durante e dopo lo sviluppo del sistema di AI ad alto rischio.
5) Specifiche tecniche e norme da applicare per garantire la conformità del sistema di AI ad alto rischio ai requisiti del Regolamento.
6) Sistemi e procedure per la gestione dei dati, compresa la raccolta, l'analisi, l'etichettatura, l'archiviazione, la filtrazione, l'estrazione, l'aggregazione e la conservazione dei dati.
7) Sistema di gestione dei rischi come previsto dall'articolo 9 del Regolamento.
8) Sistema di monitoraggio successivo all'immissione sul mercato conforme all'articolo 61 del Regolamento.
10) Procedure di segnalazione di incidenti gravi e malfunzionamenti come previsto dall'articolo 62 del Regolamento.
11) Gestione della comunicazione con le autorità nazionali competenti, le autorità settoriali, gli organismi notificati, gli altri operatori, i clienti o altre parti interessate.
12) Sistemi e procedure per la conservazione delle registrazioni e delle informazioni pertinenti.
13) Gestione delle risorse, inclusa la sicurezza dell'approvvigionamento.
m) Quadro di responsabilità che definisce le responsabilità della dirigenza e del personale per tutti gli aspetti elencati nell'articolo.
c) Redigere la documentazione tecnica del sistema di AI ad alto rischio in conformità all'allegato IV del Regolamento. Tale documentazione deve essere mantenuta e resa disponibile alle autorità competenti.
d) Conservare i log generati automaticamente dai loro sistemi di AI ad alto rischio, quando questi sono sotto il loro controllo. I log devono essere conservati per un periodo adeguato alla luce della finalità prevista del sistema di AI ad alto rischio e degli obblighi giuridici applicabili a norma del diritto dell'Unione o nazionale. Per i fornitori che sono enti creditizi disciplinati dalla direttiva 2013/36/UE, i log generati automaticamente devono essere mantenuti nell'ambito della documentazione di cui all'articolo 74 di tale direttiva.
e) Sottoporre il sistema di AI ad alto rischio a una valutazione di conformità appropriata prima della sua immissione sul mercato o messa in servizio.
f) Rispettare gli obblighi di registrazione previsti dall'articolo 51.
g) Adottare le misure correttive necessarie nel caso in cui il sistema di AI ad alto rischio non sia conforme ai requisiti del Regolamento. Tali misure possono includere la resa conforme del dispositivo, il suo ritiro o richiamo, a seconda dei casi. I fornitori devono informare i distributori del sistema di AI ad alto rischio in questione e, se applicabile, il rappresentante autorizzato e gli importatori sulle misure correttive adottate.
h) Informare le autorità nazionali competenti degli Stati membri e, se applicabile, l'organismo notificato, sulla non conformità e sulle misure correttive adottate.
i) Apporre la marcatura CE sui loro sistemi di AI ad alto rischio per indicare la conformità al Regolamento.
j) Dimostrare la conformità del sistema di AI ad alto rischio ai requisiti del Regolamento su richiesta di un'autorità nazionale competente.
Fabbricanti di prodotti
Se un sistema di AI ad alto rischio è collegato a prodotti ai quali si applicano gli atti giuridici elencati nell'allegato II, sezione A (tra cui macchine, giocattoli, imbarcazioni da diporto e moto d’acqua, ascensori, apparecchiature radio, attrezzature a pressione, impianti a fune, dispositivi di protezione individuale, apparecchi che bruciano carburanti gassosi, dispositivi medici, dispositivi medico-diagnostici in vitro) e viene immesso sul mercato o messo in servizio insieme al prodotto fabbricato conformemente a tali atti, il fabbricante del prodotto assume la responsabilità della conformità del sistema di AI al Regolamento. Il fabbricante ha gli stessi obblighi del fornitore previsti dal Regolamento per quanto riguarda il sistema di AI.
Rappresentanti autorizzati
Prima di mettere a disposizione i propri sistemi di AI sul mercato dell'Unione, i fornitori stabiliti al di fuori dell'Unione e che non possono identificare un importatore, devono nominare un rappresentante autorizzato stabilito nell'Unione mediante mandato scritto. Il rappresentante autorizzato svolge i compiti specificati nel mandato ricevuto dal fabbricante, compresi quelli di tenere una copia della dichiarazione di conformità UE e della documentazione tecnica a disposizione delle autorità competenti, fornire informazioni e documentazione per dimostrare la conformità del sistema di AI ad alto rischio e cooperare con le autorità competenti.
Importatori
Gli importatori di sistemi di AI ad alto rischio devono garantire che il sistema di AI ad alto rischio sia stato sottoposto all'appropriata procedura di valutazione della conformità da parte del fornitore, che la documentazione tecnica sia stata redatta conformemente all'allegato IV e che il sistema sia accompagnato dalla marcatura di conformità e dalla documentazione e dalle istruzioni per l'uso necessarie. Gli importatori non devono immettere sul mercato un sistema di AI ad alto rischio che non sia conforme e devono informare il fornitore e le autorità di vigilanza del mercato se ritengono o hanno motivo di ritenere che il sistema non sia conforme o presenti un rischio.
Distributori
Il distributore è definito come "qualsiasi persona fisica o giuridica nella catena di approvvigionamento, diversa dal fornitore o dall'importatore, che mette a disposizione un sistema di IA sul mercato dell'Unione senza modificarne le proprietà"
I distributori devono verificare che il sistema di AI ad alto rischio che mettono a disposizione sul mercato rechi la marcatura CE di conformità, sia accompagnato dalla documentazione e dalle istruzioni per l'uso necessarie e che il fornitore e l'importatore abbiano rispettato gli obblighi del Regolamento. I distributori non devono mettere a disposizione sul mercato un sistema di AI ad alto rischio che non sia conforme e devono informare il fornitore o l'importatore se ritengono o hanno motivo di ritenere che il sistema non sia conforme o presenti un rischio. I distributori devono anche cooperare con le autorità competenti e fornire loro informazioni e documentazione necessarie per dimostrare la conformità del sistema di AI ad alto rischio.
L'articolo 28 stabilisce che qualsiasi distributore, importatore, utente o altro terzo è considerato un fornitore ai fini del presente Regolamento e quindi è soggetto agli obblighi del fornitore previsti dall'articolo 16 nelle seguenti circostanze:
a) Se immettono sul mercato o mettono in servizio un sistema di AI ad alto rischio con il loro nome o marchio;
b) Se modificano la finalità prevista di un sistema di AI ad alto rischio già immesso sul mercato o messo in servizio;
c) Se apportano una modifica sostanziale al sistema di AI ad alto rischio.
Se si verificano le circostanze di cui al paragrafo 1, lettera b) o c), il fornitore che ha inizialmente immesso sul mercato o messo in servizio il sistema di AI ad alto rischio non è più considerato un fornitore ai fini del presente Regolamento.
Utenti di AI ad alto rischio
L'utente è definito come "qualsiasi persona fisica o giuridica, autorità pubblica, agenzia o altro organismo che utilizza un sistema di AI sotto la sua autorità, tranne nel caso in cui il sistema di AI sia utilizzato nel corso di un'attività personale non professionale"
Anche gli utenti non sono esenti da obblighi e responsabilità in relazione ai sistemi di intelligenza artificiale ad alto rischio. Questi includono l'uso dei sistemi in conformità con le istruzioni fornite dai fornitori, il monitoraggio dei sistemi per eventuali malfunzionamenti e la segnalazione di incidenti gravi nonché la sospensione dell’uso del sistema in caso di incidente grave o malfunzionamento. Questi obblighi mirano a garantire che gli utenti utilizzino i sistemi di AI in modo sicuro e responsabile.
Gli utenti di sistemi di AI ad alto rischio devono inoltre ricevere una formazione adeguata sull'uso del sistema. Questo include la comprensione di come funziona il sistema, come interpretare i suoi output e come gestire eventuali problemi o malfunzionamenti. Questa formazione è fondamentale per garantire che gli utenti possano utilizzare il sistema in modo sicuro e efficace.
Gli utenti devono inoltre garantire che i dati di input che controllano siano pertinenti alla luce della finalità prevista del sistema di AI ad alto rischio.
Gli utenti dei sistemi di AI ad alto rischio devono conservare i log generati automaticamente dai loro sistemi, nella misura in cui tali log sono sotto il loro controllo. I log devono essere conservati per un periodo adeguato alla luce della finalità prevista del sistema di AI ad alto rischio e degli obblighi giuridici applicabili secondo il diritto dell'Unione o nazionale.
Gli utenti che sono enti creditizi disciplinati dalla direttiva 2013/36/UE devono mantenere i log nell'ambito della documentazione riguardante i dispositivi, i processi e i meccanismi di governance interna di cui all'articolo 74 di tale direttiva.
Gli utenti dei sistemi di AI ad alto rischio devono utilizzare le informazioni fornite a norma dell'articolo 13 per adempiere al loro obbligo di effettuare una valutazione d'impatto sulla protezione dei dati a norma dell'articolo 35 del Regolamento (UE) 2016/679 o dell'articolo 27 della direttiva (UE) 2016/680, se applicabile.
AUTORITÀ DI NOTIFICA E ORGANISMI NOTIFICATI
Ogni Stato membro è tenuto a designare o istituire un’Autorità di Notifica, che avrà la responsabilità di gestire le procedure per la valutazione, designazione, notifica e monitoraggio degli organismi di valutazione della conformità. L'autorità di notifica deve essere organizzata in modo tale da evitare conflitti di interesse e garantire obiettività e imparzialità.
Gli organismi di valutazione della conformità dovranno presentare una domanda di notifica all'autorità di notifica dello Stato membro in cui sono stabiliti. La domanda deve essere accompagnata da una serie di documenti, tra cui una descrizione delle attività di valutazione, i moduli di valutazione e le tecnologie di intelligenza artificiale per le quali l'organismo dichiara di essere competente.
Le autorità di notifica possono notificare solo gli organismi di valutazione della conformità che soddisfano i requisiti dell'articolo 33 del Regolamento. Dopo la notifica, l'organismo può svolgere le attività di valutazione della conformità solo se non vengono sollevate obiezioni entro un mese.
Gli organismi notificati devono soddisfare una serie di requisiti relativi alla loro organizzazione, gestione della qualità, risorse e processi. Devono essere indipendenti, salvaguardare l'obiettività, l'imparzialità e la riservatezza delle informazioni e devono disporre di risorse adeguate per svolgere i loro compiti. L'organismo notificato ha il dovere di fornire tutta la documentazione pertinente all'autorità di notifica.
La Commissione dovrà istituire un sistema informativo di notifica elettronica e gestire tale sistema, con lo scopo di facilitare la notifica degli organismi di valutazione della conformità da parte degli Stati membri.
Gli Stati membri sono tenuti a riconoscere le attività di valutazione della conformità eseguite dagli organismi notificati di altri Stati membri. Inoltre, se uno Stato membro ritiene che un organismo notificato in un altro Stato membro non stia rispettando i requisiti, deve informare la Commissione e lo Stato membro interessato.
La Commissione deve tenere un registro aggiornato degli organismi notificati e deve cooperare con gli Stati membri per garantire la conformità con le disposizioni di notifica. Gli Stati membri sono tenuti a informare la Commissione di qualsiasi ritiro o sospensione della notifica.
Fine modulo
NORME, VALUTAZIONE DELLA CONFORMITÀ, CERTIFICATI, REGISTRAZIONE
I sistemi di AI conformi alle norme armonizzate pubblicate nella Gazzetta Ufficiale dell'Unione europea si presumono conformi ai requisiti essenziali. La Commissione europea potrà adottare specifiche comuni quando le norme armonizzate non sia sufficienti o sorgano preoccupazioni in materia di sicurezza o diritti fondamentali. I sistemi di AI conformi a queste specifiche comuni si presumono conformi ai requisiti. Inoltre i sistemi di AI ad alto rischio addestrati e testati con dati specifici al contesto in cui saranno utilizzati si presumono conformi a determinati requisiti.
I fornitori devono seguire una delle procedure specificate di valutazione della conformità per i sistemi di AI ad alto rischio, come il controllo interno o il coinvolgimento di un organismo notificato. Se non esistono norme armonizzate o specifiche comuni, si segue una procedura di valutazione della conformità che coinvolge un organismo notificato.
Il fornitore di un sistema di intelligenza artificiale (AI) ad alto rischio deve compilare una dichiarazione di conformità UE per ogni sistema di AI e tenerla a disposizione delle autorità competenti per un periodo di dieci anni dalla data di immissione sul mercato del sistema. La dichiarazione di conformità UE attesta che il sistema di AI ad alto rischio soddisfa i requisiti definiti nell'articolo 10 del Regolamento.
La marcatura CE è affissa in modo visibile, leggibile e indelebile sul sistema di AI ad alto rischio o, se non è possibile o difficile da realizzare a causa della natura del sistema, sull'imballaggio o sui documenti di accompagnamento. La marcatura CE deve seguire i principi generali definiti nell'articolo 30 del Regolamento (CE) n. 765/2008 e può essere seguita dal numero di identificazione dell'organismo notificato responsabile delle procedure di valutazione della conformità, se applicabile. Questo numero di identificazione deve essere indicato anche in tutto il materiale promozionale in cui si afferma che il sistema di AI ad alto rischio soddisfa i requisiti per la marcatura CE.