AI Act e dispositivi medici: tutte le critiche dei Notify Body

Per la verità tale position suona più come un campanello di allarme che come una semplice analisi tecnica per una posta in gioco molto alta: garantire che l’Europa continui ad avere accesso alle tecnologie mediche più avanzate senza compromettere la sicurezza dei pazienti.
Vediamo allora i singoli punti affrontati.

La sfida temporale

Sebbene l’ambito ad alto rischio dell’AI Act – quello che riguarda direttamente i dispositivi medici con intelligenza artificiale – diventerà applicabile solo dal 2 agosto 2027, la realtà è che i processi preparatori devono iniziare subito. E qui emerge il primo grande problema: la designazione degli organismi notificati e l’istituzione delle leggi nazionali di attuazione richiedono tempi che rischiano di non essere compatibili con le scadenze stabilite.

La pubblicazione delle leggi avrebbe infatti dovuto avvenire nell’autunno 2024 e siamo già a maggio 2025: per l’Italia si tratta del cosiddetto ddl Meloni (1146) passato in Senato a marzo 2025 e che dovrebbe chiudere la discussione alla Camera il 5 giugno prossimo. Sul punto il Team-NB non usa mezzi termini: i ritardi nella designazione degli organismi notificati potrebbero creare una vera e propria carenza di enti certificatori proprio quando serviranno di più, mettendo a rischio l’introduzione sul mercato di tecnologie mediche innovative. Esattamente quello che è avvenuto per i dispositivi medici e gli IVD. Una delle questioni più dibattute riguarda poi la via da seguire per la designazione dei NB in ambito di AI.
L’AI Act offre due strade: una designazione completamente nuova secondo l’articolo 30, che però richiederà molto tempo, o l’estensione delle designazioni esistenti per MDR e IVDR, prevista dall’articolo 43(3).
Team-NB ha le idee chiare: la seconda opzione rappresenta “una via veloce e semplice” che permetterebbe di sfruttare l’esperienza già acquisita nella valutazione dei software medicali. Non si tratta di abbassare la guardia sulla qualità dei controlli, ma di riconoscere che gli organismi notificati hanno già sviluppato – in questi anni – competenze significative nella valutazione di metodologie AI in ambito medico (che sono già pienamente utilizzate all’interno degli ospedali). I rumors dicono invece che non tutti gli Stati membri sono d’accordo su questo percorso.

Valutazione della AI

L’AI Act Introduce concetti e requisiti che fino a oggi erano ai margini delle valutazioni sui dispositivi medici: i diritti fondamentali. Privacy, protezione dei dati, non discriminazione e dignità umana diventano elementi centrali da considerare, accanto ai tradizionali parametri di sicurezza ed efficacia. Per Team-NB, questa non è necessariamente una complicazione, ma piuttosto un’evoluzione naturale. Secondo i NB infatti le sfide maggiori saranno di natura amministrativa e legale piuttosto che tecnica. I produttori dovranno adattare i loro approcci, integrando nelle valutazioni del rischio considerazioni che vanno oltre la pura performance clinica. Gli organismi notificati dovranno prestare particolare attenzione a nuovi aspetti: sistemi di gestione del rischio conformi all’AI Act, disposizioni rigorose per la supervisione umana, logging appropriato, e soprattutto l’accesso ai dati di training, validazione e testing. Quest’ultimo punto apre uno scenario completamente nuovo nella relazione tra produttori e certificatori.

Le definizioni

Uno degli aspetti più delicati dell’implementazione riguarda le definizioni. Cosa si intende concretamente per “sistema di AI”? Quando un componente è considerato “di sicurezza”? Cosa costituisce una “modifica sostanziale”? Potrebbero sembrare questioni puramente accademiche, ma nella realtà determinano l’ambito di applicazione dell’intera normativa. Team-NB evidenzia come la definizione di “sistema di AI”, pur seguendo quella dell’Ocse e nonostante la Comunicazione Ue 6 febbraio 2025 “Commission Guidelines on the defintion of an artificial intelligence system established by Regulation (EU) 2024/1689 (AI Act) “presenta ancora molte zone d’ombra e potrebbe richiedere ulteriori chiarimenti per evitare di includere sistemi tradizionalmente non considerati AI nell’ambito di applicazione dell’AI ACT. Particolarmente critica è la definizione di “componente di sicurezza”: un’interpretazione troppo ampia potrebbe portare a classificare come “ad alto rischio” sistemi che non dovrebbero esserlo, mentre una troppo restrittiva potrebbe lasciare fuori tecnologie che invece richiederebbero maggiore controllo. Da ultimo si chiede fortemente un chiarimento sulla nozione di “modifica sostanziale” (articolo 3 lett. 23 AI ACT).

La sfida dei dati: il nuovo oro dell’Healthcare

Se c’è un ambito dove l’AI Act introduce cambiamenti davvero rivoluzionari, questo è la gestione dei dati. L’accesso degli Organismi Notificati ai dataset di training, validazione e testing utilizzati dai produttori rappresenta un’importante novità nel panorama delle certificazioni medicali. Team-NB identifica due sfide critiche: garantire la sicurezza e la conformità al GDPR per l’accesso ai dati dei produttori (fondamentale verificare la legittimità delle fonti) e la disponibilità di dataset indipendenti di alta qualità per eventuali test aggiuntivi. Una grande sfida per trovare un equilibrio tra trasparenza, protezione delle persone fisiche, sicurezza dei dati e protezione della proprietà intellettuale. Con il GDPR che mostra segni di incredibile “vecchiaia” in relazione alle nuove sfide del mercato.
Del resto lo Spazio europeo dei dati sanitari (EHDS), senza dubbio un possibile soluzione ai problemi dell’accessibilità ai dati sanitari, ha tempi che non coincidono (gli accessi cominceranno a marzo 2029). Occorre lavorare veloce sull’uso secondario dei dati, sui dati sintetici e sulla anonimizzazione.

La carenza di standard

L’AI Act prevede la redazione di standard armonizzati che, una volta pubblicati, offriranno una “presunzione di conformità” con le disposizioni normative. È un meccanismo ben noto nel mondo dei dispositivi medici e che semplifica notevolmente i processi di certificazione. Il problema è che l’emanazione di questi standard è molto indietro: ne deriva che in assenza di standard armonizzati, la valutazione della conformità dovrà basarsi su un confronto con lo stato dell’arte, un approccio molto più dispendioso in termini di risorse e tempo. Un ritardo che si aggiunge a una lista già lunga di sfide temporali.

Conclusioni

Attraverso questo position paper, il Team-NB lancia un messaggio chiaro: l’implementazione dell’AI Act nel settore dei dispositivi medici richiede un approccio ben coordinato tra Stati membri e Commissione europea. Non si tratta di opporsi alla nuova regolamentazione, ma di garantire che la sua implementazione non comprometta l’accesso a tecnologie mediche innovative. Le preoccupazioni espresse non sono di natura tecnica – gli organismi notificati hanno già esperienza nella valutazione di sistemi AI – ma organizzativa e procedurale.

Serve pragmatismo nelle interpretazioni, tempestività nelle designazioni, chiarezza nelle definizioni e soluzioni creative per la gestione dei dati. La chiave del successo sta nel trovare il giusto equilibrio tra rigore normativo e flessibilità implementativa. Il countdown verso il 2 agosto 2027 è iniziato. La domanda non è se l’Europa sarà pronta, ma quanto sarà costato arrivare preparati.

Rubrica "I DISPOSITIVI MEDICI TRA NORMATIVA E REGOLATORIO"

Leggi gli altri articoli presenti nella nostra rubrica in collaborazione con AboutPharma

VAI ALLA RUBRICA