Che il settore dei device fosse in fermento ormai è arcinoto a tutti. Con l’avvento dei Regolamento sui dispositivi medici (MDR) dell’UE e del Regolamento sui dispositivi diagnostici in vitro (IVDR), tutti gli operatori economici coinvolti di certo non dormono sogni tranquilli. Per rendere ancora più vivace questa transizione ora subentra anche l’intelligenza artificiale (di seguito chiamata “A.I.”) con l’approvazione del regolamento UE 2024/1689 l’Artificial Intelligence Act o “AI ACT” o semplicemente “AIA”.
Proviamo a spiegare meglio come e con quali modalità.
Iniziamo ad enucleare gli ambiti che vengono esclusi dal regolamento: i sistemi di IA immessi sul mercato, messi in servizio o utilizzati da enti pubblici e privati per scopi militari, di difesa o di sicurezza nazionale sono. Si aggiungono anche i sistemi e i modelli di IA, incluso il loro output, destinati a essere utilizzati al solo scopo di ricerca e sviluppo scientifico sono anch’essi esclusi dall’ambito di applicazione.
L’adozione dell’AIA significa che il mondo ha ora un quadro completo per la regolamentazione dei dispositivi e software aventi l’IA.
Essendo un regolamento, è applicabile a tutti gli stati membri dell’UE. Per i produttori di dispositivi medici, ciò significa che se un dispositivo medico incorpora funzioni di dispositivo aventi l’IA o addirittura con caratteristiche di machine learning (“ML”), l’AIA sarà applicabile a tali funzionalità. L’AIA menziona anche le condizioni in cui la conformità del prodotto avente AI richieda la marcatura CE, a riprova e dimostrazione della conformità, obbligatoria per l’immissione in commercio.
L’AIA procede anche con una severa classificazione dei sistemi AI, adottando un approccio basato sul rischio (come già attuato per l’MDR e IVDR).
L’AIA distingue tre categorie di software di intelligenza artificiale:
- sistemi di AI vietati (articolo 5)
- sistemi di AI considerati ad alto rischio (articolo 6 e seguenti)
- sistemi di AI per finalità generali (articolo 51 e seguenti)
I Samd (software as medical device) che hanno funzionalità con AI, rientrano nella categoria dei software ad alto rischio. Più esattamente infatti l’articolo 6 stabilisce che un sistema di AI è considerato ad alto rischio se sono presenti entrambi i seguenti profili:
- il sistema di AI è progettato per essere un componente di sicurezza di altro prodotto oppure è esso stesso un prodotto autonomo.
- il prodotto che contiene il componente di sicurezza o il prodotto autonomo sono soggetti a una valutazione della conformità da parte di terzi (gli organismi notificati)
I requisiti per i sistemi AI ad alto rischio includono diverse attività e controlli da espletare, quali: Governance dei dati; Sistema di gestione della qualità (QMS); Documentazione tecnica; Registrazione delle attività svolte; Trasparenza; Supervisione umana; Accuratezza, robustezza e cybersecurity; Valutazione della conformità (autodichiarazione) o coinvolgimento di un organismo notificato.
Sebbene alcuni di questi requisiti si possono verosimilmente sovrapporre ai requisiti previsti dai regolamenti MDR e IVDR, i produttori dovranno condurre una gap-analysis per identificare i punti e/o attività da implementare, migliorare e modificare. Inoltre, dati i requisiti specifici previsti da ciascun regolamento, potrebbe essere più coerente disporre, ad esempio, di una documentazione tecnica distinta a supporto della conformità ai sensi dell’AIA, del MDR e/o dell’IVDR.
L’AIA delinea gli obblighi per cinque principali “operatori” (simili agli “operatori economici” ai sensi del MDR e IVDR): fornitori, distributori, rappresentanti autorizzati, importatori e deployer.
Proprio quest’ultima figura è degna di nota, in quanto assente nei regolamenti dei device. Citando il considerando n°13, il deployer viene così descritto: “una persona fisica o giuridica, un’autorità pubblica, un’agenzia o un altro organismo che utilizza un sistema di IA sotto la propria autorità, tranne nel caso in cui il sistema di IA sia utilizzato nel corso di un’attività personale non professionale”
Ogni operatore ha ruoli specifici da svolgere, delineati in specifici articoli dell’AIA. Gli obblighi per i sistemi di AI classificati come ad alto rischio entreranno in vigore a partire dal 2 agosto 2027, come previsto dall’articolo 113 dell’AIA.
In conclusione, come per ogni nuova normativa, ci saranno delle sfide da accogliere e da superare. L’importante, come sempre, è tenersi aggiornati e individuare i punti critici all’interno della propria organizzazione. Una volta individuati, delineare una valida strategia per conformarsi.
In aggiunta, auspichiamo che, come accaduto per l’MDR/IVDR, la Commissione UE rediga delle linee guida di implementazione, anche con il supporto di stakeholders (es.: settore ICT).
