⚠️ Aggiornamento luglio 2026 – Il Digital Omnibus riscrive il calendario
Questo articolo è stato aggiornato a seguito dell’adozione definitiva del Digital Omnibus sull’AI (via libera del Consiglio del 29 giugno 2026, pubblicazione in GUUE attesa entro fine luglio). Le nuove date di applicazione degli obblighi alto rischio sono: 2 dicembre 2027 per i sistemi stand-alone dell’Allegato III (tra cui i sistemi di triage d’emergenza) e 2 agosto 2028 per i sistemi di AI integrati in dispositivi medici soggetti a MDR/IVDR (Allegato I). Restano già applicabili i divieti dell’art. 5 e la disciplina GPAI; la trasparenza ex art. 50 decorre dal 2 agosto 2026. Il differimento non è una moratoria: l’analisi che segue resta integralmente attuale nel merito degli obblighi. Per l’esame completo della novella si rinvia all’approfondimento dedicato: Il Digital Omnibus sull’AI e il nuovo calendario dell’AI Act.
⚖️ Framework Normativo Essenziale
Regime sanzionatorio: Art. 99 AI Act – Fino a €35 milioni o 7% del fatturato annuo globale (Capo XII)
Timeline compliance: Applicazione graduale ridefinita dal Digital Omnibus – Allegato III dal 2 dicembre 2027, AI embedded in dispositivi medici dal 2 agosto 2028 (Art. 113 AI Act come novellato)
Integrazione normativa: Coordinamento obbligatorio AI Act, GDPR (Art. 22) e MDR (2017/745)
Sistemi alto rischio sanitari: AI come dispositivo medico o componente di sicurezza ex Art. 6(1) e Allegato I (MDR/IVDR); triage e accesso ai servizi sanitari ex Allegato III, punto 5
Framework di classificazione e obblighi normativi
L’implementazione del Regolamento (UE) 2024/1689 nelle strutture sanitarie private richiede comprensione sistematica del framework di classificazione ex Art. 6 e delle relative obbligazioni operative. In ambito sanitario la qualifica di alto rischio discende da due binari distinti, che è essenziale non confondere. Il primo, ex Art. 6, par. 1, riguarda i sistemi di AI che costituiscono dispositivi medici o componenti di sicurezza di dispositivi medici soggetti ai Regolamenti (UE) 2017/745 (MDR) e 2017/746 (IVDR), nella misura in cui siano sottoposti a valutazione di conformità di terza parte – il che avviene, di regola, dalla Classe IIa in su. Il secondo, ex Art. 6, par. 2, rinvia all’Allegato III, il cui punto 5 include i sistemi destinati a incidere sull’accesso ai servizi essenziali: per la sanità rilevano in particolare la valutazione dell’ammissibilità alle prestazioni di assistenza pubblica, incluse quelle sanitarie (punto 5, lettera a), e la valutazione e classificazione delle chiamate di emergenza e il triage dei pazienti nell’assistenza sanitaria d’urgenza (punto 5, lettera d).
📋 Art. 6 AI Act – Classificazione dei sistemi ad alto rischio in sanità
Regolamento (UE) 2024/1689, Art. 6 e Allegato III, punto 5:
Binario Allegato I (Art. 6, par. 1): sistemi di AI che sono dispositivi medici, o componenti di sicurezza di dispositivi medici, rientranti nei Regolamenti (UE) 2017/745 e 2017/746 e soggetti a valutazione di conformità di terza parte. Applicazione: dal 2 agosto 2028 (post Digital Omnibus).
Binario Allegato III, punto 5 (Art. 6, par. 2): sistemi destinati alla valutazione dell’ammissibilità alle prestazioni sanitarie pubbliche (lett. a) e alla valutazione e classificazione delle chiamate di emergenza, al dispatching dei servizi di primo soccorso e al triage dei pazienti in emergenza (lett. d). Applicazione: dal 2 dicembre 2027 (post Digital Omnibus).
La classificazione comporta l’applicazione degli obblighi previsti dal Capo III del Regolamento (Artt. 8-15 per i requisiti, 16 e seguenti per gli obblighi degli operatori).
🔑 La nuova definizione di componente di sicurezza
Il Digital Omnibus ha ristretto la nozione di componente di sicurezza: i sistemi di AI integrati che svolgono compiti esclusivi di assistenza all’utente, ottimizzazione delle prestazioni, automazione di funzioni accessorie o controllo qualità non sono più automaticamente classificati ad alto rischio, salvo che il loro malfunzionamento possa determinare un rischio diretto per la salute o la sicurezza delle persone. Per il software gestionale sanitario privo di funzione clinica la novità riduce sensibilmente il perimetro di applicazione; per i sistemi con impatto diagnostico o terapeutico nulla cambia.
Sistema di gestione della qualità e governance dei dati
L’Art. 17 AI Act impone ai fornitori di sistemi IA ad alto rischio l’implementazione di un sistema di gestione della qualità comprensivo che documenti in maniera sistematica la strategia di conformità dell’organizzazione. Per le strutture sanitarie, questo sistema deve integrarsi con le certificazioni esistenti ISO 13485 e i requisiti MDR, creando un framework di governance unificato. Su questo fronte il Digital Omnibus ha peraltro aperto alla razionalizzazione: la Commissione potrà adottare atti delegati che limitino o escludano specifici obblighi dell’AI Act per i prodotti dell’Allegato I quando la normativa settoriale – come il MDR – contenga già requisiti equivalenti. È una prospettiva da monitorare, perché potrà alleggerire le duplicazioni tra i due regimi di certificazione.
🏗️ Art. 17 AI Act – Sistema di Gestione della Qualità
Il sistema di gestione della qualità deve garantire la conformità con il presente regolamento in maniera sistematica e trasparente e comprendere almeno i seguenti aspetti:
(a) una strategia di conformità dell’organizzazione ai sensi del presente regolamento;
(b) tecniche, procedure e azioni sistematiche da utilizzare per la progettazione, il controllo della progettazione e la verifica della progettazione del sistema di IA;
(c) tecniche, procedure e azioni sistematiche da utilizzare per lo sviluppo, il controllo della qualità e la garanzia della qualità del sistema di IA;
(d) procedure di esame, prova e convalida da effettuare prima, durante e dopo lo sviluppo del sistema di IA;
L’Art. 10 AI Act stabilisce requisiti specifici per la governance dei dati e la gestione dei dati, richiedendo che i dataset di addestramento, convalida e test soddisfino criteri di qualità appropriati in relazione all’uso previsto del sistema IA. Le strutture sanitarie devono implementare protocolli che garantiscano rappresentatività, completezza e rilevanza dei dati utilizzati, con particolare attenzione alla prevenzione di bias demografici e clinici.
🔗 Novità Digital Omnibus: il nuovo Art. 4a e i dati sanitari per il de-biasing
Il Digital Omnibus ha introdotto il nuovo Art. 4a AI Act, che sostituisce e amplia l’eccezione già prevista dall’Art. 10, par. 5: fornitori e deployer di sistemi di AI – non più soltanto ad alto rischio – possono trattare in via eccezionale categorie particolari di dati personali ex Art. 9 GDPR, inclusi i dati sanitari, al fine esclusivo di rilevare e correggere i bias algoritmici. Le condizioni restano rigorose: stretta necessità, minimizzazione, impossibilità di conseguire il risultato con dati pseudonimizzati o sintetici, cancellazione al termine dell’attività. Per le strutture sanitarie e i loro DPO è una base giuridica chiara per un’attività – la verifica di equità dei modelli su popolazioni cliniche diverse – che prima operava in una zona grigia.
🔗 Integrazione GDPR – Art. 22 Decisioni Automatizzate
L’Art. 22 GDPR stabilisce che “l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.
Coordinamento AI Act-GDPR: I sistemi IA sanitari ad alto rischio che processano dati personali devono garantire supervisione umana significativa (Art. 14 AI Act) e diritto di spiegazione (Art. 13-14 GDPR), richiedendo informative integrate che coprano sia gli obblighi di trasparenza AI Act che i requisiti informativi GDPR.
Supervisione umana e responsabilità clinica
L’Art. 14 AI Act impone requisiti stringenti di supervisione umana per i sistemi ad alto rischio, che nelle strutture sanitarie assume caratteristiche specifiche legate alla responsabilità professionale medica. La supervisione deve essere “significativa” e garantire che le persone fisiche mantengano piena autorità e competenza per supervisionare il funzionamento del sistema IA. Si noti che il Digital Omnibus, pur avendo attenuato l’obbligo generale di alfabetizzazione AI dell’Art. 4, ha mantenuto fermo per i deployer di sistemi ad alto rischio l’obbligo di formare il personale addetto alla sorveglianza umana: in sanità, la formazione dei clinici che operano con sistemi di AI resta dunque un adempimento pieno, non una raccomandazione.
👨⚕️ Art. 14 AI Act – Supervisione Umana
I sistemi di IA ad alto rischio sono progettati e sviluppati in modo tale da poter essere effettivamente supervisionati da persone fisiche durante il periodo in cui il sistema di IA è in uso.
Requisiti operativi per la sanità:
• Mantenimento della competenza clinica decisionale finale
• Capacità di intervenire sul sistema IA o interromperne il funzionamento
• Possibilità di ignorare, modificare o annullare l’output del sistema IA
• Garanzia che l’autorità clinica rimanga sempre presso il professionista sanitario qualificato
Casi d’uso e classificazione normativa
Dispositivi medici con IA integrata
I sistemi IA integrati in dispositivi medici di Classe IIa o superiore ricadono nella categoria alto rischio attraverso il binario dell’Art. 6, par. 1 e dell’Allegato I dell’AI Act. Questa classificazione richiede coordinamento tra le procedure di conformità MDR e gli obblighi AI Act, creando un doppio regime di valutazione che coinvolge sia organismi notificati MDR che procedure specifiche AI Act. Il Digital Omnibus ha spostato la data di applicazione per questi sistemi al 2 agosto 2028, un differimento di dodici mesi che riflette anche il ritardo nella qualificazione degli organismi notificati.
⚠️ Colli di Bottiglia negli Organismi Notificati
La Commissione Europea ha identificato significative carenze nella capacità degli organismi notificati di gestire le valutazioni AI Act: era questa, insieme all’assenza di norme armonizzate, una delle ragioni sostanziali alla base del differimento disposto dal Digital Omnibus. Il rinvio al 2028 non elimina il problema, lo sposta: la capacità di valutazione resta limitata rispetto alla platea dei dispositivi da certificare.
Strategie di mitigazione: Avvio precoce delle procedure di conformità, valutazione di organismi notificati con competenze specifiche in IA sanitaria, considerazione di approcci di mutual recognition tra Stati membri per accelerare i processi.
La radiomica e l’imaging diagnostico con IA presentano caratteristiche tecniche specifiche che richiedono validazione clinica secondo standard definiti. La letteratura scientifica riporta variazioni significative nelle performance a seconda dei dataset utilizzati e delle condizioni operative, richiedendo validazione specifica per ogni contesto di implementazione.
Riferimento: European Society of Radiology (ESR) – “AI in Medical Imaging: Deployment, Validation and Monitoring” (Insights into Imaging, 2024)
Sistemi di triage e allocazione risorse
I sistemi IA destinati alla valutazione e classificazione delle chiamate di emergenza e al triage dei pazienti nell’assistenza sanitaria d’urgenza sono specificatamente menzionati nell’Allegato III, punto 5, lettera d) come sistemi ad alto rischio; per essi la nuova data di applicazione è il 2 dicembre 2027. Questi sistemi richiedono particolare attenzione alla valutazione d’impatto sui diritti fondamentali secondo l’Art. 27 AI Act.
⚖️ Art. 27 AI Act – Valutazione d’Impatto sui Diritti Fondamentali (FRIA)
Prima di mettere in uso un sistema di IA ad alto rischio […], i deployer che sono organismi di diritto pubblico o soggetti privati che forniscono servizi pubblici effettuano una valutazione d’impatto sui diritti fondamentali (FRIA).
Elementi specifici della FRIA per sistemi di triage sanitario:
• Valutazione rischio discriminazione nell’accesso alle cure
• Analisi proporzionalità delle decisioni algoritmiche
• Garanzie procedurali per la contestazione delle decisioni
• Trasparenza nei criteri di prioritizzazione
Integrazione con sistemi informativi sanitari
L’integrazione di sistemi IA con Electronic Health Records (EHR) e sistemi informativi sanitari esistenti richiede coordinamento tra AI Act e normative sulla protezione dei dati. L’Art. 5 GDPR stabilisce i principi fondamentali del trattamento che devono essere rispettati anche quando i dati sono processati da sistemi IA.
🔐 Principi GDPR nell’IA Sanitaria (Art. 5)
Liceità, correttezza e trasparenza: I sistemi IA devono operare secondo base giuridica appropriata con trasparenza verso gli interessati
Limitazione della finalità: Utilizzo dei dati coerente con le finalità sanitarie originarie dichiarate
Minimizzazione dei dati: Processamento limitato ai dati necessari per le finalità specifiche dell’IA
Esattezza: Garanzia qualità e aggiornamento continuo dei dataset di training e operativi
Limitazione della conservazione: I dati devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità. Nel contesto dell’IA sanitaria, ciò richiede l’implementazione di policy rigorose di data retention per i log di input/output e l’anonimizzazione tempestiva dei dati storici non più necessari per la continuità di cura.
🚑 Conclusioni e Roadmap Operativa
L’adeguamento all’AI Act non rappresenta un mero adempimento burocratico, ma una sfida cruciale di governance clinica. Il Digital Omnibus ha concesso tempo – dicembre 2027 per il triage, agosto 2028 per i dispositivi medici con AI – ma non ha ridotto di una virgola il contenuto degli obblighi. Le strutture sanitarie che avvieranno oggi la mappatura dei propri sistemi, la loro corretta qualificazione tra binario Allegato I e binario Allegato III e l’aggiornamento delle DPIA acquisiranno un vantaggio competitivo determinante, evitando il prevedibile collo di bottiglia delle certificazioni che il rinvio ha soltanto spostato in avanti.
Il rischio della non-conformità non è solo sanzionatorio, ma reputazionale.
Dott. Luca Morini | DPO e Consulente Legale-Tecnico AI





