Artificial Intelligence Act

1.   Il presente regolamento si applica:

2.   Ai sistemi di IA classificati come ad alto rischio ai sensi dell'articolo 6, paragrafo 1, relativo a prodotti disciplinati dalla normativa di armonizzazione dell'Unione elencata nell'allegato I, sezione B, si applicano unicamente l’articolo 6, paragrafo 1, gli articoli da 102 a 109 e l'articolo 112. L'articolo 57 si applica solo nella misura in cui i requisiti per i sistemi di IA ad alto rischio a norma del presente regolamento siano stati integrati in tale normativa di armonizzazione dell'Unione.

3.   Il presente regolamento non si applica a settori che non rientrano nell'ambito di applicazione del diritto dell'Unione e, in ogni caso, non pregiudica le competenze degli Stati membri in materia di sicurezza nazionale, indipendentemente dal tipo di entità incaricata dagli Stati membri di svolgere compiti in relazione a tali competenze.

Il presente regolamento non si applica ai sistemi di IA se e nella misura in cui sono immessi sul mercato, messi in servizio o utilizzati con o senza modifiche esclusivamente per scopi militari, di difesa o di sicurezza nazionale, indipendentemente dal tipo di entità che svolge tali attività.

Il presente regolamento non si applica ai sistemi di IA che non sono immessi sul mercato o messi in servizio nell'Unione, qualora l'output sia utilizzato nell'Unione esclusivamente per scopi militari, di difesa o di sicurezza nazionale, indipendentemente dal tipo di entità che svolge tali attività.

4.   Il presente regolamento non si applica alle autorità pubbliche di un paese terzo né alle organizzazioni internazionali che rientrano nell'ambito di applicazione del presente regolamento a norma del paragrafo 1, laddove tali autorità o organizzazioni utilizzino i sistemi di IA nel quadro della cooperazione o di accordi internazionali per la cooperazione delle autorità di contrasto e giudiziarie con l'Unione o con uno o più Stati membri, a condizione che tale paese terzo o organizzazione internazionale fornisca garanzie adeguate per quanto riguarda la protezione dei diritti e delle libertà fondamentali delle persone.

5.   Il presente regolamento non pregiudica l'applicazione delle disposizioni sulla responsabilità dei prestatori di servizi intermediari di cui al capo II del regolamento (UE) 2022/2065.

6.   Il presente regolamento non si applica ai sistemi di IA o modelli di IA, ivi compresi i loro output, specificamente sviluppati e messi in servizio al solo scopo di ricerca e sviluppo scientifici.

7.   Il diritto dell'Unione in materia di protezione dei dati personali, della vita privata e della riservatezza delle comunicazioni si applica ai dati personali trattati in relazione ai diritti e agli obblighi stabiliti dal presente regolamento. Il presente regolamento lascia impregiudicati il regolamento (UE) 2016/679 o (UE) 2018/1725 o la direttiva 2002/58/CE o (UE) 2016/680, fatti salvi l'articolo 10, paragrafo 5, e l'articolo 59 del presente regolamento.

8.   Il presente regolamento non si applica alle attività di ricerca, prova o sviluppo relative a sistemi di IA o modelli di IA prima della loro immissione sul mercato o messa in servizio. Tali attività sono svolte in conformità del diritto dell'Unione applicabile. Le prove in condizioni reali non rientrano in tale esclusione.

9.   Il presente regolamento lascia impregiudicate le norme stabilite da altri atti giuridici dell'Unione in materia di protezione dei consumatori e di sicurezza dei prodotti.

10.   Il presente regolamento non si applica agli obblighi dei deployer che sono persone fisiche che utilizzano sistemi di IA nel corso di un'attività non professionale puramente personale.

11.   Il presente regolamento non osta a che l'Unione o gli Stati membri mantengano o introducano disposizioni legislative, regolamentari o amministrative più favorevoli ai lavoratori in termini di tutela dei loro diritti in relazione all'uso dei sistemi di IA da parte dei datori di lavoro, o incoraggino o consentano l'applicazione di contratti collettivi più favorevoli ai lavoratori.

12.   Il presente regolamento non si applica ai sistemi di IA rilasciati con licenza libera e open source, a meno che non siano immessi sul mercato o messi in servizio come sistemi di IA ad alto rischio o come sistema di IA rientrante nell'ambito di applicazione dell'articolo 5 o 50.

Ai fini del presente regolamento si applicano le definizioni seguenti:

I fornitori e i deployer dei sistemi di IA adottano misure per garantire nella misura del possibile un livello sufficiente di alfabetizzazione in materia di IA del loro personale nonché di qualsiasi altra persona che si occupa del funzionamento e dell'utilizzo dei sistemi di IA per loro conto, prendendo in considerazione le loro conoscenze tecniche, la loro esperienza, istruzione e formazione, nonché il contesto in cui i sistemi di IA devono essere utilizzati, e tenendo conto delle persone o dei gruppi di persone su cui i sistemi di IA devono essere utilizzati.

1.   Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 97 al fine di modificare l'allegato III aggiungendo o modificando i casi d'uso dei sistemi di IA ad alto rischio se sono soddisfatte entrambe le condizioni seguenti:

2.   Nel valutare la condizione di cui al paragrafo 1, lettera b), la Commissione tiene conto dei criteri seguenti:

3.   Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 97 al fine di modificare l'elenco di cui all'allegato III rimuovendo sistemi di IA ad alto rischio se sono soddisfatte entrambe le condizioni seguenti:

1.   In relazione ai sistemi di IA ad alto rischio è istituito, attuato, documentato e mantenuto un sistema di gestione dei rischi.

2.   Il sistema di gestione dei rischi è inteso come un processo iterativo continuo pianificato ed eseguito nel corso dell'intero ciclo di vita di un sistema di IA ad alto rischio, che richiede un riesame e un aggiornamento costanti e sistematici. Esso comprende le fasi seguenti:

3.   I rischi di cui al presente articolo riguardano solo quelli che possono essere ragionevolmente attenuati o eliminati attraverso lo sviluppo o la progettazione del sistema di IA ad alto rischio o la fornitura di informazioni tecniche adeguate.

4.   Le misure di gestione dei rischi di cui al paragrafo 2, lettera d), tengono in debita considerazione gli effetti e la possibile interazione derivanti dall'applicazione combinata dei requisiti di cui alla presente sezione, al fine di ridurre al minimo i rischi con maggiore efficacia e raggiungere nel contempo un equilibrio adeguato nell'attuazione delle misure volte a soddisfare tali requisiti.

5.   Le misure di gestione dei rischi di cui al paragrafo 2, lettera d), sono tali che i pertinenti rischi residui associati a ciascun pericolo nonché il rischio residuo complessivo dei sistemi di IA ad alto rischio sono considerati accettabili.

Nell'individuare le misure di gestione dei rischi più appropriate, occorre garantire quanto segue:

Al fine di eliminare o ridurre i rischi connessi all'uso del sistema di IA ad alto rischio, si tengono debitamente in considerazione le conoscenze tecniche, l'esperienza, l'istruzione e la formazione che ci si può aspettare dal deployer e il contesto presumibile in cui il sistema è destinato ad essere usato.

6.   I sistemi di IA ad alto rischio sono sottoposti a prova al fine di individuare le misure di gestione dei rischi più appropriate e mirate. Le prove garantiscono che i sistemi di IA ad alto rischio funzionino in modo coerente per la finalità prevista e che siano conformi ai requisiti di cui alla presente sezione.

7.   Le procedure di prova possono comprendere prove in condizioni reali conformemente all'articolo 60.

8.   Le prove dei sistemi di IA ad alto rischio sono effettuate, a seconda dei casi, in un qualsiasi momento dell'intero processo di sviluppo e, in ogni caso, prima della loro immissione sul mercato o messa in servizio. Le prove sono effettuate sulla base di metriche e soglie probabilistiche definite precedentemente e adeguate alla finalità prevista perseguita dal sistema di IA ad alto rischio.

9.   Nell'attuare il sistema di gestione dei rischi di cui ai paragrafi da 1 a 7, i fornitori prestano attenzione, nell'ottica della sua finalità prevista, all'eventualità che il sistema di IA ad alto rischio possa avere un impatto negativo sulle persone di età inferiore a 18 anni o, a seconda dei casi, su altri gruppi vulnerabili.

10.   Per i fornitori di sistemi di IA ad alto rischio soggetti ai requisiti relativi ai processi interni di gestione dei rischi a norma di altre disposizioni pertinenti del diritto dell'Unione, gli aspetti di cui ai paragrafi da 1 a 9 possono far parte delle procedure di gestione dei rischi stabilite a norma di tale diritto oppure essere combinati con le stesse.

1.   I sistemi di IA ad alto rischio che utilizzano tecniche che prevedono l'uso di dati per l'addestramento di modelli di IA sono sviluppati sulla base di set di dati di addestramento, convalida e prova che soddisfano i criteri di qualità di cui ai paragrafi da 2 a 5 ogniqualvolta siano utilizzati tali set di dati.

2.   I set di dati di addestramento, convalida e prova sono soggetti a pratiche di governance e gestione dei dati adeguate alla finalità prevista del sistema di IA ad alto rischio. Tali pratiche riguardano in particolare:

3.   I set di dati di addestramento, convalida e prova sono pertinenti, sufficientemente rappresentativi e, nella misura del possibile, esenti da errori e completi nell'ottica della finalità prevista. Essi possiedono le proprietà statistiche appropriate anche, ove applicabile, per quanto riguarda le persone o i gruppi di persone relativamente ai quali il sistema di IA ad alto rischio è destinato a essere usato. Queste caratteristiche dei set di dati possono essere soddisfatte a livello di singoli set di dati o a livello di una combinazione degli stessi.

4.   I set di dati tengono conto, nella misura necessaria per la finalità prevista, delle caratteristiche o degli elementi particolari dello specifico ambito geografico, contestuale, comportamentale o funzionale all'interno del quale il sistema di IA ad alto rischio è destinato a essere usato.

5.   Nella misura in cui ciò sia strettamente necessario al fine di garantireil rilevamento e la correzione delle distorsioni in relazione ai sistemi di IA ad alto rischio in conformità del paragrafo 2, lettere f) e g), del presente articolo, i fornitori di tali sistemi possono eccezionalmente trattare categorie particolari di dati personali, fatte salve le tutele adeguate per i diritti e le libertà fondamentali delle persone fisiche. Oltre alle disposizioni di cui ai regolamenti (UE) 2016/679 e (UE) 2018/1725 e alla direttiva (UE) 2016/680 devono essere soddisfatte, affinché tale trattamento avvenga, tutte le condizioni seguenti:

6.   Per lo sviluppo di sistemi di IA ad alto rischio che non utilizzano tecniche che prevedono l'addestramento di modelli di IA, i paragrafi da 2 a 5 si applicano solo ai set di dati di prova.

1.   La documentazione tecnica di un sistema di IA ad alto rischio è redatta prima dell'immissione sul mercato o della messa in servizio di tale sistema ed è tenuta aggiornata.

La documentazione tecnica è redatta in modo da dimostrare che il sistema di IA ad alto rischio è conforme ai requisiti di cui alla presente sezione e da fornire alle autorità nazionali competenti e agli organismi notificati, in forma chiara e comprensibile, le informazioni necessarie per valutare la conformità del sistema di IA a tali requisiti. Essa contiene almeno gli elementi di cui all'allegato IV. Le PMI, comprese le start-up, possono fornire in modo semplificato gli elementi della documentazione tecnica specificati nell'allegato IV. A tal fine la Commissione definisce un modulo di documentazione tecnica semplificata che risponda alle esigenze delle piccole imprese e delle microimprese. Qualora una PMI, compresa una start-up, decida di fornire in modo semplificato le informazioni richieste nell'allegato IV, utilizza il modulo di cui al presente paragrafo. Gli organismi notificati accettano il modulo ai fini della valutazione della conformità.

2.   Se è immesso sul mercato o messo in servizio un sistema di IA ad alto rischio connesso a un prodotto contemplato dalla normativa di armonizzazione dell'Unione elencata nell'allegato I, sezione A, si redige un'unica documentazione tecnica contenente tutte le informazioni di cui al paragrafo 1 e le informazioni necessarie a norma di tali atti giuridici.

3.   Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 97 al fine di modificare l'allegato IV ove necessario per garantire che, alla luce del progresso tecnico, la documentazione tecnica fornisca tutte le informazioni necessarie per valutare la conformità del sistema ai requisiti di cui alla presente sezione.

1.   I sistemi di IA ad alto rischio consentono a livello tecnico la registrazione automatica degli eventi («log») per la durata del ciclo di vita del sistema.

2.   Al fine di garantire un livello di tracciabilità del funzionamento del sistema di IA ad alto rischio adeguato alla finalità prevista del sistema, le capacità di registrazione consentono la registrazione di eventi pertinenti per:

3.   Per i sistemi di IA ad alto rischio di cui all'allegato III, punto 1, lettera a), le capacità di registrazione comprendono almeno i dati seguenti:

1.   I sistemi di IA ad alto rischio sono progettati e sviluppati in modo tale da garantire che il loro funzionamento sia sufficientemente trasparente da consentire ai deployer di interpretare l'output del sistema e utilizzarlo adeguatamente. Sono garantiti un tipo e un livello di trasparenza adeguati, che consentano di conseguire il rispetto dei pertinenti obblighi del fornitore e del deployer di cui alla sezione 3.

2.   I sistemi di IA ad alto rischio sono accompagnati da istruzioni per l'uso, in un formato appropriato digitale o non digitale, che comprendono informazioni concise, complete, corrette e chiare che siano pertinenti, accessibili e comprensibili per i deployer.

3.   Le istruzioni per l'uso contengono almeno le informazioni seguenti:

1.   I sistemi di IA ad alto rischio sono progettati e sviluppati, anche con strumenti di interfaccia uomo-macchina adeguati, in modo tale da poter essere efficacemente supervisionati da persone fisiche durante il periodo in cui sono in uso.

2.   La sorveglianza umana mira a prevenire o ridurre al minimo i rischi per la salute, la sicurezza o i diritti fondamentali che possono emergere quando un sistema di IA ad alto rischio è utilizzato conformemente alla sua finalità prevista o in condizioni di uso improprio ragionevolmente prevedibile, in particolare qualora tali rischi persistano nonostante l'applicazione di altri requisiti di cui alla presente sezione.

3.   Le misure di sorveglianza sono commisurate ai rischi, al livello di autonomia e al contesto di utilizzo del sistema di IA ad alto rischio e sono garantite mediante almeno uno dei tipi di misure seguenti:

4.   Ai fini dell'attuazione dei paragrafi 1, 2 e 3, il sistema di IA ad alto rischio è fornito al deployer in modo tale che le persone fisiche alle quali è affidata la sorveglianza umana abbiano la possibilità, ove opportuno e proporzionato, di:

5.   In aggiunta, per i sistemi di IA ad alto rischio di cui all'allegato III, punto 1, lettera a), le misure di cui al paragrafo 3 del presente articolo sono tali da garantire che il deployer non compia azioni o adotti decisioni sulla base dell'identificazione risultante dal sistema, a meno che tale identificazione non sia stata verificata e confermata separatamente da almeno due persone fisiche dotate della necessaria competenza, formazione e autorità.

Il requisito di una verifica separata da parte di almeno due persone fisiche non si applica ai sistemi di IA ad alto rischio utilizzati a fini di contrasto, migrazione, controllo delle frontiere o asilo, qualora il diritto dell'Unione o nazionale ritenga sproporzionata l'applicazione di tale requisito.

1.   I sistemi di IA ad alto rischio sono progettati e sviluppati in modo tale da conseguire un adeguato livello di accuratezza, robustezza e cibersicurezza e da operare in modo coerente con tali aspetti durante tutto il loro ciclo di vita.

2.   Al fine di affrontare gli aspetti tecnici relativi alle modalità di misurazione degli adeguati livelli di accuratezza e robustezza di cui al paragrafo 1 e altre metriche di prestazione pertinenti, la Commissione, in cooperazione con i portatori di interessi e le organizzazioni pertinenti, quali le autorità di metrologia e di analisi comparativa, incoraggia, se del caso, lo sviluppo di parametri di riferimento e metodologie di misurazione.

3.   I livelli di accuratezza e le pertinenti metriche di accuratezza dei sistemi di IA ad alto rischio sono dichiarati nelle istruzioni per l'uso che accompagnano il sistema.

4.   I sistemi di IA ad alto rischio sono il più resilienti possibile per quanto riguarda errori, guasti o incongruenze che possono verificarsi all'interno del sistema o nell'ambiente in cui esso opera, in particolare a causa della loro interazione con persone fisiche o altri sistemi. A tale riguardo sono adottate misure tecniche e organizzative.

La robustezza dei sistemi di IA ad alto rischio può essere conseguita mediante soluzioni tecniche di ridondanza, che possono includere piani di backup o fail-safe.

I sistemi di IA ad alto rischio che proseguono il loro apprendimento dopo essere stati immessi sul mercato o messi in servizio sono sviluppati in modo tale da eliminare o ridurre il più possibile il rischio di output potenzialmente distorti che influenzano gli input per operazioni future (feedback loops - «circuiti di feedback») e garantire che tali circuiti di feedback siano oggetto di adeguate misure di attenuazione.

5.   I sistemi di IA ad alto rischio sono resilienti ai tentativi di terzi non autorizzati di modificarne l'uso, gli output o le prestazioni sfruttando le vulnerabilità del sistema.

Le soluzioni tecniche volte a garantire la cibersicurezza dei sistemi di IA ad alto rischio sono adeguate alle circostanze e ai rischi pertinenti.

Le soluzioni tecniche finalizzate ad affrontare le vulnerabilità specifiche dell'IA includono, ove opportuno, misure volte a prevenire, accertare, rispondere, risolvere e controllare gli attacchi che cercano di manipolare il set di dati di addestramento (data poisoning - «avvelenamento dei dati») o i componenti preaddestrati utilizzati nell'addestramento (model poisoning - «avvelenamento dei modelli»), gli input progettati in modo da far sì che il modello di IA commetta un errore (adversarial examples - «esempi antagonistici», o model evasion, - «evasione dal modello»), gli attacchi alla riservatezza o i difetti del modello.

1.   I fornitori di sistemi di IA ad alto rischio istituiscono un sistema di gestione della qualità che garantisce la conformità al presente regolamento. Tale sistema è documentato in modo sistematico e ordinato sotto forma di politiche, procedure e istruzioni scritte e comprende almeno gli aspetti seguenti:

2.   L'attuazione degli aspetti di cui al paragrafo 1 è proporzionata alle dimensioni dell'organizzazione del fornitore. I fornitori rispettano, in ogni caso, il grado di rigore e il livello di protezione necessari per garantire la conformità dei loro sistemi di IA ad alto rischio al presente regolamento.

3.   I fornitori di sistemi di IA ad alto rischio soggetti agli obblighi relativi ai sistemi di gestione della qualità o a una funzione equivalente a norma del pertinente diritto settoriale dell'Unione possono includere gli aspetti elencati al paragrafo 1 nell'ambito dei sistemi di gestione della qualità stabiliti a norma di tale diritto.

4.   Per i fornitori che sono istituti finanziari soggetti a requisiti in materia di governance, dispositivi o processi interni stabiliti a norma del diritto dell'Unione in materia di servizi finanziari, l'obbligo di istituire un sistema di gestione della qualità, ad eccezione del paragrafo 1, lettere g), h) e i), del presente articolo, si considera soddisfatto se sono soddisfatte le regole sui dispositivi o i processi di governance interna a norma del pertinente diritto dell'Unione in materia di servizi finanziari. A tal fine, si tiene conto delle norme armonizzate di cui all'articolo 40.

1.   Il fornitore, per un periodo che termina 10 anni dopo che il sistema di IA ad alto rischio è stato immesso sul mercato o messo in servizio, tiene a disposizione delle autorità nazionali competenti:

2.   Ciascuno Stato membro stabilisce le condizioni alle quali la documentazione di cui al paragrafo 1 resta a disposizione delle autorità nazionali competenti per il periodo indicato in tale paragrafo nel caso in cui il prestatore o il rappresentante autorizzato stabilito nel suo territorio fallisca o cessi la sua attività prima della fine di tale periodo.

3.   I fornitori che sono istituti finanziari soggetti a requisiti in materia di governance, dispositivi o processi interni stabiliti a norma del diritto dell'Unione in materia di servizi finanziari, conservano la documentazione tecnica nell'ambito della documentazione conservata a norma del pertinente diritto dell'Unione in materia di servizi finanziari.

1.   I fornitori di sistemi di IA ad alto rischio conservano i log di cui all'articolo 12, paragrafo 1, generati automaticamente dai loro sistemi di IA ad alto rischio, nella misura in cui tali log sono sotto il loro controllo. Fatto salvo il diritto dell'Unione o nazionale applicabile, i log sono conservati per un periodo adeguato alla finalità prevista del sistema di IA ad alto rischio, della durata di almeno sei mesi, salvo diversamente disposto dal diritto dell'Unione o nazionale applicabile, in particolare dal diritto dell'Unione in materia di protezione dei dati personali.

2.   I fornitori che sono istituti finanziari soggetti a requisiti in materia di governance, a dispositivi o a processi interni stabiliti a norma del diritto dell'Unione in materia di servizi finanziari, conservano i log generati automaticamente dai loro sistemi di IA ad alto rischio nell'ambito della documentazione conservata a norma del pertinente diritto in materia di servizi finanziari.

1.   I fornitori di sistemi di IA ad alto rischio che ritengono o hanno motivo di ritenere che un sistema di IA ad alto rischio da essi immesso sul mercato o messo in servizio non sia conforme al presente regolamento adottano immediatamente le misure correttive necessarie per rendere conforme tale dispositivo, ritirarlo, disabilitarlo o richiamarlo, a seconda dei casi. Essi informano di conseguenza i distributori del sistema di IA ad alto rischio interessato e, ove applicabile, i deployer, il rappresentante autorizzato e gli importatori.

2.   Qualora il sistema di IA ad alto rischio presenti un rischio ai sensi dell'articolo 79, paragrafo 1, e il fornitore ne venga a conoscenza, tale fornitore indaga immediatamente sulle cause, in collaborazione con il deployer che ha effettuato la segnalazione, se del caso, e ne informa le autorità di vigilanza del mercato competenti per il sistema di IA ad alto rischio interessato e, ove applicabile, l'organismo notificato che ha rilasciato un certificato per il sistema di IA ad alto rischio in conformità dell'articolo 44, in particolare in merito alla natura della non conformità e all'eventuale misura correttiva pertinente adottata.

1.   I fornitori di sistemi di IA ad alto rischio, su richiesta motivata di un'autoritàcompetente, forniscono a tale autorità tutte le informazioni e la documentazione necessarie per dimostrare la conformità del sistema di IA ad alto rischio ai requisiti di cui alla sezione 2, in una lingua che può essere compresa facilmente dall'autorità in una delle lingue ufficiali delle istituzioni dell'Unione indicata dallo Stato membro interessato.

2.   Su richiesta motivata di un'autorità competente, i fornitori concedono inoltre all'autorità competente richiedente, a seconda dei casi, l'accesso ai log generati automaticamente del sistema di IA ad alto rischio di cui all'articolo 12, paragrafo 1, nella misura in cui tali log sono sotto il loro controllo.

3.   Qualsiasi informazione ottenuta da un'autorità competente a norma del presente articolo è trattata in conformità degli obblighi di riservatezza di cui all'articolo 78.

1.   Prima di mettere a disposizione i sistemi di IA ad alto rischio sul mercato dell'Unione, i fornitori stabiliti in paesi terzi nominano, mediante mandato scritto, un rappresentante autorizzato stabilito nell'Unione.

2.   Il fornitore consente al suo rappresentante autorizzato di eseguire i compiti specificati nel mandato ricevuto dal fornitore.

3.   Il rappresentante autorizzato esegue i compiti specificati nel mandato ricevuto dal fornitore. Fornisce una copia del mandato alle autorità di vigilanza del mercato, su richiesta, in una delle lingue ufficiali delle istituzioni dell'Unione indicata dall'autorità competente. Ai fini del presente regolamento, il mandato consente al rappresentante autorizzato di eseguire i compiti seguenti:

Il mandato consente al rappresentante autorizzato di fare da interlocutore, in aggiunta o in sostituzione del fornitore, con le autorità competenti per tutte le questioni relative al rispetto del presente regolamento.

4.   Il rappresentante autorizzato pone fine al mandato se ritiene o ha motivi per ritenere che il fornitore agisca in contrasto con i propri obblighi a norma del presente regolamento. In tal caso, comunica immediatamente alla pertinente autorità di vigilanza del mercato, nonché, se del caso, all'organismo notificato pertinente, la cessazione del mandato e i relativi motivi.

1.   Prima di immettere sul mercato un sistema di IA ad alto rischio, gli importatori garantiscono che il sistema sia conforme al presente regolamento verificando che:

2.   Qualora abbia motivo sufficiente di ritenere che un sistema di IA ad alto rischio non sia conforme al presente regolamento, ovvero sia falsificato o sia accompagnato da una documentazione falsificata, un importatore non lo immette sul mercato fino a quando non sia stato reso conforme. Qualora il sistema di IA ad alto rischio presenti un rischio ai sensi dell'articolo 79, paragrafo 1, l'importatore ne informa il fornitore del sistema, i rappresentanti autorizzati e le autorità di vigilanza del mercato.

3.   Gli importatori indicano il loro nome, la loro denominazione commerciale registrata o il loro marchio registrato e l'indirizzo al quale possono essere contattati, sul sistema di IA ad alto rischio e sul suo imballaggio o in un documento di accompagnamento, ove applicabile.

4.   Gli importatori garantiscono che, fintantoché un sistema di IA ad alto rischio è sotto la loro responsabilità, le condizioni di stoccaggio o di trasporto, ove applicabili, non pregiudichino la conformità ai requisiti di cui alla sezione 2.

5.   Gli importatori conservano, per un periodo di 10 anni dalla data di immissione sul mercato o di messa in servizio del sistema di IA ad alto rischio, una copia del certificato rilasciato dall'organismo notificato, se del caso, delle istruzioni per l'uso e della dichiarazione di conformità UE di cui all’articolo 47.

6.   Gli importatori forniscono alla pertinente autorità competente, su richiesta motivata, tutte le informazioni e la documentazione, comprese quelle di cui al paragrafo 5, necessarie per dimostrare la conformità di un sistema di IA ad alto rischio ai requisiti di cui alla sezione 2 in una lingua che può essere compresa facilmente da tale autorità nazionale competente. A tal fine garantiscono altresì che la documentazione tecnica possa essere messa a disposizione di tale autorità.

7.   Gli importatori cooperano con le pertinenti autorità competenti in qualsiasi azione intrapresa da tali autorità in relazione a un sistema di IA ad alto rischio immesso sul mercato dagli importatori, in particolare per ridurre e attenuare i rischi che esso comporta.

1.   Prima di mettere a disposizione sul mercato un sistema di IA ad alto rischio, i distributori verificano che esso rechi la necessaria marcatura CE, che sia accompagnato da una copia della dichiarazione di conformità UE di cui all’articolo 47 e dalle istruzioni per l'uso e che il fornitore e l'importatore di tale sistema, a seconda dei casi, abbiano rispettato i loro rispettivi obblighi di cui all'articolo 16, lettere b) e c), e all'articolo 23, paragrafo 3.

2.   Qualora ritenga o abbia motivo di ritenere, sulla base delle informazioni in suo possesso, che un sistema di IA ad alto rischio non sia conforme ai requisiti di cui alla sezione 2, un distributore non lo mette a disposizione sul mercato fino a quando tale sistema di IA ad alto rischio non sia stato reso conforme a tali requisiti. Inoltre, qualora il sistema di IA ad alto rischio presenti un rischio ai sensi dell'articolo 79, paragrafo 1, il distributore ne informa il fornitore o l'importatore del sistema, a seconda dei casi.

3.   I distributori garantiscono che, fintantoché un sistema di IA ad alto rischio è sotto la loro responsabilità, le condizioni di stoccaggio o di trasporto, ove applicabili, non pregiudichino la conformità del sistema ai requisiti di cui alla sezione 2.

4.   Un distributore che ritiene o ha motivo di ritenere, sulla base delle informazioni in suo possesso, che un sistema di IA ad alto rischio che ha messo a disposizione sul mercato non sia conforme ai requisiti di cui alla sezione 2, adotta le misure correttive necessarie per rendere tale sistema conforme a tali requisiti, ritirarlo o richiamarlo o garantisce che il fornitore, l'importatore o qualsiasi operatore pertinente, a seconda dei casi, adotti tali misure correttive. Qualora il sistema di IA ad alto rischio presenti un rischio ai sensi dell'articolo 79, paragrafo 1, il distributore ne informa immediatamente il fornitore o l'importatore del sistema e le autorità competenti per il sistema di IA ad alto rischio interessate fornendo in particolare informazioni precise sulla non conformità e sulle eventuali misure correttive adottate.

5.   Su richiesta motivata di una pertinente autorità competente, i distributori di un sistema di IA ad alto rischio forniscono a tale autorità tutte le informazioni e la documentazione concernenti le sue azioni a norma dei paragrafi da 1 a 4 necessarie per dimostrare la conformità di tale sistema ai requisiti di cui alla sezione 2.

6.   I distributori cooperano con le pertinenti autorità competenti in qualsiasi azione intrapresa da tali autorità in relazione a un sistema di IA ad alto rischio messo a disposizione sul mercato dai distributori, in particolare per ridurre e attenuare il rischio che esso comporta.

1.   Qualsiasi distributore, importatore, deployer o altro terzo è considerato fornitore di un sistema di IA ad alto rischio ai fini del presente regolamento ed è soggetto agli obblighi del fornitore a norma dell'articolo 16, nelle circostanze seguenti:

2.   Qualora si verifichino le circostanze di cui al paragrafo 1, il fornitore che ha inizialmente immesso sul mercato o messo in servizio il sistema di IA non è più considerato fornitore di quel determinato sistema di IA ai fini del presente regolamento. Tale fornitore iniziale coopera strettamente con i nuovi fornitori e mette a disposizione le informazioni necessarie nonché fornisce l'accesso tecnico ragionevolmente atteso e qualsiasi altra forma di assistenza che sono richiesti per l'adempimento degli obblighi di cui al presente regolamento, in particolare per quanto riguarda la conformità alla valutazione della conformità dei sistemi di IA ad alto rischio. Il presente paragrafo non si applica nei casi in cui il fornitore iniziale abbia chiaramente specificato che il suo sistema di IA non deve essere trasformato in un sistema di IA ad alto rischio e pertanto non sia soggetto all'obbligo di consegnare la documentazione.

3.   Nel caso dei sistemi di IA ad alto rischio che sono componenti di sicurezza di prodotti disciplinati dalla normativa di armonizzazione dell'Unione elencata nell'allegato I, sezione A, il fabbricante del prodotto è considerato il fornitore del sistema di IA ad alto rischio ed è soggetto agli obblighi di cui all'articolo 16, in una delle circostanze seguenti:

4.   Il fornitore di un sistema di IA ad alto rischio e il terzo che fornisce un sistema di IA, strumenti, servizi, componenti o processi utilizzati o integrati in un sistema di IA ad alto rischio precisano, mediante accordo scritto, le informazioni, le capacità, l'accesso tecnico e qualsiasi altra forma di assistenza necessari, sulla base dello stato dell'arte generalmente riconosciuto per permettere al fornitore del sistema di IA ad alto rischio di adempiere pienamente agli obblighi di cui al presente regolamento. Il presente paragrafo non si applica ai terzi che rendono accessibili al pubblico strumenti, servizi, processi o componenti, diversi dai modelli di IA per finalità generali, con licenza libera e open source.

L'ufficio per l'IA può elaborare e raccomandare clausole contrattuali tipo volontarie tra i fornitori di sistemi di IA ad alto rischio e i terzi che forniscono strumenti, servizi, componenti o processi utilizzati o integrati in sistemi di IA ad alto rischio. Nell'elaborare tali clausole contrattuali tipo volontarie, l'ufficio per l'IA tiene conto dei possibili requisiti contrattuali applicabili in determinati settori o casi commerciali. Le clausole contrattuali tipo volontarie sono pubblicati e disponibili gratuitamente in un formato elettronico facilmente utilizzabile.

5.   I paragrafi 2 e 3 lasciano impregiudicata la necessità di rispettare e proteggere i diritti di proprietà intellettuale, le informazioni commerciali riservate e i segreti commerciali conformemente al diritto dell'Unione e nazionale.

1.   I deployer di sistemi di IA ad alto rischio adottano idonee misure tecniche e organizzative per garantire di utilizzare tali sistemi conformemente alle istruzioni per l'uso che accompagnano i sistemi, a norma dei paragrafi 3 e 6.

2.   I deployer affidano la sorveglianza umana a persone fisiche che dispongono della competenza, della formazione e dell'autorità necessarie nonché del sostegno necessario.

3.   Gli obblighi di cui ai paragrafi 1 e 2 lasciano impregiudicati gli altri obblighi dei deployer previsti dal diritto dell'Unione o nazionale e la libertà del deployer di organizzare le proprie risorse e attività al fine di attuare le misure di sorveglianza umana indicate dal fornitore.

4.   Fatti salvi i paragrafi 1 e 2, nella misura in cui esercita il controllo sui dati di input, il deployer garantisce che tali dati di input siano pertinenti e sufficientemente rappresentativi alla luce della finalità prevista del sistema di IA ad alto rischio.

5.   I deployer monitorano il funzionamento del sistema di IA ad alto rischio sulla base delle istruzioni per l'uso e, se del caso, informano i fornitori a tale riguardo conformemente all'articolo 72. Qualora abbiano motivo di ritenere che l'uso del sistema di IA ad alto rischio in conformità delle istruzioni possa comportare che il sistema di IA presenti un rischio ai sensi dell'articolo 79, paragrafo 1, i deployer ne informano, senza indebito ritardo, il fornitore o il distributore e la pertinente autorità di vigilanza del mercato e sospendono l'uso di tale sistema. Qualora abbiano individuato un incidente grave, i deployer ne informano immediatamente anche il fornitore, in primo luogo, e successivamente l'importatore o il distributore e le pertinenti autorità di vigilanza del mercato. Nel caso in cui il deployer non sia in grado di raggiungere il fornitore, si applica mutatis mutandis l'articolo 73. Tale obbligo non riguarda i dati operativi sensibili dei deployer dei sistemi di IA che sono autorità di contrasto.

Per i deployer che sono istituti finanziari soggetti a requisiti in materia di governance, di dispositivi o di processi interni stabiliti a norma del diritto dell'Unione in materia di servizi finanziari, l'obbligo di monitoraggio di cui al primo comma si considera soddisfatto se sono soddisfatte le regole sui dispositivi, sui processi e sui meccanismi di governance interna a norma del pertinente diritto in materia di servizi finanziari.

6.   I deployer di sistemi di IA ad alto rischio conservano i log generati automaticamente da tale sistema di IA ad alto rischio, nella misura in cui tali log sono sotto il loro controllo, per un periodo adeguato alla prevista finalità del sistema di IA ad alto rischio, di almeno sei mesi, salvo diversamente disposto dal diritto dell'Unione o nazionale applicabile, in particolare dal diritto dell'Unione in materia di protezione dei dati personali.

I deployer che sono istituti finanziari soggetti a requisiti in materia di governance, di dispositivi o di processi interni stabiliti a norma del diritto dell'Unione in materia di servizi finanziari conservano i log come parte della documentazione conservata a norma del pertinente diritto dell'Unione in materia di servizi finanziari.

7.   Prima di mettere in servizio o utilizzare un sistema di IA ad alto rischio sul luogo di lavoro, i deployer che sono datori di lavoro informano i rappresentanti dei lavoratori e i lavoratori interessati che saranno soggetti all'uso del sistema di IA ad alto rischio. Tali informazioni sono fornite, se del caso, conformemente alle norme e alle procedure stabilite dal diritto e dalle prassi dell'Unione e nazionali in materia di informazione dei lavoratori e dei loro rappresentanti.

8.   I deployer di sistemi di IA ad alto rischio che sono autorità pubbliche o istituzioni, organi e organismi dell'Unione rispettano gli obblighi di registrazione di cui all'articolo 49. Ove accertino che il sistema di IA ad alto rischio che intendono utilizzare non è stato registrato nella banca dati dell'UE di cui all'articolo 71, tali deployer non utilizzano tale sistema e ne informano il fornitore o il distributore.

9.   Se del caso, i deployer di sistemi di IA ad alto rischio usano le informazioni fornite a norma dell'articolo 13 del presente regolamento per adempiere al loro obbligo di effettuare una valutazione d'impatto sulla protezione dei dati a norma dell'articolo 35 del regolamento (UE) 2016/679 o dell'articolo 27 della direttiva (UE) 2016/680.

10.   Fatta salva la direttiva (UE) 2016/680, nel quadro di un'indagine per la ricerca mirata di una persona sospettata o condannata per aver commesso un reato, il deployer di un sistema di IA ad alto rischio per l'identificazione biometrica remota a posteriori chiede un'autorizzazione, ex ante o senza indebito ritardo ed entro 48 ore, da parte di un'autorità giudiziaria o amministrativa la cui decisione è vincolante e soggetta a controllo giurisdizionale, per l'uso di tale sistema, tranne quando è utilizzato per l'identificazione iniziale di un potenziale sospetto sulla base di fatti oggettivi e verificabili direttamente connessi al reato. Ogni uso è limitato a quanto strettamente necessario per le indagini su uno specifico reato.

Se l'autorizzazione richiesta a norma del primo comma è respinta, l'uso del sistema di identificazione biometrica remota a posteriori collegato a tale autorizzazione richiesta è interrotto con effetto immediato e i dati personali connessi all'uso del sistema di IA ad alto rischio per il quale è stata richiesta l'autorizzazione sono cancellati.

In nessun caso tale sistema di IA ad alto rischio per l'identificazione biometrica remota a posteriori è utilizzato a fini di contrasto in modo non mirato, senza alcun collegamento con un reato, un procedimento penale, una minaccia reale e attuale o reale e prevedibile di un reato o la ricerca di una determinata persona scomparsa. Occorre garantire che nessuna decisione che produca effetti giuridici negativi su una persona possa essere presa dalle autorità di contrasto unicamente sulla base dell'output di tali sistemi di identificazione biometrica remota a posteriori.

Il presente paragrafo lascia impregiudicati l'articolo 9 del regolamento (UE) 2016/679 e l'articolo 10 della direttiva (UE) 2016/680 riguardo al trattamento dei dati biometrici.

Indipendentemente dalla finalità o dal deployer, ciascun uso di tali sistemi di IA ad alto rischio è documentato nel pertinente fascicolo di polizia e messo a disposizione della pertinente autorità di vigilanza del mercato e dell'autorità nazionale per la protezione dei dati, su richiesta, escludendo la divulgazione di dati operativi sensibili relativi alle attività di contrasto. Il presente comma lascia impregiudicati i poteri conferiti alle autorità di controllo dalla direttiva (UE) 2016/680.

I deployer presentano alle pertinenti autorità di vigilanza del mercato e alle autorità nazionali per la protezione dei dati relazioni annuali sul loro uso di sistemi di identificazione biometrica remota a posteriori, escludendo la divulgazione di dati operativi sensibili relativi alle attività di contrasto. Le relazioni possono essere aggregate per coprire più di un utilizzo.

Gli Stati membri possono introdurre, in conformità del diritto dell'Unione, disposizioni più restrittive sull'uso dei sistemi di identificazione biometrica remota a posteriori.

11.   Fatto salvo l'articolo 50, del presente regolamento i deployer dei sistemi di IA ad alto rischio di cui all'allegato III che adottano decisioni o assistono nell'adozione di decisioni che riguardano persone fisiche informano queste ultime che sono soggette all'uso del sistema di IA ad alto rischio. Per i sistemi di IA ad alto rischio utilizzati a fini di contrasto si applica l'articolo 13 della direttiva (UE) 2016/680.

12.   I deployer cooperano con le pertinenti autorità competenti in merito a qualsiasi azione intrapresa da dette autorità in relazione al sistema di IA ad alto rischio ai fini dell'attuazione del presente regolamento.

1.   Prima di utilizzare un sistema di IA ad alto rischio di cui all'articolo 6, paragrafo 2, ad eccezione dei sistemi di IA ad alto rischio destinati a essere usati nel settore elencati nell'allegato III, punto 2, i deployer che sono organismi di diritto pubblico o sono enti privati che forniscono servizi pubblici e i deployer di sistemi di IA ad alto rischio di cui all'allegato III, punto 5, lettere b) e c), effettuano una valutazione dell'impatto sui diritti fondamentali che l'uso di tale sistema può produrre. A tal fine, i deployer effettuano una valutazione che comprende gli elementi seguenti:

2.   L'obbligo di cui al paragrafo 1 si applica al primo uso del sistema di IA ad alto rischio. Il deployer può, in casi analoghi, basarsi su valutazioni d'impatto sui diritti fondamentali effettuate in precedenza o su valutazioni d'impatto esistenti effettuate da un fornitore. Se, durante l'uso del sistema di IA ad alto rischio, ritiene che uno qualsiasi degli elementi elencati al paragrafo 1 sia cambiato o non sia più aggiornato, il deployer adotta le misure necessarie per aggiornare le informazioni.

3.   Una volta effettuata la valutazione di cui al paragrafo 1 del presente articolo, il deployer notifica all'autorità di vigilanza del mercato i suoi risultati, presentando il modello compilato di cui al paragrafo 5 del presente articolo nell'ambito della notifica. Nel caso di cui all'articolo 46, paragrafo 1, i deployer possono essere esentati da tale obbligo di notifica.

4.   Se uno qualsiasi degli obblighi di cui al presente articolo è già rispettato mediante la valutazione d'impatto sulla protezione dei dati effettuata a norma dell'articolo 35 del regolamento (UE) 2016/679 o dell'articolo 27 della direttiva (UE) 2016/680, la valutazione d'impatto sui diritti fondamentali di cui al paragrafo 1 del presente articolo integra tale valutazione d'impatto sulla protezione dei dati.

5.   L'ufficio per l'IA elabora un modello di questionario, anche attraverso uno strumento automatizzato, per agevolare i deployer nell'adempimento dei loro obblighi a norma del presente articolo in modo semplificato.

1.   Gli organismi di valutazione della conformità presentano una domanda di notifica all'autorità di notifica dello Stato membro in cui sono stabiliti.

2.   La domanda di notifica è accompagnata da una descrizione delle attività di valutazione della conformità, del modulo o dei moduli di valutazione della conformità e dei tipi di sistemi di IA per i quali tale organismo di valutazione della conformità dichiara di essere competente, nonché da un certificato di accreditamento, se disponibile, rilasciato da un organismo nazionale di accreditamento che attesti che l'organismo di valutazione della conformità è conforme ai requisiti di cui all'articolo 31.

Sono aggiunti documenti validi relativi alle designazioni esistenti dell'organismo notificato richiedente ai sensi di qualsiasi altra normativa di armonizzazione dell'Unione.

3.   Qualora non possa fornire un certificato di accreditamento, l'organismo di valutazione della conformità interessato fornisce all'autorità di notifica tutte le prove documentali necessarie per la verifica, il riconoscimento e il monitoraggio periodico della sua conformità ai requisiti di cui all'articolo 31.

4.   Per gli organismi notificati designati ai sensi di qualsiasi altra normativa di armonizzazione dell'Unione, tutti i documenti e i certificati connessi a tali designazioni possono essere utilizzati a sostegno della loro procedura di designazione a norma del presente regolamento, a seconda dei casi. L'organismo notificato aggiorna la documentazione di cui ai paragrafi 2 e 3 del presente articolo ogni volta che si verificano cambiamenti di rilievo, al fine di consentire all'autorità responsabile degli organismi notificati di monitorare e verificare il continuo rispetto di tutte le prescrizioni di cui all'articolo 31.

1.   Le autorità di notifica possononotificare solo gli organismi di valutazione della conformità che siano conformi alle prescrizioni di cui all'articolo 31.

2.   Le autorità di notifica notificano alla Commissione e agli altri Stati membri, utilizzando lo strumento elettronico di notifica elaborato e gestito dalla Commissione, ogni organismo di valutazione della conformità di cui al paragrafo 1.

3.   La notifica di cui al paragrafo 2 del presente articolo include tutti i dettagli riguardanti le attività di valutazione della conformità, il modulo o i moduli di valutazione della conformità, i tipi di sistemi di IA interessati, nonché la relativa attestazione di competenza. Qualora una notifica non sia basata su un certificato di accreditamento di cui all'articolo 29, paragrafo 2, l'autorità di notifica fornisce alla Commissione e agli altri Stati membri le prove documentali che attestino la competenza dell'organismo di valutazione della conformità nonché le misure predisposte per fare in modo che tale organismo sia monitorato periodicamente e continui a soddisfare i requisiti di cui all'articolo 31.

4.   L'organismo di valutazione della conformità interessato può eseguire le attività di un organismo notificato solo se non sono sollevate obiezioni da parte della Commissione o degli altri Stati membri entro due settimane dalla notifica da parte di un'autorità di notifica, qualora essa includa un certificato di accreditamento di cui all'articolo 29, paragrafo 2, o entro due mesi dalla notifica da parte dell'autorità di notifica, qualora essa includa le prove documentali di cui all'articolo 29, paragrafo 3.

5.   Se sono sollevate obiezioni, la Commissione avvia senza ritardo consultazioni con gli Stati membri pertinenti e l'organismo di valutazione della conformità. Tenutone debito conto, la Commissione decide se l'autorizzazione è giustificata. La Commissione trasmette la propria decisione allo Stato membro interessato e all'organismo di valutazione della conformità pertinente.

1.   Un organismo notificato è istituito a norma del diritto nazionale di uno Stato membro e ha personalità giuridica.

2.   Gli organismi notificati soddisfano i requisiti organizzativi, di gestione della qualità e relativi alle risorse e ai processi necessari all'assolvimento dei loro compiti nonché i requisiti idonei di cibersicurezza.

3.   La struttura organizzativa, l'assegnazione delle responsabilità, le linee di riporto e il funzionamento degli organismi notificati garantiscono la fiducia nelle loro prestazioni e nei risultati delle attività di valutazione della conformità che essi effettuano.

4.   Gli organismi notificati sono indipendenti dal fornitore di un sistema di IA ad alto rischio in relazione al quale svolgono attività di valutazione della conformità. Gli organismi notificati sono inoltre indipendenti da qualsiasi altro operatore avente un interesse economico nei sistemi di IA ad alto rischio oggetto della valutazione, nonché da eventuali concorrenti del fornitore. Ciò non preclude l'uso dei sistemi di IA ad alto rischio oggetto della valutazione che sono necessari per il funzionamento dell'organismo di valutazione della conformità o l'uso di tali sistemi di IA ad alto rischio per scopi privati.

5.   L'organismo di valutazione della conformità, i suoi alti dirigenti e il personale incaricato di svolgere i compiti di valutazione della conformità non intervengono direttamente nella progettazione, nello sviluppo, nella commercializzazione o nell'utilizzo di sistemi di IA ad alto rischio, né rappresentano i soggetti impegnati in tali attività. Essi non intraprendono alcuna attività che possa essere in conflitto con la loro indipendenza di giudizio o la loro integrità per quanto riguarda le attività di valutazione della conformità per le quali sono notificati. Ciò vale in particolare per i servizi di consulenza.

6.   Gli organismi notificati sono organizzati e gestiti in modo da salvaguardare l'indipendenza, l'obiettività e l'imparzialità delle loro attività. Gli organismi notificati documentano e attuano una struttura e procedure per salvaguardare l'imparzialità e per promuovere e applicare i principi di imparzialità in tutta l'organizzazione, tra il personale e nelle attività di valutazione.

7.   Gli organismi notificati dispongono di procedure documentate per garantire che il loro personale, i loro comitati, le affiliate, i subappaltatori e qualsiasi altra organizzazione associata o il personale di organismi esterni mantengano, conformemente all'articolo 78, la riservatezza delle informazioni di cui vengono in possesso nello svolgimento delle attività di valutazione della conformità, salvo quando la normativa ne prescriva la divulgazione. Il personale degli organismi notificati è tenuto a osservare il segreto professionale riguardo a tutte le informazioni ottenute nello svolgimento dei propri compiti a norma del presente regolamento, tranne che nei confronti delle autorità di notifica dello Stato membro in cui svolge le proprie attività.

8.   Gli organismi notificati dispongono di procedure per svolgere le attività che tengono debitamente conto delle dimensioni di un fornitore, del settore in cui opera, della sua struttura e del grado di complessità del sistema di IA interessato.

9.   Gli organismi notificati sottoscrivono un'adeguata assicurazione di responsabilità per le loro attività di valutazione della conformità, a meno che lo Stato membro in cui sono stabiliti non si assuma tale responsabilità a norma del diritto nazionale o non sia esso stesso direttamente responsabile della valutazione della conformità.

10.   Gli organismi notificati sono in grado di eseguire tutti i compiti assegnati loro in forza del presente regolamento con il più elevato grado di integrità professionale e di competenza richiesta nel settore specifico, indipendentemente dal fatto che tali compiti siano eseguiti dagli organismi notificati stessi o per loro conto e sotto la loro responsabilità.

11.   Gli organismi notificati dispongono di sufficienti competenze interne per poter valutare efficacemente i compiti svolti da parti esterne per loro conto.Gli organismi notificati dispongono permanentemente di sufficiente personale amministrativo, tecnico, giuridico e scientifico dotato di esperienza e conoscenze relative ai tipi di sistemi di IA, ai dati, al calcolo dei dati pertinenti, nonché ai requisiti di cui alla sezione 2.

12.   Gli organismi notificati partecipano alle attività di coordinamento di cui all'articolo 38. Inoltre essi partecipano direttamente o sono rappresentati in seno alle organizzazioni europee di normazione o garantiscono di essere informati e di mantenersi aggiornati in merito alle norme pertinenti.

Qualora dimostri la propria conformità ai criteri stabiliti nelle pertinenti norme armonizzate o in parti di esse i cui riferimenti sono stati pubblicati nella Gazzetta ufficiale dell'Unione europea, l'organismo di valutazione della conformità è considerato conforme ai requisiti di cui all'articolo 31 nella misura in cui le norme armonizzate applicabili coprano tali requisiti.

1.   L'organismo notificato, qualora subappalti compiti specifici connessi alla valutazione della conformità oppure ricorra a un'affiliata, garantisce che il subappaltatore o l'affiliata soddisfino i requisiti di cui all'articolo 31 e ne informa l'autorità di notifica.

2.   Gli organismi notificati si assumono la completa responsabilità dei compiti eseguiti da eventuali subappaltatori o affiliate.

3.   Le attività possono essere subappaltate o eseguite da un'affiliata solo con il consenso del fornitore. Gli organismi notificati mettono a disposizione del pubblico un elenco delle loro affiliate.

4.   I documenti pertinenti riguardanti la valutazione delle qualifiche del subappaltatore o dell'affiliata e il lavoro da essi eseguito a norma del presente regolamento sono tenuti a disposizione dell'autorità di notifica per un periodo di cinque anni a decorrere dalla data in cui termina il contratto di subappalto.

1.   Gli organismi notificati verificano la conformità dei sistemi di IA ad alto rischio secondo le procedure di valutazione della conformità di cui all'articolo 43.

2.   Gli organismi notificati evitano oneri inutili per i fornitori nello svolgimento delle loro attività e tengono debitamente conto delle dimensioni del fornitore, del settore in cui opera, della sua struttura e del grado di complessità del sistema di IA ad alto rischio interessato, in particolare al fine di ridurre al minimo gli oneri amministrativi e i costi di conformità per le microimprese e le piccole imprese ai sensi della raccomandazione 2003/361/CE. L'organismo notificato rispetta tuttavia il grado di rigore e il livello di tutela necessari per la conformità del sistema di IA ad alto rischio rispetto ai requisiti del presente regolamento.

3.   Gli organismi notificati mettono a disposizione e trasmettono su richiesta tutta la documentazione pertinente, inclusa la documentazione del fornitore, all'autorità di notifica di cui all'articolo 28 per consentirle di svolgere le proprie attività di valutazione, designazione, notifica e monitoraggio e per agevolare la valutazione di cui alla presente sezione.

1.   La Commissione assegna un numero di identificazione unico a ciascun organismo notificato, anche se un organismo è notificato a norma di più atti dell'Unione.

2.   La Commissione mette pubblicamente a disposizione l'elenco degli organismi notificati ai sensi del presente regolamento, inclusi i loro numeri di identificazione e le attività per le quali sono stati notificati. La Commissione garantisce che l'elenco sia tenuto aggiornato.

1.   L'autorità di notifica informa la Commissione e gli altri Stati membri di ogni pertinente modifica della notifica di un organismo notificato tramite lo strumento elettronico di notifica di cui all'articolo 30, paragrafo 2.

2.   Le procedure di cui agli articoli 29 e 30 si applicano alle estensioni della portata della notifica.

In caso di modifiche della notifica diverse dalle estensioni della sua portata, si applicano le procedure stabilite nei paragrafi da 3 a 9.

3.   Qualora decida di cessare le attività di valutazione della conformità, un organismo notificato ne informa l'autorità di notifica e i fornitori interessati quanto prima possibile e almeno un anno prima della cessazione delle attività qualora la cessazione sia stata programmata. I certificati dell'organismo notificato possono restare validi per un periodo di nove mesi dopo la cessazione delle attività dell'organismo notificato purché un altro organismo notificato abbia confermato per iscritto che assumerà la responsabilità per i sistemi di IA ad alto rischio coperti da tale certificato. Quest'ultimo organismo notificato completa una valutazione integrale dei sistemi di IA ad alto rischio coinvolti entro la fine del periodo di nove mesi indicato prima di rilasciare nuovi certificati per gli stessi sistemi. Qualora l'organismo notificato abbia cessato le proprie attività, l'autorità di notifica ritira la designazione.

4.   Qualora un'autorità di notifica abbia motivo sufficiente di ritenere che un organismo notificato non soddisfa più i requisiti di cui all'articolo 31 o non adempie i suoi obblighi, l'autorità di notifica indaga senza ritardo sulla questione con la massima diligenza. In tale contesto, essa informa l'organismo notificato interessato in merito alle obiezioni sollevate e gli dà la possibilità di esprimere il suo punto di vista. Se l'autorità di notifica conclude che l'organismo notificato non soddisfa più i requisiti di cui all'articolo 31 o non adempie i suoi obblighi, tale autorità limita, sospende o ritira ladesignazione, a seconda dei casi, in funzione della gravità del mancato rispetto di tali requisiti o dell'inadempimento di tali obblighi. Essa informa immediatamente la Commissione e gli altri Stati membri.

5.   Qualora la sua designazione sia stata sospesa, limitata oppure ritirata interamente o in parte, l'organismo notificato informa i fornitori interessati al più tardi entro 10 giorni.

6.   In caso di limitazione, sospensione o ritiro di una designazione, l'autorità di notifica adotta le misure appropriate per far sì che i fascicoli dell'organismo notificato interessato siano conservati e messi a disposizione delle autorità di notifica in altri Stati membri nonché delle autorità di vigilanza del mercato, su richiesta.

7.   In caso di limitazione, sospensione o ritiro di una designazione, l'autorità di notifica:

8.   Ad eccezione dei certificati rilasciati indebitamente, e ove la designazione sia stata sospesa o limitata, i certificati restano validi in uno dei casi seguenti:

9.   Ad eccezione dei certificati rilasciati indebitamente, e ove la designazione sia stata ritirata, i certificati restano validi per un periodo di nove mesi nei casi seguenti:

Nei casi di cui al primo comma, l'autorità nazionale competente dello Stato membro in cui il fornitore del sistema coperto dal certificato ha la propria sede può prorogare la validità temporanea dei certificati di ulteriori periodi di tre mesi, per un totale non superiore a dodici mesi.

L'autorità nazionale competente o l'organismo notificato che assume le funzioni dell'organismo notificato interessato dalla modifica della designazione informa immediatamente la Commissione, gli altri Stati membri e gli altri organismi notificati.

1.   Ove necessario, la Commissione indaga su tutti i casi in cui vi siano motivi di dubitare della competenza di un organismo notificato o della continuità dell’ottemperanza di un organismo notificato ai requisiti di cui all'articolo 31 e alle sue responsabilità applicabili.

2.   L'autorità di notifica fornisce alla Commissione, su richiesta, tutte le informazioni relative alla notifica o al mantenimento della competenza dell'organismo notificato interessato.

3.   La Commissione provvede affinché tutte le informazioni sensibili ottenute nel corso delle sue indagini a norma del presente articolo siano trattate in maniera riservata in conformità dell'articolo 78.

4.   La Commissione, qualora accerti che un organismo notificato non soddisfa, o non soddisfa più, i requisiti per la sua notifica, informa di conseguenza lo Stato membro notificante e gli chiede di adottare le misure correttive necessarie compresa la sospensione o il ritiro della notifica. Se lo Stato membro non adotta le misure correttive necessarie, la Commissione può, mediante atto di esecuzione, sospendere, limitare o ritirare la designazione. Tale atto di esecuzione è adottato secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.

1.   La Commissione garantisce che, per quanto riguarda i sistemi di IA ad alto rischio, siano istituiti e funzionino correttamente, in forma di gruppo settoriale di organismi notificati, un coordinamento e una cooperazione adeguati tra gli organismi notificati che partecipano alle procedure di valutazione della conformità a norma del presente regolamento.

2.   Ciascuna autorità di notifica garantisce che gli organismi da essa notificati partecipino al lavoro di un gruppo di cui al paragrafo 1, direttamente o mediante rappresentanti designati.

3.   La Commissione provvede allo scambio di conoscenze e migliori pratiche tra le autorità di notifica.

Gli organismi di valutazione della conformità istituiti a norma del diritto di un paese terzo con il quale l'Unione ha concluso un accordo possono essere autorizzati a svolgere le attività degli organismi notificati a norma del presente regolamento, a condizione che soddisfino i requisiti stabiliti all'articolo 31 o garantiscano un livello di conformità equivalente.

1.   La Commissione può adottare atti di esecuzione che stabiliscano specifiche comuni per i requisiti di cui alla sezione 2 del presente capo o, se del caso, per gli obblighi di cui al capo V, sezioni 2 e 3, se sono soddisfatte le condizioni seguenti:

Nel redigere le specifiche comuni, la Commissione consulta il forum consultivo di cui all'articolo 67.

Gli atti di esecuzione di cui al primo comma sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.

2.   Prima di preparare un progetto di atto di esecuzione, la Commissione informa il comitato di cui all'articolo 22 del regolamento (UE) n, 1025/2012 del fatto che ritiene soddisfatte le condizioni di cui al paragrafo 1 del presente articolo.

3.   I sistemi di IA ad alto rischio o i modelli di IA per finalità generali conformi alle specifiche comuni di cui al paragrafo 1, o a parti di tali specifiche, si presumono conformi ai requisiti di cui alla sezione 2 del presente capo o, ove applicabile, agli obblighi di cui al capo V, sezioni 2 e 3 nella misura in cui tali requisiti o tali obblighi sono contemplati da tali specifiche comuni.

4.   Qualora una norma armonizzata sia adottata da un organismo europeo di normazione e proposta alla Commissione per la pubblicazione del suo riferimento nella Gazzetta ufficiale dell'Unione europea, la Commissione valuta la norma armonizzata conformemente al regolamento (UE) n, 1025/2012. Quando un riferimento a una norma armonizzata è pubblicato nella Gazzetta ufficiale dell'Unione europea, la Commissione abroga gli atti di esecuzione di cui al paragrafo 1 o le parti di tali atti che riguardano gli stessi requisiti di cui alla sezione 2 del presente capo o, ove applicabile, gli obblighi di cui al capo V, sezioni 2 e 3.

5.   Qualora non rispettino le specifiche comuni di cui al paragrafo 1, i fornitori di sistemi di IA ad alto rischio o di modelli di IA per finalità generali adottano soluzioni tecniche debitamente motivate che soddisfano i requisiti di cui alla sezione 2 del presente capo o, ove applicabile, gli obblighi di cui al capo V, sezioni 2 e 3, a un livello almeno equivalente.

6.   Se uno Stato membro ritiene che una specifica comune non soddisfi interamente i requisiti di cui alla sezione 2 o, ove applicabile, non rispetti gli obblighi di cui al capo V, sezioni 2 e 3, ne informa la Commissione fornendo una spiegazione dettagliata. La Commissione valuta tali informazioni e, ove necessario, modifica l'atto di esecuzione che stabilisce la specifica comune interessata.

1.   I sistemi di IA ad alto rischio che sono stati addestrati e sottoposti a prova con dati che rispecchiano il contesto geografico, comportamentale, contestuale o funzionale specifico all'interno del quale sono destinati a essere usati si presumono conformi ai pertinenti requisiti di cui all'articolo 10, paragrafo 4.

2.   I sistemi di IA ad alto rischio che sono stati certificati o per i quali è stata rilasciata una dichiarazione di conformità nell'ambito di un sistema di cibersicurezza a norma del regolamento (UE) 2019/881 e i cui riferimenti sono stati pubblicati nella Gazzetta ufficiale dell'Unione europea si presumono conformi ai requisiti di cibersicurezza di cui all'articolo 15 del presente regolamento, nella misura in cui tali requisiti siano contemplati nel certificato di cibersicurezza o nella dichiarazione di conformità o in parti di essi.

1.   Per i sistemi di IA ad alto rischio elencati nell'allegato III, punto 1, se ha applicato le norme armonizzate di cui all'articolo 40 o, ove applicabile, le specifiche comuni di cui all'articolo 41, nel dimostrare la conformità di un sistema di IA ad alto rischio ai requisiti di cui alla sezione 2, il fornitore sceglie una delle seguenti procedure di valutazione della conformità basate sugli elementi qui di seguito:

Nel dimostrare la conformità di un sistema di IA ad alto rischio ai requisiti di cui alla sezione 2, il fornitore segue la procedura di valutazione della conformità di cui all'allegato VII se:

Ai fini della procedura di valutazione della conformità di cui all'allegato VII, il fornitore può scegliere uno qualsiasi degli organismi notificati. Tuttavia, se il sistema di IA ad alto rischio è destinato ad essere messo in servizio dalle autorità competenti in materia di contrasto, di immigrazione o di asilo, nonché da istituzioni, organi o organismi dell'Unione, l'autorità di vigilanza del mercato di cui all'articolo 74, paragrafo 8 o 9, a seconda dei casi, agisce in qualità di organismo notificato.

2.   Per i sistemi di IA ad alto rischio di cui all'allegato III, punti da 2 a 8, i fornitori seguono la procedura di valutazione della conformità basata sul controllo interno di cui all'allegato VI, che non prevede il coinvolgimento di un organismo notificato.

3.   Per i sistemi di IA ad alto rischio disciplinati dalla normativa di armonizzazione dell'Unione elencata nell'allegato I, sezione A, il fornitore segue la pertinente procedura di valutazione della conformità prevista da tali atti giuridici. I requisiti di cui alla sezione 2 del presente capo si applicano a tali sistemi di IA ad alto rischio e fanno parte di tale valutazione. Si applicano anche i punti 4.3, 4.4, 4.5 e il punto 4.6, quinto comma, dell'allegato VII.

Ai fini di tale valutazione, gli organismi notificati che sono stati notificati a norma di tali atti giuridici hanno la facoltà di controllare la conformità dei sistemi di IA ad alto rischio ai requisiti di cui alla sezione 2, a condizione che la conformità di tali organismi notificati ai requisiti di cui all'articolo 31, paragrafi 4, 10 e 11, sia stata valutata nel contesto della procedura di notifica a norma di tali atti giuridici.

Qualora un atto giuridico elencato nell'allegato I, sezione A, consenta al fabbricante del prodotto di sottrarsi a una valutazione della conformità da parte di terzi, purché abbia applicato tutte le norme armonizzate che contemplano tutti i requisiti pertinenti, tale fabbricante può avvalersi di tale facoltà solo se ha applicato anche le norme armonizzate o, ove applicabili, le specifiche comuni di cui all'articolo 41, che contemplano tutti i requisiti di cui alla sezione 2 del presente capo.

4.   I sistemi di IA ad alto rischio che sono già stati oggetto di una procedura di valutazione della conformità sono sottoposti a una nuova procedura di valutazione della conformità nel caso di una modifica sostanziale, indipendentemente dal fatto che il sistema modificato sia destinato a essere ulteriormente distribuito o continui a essere usato dal deployer attuale.

Per i sistemi di IA ad alto rischio che proseguono il loro apprendimento dopo essere stati immessi sul mercato o messi in servizio, le modifiche apportate al sistema di IA ad alto rischio e alle sue prestazioni che sono state predeterminate dal fornitore al momento della valutazione iniziale della conformità e fanno parte delle informazioni contenute nella documentazione tecnica di cui all'allegato IV, punto 2, lettera f), non costituiscono una modifica sostanziale.

5.   Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 97 al fine di modificare gli allegati VI e VII aggiornandoli alla luce del progresso tecnico.

6.   Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 97 che modificano i paragrafi 1 e 2 del presente articolo per assoggettare i sistemi di IA ad alto rischio di cui all'allegato III, punti da 2 a 8, alla procedura di valutazione della conformità di cui all'allegato VII o a parti di essa. La Commissione adotta tali atti delegati tenendo conto dell'efficacia della procedura di valutazione della conformità basata sul controllo interno di cui all'allegato VI nel prevenire o ridurre al minimo i rischi per la salute, la sicurezza e la protezione dei diritti fondamentali posti da tali sistemi, nonché della disponibilità di capacità e risorse adeguate tra gli organismi notificati.

1.   I certificati rilasciati dagli organismi notificati a norma dell'allegato VII sono redatti in una lingua che può essere facilmente compresa dalle autorità pertinenti dello Stato membro in cui è stabilito l'organismo notificato.

2.   I certificati sono validi per il periodo da essi indicato che non supera i cinque anni per i sistemi di IA disciplinati dall'allegato I e i quattro anni per i sistemi di IA disciplinati dall'allegato III. Su domanda del fornitore, la validità di un certificato può essere prorogata per ulteriori periodi, ciascuno non superiore a cinque anni per i sistemi di IA disciplinati dall'allegato I e a quattro anni per i sistemi di IA disciplinati dall'allegato III, sulla base di una nuova valutazione secondo le procedure di valutazione della conformità applicabili. Ogni supplemento del certificato rimane valido purché sia valido il certificato cui si riferisce.

3.   Qualora constati che il sistema di IA non soddisfa più i requisiti di cui alla sezione 2, l'organismo notificato, tenendo conto del principio di proporzionalità, sospende o ritira il certificato rilasciato o impone limitazioni, a meno che la conformità a tali requisiti sia garantita mediante opportune misure correttive adottate dal fornitore del sistema entro un termine adeguato stabilito dall'organismo notificato. L'organismo notificato motiva la propria decisione.

È disponibile una procedura di ricorso contro le decisioni degli organismi notificati, anche sui certificati di conformità rilasciati.

1.   Gli organismi notificati informano l'autorità di notifica in merito a quanto segue:

2.   Ciascun organismo notificato informa gli altri organismi notificati in merito a quanto segue:

3.   Ciascun organismo notificato fornisce agli altri organismi notificati che svolgono attività simili di valutazione della conformità riguardanti gli stessi tipi di sistemi di IA informazioni pertinenti su questioni relative ai risultati negativi e, su richiesta, positivi della valutazione della conformità.

4.   Gli organismi notificati tutelano la riservatezza delle informazioni che ottengono in conformità dell'articolo 78.

1.   In deroga all'articolo 43 e su richiesta debitamente giustificata, qualsiasi autorità di vigilanza del mercato può autorizzare l'immissione sul mercato o la messa in servizio di specifici sistemi di IA ad alto rischio nel territorio dello Stato membro interessato, per motivi eccezionali di sicurezza pubblica o di protezione della vita e della salute delle persone e di protezione dell'ambiente o dei principali beni industriali e infrastrutturali. Tale autorizzazione è valida per un periodo limitato, mentre sono in corso le necessarie procedure di valutazione della conformità, tenendo conto dei motivi eccezionali che giustificano la deroga. Il completamento di tali procedure è effettuato senza indebito ritardo.

2.   In una situazione di urgenza debitamente giustificata per motivi eccezionali di sicurezza pubblica o in caso di minaccia specifica, sostanziale e imminente per la vita o l'incolumità fisica delle persone fisiche, le autorità di contrasto o le autorità di protezione civile possono mettere in servizio uno specifico sistema di IA ad alto rischio senza l'autorizzazione di cui al paragrafo 1, a condizione che tale autorizzazione sia richiesta durante o dopo l'uso senza indebito ritardo. Se l'autorizzazione di cui al paragrafo 1 è rifiutata, l'uso del sistema di IA ad alto rischio è interrotto con effetto immediato e tutti i risultati e gli output di tale uso sono immediatamente eliminati.

3.   L'autorizzazione di cui al paragrafo 1 è rilasciata solo se l'autorità di vigilanza del mercato conclude che il sistema di IA ad alto rischio è conforme ai requisiti di cui alla sezione 2. L'autorità di vigilanza del mercato informa la Commissione e gli altri Stati membri di eventuali autorizzazioni rilasciate a norma dei paragrafi 1 e 2. Tale obbligo non riguarda i dati operativi sensibili in relazione alle attività delle autorità di contrasto.

4.   Se, entro 15 giorni di calendario dal ricevimento dell'informazione di cui al paragrafo 3, né gli Stati membri né la Commissione sollevano obiezioni in merito a un'autorizzazione rilasciata da un'autorità di vigilanza del mercato di uno Stato membro in conformità del paragrafo 1, tale autorizzazione è considerata giustificata.

5.   Se, entro 15 giorni di calendario dal ricevimento della notifica di cui al paragrafo 3, uno Stato membro solleva obiezioni in merito a un'autorizzazione rilasciata da un'autorità di vigilanza del mercato di un altro Stato membro, o se la Commissione ritiene che l'autorizzazione sia contraria al diritto dell'Unione o che la conclusione degli Stati membri riguardante la conformità del sistema di cui al paragrafo 3 sia infondata, la Commissione avvia senza ritardo consultazioni con lo Stato membro interessato. Gli operatori interessati sono consultati e hanno la possibilità di esprimere il loro parere. Tenuto conto di ciò, la Commissione decide se l'autorizzazione è giustificata. La Commissione trasmette la propria decisione allo Stato membro interessato e agli operatori pertinenti.

6.   Se la Commissione ritiene l'autorizzazione ingiustificata, essa è ritirata dall'autorità di vigilanza del mercato dello Stato membro interessato.

7.   Per i sistemi di IA ad alto rischio relativi a prodotti disciplinati dalla normativa di armonizzazione dell'Unione elencata nell'allegato I, sezione A, si applicano solo le deroghe alla valutazione della conformità stabilite in tale normativa di armonizzazione dell'Unione.

1.   Il fornitore compila una dichiarazione scritta di conformità UE leggibile meccanicamente, firmata a mano o elettronicamente, per ciascun sistema di IA ad alto rischio e la tiene a disposizione delle autorità nazionali competenti per dieci anni dalla data in cui il sistema di IA ad alto rischio è stato immesso sul mercato o messo in servizio. La dichiarazione di conformità UE identifica il sistema di IA ad alto rischio per il quale è stata redatta. Su richiesta, una copia della dichiarazione di conformità UE è presentata alle pertinenti autorità nazionali competenti.

2.   La dichiarazione di conformità UE attesta che il sistema di IA ad alto rischio interessato soddisfa i requisiti di cui alla sezione 2. La dichiarazione di conformità UE riporta le informazioni di cui all'allegato V ed è tradotta in una lingua che può essere facilmente compresa dalle autorità nazionali competenti degli Stati membri nei quali il sistema di IA ad alto rischio è immesso sul mercato o messo a disposizione.

3.   Qualora i sistemi di IA ad alto rischio siano soggetti ad altra normativa di armonizzazione dell'Unione che richieda anch'essa una dichiarazione di conformità UE, è redatta un'unica dichiarazione di conformità UE in relazione a tutte le normative dell'Unione applicabili al sistema di IA ad alto rischio. La dichiarazione contiene tutte le informazioni necessarie per identificare la normativa di armonizzazione dell'Unione cui si riferisce la dichiarazione.

4.   Redigendo la dichiarazione di conformità UE, il fornitore si assume la responsabilità della conformità ai requisiti di cui alla sezione 2. Il fornitore tiene opportunamente aggiornata la dichiarazione di conformità UE.

5.   Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 97 al fine di modificare l’allegato V aggiornando il contenuto della dichiarazione di conformità UE di cui a tale allegato per introdurre elementi che si rendano necessari alla luce del progresso tecnico.

1.   La marcatura CE è soggetta ai principi generali di cui all'articolo 30 del regolamento (CE) n, 765/2008.

2.   Per i sistemi di IA ad alto rischio forniti digitalmente è utilizzata una marcatura CE digitale soltanto se è facilmente accessibile attraverso l'interfaccia da cui si accede a tale sistema o tramite un codice leggibile meccanicamente o altri mezzi elettronici facilmente accessibili.

3.   La marcatura CE è apposta sul sistema di IA ad alto rischio in modo visibile, leggibile e indelebile. Qualora ciò sia impossibile o difficilmente realizzabile a causa della natura del sistema di IA ad alto rischio, il marchio è apposto sull'imballaggio o sui documenti di accompagnamento, a seconda dei casi.

4.   Ove applicabile, la marcatura CE è seguita dal numero di identificazione dell'organismo notificato responsabile delle procedure di valutazione della conformità di cui all'articolo 43. Il numero di identificazione dell'organismo notificato è apposto dall'organismo stesso o, in base alle istruzioni di quest'ultimo, dal fornitore o dal rappresentante autorizzato del fornitore. Il numero d'identificazione è inoltre indicato in tutto il materiale promozionale in cui si afferma che il sistema di IA ad alto rischio soddisfa i requisiti per la marcatura CE.

5.   Se i sistemi di IA ad alto rischio sono disciplinati da altre disposizioni del diritto dell'Unione che prevedono anch'esse l'apposizione della marcatura CE, quest'ultima indica che i sistemi di IA ad alto rischio soddisfano anche i requisiti delle altre normative in questione.

1.   Prima di immettere sul mercato o mettere in servizio un sistema di IA ad alto rischio elencato nell'allegato III, ad eccezione dei sistemi di IA ad alto rischio di cui all'allegato III, punto 2, il fornitore o, ove applicabile, il rappresentante autorizzato si registra e registra il suo sistema nella banca dati dell'UE di cui all'articolo 71.

2.   Prima di immettere sul mercato o mettere in servizio un sistema di IA che il fornitore ha concluso non essere ad alto rischio a norma dell'articolo 6, paragrafo 3, il fornitore o, ove applicabile, il rappresentante autorizzato si registra o registra tale sistema nella banca dati dell'UE di cui all'articolo 71.

3.   Prima di mettere in servizio o utilizzare un sistema di IA ad alto rischio elencato nell'allegato III, ad eccezione dei sistemi di IA ad alto rischio elencati nel punto 2 dell'allegato III, i deployer che sono autorità pubbliche, istituzioni, organi e organismi dell'Unione o persone che agiscono per loro conto si registrano, selezionano il sistema e ne registrano l'uso nella banca dati dell'UE di cui all'articolo 71.

4.   Per i sistemi di IA ad alto rischio di cui all'allegato III, punti 1, 6 e 7, nei settori delle attività di contrasto, della migrazione, dell'asilo e della gestione del controllo delle frontiere, la registrazione di cui ai paragrafi 1, 2 e 3 del presente articolo si trova in una sezione sicura non pubblica della banca dati dell'UE di cui all'articolo 71 e comprende, a seconda dei casi, solo le informazioni seguenti di cui:

Solo la Commissione e le autorità nazionali di cui all'articolo 74, paragrafo 8, hanno accesso alle rispettive sezioni riservate della banca dati dell'UE elencate al primo comma del presente paragrafo.

5.   I sistemi di IA ad alto rischio di cui all'allegato III, punto 2, sono registrati a livello nazionale.

1.   Se un modello di IA per finalità generali soddisfa la condizione di cui all’articolo 51, paragrafo 1, lettera a), il fornitore pertinente informa la Commissione senza ritardo e in ogni caso entro due settimane dal soddisfacimento di tale requisito o dal momento in cui viene a conoscenza che tale requisito sarà soddisfatto. Tale notifica comprende le informazioni necessarie a dimostrare che il requisito in questione è stato soddisfatto. Se la Commissione viene a conoscenza di un modello di IA per finalità generali che presenta rischi sistemici di cui non è stata informata, può decidere di designarlo come modello con rischio sistemico.

2.   Il fornitore di un modello di IA per finalità generali che soddisfa la condizione di cui all’articolo 51, paragrafo 1, lettera a), può presentare, unitamente alla sua notifica, argomentazioni sufficientemente fondate per dimostrare che, in via eccezionale, sebbene soddisfi tale requisito, il modello di IA per finalità generali non presenta, a causa delle sue caratteristiche specifiche, rischi sistemici e non dovrebbe essere pertanto classificato come modello di IA per finalità generali con rischio sistemico.

3.   Se la Commissione conclude che le argomentazioni presentate a norma del paragrafo 2 non sono sufficientemente fondate e il fornitore in questione non è stato in grado di dimostrare che il modello di IA per finalità generali non presenta, per le sue caratteristiche specifiche, rischi sistemici, essa respinge tali argomentazioni e il modello di IA per finalità generali è considerato un modello di IA per finalità generali con rischio sistemico.

4.   La Commissione può designare un modello di IA per finalità generali come modello che presenta rischi sistemici, ex officio o a seguito di una segnalazione qualificata del gruppo di esperti scientifici a norma dell’articolo 90, paragrafo 1, lettera a), sulla base dei criteri di cui all’allegato XIII.

Alla Commissione è conferito il potere di adottare atti delegati a norma dell’articolo 97 per modificare l’allegato XIII specificando e aggiornando i criteri di cui a tale allegato.

5.   Su richiesta motivata di un fornitore il cui modello è stato designato come modello di IA per finalità generali con rischio sistemico a norma del paragrafo 4, la Commissione, tenendo conto della richiesta, può decidere di valutare nuovamente se si possa ancora ritenere che il modello di IA per finalità generali presenti rischi sistemici sulla base dei criteri di cui all'allegato XIII. Tale richiesta contiene motivi oggettivi, dettagliati e nuovi emersi dopo la decisione di designazione. I fornitori possono chiedere una nuova valutazione non prima di sei mesi dopo la decisione di designazione. Se la Commissione, a seguito della nuova valutazione, decide di mantenere la designazione come modello di IA per finalità generali con rischio sistemico, i fornitori possono chiedere una nuova valutazione non prima di sei mesi dopo tale decisione.

6.   La Commissione garantisce che sia pubblicato un elenco di modelli di IA per finalità generali con rischio sistemico e lo mantiene aggiornato, fatta salva la necessità di rispettare e proteggere i diritti di proprietà intellettuale e le informazioni commerciali riservate o i segreti commerciali conformemente al diritto dell'Unione e nazionale.

1.   Prima di immettere sul mercato dell'Unione un modello di IA per finalità generali, i fornitori stabiliti in paesi terzi nominano, mediante mandato scritto, un rappresentante autorizzato stabilito nell'Unione.

2.   Il fornitore consente al suo rappresentante autorizzato di eseguire i compiti specificati nel mandato ricevuto dal fornitore.

3.   Il rappresentante autorizzato esegue i compiti specificati nel mandato ricevuto dal fornitore. Fornisce una copia del mandato all'ufficio per l'IA, su richiesta, in una delle lingue ufficiali delle istituzioni dell'Unione. Ai fini del presente regolamento, il mandato consente al rappresentante autorizzato di eseguire i compiti seguenti:

4.   Il mandato consente al rappresentante autorizzato di essere interlocutore, in aggiunta o in sostituzione del fornitore, nei confronti dell'ufficio per l'IA o delle autorità competenti per tutte le questioni relative al rispetto del presente regolamento.

5.   Il rappresentante autorizzato pone fine al mandato se ritiene o ha motivi di ritenere che il fornitore agisca in contrasto con i propri obblighi a norma del presente regolamento. In tal caso, comunica immediatamente anche all'ufficio per l'IA la cessazione del mandato e i relativi motivi.

6.   L’obbligo di cui al presente articolo non si applica ai fornitori di modelli di IA per finalità generali rilasciati con licenza libera e open source che consentono l’accesso, l’uso, la modifica e la distribuzione del modello e i cui parametri, compresi i pesi, le informazioni sull’architettura del modello e le informazioni sull’uso del modello, sono resi pubblici, tranne nel caso in cui i modelli di IA per finalità generali presentino rischi sistemici.

1.   Onde evitare la frammentazione nell'intera Unione, la Commissione adotta atti di esecuzione che precisano le modalità dettagliate per l'istituzione, lo sviluppo, l'attuazione, il funzionamento e la supervisione degli spazi di sperimentazione normativa per l'IA. Tali atti di esecuzione comprendono principi comuni sulle questioni seguenti:

Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.

2.   Gli atti di esecuzione di cui al paragrafo 1 garantiscono:

3.   I potenziali fornitori degli spazi di sperimentazione normativa per l'IA, soprattutto le PMI e le start-up, sono indirizzati, se del caso, a servizi di pre-diffusione, quali gli orientamenti sull'attuazione del presente regolamento, ad altri servizi a valore aggiunto, quali l'assistenza per i documenti di normazione e la certificazione, gli impianti di prova e sperimentazione, i poli europei dell'innovazione digitale e i centri di eccellenza.

4.   Quando valutano la possibilità di autorizzare prove in condizioni reali sottoposte a controllo nel quadro di uno spazio di sperimentazione normativa per l'IA da istituire a norma del presente articolo, le autorità nazionali competenti concordano in modo specifico con i partecipanti i termini e le condizioni di tali prove e, in particolare, le tutele adeguate al fine di proteggere i diritti fondamentali, la salute e la sicurezza. Se del caso, cooperano con altre autorità nazionali competenti al fine di garantire pratiche coerenti in tutta l'Unione.

1.   Nello spazio di sperimentazione normativa per l’IA, i dati personali legalmente raccolti per altre finalità possono essere trattati unicamente ai fini dello sviluppo, dell'addestramento e delle prove di determinati sistemi di IA nello spazio di sperimentazione quando sono soddisfatte tutte le condizioni seguenti:

2.   A fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro le minacce alla sicurezza pubblica e la prevenzione delle stesse, sotto il controllo e la responsabilità delle autorità di contrasto, il trattamento dei dati personali negli spazi di sperimentazione normativa per l'IA si basa su una specifica disposizione di diritto nazionale o dell'Unione ed è soggetto alle stesse condizioni cumulative di cui al paragrafo 1.

3.   Il paragrafo 1 lascia impregiudicate le disposizioni del diritto dell'Unione o nazionale che escludono il trattamento dei dati personali per fini diversi da quelli espressamente menzionati in tali disposizioni, nonché il diritto dell'Unione o nazionale che stabilisce la base per il trattamento dei dati personali necessario ai fini dello sviluppo, delle prove e dell'addestramento di sistemi di IA innovativi o qualsiasi altra base giuridica, conformemente al diritto dell'Unione in materia di protezione dei dati personali.

1.   Le prove di sistemi di IA ad alto rischio in condizioni reali al di fuori degli spazi di sperimentazione normativa per l'IA possono essere effettuate da fornitori o potenziali fornitori di sistemi di IA ad alto rischio elencati nell'allegato III, conformemente al presente articolo e al piano di prova in condizioni reali di cui al presente articolo, fatti salvi i divieti di cui all'articolo 5.

La Commissione, per mezzo di atti di esecuzione, specifica nel dettaglio gli elementi del piano di prova in condizioni reali. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.

Il presente paragrafo lascia impregiudicato il diritto dell'Unione o nazionale concernente le prove in condizioni reali di sistemi di IA ad alto rischio relativi a prodotti disciplinati dalla normativa di armonizzazione dell'Unione elencata nell'allegato I.

2.   I fornitori o potenziali fornitori possono effettuare prove dei sistemi di IA ad alto rischio di cui all'allegato III in condizioni reali in qualsiasi momento prima dell'immissione sul mercato o della messa in servizio del sistema di IA, da soli o in partenariato con uno o più deployer o potenziali deployer.

3.   Le prove di sistemi di IA ad alto rischio in condizioni reali a norma del presente articolo non pregiudicano alcun esame etico che sia richiesto dal diritto dell'Unione o nazionale.

4.   I fornitori o potenziali fornitori possono effettuare le prove in condizioni reali solo se sono soddisfatte tutte le condizioni seguenti:

5.   Qualsiasi soggetto delle prove in condizioni reali, o il suo rappresentante legale designato, a seconda dei casi, può, senza alcun conseguente pregiudizio e senza dover fornire alcuna giustificazione, ritirarsi dalle prove in qualsiasi momento revocando il proprio consenso informato e può chiedere la cancellazione immediata e permanente dei propri dati personali. La revoca del consenso informato non pregiudica le attività già svolte.

6.   A norma dell'articolo 75, gli Stati membri conferiscono alle loro autorità di vigilanza del mercato il potere di imporre ai fornitori e ai potenziali fornitori di fornire informazioni, di effettuare ispezioni a distanza o in loco senza preavviso e di svolgere controlli sulla conduzione delle prove in condizioni reali e sui relativi sistemi di IA ad alto rischio. Le autorità di vigilanza del mercato si avvalgono di tali poteri per garantire lo sviluppo in sicurezza delle prove in condizioni reali.

7.   Qualsiasi incidente grave individuato nel corso delle prove in condizioni reali è segnalato all'autorità nazionale di vigilanza del mercato conformemente all'articolo 73. Il fornitore o potenziale fornitore adotta misure di attenuazione immediate o, in mancanza di ciò, sospende le prove in condizioni reali fino a quando tale attenuazione non abbia luogo oppure vi pone fine. Il fornitore o potenziale fornitore stabilisce una procedura per il tempestivo ritiro del sistema di IA in seguito a tale cessazione delle prove in condizioni reali.

8.   I fornitori o potenziali fornitori notificano all'autorità nazionale di vigilanza del mercato dello Stato membro in cui devono essere effettuate le prove in condizioni reali la sospensione o la cessazione delle prove in condizioni reali nonché i risultati finali.

9.   Il fornitore o potenziale fornitore è responsabile ai sensi del diritto dell'Unione e nazionale applicabile in materia di responsabilità per eventuali danni causati nel corso delle prove in condizioni reali.

1.   Ai fini delle prove in condizioni reali a norma dell'articolo 60, il consenso informato dato liberamente dai soggetti delle prove è ottenuto prima della loro partecipazione a tali prove e dopo che sono stati debitamente informati con indicazioni concise, chiare, pertinenti e comprensibili riguardanti:

2.   Il consenso informato è datato e documentato e una copia è consegnata ai soggetti delle prove o al loro rappresentante legale.

1.   Gli Stati membri intraprendono le azioni seguenti:

2.   Nel fissare le tariffe per la valutazione della conformità a norma dell'articolo 43 si tiene conto degli interessi e delle esigenze specifici delle PMI fornitrici, comprese le start-up, riducendo tali tariffe proporzionalmente alle loro dimensioni, alle dimensioni del loro mercato e ad altri indicatori pertinenti.

3.   L'ufficio per l'IA intraprende le azioni seguenti:

1.   Le microimprese ai sensi della raccomandazione 2003/361/CE possono conformarsi a determinati elementi del sistema di gestione della qualità di cui all'articolo 17 del presente regolamento in modo semplificato, purché non abbiano imprese associate o collegate ai sensi di tale raccomandazione. A tal fine, la Commissione elabora orientamenti sugli elementi del sistema di gestione della qualità che possono essere rispettati in modo semplificato tenendo conto delle esigenze delle microimprese, senza incidere sul livello di protezione o sulla necessità di conformità ai requisiti per quanto riguarda i sistemi di IA ad alto rischio.

2.   Il paragrafo 1 del presente articolo non è interpretato nel senso che esenta tali operatori dal rispetto di altri requisiti e obblighi di cui al presente regolamento, compresi quelli stabiliti agli articoli 9, 10, 11, 12, 13, 14, 15, 72 e 73.

1.   È istituito un consiglio per l'IA europeo per l'intelligenza artificiale («consiglio per l'IA»).

2.   Il consiglio per l'IA è composto di un rappresentante per Stato membro. Il Garante europeo della protezione dei dati partecipa come osservatore. Anche l'ufficio per l'IA partecipa alle riunioni del consiglio per l'IA senza partecipare alle votazioni. Altre autorità, organismi o esperti nazionali e dell'Unione possono essere invitati alle riunioni dal consiglio per l'IA caso per caso, qualora le questioni discusse siano di loro pertinenza.

3.   Ciascun rappresentante è designato dal rispettivo Stato membro per un periodo di tre anni, rinnovabile una volta.

4.   Gli Stati membri provvedono affinché i loro rappresentanti nel consiglio per l'IA:

5.   I rappresentanti designati degli Stati membri adottano il regolamento interno del consiglio per l'IA a maggioranza di due terzi. Il regolamento interno stabilisce, in particolare, le procedure per il processo di selezione, la durata del mandato e le specifiche riguardanti i compiti del presidente, le modalità dettagliate relative al voto e l'organizzazione delle attività del consiglio per l'IA e dei suoi sottogruppi.

6.   Il consiglio per l'IA istituisce due sottogruppi permanenti al fine di fornire una piattaforma di cooperazione e scambio tra le autorità di vigilanza del mercato e notificare le autorità su questioni relative rispettivamente alla vigilanza del mercato e agli organismi notificati.

Il sottogruppo permanente per la vigilanza del mercato dovrebbe fungere da gruppo di cooperazione amministrativa (ADCO) per il presente regolamento ai sensi dell'articolo 30 del regolamento (UE) 2019/1020.

Il consiglio per l'IA può istituire altri sottogruppi permanenti o temporanei, se del caso, ai fini dell'esame di questioni specifiche. Se del caso, i rappresentanti del forum consultivo di cui all'articolo 67 possono essere invitati a tali sottogruppi o a riunioni specifiche di tali sottogruppi in qualità di osservatori.

7.   Il consiglio per l'IA è organizzato e gestito in modo che sia salvaguardata l'obiettività e l'imparzialità delle sue attività.

8.   Il consiglio per l'IA è presieduto da uno dei rappresentanti degli Stati membri. L'ufficio per l'IA provvede alle funzioni di segretariato per il consiglio per l'IA, convoca le riunioni su richiesta della presidenza e prepara l'ordine del giorno in conformità dei compiti del consiglio per l'IA a norma del presente regolamento e del relativo regolamento interno.

Il consiglio per l'IA fornisce consulenza e assistenza alla Commissione e agli Stati membri al fine di agevolare l'applicazione coerente ed efficace del presente regolamento. A tal fine il consiglio per l'IA può in particolare:

1.   È istituito un forum consultivo per fornire consulenza e competenze tecniche al consiglio per l'IA e alla Commissione, nonché per contribuire ai loro compiti a norma del presente regolamento.

2.   La composizione del forum consultivo rappresenta una selezione equilibrata di portatori di interessi, tra cui l'industria, le start-up, le PMI, la società civile e il mondo accademico. La composizione del forum consultivo è equilibrata per quanto riguarda gli interessi commerciali e non commerciali e, all'interno della categoria degli interessi commerciali, per quanto riguarda le PMI e le altre imprese.

3.   La Commissione nomina i membri del forum consultivo, conformemente ai criteri stabiliti al paragrafo 2, tra i portatori di interessi con competenze riconosciute nel settore dell'IA.

4.   Il mandato dei membri del forum consultivo ha una durata di due anni, prorogabile fino a un massimo di quattro anni.

5.   L'Agenzia per i diritti fondamentali, l'ENISA, il Comitato europeo di normazione (CEN), il Comitato europeo di normazione elettrotecnica (CENELEC) e l'Istituto europeo per le norme di telecomunicazione (ETSI) sono membri permanenti del forum consultivo.

6.   Il forum consultivo redige il proprio regolamento interno. Esso elegge due copresidenti tra i suoi membri, conformemente ai criteri stabiliti al paragrafo 2. Il mandato dei copresidenti ha una durata di due anni, rinnovabile una volta.

7.   Il forum consultivo tiene riunioni almeno due volte all'anno. Il forum consultivo può invitare esperti e altri portatori di interessi alle sue riunioni.

8.   Il forum consultivo può elaborare pareri, raccomandazioni e contributi scritti su richiesta del consiglio per l'IA o della Commissione.

9.   Il forum consultivo può istituire sottogruppi permanenti o temporanei, se necessario, per esaminare questioni specifiche connesse agli obiettivi del presente regolamento.

10.   Il forum consultivo prepara una relazione annuale sulle sue attività. Tale relazione è resa pubblica.

1.   La Commissione adotta, mediante un atto di esecuzione, disposizioni sull'istituzione di un gruppo di esperti scientifici indipendenti («gruppo di esperti scientifici») inteso a sostenere le attività di esecuzione a norma del presente regolamento. Tale atto di esecuzione è adottato secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.

2.   Il gruppo di esperti scientifici è composto da esperti selezionati dalla Commissione sulla base di competenze scientifiche o tecniche aggiornate nel settore dell'IA necessarie per lo svolgimento dei compiti di cui al paragrafo 3 ed è in grado di dimostrare di soddisfare tutte le condizioni seguenti:

La Commissione, in consultazione con il consiglio per l'IA, determina il numero di esperti del gruppo in funzione delle esigenze richieste e garantisce un'equa rappresentanza di genere e geografica.

3.   Il gruppo di esperti scientifici fornisce consulenza e sostegno all'ufficio per l'IA, in particolare per quanto riguarda i compiti seguenti:

4.   Gli esperti scientifici del gruppo svolgono i loro compiti con imparzialità e obiettività e garantiscono la riservatezza delle informazioni e dei dati ottenuti nello svolgimento dei loro compiti e delle loro attività. Non sollecitano né accettano istruzioni da nessuno nell'esercizio dei loro compiti di cui al paragrafo 3. Ogni esperto compila una dichiarazione di interessi, che rende accessibile al pubblico. L'ufficio per l'IA istituisce sistemi e procedure per gestire attivamente e prevenire potenziali conflitti di interesse.

5.   L'atto di esecuzione di cui al paragrafo 1 comprende disposizioni sulle condizioni, le procedure e le modalità dettagliate in base alle quali il gruppo di esperti scientifici e i suoi membri effettuano segnalazioni e chiedono l'assistenza dell'ufficio per l'IA per lo svolgimento dei compiti del gruppo di esperti scientifici.

1.   Gli Stati membri possono ricorrere agli esperti scientifici del gruppo affinché sostengano le loro attività di esecuzione a norma del presente regolamento.

2.   Gli Stati membri possono essere tenuti a pagare tariffe per la consulenza e il sostegno forniti dagli esperti. La struttura e il livello delle tariffe, nonché l'entità e la struttura delle spese ripetibili sono indicati nell'atto di esecuzione di cui all'articolo 68, paragrafo 1, tenendo conto degli obiettivi di adeguata attuazione del presente regolamento, efficacia in termini di costi e necessità di garantire un accesso effettivo agli esperti per tutti gli Stati membri.

3.   La Commissione facilita l'accesso tempestivo agli esperti da parte degli Stati membri, ove necessario, e garantisce che la combinazione di attività di sostegno svolte dalle strutture di sostegno dell'Unione per la prova dell'IA a norma dell'articolo 84 e dagli esperti a norma del presente articolo sia organizzata in modo efficiente e fornisca il miglior valore aggiunto possibile.

1.   Qualora un sistema di IA si basi su un modello di IA per finalità generali e il modello e il sistema siano sviluppati dallo stesso fornitore, l'ufficio per l'IA ha il potere di monitorare e supervisionare la conformità di tale sistema di IA agli obblighi di cui al presente regolamento. Per svolgere i suoi compiti di monitoraggio e supervisione, l'ufficio per l'IA dispone di tutti i poteri di un'autorità di vigilanza del mercato prevista dalla presente sezione e dal regolamento (UE) 2019/1020.

2.   Qualora abbiano motivi sufficienti per ritenere che i sistemi di IA per finalità generali che possono essere utilizzati direttamente dai deployer per almeno una finalità classificata come ad alto rischio a norma del presente regolamento non siano conformi ai requisiti di cui al presente regolamento, le pertinenti autorità di vigilanza del mercato cooperano con l'ufficio per l'IA per effettuare valutazioni della conformità e informano di conseguenza il consiglio per l'IA e le altre autorità di vigilanza del mercato.

3.   Qualora non sia in grado di concludere la propria indagine sul sistema di IA ad alto rischio perché non può accedere a determinate informazioni relative al modello di IA per finalità generali nonostante abbia compiuto tutti gli sforzi opportuni per ottenere tali informazioni, un'autorità di vigilanza del mercato può presentare una richiesta motivata all'ufficio per l'IA, che garantisce l'accesso a tali informazioni. In tal caso, l'ufficio per l'IA fornisce all'autorità richiedente senza indugio, e in ogni caso entro 30 giorni, tutte le informazioni che esso ritiene pertinenti al fine di stabilire se un sistema di IA ad alto rischio non è conforme. Le autorità di vigilanza del mercato salvaguardano la riservatezza delle informazioni ottenute conformemente all'articolo 78 del presente regolamento. La procedura di cui al capo VI del regolamento (UE) 2019/1020 si applica mutatis mutandis.

1.   Le autorità di vigilanza del mercato hanno le competenze e i poteri per garantire che le prove in condizioni reali siano conformi al presente regolamento.

2.   Qualora siano effettuate prove in condizioni reali per i sistemi di IA sottoposti a controllo all'interno di uno spazio di sperimentazione normativa per l'IA a norma dell'articolo 58, le autorità di vigilanza del mercato verificano la conformità dell'articolo 60 nell'ambito del loro ruolo di controllo per lo spazio di sperimentazione normativa per l'IA. Tali autorità possono, se del caso, consentire che le prove in condizioni reali siano effettuate dal fornitore o potenziale fornitore in deroga alle condizioni di cui all'articolo 60, paragrafo 4, lettere f) e g).

3.   Qualora sia stata informata dal potenziale fornitore, dal fornitore o da un terzo di un incidente grave o abbia altri motivi per ritenere che le condizioni di cui agli articoli 60 e 61 non siano soddisfatte, un'autorità di vigilanza del mercato può adottare una delle seguenti decisioni sul suo territorio, a seconda dei casi:

4.   Ove un'autorità di vigilanza del mercato abbia adottato una decisione di cui al paragrafo 3 o sollevato un'obiezione ai sensi dell'articolo 60, paragrafo 4, lettera b), la decisione o l'obiezione ne indica i motivi ed espone le modalità con cui il fornitore o potenziale fornitore può contestare la decisione o l'obiezione.

5.   Se del caso, ove un'autorità di vigilanza del mercato abbia adottato una decisione di cui al paragrafo 3, ne comunica i motivi alle autorità di vigilanza del mercato degli altri Stati membri in cui il sistema di IA è stato sottoposto a prova conformemente al piano di prova.

1.   Le autorità o gli organismi pubblici nazionali che controllano o fanno rispettare gli obblighi previsti dal diritto dell'Unione a tutela dei diritti fondamentali, compreso il diritto alla non discriminazione, in relazione all'uso dei sistemi di IA ad alto rischio di cui all'allegato III hanno il potere di richiedere qualsiasi documentazione creata o mantenuta a norma del presente regolamento o di accedervi, in una lingua e un formato accessibili, quando l'accesso a tale documentazione è necessario per l'efficace adempimento dei loro mandati entro i limiti della loro giurisdizione. L'autorità pubblica o l'organismo pubblico pertinente informa l'autorità di vigilanza del mercato dello Stato membro interessato di qualsiasi richiesta in tal senso.

2.   Entro il 2 novembre 2024 ciascuno Stato membro individua le autorità o gli organismi pubblici di cui al paragrafo 1 e ne pubblica l'elenco. Gli Stati membri notificano l'elenco alla Commissione e agli altri Stati membri e lo tengono aggiornato.

3.   Qualora la documentazione di cui al paragrafo 1 non sia sufficiente per accertare un'eventuale violazione degli obblighi previsti dal diritto dell'Unione a tutela dei diritti fondamentali, l'autorità pubblica o l'organismo pubblico di cui al paragrafo 1 può presentare all'autorità di vigilanza del mercato una richiesta motivata al fine di organizzare una prova del sistema di IA ad alto rischio mediante mezzi tecnici. L'autorità di vigilanza del mercato organizza le prove coinvolgendo da vicino l'autorità pubblica o l'organismo pubblico richiedente entro un termine ragionevole dalla richiesta.

4.   Qualsiasi informazione o documentazione ottenuta a norma del presente articolo dalle autorità o dagli organismi pubblici nazionali di cui al paragrafo 1 del presente articolo è trattata in conformità degli obblighi di riservatezza stabiliti all'articolo 78.

1.   In conformità del diritto dell'Unione o nazionale, la Commissione, le autorità di vigilanza del mercato e gli organismi notificati, nonché le altre persone fisiche o giuridiche che partecipano all'applicazione del presente regolamento, garantiscono la riservatezza delle informazioni e dei dati ottenuti nello svolgimento dei loro compiti e delle loro attività in modo da tutelare, in particolare:

2.   Le autorità che partecipano all'applicazione del presente regolamento a norma del paragrafo 1 richiedono solo i dati strettamente necessari per la valutazione del rischio posto dai sistemi di IA e per l'esercizio dei loro poteri conformemente al presente regolamento e al regolamento (UE) 2019/1020. Esse pongono in essere misure di cibersicurezza adeguate ed efficaci per proteggere la sicurezza e la riservatezza delle informazioni e dei dati ottenuti e cancellano i dati raccolti non appena non sono più necessari per lo scopo per il quale sono stati ottenuti, conformemente al diritto dell'Unione o nazionale applicabile.

3.   Fatti salvi i paragrafi 1 e 2, nel momento in cui i sistemi di IA ad alto rischio di cui all'allegato III, punti 1, 6 o 7, sono utilizzati dalle autorità competenti in materia di contrasto, di controllo delle frontiere, di immigrazione o di asilo, le informazioni scambiate in via riservata tra le autorità nazionali competenti, o tra le autorità nazionali competenti e la Commissione, non sono divulgate senza previa consultazione dell'autorità nazionale competente e del deployer che hanno prodotto tali informazioni, qualora tale divulgazione rischi di compromettere gli interessi pubblici e di sicurezza nazionale. Tale scambio di informazioni non riguarda i dati operativi sensibili in relazione alle attività delle autorità competenti in materia di contrasto, di controllo delle frontiere, di immigrazione o di asilo.

Qualora le autorità competenti in materia di contrasto, di immigrazione o di asilo siano fornitori di sistemi di IA ad alto rischio di cui all'allegato III, punti 1, 6 o 7, la documentazione tecnica di cui all'allegato IV rimane nei locali di tali autorità. Tali autorità garantiscono che le autorità di vigilanza del mercato di cui all'articolo 74, paragrafi 8 e 9, a seconda dei casi, possano, su richiesta, accedere immediatamente alla documentazione o ottenerne una copia. Solo il personale dell'autorità di vigilanza del mercato in possesso di un nulla osta di sicurezza di livello adeguato è autorizzato ad accedere a tale documentazione o a una copia della stessa.

4.   I paragrafi 1, 2 e 3 non pregiudicano i diritti o gli obblighi della Commissione, degli Stati membri e delle rispettive autorità pertinenti nonché quelli degli organismi notificati in materia di scambio delle informazioni e di diffusione degli avvisi di sicurezza, anche nel contesto della cooperazione transfrontaliera, né pregiudicano gli obblighi delle parti interessate di fornire informazioni a norma del diritto penale degli Stati membri.

5.   La Commissione e gli Stati membri possono scambiare, ove necessario e conformemente alle pertinenti disposizioni degli accordi internazionali e commerciali, informazioni riservate con le autorità di regolamentazione dei paesi terzi con i quali abbiano concluso accordi di riservatezza, bilaterali o multilaterali, che garantiscano un livello di riservatezza adeguato.

1.   Un sistema di IA che presenta un rischio è inteso come un «prodotto che presenta un rischio» quale definito all'articolo 3, punto 19, del regolamento (UE) 2019/1020 nella misura in cui presenta rischi per la salute o la sicurezza o per i diritti fondamentali delle persone.

2.   Qualora l'autorità di vigilanza del mercato di uno Stato membro abbia un motivo sufficiente per ritenere che un sistema di IA presenti un rischio di cui al paragrafo 1 del presente articolo, essa effettua una valutazione del sistema di IA interessato per quanto riguarda la sua conformità a tutti i requisiti e gli obblighi di cui al presente regolamento. Particolare attenzione è prestata ai sistemi di IA che presentano un rischio per i gruppi vulnerabili. Qualora siano individuati rischi per i diritti fondamentali, l'autorità di vigilanza del mercato informa anche le autorità o gli organismi pubblici nazionali competenti di cui all'articolo 77, paragrafo 1, e coopera pienamente con essi. I pertinenti operatori cooperano, per quanto necessario, con l'autorità di vigilanza del mercato e con le altre autorità o gli altri organismi pubblici nazionali di cui all'articolo 77, paragrafo 1.

Se, nel corso di tale valutazione, l'autorità di vigilanza del mercato o, se del caso, l'autorità di vigilanza del mercato in cooperazione con l'autorità pubblica nazionale di cui all'articolo 77, paragrafo 1, rilevano che il sistema di IA non è conforme ai requisiti e agli obblighi di cui al presente regolamento, esse chiedono senza indebito ritardo al pertinente operatore di adottare tutte le misure correttive adeguate al fine di rendere il sistema di IA conforme, ritirarlo dal mercato o richiamarlo entro il termine che l'autorità di vigilanza del mercato può prescrivere o, in ogni caso, entro 15 giorni lavorativi a seconda di quale termine sia il più breve, oppure entro il termine previsto dalla pertinente normativa di armonizzazione dell'Unione.

L'autorità di vigilanza del mercato informa di conseguenza l'organismo notificato pertinente. L'articolo 18 del regolamento (UE) 2019/1020 si applica alle misure di cui al secondo comma del presente paragrafo.

3.   Qualora ritenga che la non conformità non sia limitata al territorio nazionale, l'autorità di vigilanza del mercato informa la Commissione e gli altri Stati membri senza indebito ritardo dei risultati della valutazione e delle azioni che hanno chiesto all'operatore economico di intraprendere.

4.   L'operatore garantisce che siano adottate tutte le opportune misure correttive nei confronti di tutti i sistemi di IA interessati che ha messo a disposizione sul mercato dell'Unione.

5.   Qualora l'operatore di un sistema di IA non adotti misure correttive adeguate nel periodo di cui al paragrafo 2, l'autorità di vigilanza del mercato adotta tutte le misure provvisorie del caso per vietare o limitare la messa a disposizione o la messa in servizio del sistema di IA sul mercato nazionale, per ritirare il prodotto o il sistema di IA autonomo dal mercato o per richiamarlo. Tale autorità notifica senza indebito ritardo tali misure alla Commissione e agli altri Stati membri.

6.   La notifica di cui al paragrafo 5 include tutti i particolari disponibili, soprattutto le informazioni necessarie all'identificazione del sistema di IA non conforme, la sua origine e la catena di approvvigionamento, la natura della presunta non conformità e dei rischi connessi, la natura e la durata delle misure nazionali adottate, nonché gli argomenti espressi dal pertinente operatore. Le autorità di vigilanza del mercato indicano in particolare se la non conformità sia dovuta a una o più delle cause seguenti:

7.   Le autorità di vigilanza del mercato diverse dall'autorità di vigilanza del mercato dello Stato membro che ha avviato la procedura comunicano senza indebito ritardo alla Commissione e agli altri Stati membri tutte le misure adottate, tutte le altre informazioni a loro disposizione sulla non conformità del sistema di IA interessato e, in caso di disaccordo con la misura nazionale notificata, le loro obiezioni.

8.   Se, entro tre mesi dal ricevimento della notifica di cui al paragrafo 5 del presente articolo, un'autorità di vigilanza del mercato di uno Stato membro o la Commissione non sollevano obiezioni contro la misura provvisoria adottata da un'autorità di vigilanza del mercato di un altro Stato membro, tale misura è ritenuta giustificata. Ciò non pregiudica i diritti procedurali dell'operatore interessato in conformità dell'articolo 18 del regolamento (UE) 2019/1020. Il periodo di tre mesi di cui al presente paragrafo è ridotto a 30 giorni in caso di non conformità al divieto delle pratiche di IA di cui all'articolo 5 del presente regolamento.

9.   Le autorità di vigilanza del mercato garantiscono che siano adottate senza indebito ritardo adeguate misure restrittive in relazione al prodotto o al sistema di IA interessato, come il ritiro del prodotto o del sistema di IA dal loro mercato.

1.   Se ha motivi sufficienti per ritenere che un sistema di IA classificato dal fornitore come non ad alto rischio a norma dell'articolo 6, paragrafo 3, sia in realtà ad alto rischio, l'autorità di vigilanza del mercato effettua una valutazione del sistema di IA interessato in relazione alla sua classificazione come sistema di IA ad alto rischio sulla base delle condizioni di cui all'articolo 6, paragrafo 3, e degli orientamenti della Commissione.

2.   Se, nel corso di tale valutazione, ritiene che il sistema di IA interessato sia ad alto rischio, l'autorità di vigilanza del mercato chiede senza indebito ritardo al fornitore pertinente di adottare tutte le misure necessarie per rendere il sistema di IA conforme ai requisiti e agli obblighi di cui al presente regolamento, nonché di adottare le opportune misure correttive entro un termine che l'autorità di vigilanza del mercato può prescrivere.

3.   Se ritiene che l'uso del sistema di IA interessato non sia limitato al territorio nazionale, l'autorità di vigilanza del mercato informa la Commissione e gli altri Stati membri senza indebito ritardo dei risultati della valutazione e delle misure che ha chiesto al fornitore di adottare.

4.   Il fornitore garantisce che siano adottate tutte le misure necessarie per rendere il sistema di IA conforme ai requisiti e agli obblighi di cui al presente regolamento. Qualora il fornitore di un sistema di IA interessato non renda il sistema di IA conforme a tali requisiti e obblighi entro il termine di cui al paragrafo 2 del presente articolo, il fornitore è soggetto a sanzioni pecuniarie conformemente all'articolo 99.

5.   Il fornitore garantisce che siano adottate tutte le opportune misure correttive nei confronti di tutti i sistemi di IA interessati che ha messo a disposizione sul mercato dell'Unione.

6.   Se il fornitore del sistema di IA in questione non adotta misure correttive adeguate entro il periodo di cui al paragrafo 2 del presente articolo, si applica l'articolo 79, paragrafi da 5 a 9.

7.   Qualora, nel corso della valutazione di cui al paragrafo 1 del presente articolo, l'autorità di vigilanza del mercato stabilisca che il sistema di IA è stato classificato erroneamente dal fornitore come non ad alto rischio al fine di eludere l'applicazione dei requisiti di cui al capo III, sezione 2, il fornitore è soggetto a sanzioni pecuniarie conformemente all'articolo 99.

8.   Nell'esercizio del loro potere di monitorare l'applicazione del presente articolo e in conformità dell'articolo 11 del regolamento (UE) 2019/1020, le autorità di vigilanza del mercato possono eseguire i controlli del caso, tenendo conto in particolare delle informazioni conservate nella banca dati dell'UE di cui all'articolo 71 del presente regolamento.

1.   Se entro tre mesi dal ricevimento della notifica di cui all'articolo 79, paragrafo 5, o entro 30 giorni in caso di non conformità al divieto delle pratiche di IA di cui all'articolo 5, l'autorità di vigilanza del mercato di uno Stato membro solleva obiezioni contro una misura adottata da un'altra autorità di vigilanza del mercato, o se la Commissione ritiene che la misura sia contraria al diritto dell'Unione, la Commissione consulta senza indebito ritardo l'autorità di vigilanza del mercato dello Stato membro interessato e l'operatore o gli operatori e valuta la misura nazionale. Sulla base dei risultati di tale valutazione, la Commissione, entro sei mesi, o entro 60 giorni in caso di non conformità al divieto delle pratiche di IA di cui all'articolo 5, a decorrere dalla notifica di cui all'articolo 79, paragrafo 5, decide se la misura nazionale sia giustificata e notifica la sua decisione all'autorità di vigilanza del mercato dello Stato membro interessato. La Commissione informa anche tutte le altre autorità di vigilanza del mercato della sua decisione.

2.   Se la Commissione ritiene che la misura adottata dallo Stato membro interessato sia giustificata, tutti gli Stati membri provvedono ad adottare misure restrittive appropriate in relazione al sistema di IA interessato, ad esempio richiedendo il ritiro del sistema di IA dal loro mercato senza indebito ritardo, e ne informano la Commissione. Se la Commissione ritiene che la misura nazionale sia ingiustificata, lo Stato membro interessato provvede a ritirarla e ne informa la Commissione.

3.   Se la misura nazionale è ritenuta giustificata e la non conformità del sistema di IA è attribuita alle carenze nelle norme armonizzate o nelle specifiche comuni di cui agli articoli 40 e 41 del presente regolamento, la Commissione applica la procedura prevista all'articolo 11 del regolamento (UE) n, 1025/2012.

1.   Se, dopo aver effettuato una valutazione a norma dell'articolo 79 e aver consultato la pertinente autorità pubblica nazionale di cui all'articolo 77, paragrafo 1, l'autorità di vigilanza del mercato di uno Stato membro ritiene che un sistema di IA ad alto rischio, pur conforme al presente regolamento, rappresenti comunque un rischio per la salute o la sicurezza delle persone, per i diritti fondamentali o per altri aspetti della tutela dell'interesse pubblico, essa chiede all'operatore pertinente di adottare tutte le misure adeguate a far sì che il sistema di IA in questione, all'atto della sua immissione sul mercato o messa in servizio, non presenti più tale rischio senza indebito ritardo entro un termine che essa può prescrivere.

2.   Il fornitore o un altro operatore pertinente garantisce l'adozione di misure correttive nei confronti di tutti i sistemi di IA interessati che ha messo a disposizione sul mercato dell'Unione entro il termine prescritto dall'autorità di vigilanza del mercato dello Stato membro di cui al paragrafo 1.

3.   Gli Stati membri informano immediatamente la Commissione e gli altri Stati membri della conclusione cui sono giunti conformemente al paragrafo 1. Tali informazioni comprendono tutti i dettagli disponibili, in particolare i dati necessari all'identificazione del sistema di IA interessato, l'origine e la catena di approvvigionamento del sistema di IA, la natura del rischio connesso, nonché la natura e la durata delle misure nazionali adottate.

4.   La Commissione avvia senza indebito ritardo consultazioni con gli Stati membri interessati e gli operatori pertinenti e valuta le misure nazionali adottate. In base ai risultati di tale valutazione, la Commissione decide se la misura sia giustificata e propone, ove necessario, altre misure appropriate.

5.   La Commissione comunica immediatamente la propria decisione agli Stati membri interessati e agli operatori pertinenti e ne informa anche gli altri Stati membri.

1.   L'autorità di vigilanza del mercato di uno Stato membro chiede al fornitore pertinente, entro un termine che essa può prescrivere, di porre fine alla contestata non conformità qualora giunga a una delle conclusioni riportate di seguito:

2.   Se la non conformità di cui al paragrafo 1 permane, l'autorità di vigilanza del mercato dello Stato membro interessato adotta misure appropriate e proporzionate per limitare o proibire la messa a disposizione sul mercato del sistema di IA ad alto rischio o per garantire che sia richiamato o ritirato dal mercato senza ritardo.

1.   La Commissione designa una o più strutture di sostegno dell'Unione per la prova dell'IA per lo svolgimento dei compiti di cui all'articolo 21, paragrafo 6, del regolamento (UE) 2019/1020/nel settore dell'IA.

2.   Fatti salvi i compiti di cui al paragrafo 1, le strutture di sostegno dell'Unione per la prova dell'IA forniscono anche pareri tecnici o scientifici indipendenti su richiesta del consiglio per l'IA, della Commissione o delle autorità di vigilanza del mercato.

1.   Qualsiasi persona interessata oggetto di una decisione adottata dal deployer sulla base dell'output di un sistema di IA ad alto rischio elencato nell'allegato III, ad eccezione dei sistemi elencati al punto 2 dello stesso, e che produca effetti giuridici o in modo analogo incida significativamente su tale persona in un modo che essa ritenga avere un impatto negativo sulla sua salute, sulla sua sicurezza o sui suoi diritti fondamentali ha il diritto di ottenere dal deployer spiegazioni chiare e significative sul ruolo del sistema di IA nella procedura decisionale e sui principali elementi della decisione adottata.

2.   Il paragrafo 1 non si applica all'uso di sistemi di IA per i quali sono previste eccezioni o limitazioni all'obbligo stabilito in tale paragrafo in virtù del diritto dell'Unione o del diritto nazionale, in linea con il diritto dell'Unione.

3.   Il presente articolo si applica solo nella misura in cui il diritto di cui al paragrafo 1 non sia altrimenti previsto dal diritto dell'Unione.

La direttiva (UE) 2019/1937 si applica alla segnalazione di violazioni del presente regolamento e alla protezione delle persone che segnalano tali violazioni.

1.   Ai fini dello svolgimento dei compiti ad esso assegnati a norma della presente sezione, l'ufficio per l'IA può intraprendere le azioni necessarie per monitorare l'efficace attuazione e il rispetto del presente regolamento da parte dei fornitori di modelli di IA per finalità generali, compresa la loro adesione ai codici di buone pratiche approvati.

2.   I fornitori a valle hanno il diritto di presentare un reclamo per presunta violazione del presente regolamento. Il reclamo è debitamente motivato e indica almeno:

1.   Il gruppo di esperti scientifici può effettuare una segnalazione qualificata all'ufficio per l'IA qualora abbia motivo di sospettare che:

2.   In seguito a tale segnalazione qualificata, la Commissione, tramite l'ufficio per l'IA e dopo avere informato il consiglio per l'IA, può esercitare le competenze di cui alla presente sezione ai fini della valutazione della questione. L'ufficio per l'IA informa il consiglio per l'IA di qualsiasi misura conformemente agli articoli da 91 a 94.

3.   La segnalazione qualificata è debitamente motivata e indica almeno:

1.   La Commissione può chiedere al fornitore del modello di IA per finalità generali in questione di fornire la documentazione redatta dal fornitore in conformità degli articoli 53 e 55 o qualsiasi altra informazione supplementare necessaria al fine di valutare la conformità del fornitore al presente regolamento.

2.   Prima di inviare la richiesta di informazioni, l'ufficio per l'IA può avviare un dialogo strutturato con il fornitore del modello di IA per finalità generali.

3.   Su richiesta debitamente motivata del gruppo di esperti scientifici, la Commissione può presentare una richiesta di informazioni a un fornitore di un modello di IA per finalità generali, qualora l'accesso alle informazioni sia necessario e proporzionato per l'adempimento dei compiti del gruppo di esperti scientifici a norma dell'articolo 68, paragrafo 2.

4.   La richiesta di informazioni indica la base giuridica e lo scopo della richiesta, precisa quali informazioni sono richieste, fissa un termine entro il quale le informazioni devono essere fornite e indica le sanzioni pecuniarie previste all'articolo 101 in caso di comunicazione di informazioni inesatte, incomplete o fuorvianti.

5.   Il fornitore del modello di IA per finalità generali in questione o il suo rappresentante fornisce le informazioni richieste. Nel caso di persone giuridiche, società o imprese, o qualora il fornitore non abbia personalità giuridica, le persone autorizzate a rappresentarle per legge o in virtù del loro statuto forniscono le informazioni richieste per conto del fornitore del modello di IA per finalità generali in questione. Gli avvocati debitamente incaricati possono fornire le informazioni per conto dei loro clienti. I clienti restano tuttavia pienamente responsabili se le informazioni fornite sono incomplete, inesatte o fuorvianti.

1.   L'ufficio per l'IA, previa consultazione del consiglio per l'IA, può effettuare valutazioni del modello di IA per finalità generali in questione:

2.   La Commissione può decidere di nominare esperti indipendenti incaricati di effettuare valutazioni per suo conto, anche provenienti dal gruppo di esperti scientifici istituito a norma dell'articolo 68. Gli esperti indipendenti nominati per tale compito soddisfano i criteri di cui all'articolo 68, paragrafo 2.

3.   Ai fini del paragrafo 1, la Commissione può chiedere l'accesso al modello di IA per finalità generali in questione attraverso API o altri mezzi e strumenti tecnici adeguati, compreso il codice sorgente.

4.   La richiesta di accesso indica la base giuridica, lo scopo e i motivi della richiesta e fissa il termine entro il quale deve essere fornito l'accesso e le sanzioni pecuniarie previste all'articolo 101 in caso di mancata fornitura dell'accesso.

5.   I fornitori del modello di IA per finalità generali in questione o il loro rappresentante forniscono le informazioni richieste. Nel caso di persone giuridiche, società o imprese, o qualora i fornitori non abbiano personalità giuridica, le persone autorizzate a rappresentarli per legge o in virtù del loro statuto, forniscono l'accesso richiesto per conto del fornitore del modello di IA per finalità generali in questione.

6.   La Commissione adotta atti di esecuzione che stabiliscono le modalità dettagliate e le condizioni per le valutazioni, comprese le modalità dettagliate per la partecipazione di esperti indipendenti, nonché la procedura per la loro selezione. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.

7.   Prima di richiedere l'accesso al modello di IA per finalità generali in questione, l'ufficio per l'IA può avviare un dialogo strutturato con il fornitore del modello di IA per finalità generali al fine di raccogliere maggiori informazioni sulle prove interne del modello, sulle garanzie interne per prevenire rischi sistemici e su altre procedure e misure interne che il fornitore ha adottato per attenuare tali rischi.

1.   Se necessario e opportuno, la Commissione può chiedere ai fornitori di:

2.   Prima di richiedere una misura, l'ufficio per l'IA può avviare un dialogo strutturato con il fornitore del modello di IA per finalità generali.

3.   Se, durante il dialogo strutturato di cui al paragrafo 2, il fornitore del modello di IA per finalità generali con rischio sistemico si assume impegni relativi all'attuazione di misure di attenuazione per far fronte a un rischio sistemico a livello dell'Unione, la Commissione può, mediante decisione, rendere tali impegni vincolanti e dichiarare che non vi sono ulteriori motivi di intervento.

L'articolo 18 del regolamento (UE) 2019/1020 si applica mutatis mutandis ai fornitori del modello di IA per finalità generali, fatti salvi i diritti procedurali più specifici previsti dal presente regolamento.

1.   La Commissione elabora orientamenti sull'attuazione pratica del presente regolamento, in particolare per quanto riguarda:

Quando pubblica tali orientamenti, la Commissione presta particolare attenzione alle esigenze delle PMI, comprese le start-up, delle autorità pubbliche locali e dei settori maggiormente interessati dal presente regolamento.

Gli orientamenti di cui al primo comma del presente paragrafo tengono debitamente conto dello stato dell'arte generalmente riconosciuto in materia di IA, nonché delle pertinenti norme armonizzate e specifiche comuni di cui agli articoli 40 e 41, o delle norme armonizzate o specifiche tecniche stabilite a norma della normativa di armonizzazione dell'Unione.

2.   Su richiesta degli Stati membri o dell'ufficio per l'IA, o di propria iniziativa, la Commissione aggiorna gli orientamenti adottati quando lo ritiene necessario.

1.   La Commissione è assistita da un comitato. Esso è un comitato ai sensi del regolamento (UE) n, 182/2011.

2.   Nei casi in cui è fatto riferimento al presente paragrafo, si applica l'articolo 5 del regolamento (UE) n, 182/2011.

1.   Il Garante europeo della protezione dei dati può infliggere sanzioni amministrative pecuniarie alle istituzioni, agli organi e agli organismi dell'Unione che rientrano nell'ambito di applicazione del presente regolamento. Nel decidere se infliggere una sanzione amministrativa pecuniaria e nel determinarne l'importo in ogni singolo caso, si tiene conto di tutte le circostanze pertinenti della situazione specifica e si tiene quanto segue in debita considerazione:

2.   La non conformità al divieto delle pratiche di IA di cui all'articolo 5 è soggetta a sanzioni amministrative pecuniarie fino a 1 500 000 EUR.

3.   La non conformità del sistema di IA ai requisiti o agli obblighi a norma del presente regolamento, diversi da quelli previsti all'articolo 5, è soggetta a sanzioni amministrative pecuniarie fino a 750 000 EUR.

4.   Prima di adottare qualsiasi decisione a norma del presente articolo, il Garante europeo della protezione dei dati dà all'istituzione, all'organo o all'organismo dell'Unione oggetto del procedimento avviato dal Garante europeo della protezione dei dati l'opportunità di esprimersi in merito all'eventuale violazione. Il Garante europeo della protezione dei dati basa le sue decisioni solo sugli elementi e le circostanze in merito ai quali le parti interessate sono state poste in condizione di esprimersi. Gli eventuali ricorrenti sono strettamente associati al procedimento.

5.   Nel corso del procedimento sono pienamente garantiti i diritti di difesa delle parti interessate. Esse hanno diritto d'accesso al fascicolo del Garante europeo della protezione dei dati, fermo restando l'interesse legittimo delle persone fisiche o delle imprese alla tutela dei propri dati personali o segreti aziendali.

6.   I fondi raccolti mediante l'imposizione di sanzioni pecuniarie in forza del presente articolo contribuiscono al bilancio generale dell'Unione. Le sanzioni pecuniarie non pregiudicano l'effettivo funzionamento dell'istituzione, dell'organo o dell'organismo dell'Unione sanzionato.

7.   Il Garante europeo della protezione dei dati notifica annualmente alla Commissione le sanzioni amministrative pecuniarie da esso inflitte a norma del presente articolo e qualsiasi controversia o procedimento giudiziario che ha avviato.

1.   La Commissione può infliggere ai fornitori di modelli di IA per finalità generali sanzioni pecuniarie non superiori al 3 % del fatturato mondiale annuo totale dell'esercizio precedente o a 15 000 000 EUR, se superiore, ove essa rilevi che il fornitore, intenzionalmente o per negligenza:

Nel determinare l'importo della sanzione pecuniaria o della penalità di mora, si tengono in considerazione la natura, la gravità e la durata della violazione, tenendo debitamente conto dei principi di proporzionalità e di adeguatezza. La Commissione tiene conto anche degli impegni assunti in conformità dell'articolo 93, paragrafo 3, o assunti nei pertinenti codici di condotta in conformità dell'articolo 56.

2.   Prima di adottare la decisione a norma del paragrafo 1, la Commissione comunica le sue constatazioni preliminari al fornitore del modello di IA per finalità generali o del modello di IA e gli dà l'opportunità di essere ascoltato.

3.   Le sanzioni pecuniarie inflitte in conformità del presente articolo sono effettive, proporzionate e dissuasive.

4.   Le informazioni in merito alle sanzioni pecuniarie inflitte a norma del presente articolo sono altresì comunicate al consiglio per l'IA, se del caso.

5.   La Corte di giustizia dell'Unione europea ha competenza giurisdizionale anche di merito per esaminare le decisioni mediante le quali la Commissione ha fissato una sanzione pecuniaria a norma del presente articolo. Essa può estinguere, ridurre o aumentare la sanzione pecuniaria inflitta.

6.   La Commissione adotta atti di esecuzione contenenti modalità dettagliate per i procedimenti e garanzie procedurali in vista dell'eventuale adozione di decisioni a norma del paragrafo 1 del presente articolo. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.

All'articolo 17, paragrafo 5, del regolamento (UE) n, 167/2013 è aggiunto il comma seguente:

«Nell'adottare atti delegati a norma del primo comma per quanto concerne i sistemi di intelligenza artificiale che sono componenti di sicurezza ai sensi del regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio (*), si tiene conto dei requisiti di cui al capo III, sezione 2, di tale regolamento.

All'articolo 22, paragrafo 5, del regolamento (UE) n, 168/2013 è aggiunto il comma seguente:

«Nell'adottare atti delegati a norma del primo comma per quanto concerne i sistemi di intelligenza artificiale che sono componenti di sicurezza ai sensi del regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio (*), si tiene conto dei requisiti di cui al capo III, sezione 2, di tale regolamento.

All'articolo 8 della direttiva 2014/90/UE è aggiunto il paragrafo seguente:

«5.   Per i sistemi di intelligenza artificiale che sono componenti di sicurezza ai sensi del regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio (*), nello svolgimento delle sue attività a norma del paragrafo 1 e nell'adottare specifiche tecniche e norme di prova conformemente ai paragrafi 2 e 3, la Commissione tiene conto dei requisiti di cui al capo III, sezione 2, di tale regolamento.

All'articolo 5 della direttiva (UE) 2016/797 è aggiunto il paragrafo seguente:

«12.   Nell'adottare atti delegati a norma del paragrafo 1 e atti di esecuzione a norma del paragrafo 11 per quanto concerne i sistemi di intelligenza artificiale che sono componenti di sicurezza ai sensi del regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio (*), si tiene conto dei requisiti di cui al capo III, sezione 2, di tale regolamento.

All'articolo 5 del regolamento (UE) 2018/858 è aggiunto il paragrafo seguente:

«4.   Nell'adottare atti delegati a norma del paragrafo 3 per quanto concerne i sistemi di intelligenza artificiale che sono componenti di sicurezza ai sensi del regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio (*), si tiene conto dei requisiti di cui al capo III, sezione 2, di tale regolamento.

Il regolamento (UE) 2018/1139 è così modificato:

All'articolo 11 del regolamento (UE) 2019/2144 è aggiunto il paragrafo seguente:

«3.   Nell'adottare atti di esecuzione a norma del paragrafo 2 per quanto concerne i sistemi di intelligenza artificiale che sono componenti di sicurezza ai sensi del regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio (*), si tiene conto dei requisiti di cui al capo III, sezione 2, di tale regolamento.

All'allegato I della direttiva (UE) 2020/1828 del Parlamento europeo e del Consiglio ⁵⁸ è aggiunto il punto seguente:

1.   Fatta salva l'applicazione dell'articolo 5 di cui all'articolo 113, paragrafo 3, lettera a), i sistemi di IA che sono componenti di sistemi IT su larga scala istituiti dagli atti giuridici elencati nell'allegato X che sono stati immessi sul mercato o messi in servizio prima del 2 agosto 2027 sono resi conformi al presente regolamento entro il 31 dicembre 2030.

Si tiene conto dei requisiti di cui al presente regolamento nella valutazione di ciascun sistema IT su larga scala istituito dagli atti giuridici elencati nell'allegato X da effettuare come previsto in tali atti giuridici e ove tali atti giuridici siano sostituiti o modificati.

2.   Fatta salva l'applicazione dell'articolo 5 di cui all'articolo 113, paragrafo 3, lettera a), il presente regolamento si applica agli operatori dei sistemi di IA ad alto rischio, diversi dai sistemi di cui al paragrafo 1 del presente articolo, che sono stati immessi sul mercato o messi in servizio prima del 2 agosto 2026, solo se, a decorrere da tale data, tali sistemi sono soggetti a modifiche significative della loro progettazione. In ogni caso, i fornitori e deployers di sistemi di IA ad alto rischio destinati a essere utilizzati dalle autorità pubbliche adottano le misure necessarie per conformarsi ai requisiti e agli obblighi del presente regolamento entro il 2 agosto 2030.

3.   I fornitori di modelli di IA per finalità generali che sono stati immessi sul mercato prima del 2 agosto 2025 adottano le misure necessarie per conformarsi agli obblighi di cui al presente regolamento entro 2 agosto 2027.

1.   La Commissione valuta la necessità di modificare l'elenco stabilito nell’allegato III e l'elenco di pratiche di IA vietate di cui all'articolo 5 una volta all'anno dopo l'entrata in vigore del presente regolamento e fino al termine del periodo della delega di potere di cui all'articolo 97. La Commissione trasmette i risultati della valutazione al Parlamento europeo e al Consiglio.

2.   Entro il 2 agosto 2028 e successivamente ogni quattro anni, la Commissione valuta e riferisce al Parlamento europeo e al Consiglio in merito a quanto segue:

3.   Entro il 2 agosto 2029 e successivamente ogni quattro anni, la Commissione trasmette al Parlamento europeo e al Consiglio una relazione di valutazione e sul riesame del presente regolamento. La relazione include una valutazione in merito alla struttura di esecuzione e all'eventuale necessità di un'agenzia dell'Unione che ponga rimedio alle carenze individuate. Sulla base dei risultati, la relazione è corredata, se del caso, di una proposta di modifica del presente regolamento. Le relazioni sono rese pubbliche.

4.   Le relazioni di cui al paragrafo 2 dedicano particolare attenzione agli aspetti seguenti:

5.   Entro il 2 agosto 2028, la Commissione valuta il funzionamento dell'ufficio per l'IA, se all'ufficio per l’IA siano stati conferiti poteri e competenze adeguati per svolgere i suoi compiti e se sia pertinente e necessario per la corretta attuazione ed esecuzione del presente regolamento potenziare l'ufficio per l'IA e le sue competenze di esecuzione e aumentarne le risorse. La Commissione trasmette una relazione sulla valutazione di tale ufficio per l’IA al Parlamento europeo e al Consiglio.

6.   Entro il 2 agosto 2028 e successivamente ogni quattro anni, la Commissione presenta una relazione sull'esame dei progressi compiuti riguardo allo sviluppo di prodotti della normazione relativi allo sviluppo efficiente sotto il profilo energetico di modelli di IA per finalità generali e valuta la necessità di ulteriori misure o azioni, comprese misure o azioni vincolanti. La relazione è presentata al Parlamento europeo e al Consiglio ed è resa pubblica.

7.   Entro il 2 agosto 2028 e successivamente ogni tre anni la Commissione valuta l'impatto e l'efficacia dei codici di condotta volontari per la promozione dell'applicazione dei requisiti di cui al capo III, sezione 2, per i sistemi di IA diversi dai sistemi di IA ad alto rischio ed eventualmente di altri requisiti supplementari per i sistemi di IA diversi dai sistemi di IA ad alto rischio, anche per quanto riguarda la sostenibilità ambientale.

8.   Ai fini dei paragrafi da 1 a 7, il consiglio per l'IA, gli Stati membri e le autorità nazionali competenti forniscono alla Commissione informazioni su sua richiesta e senza indebito ritardo.

9.   Nello svolgere le valutazioni e i riesami di cui ai paragrafi da 1 a 7, la Commissione tiene conto delle posizioni e delle conclusioni del consiglio per l'IA, del Parlamento europeo e del Consiglio, nonché di altri organismi o fonti pertinenti.

10.   Se necessario, la Commissione presenta opportune proposte di modifica del presente regolamento tenendo conto, in particolare, degli sviluppi delle tecnologie e dell'effetto dei sistemi di IA sulla salute, sulla sicurezza e sui diritti fondamentali, nonché alla luce dei progressi della società dell'informazione.

11.   Per orientare le valutazioni e i riesami di cui ai paragrafi da 1 a 7, l'Ufficio per l'IA si impegna a sviluppare una metodologia obiettiva e partecipativa per la valutazione dei livelli di rischio basata sui criteri definiti negli articoli pertinenti e l'inclusione di nuovi sistemi:

12.   Eventuali modifiche al presente regolamento a norma del paragrafo 10, o i pertinenti atti delegati o di esecuzione, che riguardano la normativa settoriale di armonizzazione dell'Unione elencata nell'allegato I, sezione B, tengono conto delle specificità normative di ciascun settore e dei vigenti meccanismi di governance, valutazione della conformità ed esecuzione e delle autorità da essi stabilite.

13.   Entro il 2 agosto 2031, la Commissione effettua una valutazione dell'esecuzione del presente regolamento e riferisce in merito al Parlamento europeo, al Consiglio e al Comitato economico e sociale europeo, tenendo conto dei primi anni di applicazione del presente regolamento. Sulla base dei risultati, la relazione è accompagnata, se del caso, da una proposta di modifica del presente regolamento in relazione alla struttura di esecuzione e alla necessità di un'agenzia dell'Unione che ponga rimedio alle carenze individuate.

Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

Si applica a decorrere dal 2 agosto 2026.

Tuttavia:

Reati di cui all'articolo 5, paragrafo 1, primo comma, lettera h), punto iii):

I sistemi di IA ad alto rischio a norma dell'articolo 6, paragrafo 2, sono i sistemi di IA elencati in uno dei settori indicati di seguito.

La documentazione tecnica di cui all'articolo 11, paragrafo 1, deve includere almeno le seguenti informazioni, a seconda dell'applicabilità al pertinente sistema di IA.

La dichiarazione di conformità UE di cui all'articolo 47 deve contenere tutte le informazioni seguenti:

1.   

La procedura di valutazione della conformità basata sul controllo interno è la procedura di valutazione della conformità basata sui punti 2, 3 e 4.

2.   

Il fornitore verifica la conformità del sistema di gestione della qualità istituito ai requisiti di cui all'articolo 17.

3.   

Il fornitore esamina le informazioni contenute nella documentazione tecnica al fine di valutare la conformità del sistema di IA ai pertinenti requisiti essenziali di cui al capo III, sezione 2.

4.   

Il fornitore verifica inoltre che il processo di progettazione e sviluppo del sistema di IA e il monitoraggio successivo alla sua immissione sul mercato di cui all'articolo 72 siano coerenti con la documentazione tecnica.

1.   Introduzione

La conformità basata su una valutazione del sistema di gestione della qualità e su una valutazione della documentazione tecnica scaturisce dalla procedura di valutazione della conformità di cui ai punti da 2 a 5.

2.   Aspetti generali

Il sistema di gestione della qualità approvato per la progettazione, lo sviluppo e la prova dei sistemi di IA a norma dell'articolo 17 deve essere esaminato conformemente al punto 3 e deve essere soggetto alla vigilanza di cui al punto 5. La documentazione tecnica del sistema di IA deve essere esaminata conformemente al punto 4.

3.   Sistema di gestione della qualità

4.   Controllo della documentazione tecnica.

5.   Vigilanza del sistema di gestione della qualità approvato.

Sezione A - Informazioni che i fornitori di sistemi di IA ad alto rischio devono presentare in conformità dell'articolo 49, paragrafo 1

Le seguenti informazioni devono essere fornite e successivamente aggiornate in relazione ai sistemi di IA ad alto rischio che devono essere registrati a norma dell'articolo 49, paragrafo 1:

Sezione B - Informazioni che i fornitori di sistemi di IA ad alto rischio devono presentare in conformità dell'articolo 49, paragrafo 2

Le seguenti informazioni devono essere fornite e successivamente aggiornate in relazione ai sistemi di IA che devono essere registrati a norma dell'articolo 49, paragrafo 2:

Sezione C - Informazioni che i deployer di sistemi di IA ad alto rischio devono presentare in conformità dell'articolo 49, paragrafo 3

Le seguenti informazioni devono essere fornite e successivamente aggiornate in relazione ai sistemi di IA ad alto rischio che devono essere registrati a norma dell'articolo 49:

Le seguenti informazioni devono essere fornite e successivamente aggiornate in relazione alle prove in condizioni reali che devono essere registrate a norma dell'articolo 60:

1.   Sistema di informazione Schengen

2.   Sistema di informazione visti

3.   Eurodac

Regolamento (UE) 2024/1358 o del Parlamento europeo e del Consiglio, del 14 maggio 2024, che istituisce l'«Eurodac» per il confronto dei dati biometrici ai fini dell'applicazione efficace dei regolamenti (UE) 2024/1315 e (UE) 2024/1350 del Parlamento europeo e del Consiglio e della direttiva 2001/55/CE del Consiglio e ai fini dell'identificazione dei cittadini di paesi terzi e apolidi il cui soggiorno è irregolare, e per le richieste di confronto con i dati Eurodac presentate dalle autorità di contrasto degli Stati membri e da Europol a fini di contrasto, che modifica i regolamenti (UE) 2018/1240 e (UE) 2019/818 del Parlamento europeo e del Consiglio e che abroga il regolamento (UE) n, 603/2013 del Parlamento europeo e del Consiglio (GU L, 2024/1358, 22.5.2024, ELI: http://data.europa.eu/eli/reg/2024/1358/oj).

4.   Sistema di ingressi/uscite

Regolamento (UE) 2017/2226 del Parlamento europeo e del Consiglio, del 30 novembre 2017, che istituisce un sistema di ingressi/uscite per la registrazione dei dati di ingresso e di uscita e dei dati relativi al respingimento dei cittadini di paesi terzi che attraversano le frontiere esterne degli Stati membri e che determina le condizioni di accesso al sistema di ingressi/uscite a fini di contrasto e che modifica la Convenzione di applicazione dell'Accordo di Schengen e i regolamenti (CE) n, 767/2008 e (UE) n, 1077/2011 (GU L 327 del 9.12.2017, pag. 20).

5.   Sistema europeo di informazione e autorizzazione ai viaggi

6.   Sistema europeo di informazione sui casellari giudiziari riguardo ai cittadini di paesi terzi e apolidi

Regolamento (UE) 2019/816 del Parlamento europeo e del Consiglio, del 17 aprile 2019, che istituisce un sistema centralizzato per individuare gli Stati membri in possesso di informazioni sulle condanne pronunciate a carico di cittadini di paesi terzi e apolidi (ECRIS-TCN) e integrare il sistema europeo di informazione sui casellari giudiziali, e che modifica il regolamento (UE) 2018/1726 (GU L 135 del 22.5.2019, pag. 1).

7.   Interoperabilità

Sezione 1

Informazioni che devono fornire tutti i fornitori di modelli di IA per finalità generali

La documentazione tecnica di cui all'articolo 53, paragrafo 1, lettera a), deve includere almeno le seguenti informazioni, in funzione della dimensione e del profilo di rischio del modello:

Sezione 2

Informazioni aggiuntive che devono fornire i fornitori di modelli di IA per finalità generali con rischio sistemico

Le informazioni di cui all'articolo 53, paragrafo 1, lettera b), contengono almeno quanto segue:

Al fine di determinare se un modello di IA per finalità generali ha capacità o un impatto equivalente a quelli di cui all'articolo 51, paragrafo 1, lettera a), la Commissione tiene conto dei criteri seguenti: