#6 AI ACT: gli obblighi per i produttori di sistemi ad alto rischio
L'AI ACT prevede una serie di obblighi per i fornitori, distributori e i produttori di sistemi di intelligenza artificiale ad alto rischio. Vediamo quali sono
Buongiorno a tutte e a tutti,
Eccoci al nostro sesto appuntamento con la rubrica LISP_AI Act.
Prima di lasciarvi all’articolo, vi segnalo con piacere che martedì 2 luglio sarò all’Accademia di Belle Arti di Frosinone per una lezione su “I diritti sulle opere dell’intelligenza artificiale”. Qui sotto la locandina.
Adesso continuiamo a parlare di AI ACT e degli obblighi previsti per alcune categorie di soggetti: i produttori e fornitori di sistemi di AI ad alto rischio.
Gli adempimenti per i produttori di sistemi ad alto rischio
Per i sistemi ad alto rischio, oltre ai particolari requisiti di cui abbiamo già parlato, sono previsti anche specifici obblighi, sia per i fornitori che per gli utilizzatori (deployer).
Gli obblighi dei fornitori
Il primo obbligo dei fornitori è quello di garantire che i loro sistemi soddisfino tutti i requisiti visti nel precedente articolo e stabiliti nella Sezione 2 del Capo III dell’AI Act, ma in aggiunta devono soddisfare una serie di obblighi aggiuntivi, tra cui:
apporre sui loro sistemi la Certificazione CE;
indicare chiaramente il loro marchio, ragione sociale e indirizzo;
essere in grado di fornire ogni chiarimento e informazione alle autorità di controllo.
Tra gli obblighi specifici, il primo riguarda l’adozione di un Sistema di gestione della qualità, che consiste in un sistema, documentato e ordinato, di politiche, procedure e istruzioni che devono comprendere una serie di aspetti.
Tra questi sono considerati essenziali una strategia per la conformità normativa, interventi per la progettazione, il controllo della progettazione e la verifica della progettazione dei sistemi e per il controllo della loro qualità, incluse le procedure di esame, prova e convalida da effettuare prima, durante e dopo lo sviluppo del sistema ad alto rischio.
Altri aspetti da considerare sono le procedure per la gestione dei dati, compresa l'acquisizione, la raccolta, l'analisi, l'etichettatura, l'archiviazione, la filtrazione, l'estrazione, l'aggregazione, la conservazione, il sistema di gestione dei rischi, il monitoraggio e le procedure per la segnalazione di un incidente grave.
Il Sistema di gestione della qualità deve regolamentare anche la comunicazione con le autorità nazionali competenti, le procedure per la conservazione delle registrazioni e di tutte le informazioni, la gestione delle risorse, comprese le misure relative alla sicurezza dell'approvvigionamento e un quadro che definisca le responsabilità della dirigenza e di altro personale per quanto riguarda tutti gli aspetti qui elencati.
Per la gestione della qualità sarà utile fare riferimento alla Procedura ISO 42001:2023, appositamente elaborata per i sistemi di intelligenza artificiale e di cui abbiamo parlato in un articolo per Appunti di Stefano Feltri.
Gli obblighi dei produttori
Il produttore dei sistemi ad alto rischio deve conservare tutta la Documentazione relativa al sistema, sia quella tecnica che quella gestionale e di valutazione dei rischi, per un periodo di dieci anni dalla messa in commercio e i file di log per un periodo di almeno sei mesi, salvo che non sia prescritta una durata diversa da una normativa specifica.
I produttori devono, inoltre, porre in essere tutte le Misure e azioni correttive, necessarie per intervenire e rendere il sistema conforme alla presente normativa, nel caso in cui si verifichino alterazioni nel corso del suo utilizzo, fino ad arrivare a ritirarlo o disabilitarlo, se necessario, prestando sempre la massima collaborazione con le autorità di controllo.
Nel caso in cui il produttore di un sistema di intelligenza artificiale ad alto rischio abbia sede al di fuori dell’Unione Europea, deve nominare un Rappresentante autorizzato stabilito nell’Unione, che deve avere un mandato scritto con l’indicazione specifica dei compiti da svolgere.
Il Rappresentante deve verificare che la dichiarazione di conformità e tutta le documentazione tecnica siano state correttamente redatte, metterle a disposizione dell’autorità di controllo e fornire ad esse tutte le informazioni che possano richiedere.
In sostanza, il mandato ricevuto consente al rappresentante autorizzato di fare da interlocutore, in aggiunta o in sostituzione del fornitore, con le autorità competenti per tutte le questioni relative al rispetto del Regolamento sull’intelligenza artificiale.
Gli obblighi degli importatori e distributori
Gli Importatori dei sistemi ad alto rischio, a loro volta, prima di immettere un prodotto sul mercato, devono verificare, e garantire, che il sistema sia conforme al Regolamento, che sia stata redatta tutta la documentazione richiesta, apposta la marcatura CE e che sia stato nominato un Rappresentante autorizzato.
Gli importatori non possono immettere il sistema sul mercato fino a quando non ne abbiano verificato la conformità, devono apporre il loro nome e sono responsabili per lo stoccaggio e il trasporto. Anch’essi devono conservare tutta la documentazione tecnica per dieci anni e collaborare con le autorità di controllo.
Gli stessi obblighi previsti per gli importatori sono previsti anche per i Distributori, con l’unica eccezione della verifica della nomina del rappresentante autorizzato a cui, loro, non sono tenuti.
Grazie per aver letto LISP!
La rubrica LISP_AI Act analizza tutti gli aspetti del nuovo Regolamento dando indicazioni pratiche per la sua applicazione da parte delle aziende.
Hai domande su questo nuovo Regolamento? Scrivimi cliccando sul bottone qui sotto.