Come impatta l’AI Act nel settore dei medical devices

Il 13 febbraio 2024 scorso è stato trovato l’accordo sul nuovo regolamento sulla Intelligenza Artificiale (AI Act). Più esattamente la proposta di regolamento ha superato il vaglio delle Commissione Libe e Imco del Parlamento europeo, per passare alla votazione finale del Parlamento Ue in sessione plenaria (a fine aprile) e poi alla successiva approvazione del Consiglio (passaggio che dovrebbe essere di natura formale). In sede europea si sta già lavorando alle traduzioni e, se tutto va liscio, la pubblicazione in Gazzetta potrebbe arrivare durante l’estate. Da lì partiranno i termini per l’adeguamento: 6 mesi per le pratiche di AI vietate; 12 mesi per le disposizioni relative alle autorità di notifica e agli organismi notificati, alla governance, ai modelli di AI per scopi generali, alla riservatezza e alle sanzioni; 36 mesi per i sistemi di AI ad alto rischio di cui all’articolo 6, paragrafo 1 dell’AI Act.

Lo scenario possibile

L’impatto sul mondo dei software as medical device (c.d. samd) sarà senza dubbio importante. Per capirne la portata occorre analizzare le due norme cardine che delimitano l’ambito di applicazione del nuovo regolamento: l’articolo 3 e l’articolo 6. Il primo contiene la definizione di Intelligenza artificiale. La lettera 1 di tale norma così definisce il sistema di IA: “un sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall’input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali”.
In altre parole – seguendo le indicazioni dell’Oedc.AI nel “Explanatory Memorandum of the updated Oecd definition of an AI system” di marzo 2024 – il software sarà qualificato di “intelligenza artificiale” quando:

• presenta autonomie variabili (cioè ha diverse capacità di apprendimento in diverse aree – la computer vision, l’elaborazione del linguaggio naturale, il riconoscimento vocale, i sistemi intelligenti di supporto alle decisioni, i sistemi robotici intelligenti);
• è adattabile (cioè può continuare ad evolversi attraverso l’interazione diretta (con input e dati) anche dopo l’immissione sul mercato
• ha obiettivi “espliciti” (cioè definiti esplicitamente dall’uomo) oppure “impliciti” che possono derivare dalle regole specificate dall’uomo (“se il semaforo è rosso, fermati”) oppure che possono derivare dai dati di addestramento (in questo caso l’obiettivo finale non è programmato esplicitamente, ma è “incorporato” attraverso i dati di addestramento e attraverso un’architettura di sistema che impara a emulare quei dati – ad esempio, premiando i modelli linguistici di grandi dimensioni per aver generato una risposta plausibile);
• non completamente conosciuti in anticipo (sistemi di raccomandazione che usano apprendimento per rinforzo per restringere gradualmente il modello delle preferenze dei singoli utenti);
• genera output che possono essere raccomandazioni, previsioni e decisioni (ovviamente le “decisioni” rappresentano il tipo di output più autonomo, le “previsioni” il meno autonomo)

Cosa prevede l’articolo 6

Qui si stabilisce invece quali sono i software di AI considerati ad alto rischio (cui consegue l’applicazione delle regole di cui al Capo III – dall’articolo 8 all’articolo50).

Più esattamente si legge che “A prescindere dal fatto che sia immesso sul mercato o messo in servizio in modo indipendente rispetto ai prodotti di cui alle lettere a) e b), un sistema di IA è considerato ad alto rischio se sono soddisfatte entrambe le condizioni seguenti:

1. il sistema di IA è destinato a essere utilizzato come componente di sicurezza di un prodotto, o il sistema di IA è esso stesso un prodotto, disciplinato dalla normativa di armonizzazione dell’Unione elencata nell’allegato I;
2. il prodotto, il cui componente di sicurezza a norma della lettera a) è il sistema di IA, o il sistema di IA stesso in quanto prodotto, è soggetto a una valutazione della conformità da parte di terzi ai fini dell’immissione sul mercato o della messa in servizio di tale prodotto ai sensi della normativa di armonizzazione dell’Unione elencata nell’allegato

Altre fonti

Nell’allegato I del regolamento sono poi indicati sia il Regolamento Ue 2027/745 (MDR) che il Regolamento Ue 2017/46 (IVDR). In sostanza la norma stabilisce che i sistemi di AI (utilizzati in autonomia o come componenti di sicurezza) saranno qualificati al “alto rischio” ove rientrino nell’elenco di cui all’allegato I (e qui troviamo MDR e IVDR) ed altresì il sistema (o componente) sia – in base alla sua disciplina verticale – sottoposto al controllo di ente terzo (per noi gli Organismi Notificati).

Gli effetti

Dalla lettura combinata delle due norme sopra commentate al settore medical device si può affermare che

• Il campo di applicazione dell’AI Act si estende ai samd che sono “stand alone” o che sono “componenti di sicurezza” del medical device (attenzione: secondo l’interpretazione letterale della norma se il componente non è “di sicurezza” l’AI Act non dovrebbe applicarsi)
• il samd stand alone o componente di sicurezza dovrà poi applicare l’AI Act ove il software presenti le caratteristiche della AI. Vale a dire: autonomia variabile, adattabilità, obiettivi espliciti o impliciti, generazione di output.
• Il medical device che rientra nella nozione di AI sarà poi qualificata come “AI di  alto rischio” ove sia sottoposto alla valutazione di conformità di un terzo: ne consegue che i software di Classe I in MDR ed gli IVD di Classe A potranno essere sottoposta all’AI Act , ma non saranno di alto rischio (per tali prodotti troverà applicazione solo il Capo IV.

Rubrica "I DISPOSITIVI MEDICI TRA NORMATIVA E REGOLATORIO"

Leggi gli altri articoli presenti nella nostra rubrica in collaborazione con AboutPharma

VAI ALLA RUBRICA