Vuoi ricevere i nostri aggiornamenti?

Registrati per accedere ai contenuti riservati e iscriverti alla nostra newsletter
Registrati
Back

Dispositivi medici e AI Generativa: le nuove regole dal 2 agosto per i fabbricanti

29/08/2025
Silvia Stefanelli

al 2 agosto 2025 è diventata pienamente efficace la disciplina dell’AI Act (Regolamento Ue 2024/1689) relativa ai modelli di intelligenza artificiale per finalità generali (General Purpose AI – GPAI): nell’ambito di tale nozione rientrano anche le cosiddette AI generative.
Il settore dei medical device risulta impattato sotto due aspetti: in via diretta per i fabbricanti che intendono produrre ed immettere direttamente sul mercato modelli AI e per quelli che vogliono acquistarli per poi incorporarli all’interno di un dispositivo medico. Il presente articolo si propone quindi di analizzare sinteticamente gli obblighi in vigore dal 2 agosto 2025, fornendo anche alcune indicazioni operative sulle attività da porre in essere.

Il quadro normativo

L’articolo 3 lett. 63) dell’AI Act definisce come modello di AI per finalità generali “un modello di IA, anche laddove tale modello di IA sia addestrato con grandi quantità di dati utilizzando l’autosupervisione su larga scala, che sia caratterizzato una generalità significativa e sia in grado di svolgere con competenza un’ampia gamma di compiti distinti, indipendentemente dalle modalità con cui il modello è immesso sul mercato, e che può essere integrato in una varietà di sistemi o applicazioni a valle, ad eccezione dei modelli di IA utilizzati per attività di ricerca, sviluppo o prototipazione prima di essere immessi sul mercato.
La disciplina per i modelli AI per finalità generali è contenuta al Capo V dell’AI Act e gli stessi dividono in (articolo 51 AI Act):

  • modelli AI per finalità generali (a rischio non sistemico)
  • modelli AI per finalità generali a rischio sistemico

Dal 2 agosto 2025, i provider (cioè i fornitori) o i rappresentanti Ue del fornitore (articolo 53 AI Act) di modelli GPAI sono quindi soggetti ad alcuni obblighi. Eccoli:

Obblighi per i modelli di IA per finalità generali (non a rischio sistemico)

  • Obbligo di documentazione: documentare le informazioni tecniche sui loro modelli (ai sensi dell’Allegato XI) al fine di fornire tali informazioni, su richiesta, all’ufficio per l’IA e alle autorità nazionali competenti (articolo 53, paragrafo 1, lettera a), della legge sull’IA).
  • Obbligo di trasparenza: elaborare, mantenere aggiornate e mettere a disposizione informazioni e documentazione per i fornitori di sistemi di IA che intendono integrare il modello di IA per finalità generali nei loro sistemi di IA. Fatta salva proprietà intellettuale e informazioni commerciali, le informazioni e la documentazione devono in generale essere tali da consentire ai fornitori di sistemi di IA di avere una buona comprensione delle capacità e dei limiti del modello di IA e di adempiere ai loro obblighi a norma del presente regolamento, contenendo almeno gli elementi di cui all’allegato XII (articolo 53 par. 1 lett. b).
  • Obbligo tutela del copyright: mettere in atto una politica per conformarsi al diritto d’autore e ai diritti connessi dell’Unione (articolo 53, par. 1, lettera c) AI Act)
  • Obbligo trasparenza dati training: obbligo di redigere e mettere a disposizione del pubblico una sintesi sufficientemente dettagliata dei contenuti utilizzati per la formazione del modello (articolo 53, par. 1, lettera d) AI Act ).

Obblighi per modelli di IA per finalità generali con rischio sistemico

Oltre agli obblighi di cui sopra, i modelli per finalità generali a rischio sistemico devono rispettare i seguenti obblighi aggiuntivi (articolo 54 AI Act):

  • Notifica alla Commissione europea del rilascio o aggiornamento di un modello a rischio sistemico.
  • Valutazione e mitigazione dei rischi: effettuare valutazioni specifiche dei rischi sistemici potenziali a livello Ue e adottare misure adeguate per attenuarli.
  • Segnalazione degli incidenti: tracciare, documentare e segnalare eventuali incidenti gravi, compresi quelli relativi a violazioni della sicurezza o uso improprio del modello.
  • Protezione della cybersicurezza: implementazione di misure avanzate di sicurezza informatica a tutela del modello e della relativa infrastruttura tecnica.
  • Audit interni e trasparenza aggiuntiva: adozione di procedure interne supplementari per monitorare la conformità e trasparenza lungo tutta la catena di fornitura AI.

Codice di condotta per i Modelli GPAI

Il 10 luglio 2025, la Commissione europea ha pubblicato il Code of Practice per i modelli GPAI. Tale Codice, sviluppato attraverso un processo multi-stakeholder che ha coinvolto esperti indipendenti, rappresenta un framework pratico per l’attuazione degli obblighi normativi. Il rispetto del Codice è del tutto volontario, ma senza dubbio lo stesso rappresenta un grande aiuto per provare il rispetto dell’AI Act. Il Codice si articola in tre capitoli fondamentali:

  1. Trasparenza: definisce le modalità per la redazione e l’aggiornamento della documentazione dei modelli, introducendo un “Model Documentation Form” che copre aspetti come fonti dei dati di addestramento, casi d’uso previsti e informazioni di licensing.
  2. Copyright: stabilisce procedure per garantire il rispetto della normativa europea sul diritto d’autore, inclusa l’identificazione e il rispetto delle riserve di diritti espressi secondo la Direttiva 2019/790.
  3. Capitolo Safety and Security: applicabile solo ai modelli con rischio sistemico, definisce framework per l’identificazione, analisi e mitigazione dei rischi, oltre a procedure per il reporting degli incidenti e misure di cybersecurity.

Modello per la sintesi pubblica dei contenuti formativi per modelli di IA per finalità generali

Tale documento è destinato ai modelli di IA per finalità generali costituisce uno strumento centrale di trasparenza imposto dall’articolo 53 par. 1 lett. d) dell’AI Act. La sintesi deve fornire una descrizione dettagliata delle tipologie di dati, delle fonti utilizzate e dei criteri adottati durante l’addestramento del modello di intelligenza artificiale. L’obiettivo è garantire la possibilità di controllo da parte delle autorità competenti, tutelando al contempo i diritti d’autore e stimolando condotte responsabili da parte dei fornitori, oltre che consentire l’identificazione di eventuali contenuti critici o sensibili.

Orientamenti sulla portata degli obblighi per i fornitori di modelli GPAI

Si tratta di Linee Guida della Commissione Ue (Brussels, 18.7.2025 C(2025) 5045 final) molto interessanti e dettagliate. Le stesse chiariscono:

  • quando un modello di IA per scopi generaliè a rischio sistemico e quando non lo è;
  • criteri di classificazione e notifica, inclusa la misurazione del “training compute” (calcolo di addestramento);
  • chi è considerato un fornitoreche immette sul mercato un modello AI;
  • quando le modifiche a un modello esistenterendono un operatore commerciale un nuovo “fornitore”.

 Tempi di applicazione

In proposito vu sono due discipline diversamente articolate:

  • Modelli di AI per finalità generali immessi sul mercato dopo il 2 agosto 2025. L’articolo 113 lett. b) stabilisce che tutte le prescrizioni sopra evidenziate si applicano per i modelli AI per finalità generali immessi sul mercato dopo il 2 agosto 2025. Le linee guida della Commissione (sopra richiamate) riconoscono però che i fornitori di modelli di IA potrebbero aver bisogno di tempo per adeguare le loro politiche e procedure al fine di garantire la conformità agli obblighi previsti dalla legge sull’IA. L’Ufficio IA si impegna quindi a sostenere i fornitori nell’adozione delle misure necessarie per adempiere ai loro obblighi e invita i fornitori a contattare immediatamente e in modo proattivo l’Ufficio IA per assicurarsi di adottare le misure adeguate per garantire la conformità.
  • Modelli di AI per finalità generali immessi sul mercato prima del 2 agosto 2025. L’articolo 111 par. 3 stabilisce che i modelli immessi sul mercato prima del 2 agosto 2025 devono adottare le misure necessarie per conformarsi agli obblighi stabiliti dall’AI Act entro il 2 agosto 2027. Le Linee Guida stabiliscono inoltre che: “ providers of general-purpose AI models placed on the market after 2 August 2025 may need time to adapt their policies and procedures to ensure they are compliant with their obligations under the AI Act. The AI Office is therefore dedicated to supporting providers in taking the necessary steps to comply with their obligations and invites providers to immediately and proactively contact the AI Office to ensure they are taking the right steps to ensure compliance”.

Cosa devono fare i fabbricanti

Alla luce di quanto sopra è chiaro che, chi opera in questo settore, è chiamato a prendere in mano la materia. Gli step potrebbero essere i seguenti.

Per il fabbricante che intende immettere sul mercato una modello AI per finalità generali il primo passo i è determinare se i modelli che si intendono immettere sul mercato AI ricadano nella definizione GPAI. Questa valutazione richiede:

  • analisi delle capacità del modello: verificare se il modello può svolgere competentemente una vasta gamma di compiti distinti oltre alla specifica applicazione medica;
  • calcolo del training compute: determinare se il modello è stato addestrato con più di 10²³ FLOP, utilizzando le metodologie specificate nelle linee guida della Commissione.
  • Valutazione delle modalità di output: verificare se il modello può generare testo, audio, immagini o video.

Ove il modello rientri nella nozione di “modello di AI per finalità generali” dovranno essere posti in essere gli adempimenti di cui sopra.

Nel caso di fabbricante che intenda incorporare un modello AI per finalità generali nel proprio dispositivo si dovrà verificare se il fornitore di GPAI abbia rispettato il Capo V dell’AI ACT e definire i seguenti obblighi specifici nel contratto:

  • accesso alle informazioni: il fornitore del modello GPAI deve fornire documentazione completa su capacità, limitazioni, rischi e misure di mitigazione.
  • Aggiornamenti e notifiche: previsione di essere informati tempestivamente di modifiche, aggiornamenti o problematiche del modello.
  • Supporto alla compliance: il fornitore deve supportare il fabbricante negli adempimenti AI Act, fornendo documentazione e assistenza per le procedure di notifica.

In tutti e tre i casi occorre aggiornare i contratti, o comunque redigerli tenendo conto degli aspetti di cui sopra. Inoltre l’AI Act non sostituisce il MDR, ma si integra allo stesso creando un doppio binario normativo. Ne discende che i fabbricanti devono:

  • aggiornare la valutazione del rischio, integrando i rischi specifici dell’AI nella valutazione complessiva del dispositivo medico;
  • modificare la documentazione tecnica, includendo nella documentazione MDR le informazioni specifiche sui modelli GPAI;
  • aggiornare le procedure di sorveglianza post-commercializzazione, estendendo il monitoraggio ai comportamenti e performance dei modelli GPAI integrati.

Inoltre per fornitori e deployer (quindi anche il fabbricante che è utilizzatore del modello per finalità generali) è già obbligatorio rispettare gli obblighi di formazione del personale come richiesto dell’articolo 4 dell’Ai Act, in vigore dal 2 febbraio 2025.


ARTICOLO PUBBLICATO SU ABOUTPHARMA

Rubrica "I DISPOSITIVI MEDICI TRA NORMATIVA E REGOLATORIO"

Leggi gli altri articoli presenti nella nostra rubrica in collaborazione con AboutPharma

VAI ALLA RUBRICA
Dispositivi Medici IA - Intelligenza Artificiale
Share

Il nostro sito dedicato ai Dispostivi Medici: MDR-IVDR commentati

VAI

AI LEGAL: un prisma da comporre

LEGGI LA NOSTRA RUBRICA