Vuoi ricevere i nostri aggiornamenti?
Ecco quando anche ai medical devices si applica il nuovo Regolamento sull’intelligenza artificiale
Il Regolamento Ue 2024/1689 sull’Intelligenza Artificiale (AI Act) è stato pubblicato sulla Gazzetta ufficiale europea il 12 luglio 2024, aprendo una nuova era per i software basati su sistemi di AI. La Comunità europea si è posta infatti come obiettivo quello di stabilire, per la prima volta a livello mondiale, le regole per la progettazione, realizzazione e immissione sul mercato dei sistemi di AI. Tali regole poi, troveranno applicazione, non solo nei confronti dei fornitori stabiliti nella Ue, ma anche nei confronti di quelli extra Ue (articolo 2, lettera a). In questo modo l’AI Act influenzerà la produzione di sistemi AI a livello mondiale.
L’articolazione dell’AI Act
Molto in sintesi (e senza pretesa di esaurire in queste poche righe un regolamento composto da oltre cento articoli) preme precisare che l’AI Act è comunque un “regolamento di prodotto”: segue quindi l’architettura giuridica dei regolamenti europei MDR e IVDR, prevedendo altresì l’apposizione della marcatura CE. Dopo aver infatti stabilito l’ambito di applicazione (articoli 1-4) ed aver descritto quali pratiche di AI sono vietate (articolo 5), si stabiliscono i requisiti per i sistemi di AI ad alto rischio (articoli 8-15), gli obblighi dei fornitori e dei deployer (articoli 16 – 27) per poi passare agli organismi notificati, procedure di valutazione della conformità e marcatura CE (articoli 28 – 50). L’articolo 50 stabilisce poi gli obblighi di trasparenza (che si applicano ai sistemi di AI non ad alto rischio) per poi introdurre (articoli 51-56) una serie di norme specifiche per i modelli di AI per finalità generali (cioè la cosiddetta AI generativa). Infine dall’articolo 57 all’articolo 63 sono disciplinate le misure a sostegno dell’innovazione (sulle quali avremo modo di tornare), per poi passare a un complesso sistema di Governance a livello comunitario e nazionale (articoli 64-70), alla banca dati AI (articolo 71) ai sistemi di monitoraggio e controlli (articoli 72-84), alle sanzioni (articolo 99-101) chiudendo poi con i tempi di applicazione (articoli 111- 113).
Quando un software è considerato un dispositivo medico?
Questa è la prima domanda cruciale. Partiamo dall’inizio: un software utilizzato in ambito sanitario deve rispettare i requisiti del MDR quando rientra nella definizione di dispositivo medico, come indicato nell’articolo 2, lettera a) del MDR. Nello specifico, un software è classificato come dispositivo medico (Samd) se soddisfa tre criteri fondamentali:
- presenta una destinazione d’uso specifica ex articolo 1, lettera a) del MDR;
- esegue elaborazioni complesse dei dati inseriti, generando output diversi dai dati di input (MDGC 2019-11 – Linee guida sulla qualificazione e classificazione del software ai sensi dei regolamenti UE 2017/745 e 2017/746).
- Viene utilizzato sull’uomo, fornendo informazioni utili per prendere decisioni a scopo diagnostico o terapeutico (Allegato VIII – Regola 11 del MDR).
Se un software soddisfa questi requisiti, deve essere considerato un dispositivo medico e rispettare tutte le normative previste dal MDR o dall’IVDR.
Quando un Samd rientra anche nella definizione di Intelligenza artificiale?
Questo è il secondo punto rilevante. Occorre fare riferimento alla definizione giuridica di AI. Sul punto l’articolo 3 dell’AI Act definisce sistema di AI “un sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall’input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali”.
Seguendo le indicazioni pubblicate a marzo 2024 dall’OEDC.AI nel “Explanatory Memorandum of the updated Oecd definiition of an AI system” – le caratteristiche indicate nella norma che portano il software a rientrare nella nozione di AI sono:
- presenza di autonomie variabili (cioè delle diverse capacità di apprendimento in diverse aree -come computer vision, elaborazione del linguaggio naturale, riconoscimento vocale, sistemi intelligenti di supporto alle decisioni, i sistemi robotici intelligenti);
- la capacità di adattamento (cioè la capacità di continuare ad evolversi attraverso l’interazione diretta (con input e dati) anche dopo l’immissione sul mercato;
- la definizione di obiettivi. Più precisamente:
- obiettivi espliciti (cioè definiti esplicitamente dall’uomo) ; 2) obiettivi impliciti che possono derivare dalle regole specificate dall’uomo (“se il semaforo è rosso, fermati”) oppure dai dati di addestramento. In questo caso l’obiettivo finale non è programmato esplicitamente, ma è “incorporato” attraverso i dati di addestramento e attraverso un’architettura di sistema che impara a emulare quei dati – ad esempio, premiando i modelli linguistici di grandi dimensioni per aver generato una risposta plausibile);
- obiettivi non completamente conosciuti in anticipo (sistemi di raccomandazione che usano apprendimento per rinforzo per restringere gradualmente il modello delle preferenze dei singoli utenti)
- la capacità di generare output, che possono essere raccomandazioni, previsioni e decisioni (ovviamente le “decisioni” rappresentano il tipo di output più autonomo, le “previsioni” il meno autonomo).
Se dunque un Samd presenta le sopra indicate funzionalità, dovrà farsi rientrare nella definizione di “intelligenza artificiale” e dovrà quindi conformarsi al Regolamento UE 2024/1689.
Classificazione del rischio per i software di AI nell’AI Act
Come sopra accennato l’AI Act distingue tra tre categorie di software di intelligenza artificiale:
- i sistemi di AI vietati (articolo 5)
- i sistemi di AI considerati ad alto rischio (articolo 6 e seguenti).
- I sistemi di AI per finalità generali (articolo 51 e seguenti).
I Samd che presentano le funzionalità della AI, rientrano (per lo più) nella categoria dei software ad alto rischio. Più esattamente infatti l’articolo 6 AI Act stabilisce che un sistema di IA è considerato ad alto rischio se sono presenti entrambi i seguenti profili:
- il sistema di AI è progettato per essere un componente di sicurezza di altro prodotto oppure è esso stesso un prodotto autonomo.
- il prodotto che contiene il componente di sicurezza o il prodotto autonomo sono soggetti a una valutazione della conformità da parte di terzi (gli organismi notificati o Nb) ai fini dell’immissione sul mercato/messa in servizio ai sensi della normativa di armonizzazione dell’Unione elencata nell’allegato I (in cui sono indicati anche MDR e IVDR).
Attenzione all’Allegato III
Alla luce di quanto sopra saranno soggetti all’AI Act e rientreranno nella nozione di AI ad alto rischio i Samd di Classe IIa, IIb, III (nel MDR) o i Samd di Classi B, C, D (nell’IVDR). I Samd di Classe I (MDR) o Classe A (IVDR) potranno rientrare nei software non ad alto rischio (articolo 50). Da ultimo preme però precisare che i Samd di Classe I potrebbero essere qualificati come sistemi di AI ad alto rischio ove svolgano una delle funzioni elencati nell’Allegato III. Qui si trovano anche i sistemi di AI che operano nel settore di “accesso a servizi privati essenziali e a prestazioni e servizi pubblici essenziali e fruizione degli stessi”. In particolare:
a) i sistemi di IA destinati a essere utilizzati dalle autorità pubbliche o per conto di autorità pubbliche per valutare l’ammissibilità delle persone fisiche alle prestazioni e ai servizi di assistenza pubblica essenziali, compresi i servizi di assistenza sanitaria, nonché per concedere, ridurre, revocare o recuperare tali prestazioni e servizi;
…d) i sistemi di IA destinati a essere utilizzati per valutare e classificare le chiamate di emergenza effettuate da persone fisiche o per inviare servizi di emergenza di primo soccorso o per stabilire priorità in merito all’invio di tali servizi, compresi polizia, vigili del fuoco e assistenza medica, nonché per i sistemi di selezione dei pazienti per quanto concerne l’assistenza sanitaria di emergenza.
Entrata in vigore degli obblighi dell’AI Act
Gli obblighi per i sistemi di IA classificati come ad alto rischio entreranno in vigore a partire dal 2 agosto 2027, come previsto dall’articolo 113 dell’AI ACT. La disciplina però è molto complessa: per cui occorre partire per tempo.
ARTICOLO PUBBLICATO SU ABOUTPHARMARubrica "I DISPOSITIVI MEDICI TRA NORMATIVA E REGOLATORIO"
Leggi gli altri articoli presenti nella nostra rubrica in collaborazione con AboutPharma