Valutazione della Conformità ai sensi del Regolamento UE sull'IA
Guida alle procedure di valutazione della conformità per i sistemi di IA ad alto rischio — controllo interno, valutazione da parte di terzi, marcatura CE e dichiarazione UE di conformità.
Prima che un sistema di IA ad alto rischio possa essere immesso sul mercato dell'UE o messo in servizio, deve essere sottoposto a una valutazione della conformità. Si tratta del processo attraverso il quale il fornitore dimostra — e un'autorità competente può verificare — che il sistema di IA soddisfa tutti i requisiti applicabili del Regolamento UE sull'IA (Regolamento 2024/1689). Senza una valutazione della conformità completata, un fornitore non può rilasciare una dichiarazione UE di conformità, apporre la marcatura CE né rendere legittimamente il sistema disponibile nell'Unione europea.
Il quadro giuridico: Articoli 43 e 44
L'Articolo 43 del Regolamento UE sull'IA stabilisce le procedure di valutazione della conformità per i sistemi di IA ad alto rischio. Prevede due percorsi:
- Valutazione della conformità basata sul controllo interno (Allegato VI): il fornitore conduce la valutazione autonomamente, senza il coinvolgimento di terzi.
- Valutazione della conformità con il coinvolgimento di un organismo notificato (Allegato VII): un'organizzazione terza designata da uno Stato membro dell'UE esamina il sistema di IA e rilascia un certificato.
Quando è richiesta la valutazione da parte di terzi?
Controllo interno (maggior parte dei sistemi di IA ad alto rischio)
Per la maggioranza dei sistemi di IA ad alto rischio elencati nell'Allegato III del regolamento — compresi i sistemi utilizzati nell'occupazione, nell'istruzione, nel credit scoring, nelle attività di contrasto, nella migrazione e nell'accesso ai servizi essenziali — il fornitore può condurre la valutazione della conformità mediante controllo interno ai sensi dell'Allegato VI. Non è richiesto un organismo notificato terzo.
Valutazione da parte di terzi (casi specifici)
La valutazione della conformità da parte di terzi ai sensi dell'Allegato VII è richiesta in due scenari principali:
1. Sistemi di IA disciplinati dalla legislazione di armonizzazione dell'UE esistente elencata nell'Allegato I, Sezione A.
2. Sistemi di identificazione e categorizzazione biometrica. I sistemi di IA ad alto rischio destinati all'identificazione e alla categorizzazione biometrica delle persone fisiche (Allegato III, punto 1) sono soggetti alla procedura di valutazione della conformità da parte di terzi.
Anche laddove il controllo interno è consentito, i fornitori devono comunque applicare norme armonizzate o specifiche comuni ove disponibili. La scelta del controllo interno non riduce i requisiti sostanziali di conformità — cambia solo chi verifica la conformità.
La procedura di controllo interno (Allegato VI)
Quando si applica il controllo interno, il fornitore conduce la valutazione della conformità verificando che il sistema di gestione della qualità e la documentazione tecnica soddisfino i requisiti del regolamento attraverso quattro fasi: verifica del SGQ, verifica della documentazione tecnica, verifica della conformità a tutti i requisiti e rilascio della dichiarazione UE di conformità.
Il controllo interno richiede un'autovalutazione rigorosa. "Abbiamo verificato il nostro stesso lavoro" non soddisferà le autorità di regolamentazione se la valutazione è stata superficiale. Documentate ogni fase di verifica, conservate le prove e considerate di coinvolgere competenze esterne a supporto del processo, anche se un organismo notificato non è giuridicamente richiesto.
Vi state preparando alla valutazione della conformità?
Ctrl AI vi aiuta a costruire il sistema di gestione della qualità, la documentazione tecnica e i percorsi di audit necessari per superare la valutazione della conformità — sia interna che da parte di terzi.
Learn About Ctrl AILa dichiarazione UE di conformità
L'Articolo 47 definisce i requisiti per la dichiarazione UE di conformità — un documento formale in cui il fornitore dichiara che il sistema di IA soddisfa tutti i requisiti applicabili. Deve includere nome e tipo del sistema di IA, dati del fornitore, dichiarazione di conformità, riferimenti alle norme armonizzate utilizzate e, se del caso, informazioni sull'organismo notificato.
La dichiarazione deve essere mantenuta aggiornata e resa disponibile alle autorità di vigilanza del mercato su richiesta per un periodo di 10 anni.
Marcatura CE
L'Articolo 48 impone che la marcatura CE sia apposta sul sistema di IA ad alto rischio o, laddove ciò non sia possibile, sul suo imballaggio o sulla documentazione di accompagnamento. La marcatura CE indica che il sistema di IA è conforme ai requisiti del regolamento.
La marcatura CE è già familiare in molti settori di prodotto. Per i sistemi di IA, ha lo stesso significato giuridico: è la dichiarazione del fornitore che il sistema è conforme a tutti i requisiti UE applicabili. L'uso improprio della marcatura CE — apporla a un sistema non conforme — è soggetto a sanzioni.
Organismi notificati
Gli organismi notificati sono organizzazioni designate dagli Stati membri dell'UE per effettuare valutazioni della conformità da parte di terzi. Devono dimostrare indipendenza, competenza tecnica, risorse adeguate e riservatezza.
A partire dall'inizio del 2026, gli Stati membri sono in fase di designazione degli organismi notificati per il Regolamento sull'IA. Le organizzazioni che prevedono di necessitare di una valutazione da parte di terzi dovrebbero monitorare lo sviluppo della capacità degli organismi notificati e iniziare a interagire per tempo.
Modifiche e rivalutazione
L'Articolo 43, paragrafo 4, affronta cosa accade quando un sistema di IA ad alto rischio che ha già superato la valutazione della conformità viene sostanzialmente modificato. Una modifica sostanziale richiede una nuova valutazione della conformità.
La distinzione tra modifiche sostanziali e non sostanziali è specifica del caso. In caso di dubbio, propendete per trattare una modifica come sostanziale. Immettere sul mercato un sistema non conforme comporta conseguenze molto più gravi rispetto al condurre una valutazione aggiuntiva.
Sanzioni
Immettere un sistema di IA ad alto rischio sul mercato dell'UE senza completare la valutazione della conformità richiesta è una violazione grave. Le sanzioni amministrative pecuniarie possono raggiungere fino a 15 milioni di EUR o il 3% del fatturato mondiale totale annuo, se superiore. Inoltre, le autorità di vigilanza del mercato possono ordinare il ritiro o il richiamo dei sistemi non conformi.
Conclusione
La valutazione della conformità è la porta d'accesso al mercato dell'UE per i sistemi di IA ad alto rischio. Che il vostro sistema segua il percorso del controllo interno o richieda una valutazione da parte di terzi, il lavoro sottostante è lo stesso: documentazione tecnica completa, un sistema di gestione della qualità robusto, gestione approfondita del rischio e test e validazione rigorosi.
Le organizzazioni non dovrebbero considerare la valutazione della conformità come un ostacolo una tantum. È un obbligo continuo — le modifiche sostanziali attivano la rivalutazione, i certificati hanno validità limitata e le autorità di vigilanza del mercato possono richiedere documentazione e prove di conformità in qualsiasi momento. Costruire i sistemi e i processi per supportare la valutazione della conformità su base continuativa è un investimento per un accesso sostenibile al mercato.
Make Your AI Auditable and Compliant
Ctrl AI provides expert-verified reasoning units with full execution traces — the infrastructure you need for EU AI Act compliance.
Explore Ctrl AIArticoli correlati
Requisiti di Documentazione Tecnica per i Sistemi di IA
Quale documentazione tecnica è richiesta dal Regolamento UE sull'IA — requisiti dell'Allegato IV, registrazioni della gestione del rischio, documentazione della governance dei dati e come mantenere la conformità.
Requisiti di Sorveglianza Umana nel Regolamento UE sull'IA
Guida agli obblighi di sorveglianza umana dell'Articolo 14 — cosa devono implementare i deployer, prevenzione del bias da automazione e diritto di prevalere sulle decisioni dell'IA nei sistemi ad alto rischio.
Requisiti di Alfabetizzazione sull'IA: Articolo 4 del Regolamento UE sull'IA
Comprendere l'obbligo di alfabetizzazione sull'IA previsto dall'Articolo 4 del Regolamento UE sull'IA — cosa significa, chi deve conformarsi e come implementare programmi di alfabetizzazione sull'IA nella vostra organizzazione.