Vai al contenuto

CAPO IX — Monitoraggio post-mercato

SEZIONE 1

Articolo 72

  1. I fornitori istituiscono e documentano un sistema di monitoraggio successivo all'immissione sul mercato che sia proporzionato alla natura delle tecnologie di IA e ai rischi del sistema di IA ad alto rischio.

  2. Il sistema di monitoraggio successivo all'immissione sul mercato raccoglie, documenta e analizza attivamente e sistematicamente i dati pertinenti che possono essere forniti dai deployer o che possono essere raccolti tramite altre fonti sulle prestazioni dei sistemi di IA ad alto rischio per tutta la durata del loro ciclo di vita e consente al fornitore di valutare la costante conformità dei sistemi di IA ai requisiti di cui al capo III, sezione 2. Se del caso, il monitoraggio successivo all'immissione sul mercato include un'analisi dell'interazione con altri sistemi di IA. Tale obbligo non riguarda i dati operativi sensibili dei deployer che sono autorità di contrasto.

  3. Il sistema di monitoraggio successivo all'immissione sul mercato si basa su un piano di monitoraggio successivo all'immissione sul mercato. Il piano di monitoraggio successivo all'immissione sul mercato fa parte della documentazione tecnica di cui all'allegato IV. La Commissione adotta un atto di esecuzione che stabilisce disposizioni dettagliate in cui si definisce un modello per il piano di monitoraggio successivo all'immissione sul mercato e un elenco di elementi da includere nel piano entro il 2 febbraio 2026. Tale atto di esecuzione è adottato secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.

  4. Per i sistemi di IA ad alto rischio disciplinati dalla normativa di armonizzazione dell'Unione elencata nell'allegato I, sezione A, qualora tale normativa preveda già un sistema e un piano di monitoraggio successivo all'immissione sul mercato, al fine di garantire la coerenza, evitare duplicazioni e ridurre al minimo gli oneri aggiuntivi, i fornitori possono scegliere di integrare, se del caso, i necessari elementi di cui ai paragrafi 1, 2 e 3 utilizzando il modello di cui al paragrafo 3 nei sistemi e nei piani già esistenti in virtù di tale normativa, a condizione che consegua un livello di protezione equivalente.

    Il primo comma del presente paragrafo si applica anche ai sistemi di IA ad alto rischio di cui all'allegato III, punto 5, immessi sul mercato o messi in servizio da istituti finanziari soggetti a requisiti in materia di governance, dispositivi o processi interni stabiliti a norma del diritto dell'Unione in materia di servizi finanziari.

SEZIONE 2

Articolo 73

  1. I fornitori di sistemi di IA ad alto rischio immessi sul mercato dell'Unione segnalano qualsiasi incidente grave alle autorità di vigilanza del mercato degli Stati membri in cui tali incidenti si sono verificati.

  2. La segnalazione di cui al paragrafo 1 è effettuata immediatamente dopo che il fornitore ha stabilito un nesso causale tra il sistema di IA e l'incidente grave o quando stabilisce la ragionevole probabilità di tale nesso e, in ogni caso, non oltre 15 giorni dopo che il fornitore o, se del caso, il deployer, è venuto a conoscenza dell'incidente grave.

    Il periodo per la segnalazione di cui al primo comma tiene conto della gravità dell'incidente grave.

  3. In deroga al paragrafo 2 del presente articolo, in caso di un'infrazione diffusa o di un incidente grave quale definito all'articolo 3, punto 49, lettera b), la segnalazione di cui al paragrafo 1 del presente articolo è trasmessa immediatamente e non oltre due giorni dopo che il fornitore o, se del caso, il deployer è venuto a conoscenza di tale incidente.

  4. In deroga al paragrafo 2, in caso di decesso di una persona, la segnalazione è trasmessa immediatamente dopo che il fornitore o il deployer ha stabilito, o non appena sospetta, un nesso causale tra il sistema di IA ad alto rischio e l'incidente grave, ma non oltre 10 giorni dalla data in cui il fornitore o, se del caso, il deployer è venuto a conoscenza dell'incidente grave.

  5. Se necessario per garantire una comunicazione tempestiva, il fornitore o, se del caso, il deployer, può presentare una relazione iniziale incompleta, seguita da una relazione completa.

  6. A seguito della comunicazione di un incidente grave a norma del paragrafo 1, il fornitore svolge senza indugio le indagini necessarie in relazione all'incidente grave e al sistema di IA interessato. Ciò comprende una valutazione del rischio dell'incidente nonché misure correttive.

    Il fornitore coopera con le autorità competenti e, se del caso, con l'organismo notificato interessato durante le indagini di cui al primo comma e non svolge alcuna indagine che comporti una modifica del sistema di IA interessato in un modo che possa incidere su un'eventuale successiva valutazione delle cause dell'incidente, prima di informare le autorità competenti di tale azione.

  7. Al ricevimento di una notifica relativa a un incidente grave di cui all'articolo 3, punto 49, lettera c), l'autorità di vigilanza del mercato interessata informa le autorità o gli organismi pubblici nazionali di cui all'articolo 77, paragrafo 1. La Commissione elabora orientamenti specifici per facilitare il rispetto degli obblighi di cui al paragrafo 1 del presente articolo. Tali orientamenti sono emanati entro il 2 agosto 2025 e sono valutati periodicamente.

  8. L'autorità di vigilanza del mercato adotta le misure appropriate di cui all'articolo 19 del regolamento (UE) 2019/1020 entro sette giorni dalla data di ricevimento della notifica di cui al paragrafo 1 del presente articolo e segue le procedure di notifica previste da tale regolamento.

  9. Per i sistemi di IA ad alto rischio di cui all'allegato III che sono immessi sul mercato o messi in servizio da fornitori soggetti a strumenti legislativi dell'Unione che stabiliscono obblighi in materia di segnalazione equivalenti a quelli previsti dal presente regolamento, la notifica è limitata agli incidenti gravi di cui all'articolo 3, punto 49, lettera c).

  10. Per i sistemi di IA ad alto rischio che sono componenti di sicurezza di dispositivi, o sono essi stessi dispositivi, disciplinati dai regolamenti (UE) 2017/745 e (UE) 2017/746, la notifica è limitata agli incidenti gravi di cui all'articolo 3, punto 49, lettera c), del presente regolamento, del presente regolamento ed è trasmessa all'autorità nazionale competente scelta a tal fine dagli Stati membri in cui si è verificato l'incidente.

  11. Le autorità nazionali competenti notificano immediatamente alla Commissione qualsiasi incidente grave, indipendentemente dal fatto che abbiano o meno preso provvedimenti al riguardo, conformemente all'articolo 20 del regolamento (UE) 2019/1020.

SEZIONE 3

Articolo 74

  1. Il regolamento (UE) 2019/1020 si applica ai sistemi di IA disciplinati dal presente regolamento. Ai fini dell'efficace applicazione del presente regolamento:

    a) ogni riferimento a un operatore economico a norma del regolamento (UE) 2019/1020 si intende fatto anche a tutti gli operatori di cui all'articolo 2, paragrafo 1, del presente regolamento;

    b) ogni riferimento a un prodotto a norma del regolamento (UE) 2019/1020 si intende fatto anche a tutti i sistemi di IA che rientrano nell'ambito di applicazione del presente regolamento.

  2. Nell'ambito dei loro obblighi in materia di segnalazione a norma dell'articolo 34, paragrafo 4, del regolamento (UE) 2019/1020, le autorità di vigilanza del mercato comunicano annualmente alla Commissione e alle pertinenti autorità nazionali garanti della concorrenza qualsiasi informazione individuata nel corso delle attività di vigilanza del mercato che possa essere di potenziale interesse per l'applicazione del diritto dell'Unione in materia di concorrenza. Essi riferiscono inoltre annualmente alla Commissione in merito al ricorso a pratiche vietate verificatosi nel corso di tale anno e alle misure adottate.

  3. Per i sistemi di IA ad alto rischio collegati a prodotti disciplinati dalla normativa di armonizzazione dell'Unione elencata nell'allegato I, sezione A, l'autorità di vigilanza del mercato ai fini del presente regolamento è l'autorità responsabile delle attività di vigilanza del mercato designata a norma di tali atti giuridici.

    In deroga al primo comma e in determinate circostanze, gli Stati membri possono designare un’altra autorità pertinente che agisca in qualità di autorità di vigilanza del mercato, a condizione che garantiscano il coordinamento con le pertinenti autorità settoriali di vigilanza del mercato responsabili dell’esecuzione della normativa di armonizzazione dell’Unione elencata nell'allegato I.

  4. Le procedure di cui agli articoli da 79 a 83 del presente regolamento non si applicano ai sistemi di IA collegati a prodotti disciplinati dalla normativa di armonizzazione dell'Unione elencata nell'allegato I, sezione A, qualora tali atti giuridici prevedano già procedure che garantiscono un livello equivalente di protezione e aventi lo stesso obiettivo. In tali casi si applicano invece le pertinenti procedure settoriali.

  5. Fatti salvi i poteri delle autorità di vigilanza del mercato di cui all'articolo 14 del regolamento (UE) 2019/1020, al fine di garantire l'efficace applicazione del presente regolamento, le autorità di vigilanza del mercato possono esercitare i poteri di cui all'articolo 14, paragrafo 4, lettere d) e j), di tale regolamento a distanza, se del caso.

  6. Per i sistemi di IA ad alto rischio immessi sul mercato, messi in servizio o usati da istituti finanziari disciplinati dal diritto dell'Unione in materia di servizi finanziari, l'autorità di vigilanza del mercato ai fini del presente regolamento è l'autorità nazionale pertinente responsabile della vigilanza finanziaria di tali enti ai sensi di tale diritto, nella misura in cui l'immissione sul mercato, la messa in servizio o l'uso del sistema di IA siano direttamente collegati alla fornitura di tali servizi finanziari.

  7. In deroga al paragrafo 6, in determinate circostanze e a condizione che sia garantito il coordinamento, lo Stato membro può individuare un'altra autorità competente come autorità di vigilanza del mercato ai fini del presente regolamento.

    Le autorità nazionali di vigilanza del mercato che controllano gli enti creditizi disciplinati nel quadro della direttiva 2013/36/UE, che partecipano al meccanismo di vigilanza unico istituito dal regolamento (UE) n, 1024/2013, dovrebbero comunicare senza indugio alla Banca centrale europea qualsiasi informazione individuata nel corso delle attività di vigilanza del mercato che possa essere di potenziale interesse per i compiti in materia di vigilanza prudenziale della Banca centrale europea specificati in tale regolamento.

  8. Per i sistemi di IA ad alto rischio elencati nell'allegato III del presente regolamento, punto 1, nella misura in cui tali sistemi sono utilizzati a fini di attività di contrasto, gestione delle frontiere, giustizia e democrazia e per i sistemi di IA ad alto rischio elencati nell'allegato III del presente regolamento, punti 6, 7 e 8, gli Stati membri designano come autorità di vigilanza del mercato ai fini del presente regolamento le autorità di controllo competenti per la protezione dei dati a norma del regolamento (UE) 2016/679 o della direttiva (UE) 2016/680 o qualsiasi altra autorità designata a norma delle stesse condizioni di cui agli articoli da 41 a 44 della direttiva (UE) 2016/680. Le attività di vigilanza del mercato non pregiudicano in alcun modo l'indipendenza delle autorità giudiziarie né interferiscono in altro modo con le loro attività nell'esercizio delle loro funzioni giurisdizionali.

  9. Nei casi in cui le istituzioni, gli organi e gli organismi dell'Unione rientrano nell'ambito di applicazione del presente regolamento, il Garante europeo della protezione dei dati agisce in qualità di autorità di vigilanza del mercato, tranne nei confronti della Corte di giustizia dell'Unione europea nell'esercizio delle sue funzioni giurisdizionali.

  10. Gli Stati membri agevolano il coordinamento tra le autorità di vigilanza del mercato designate a norma del presente regolamento e altre autorità o organismi nazionali pertinenti che controllano l'applicazione della normativa di armonizzazione dell'Unione elencata nell'allegato I o di altre disposizioni del diritto dell'Unione che potrebbero essere pertinenti per i sistemi di IA ad alto rischio di cui all'allegato III.

  11. Le autorità di vigilanza del mercato e la Commissione possono proporre attività congiunte, comprese indagini congiunte, che dovrebbero essere condotte dalle autorità di vigilanza del mercato o dalle autorità di vigilanza del mercato di concerto con la Commissione, al fine di promuovere la conformità, individuare casi di non conformità, sensibilizzare e fornire orientamenti in relazione al presente regolamento riguardo a specifiche categorie di sistemi di IA ad alto rischio che si rileva presentino un rischio grave in due o più Stati membri conformemente all'articolo 9 del regolamento (UE) 2019/1020. L'ufficio per l'IA fornisce sostegno di coordinamento per le indagini congiunte.

  12. Fatti salvi i poteri di cui al regolamento (UE) 2019/1020 e se del caso e nei limiti di quanto necessario per lo svolgimento dei loro compiti, i fornitori concedono alle autorità di vigilanza del mercato pieno accesso alla documentazione nonché ai set di dati di addestramento, convalida e prova utilizzati per lo sviluppo dei sistemi di IA ad alto rischio, anche, ove opportuno e fatte salve le garanzie di sicurezza, attraverso interfacce di programmazione delle applicazioni (API) o altri mezzi e strumenti tecnici pertinenti che consentano l'accesso remoto.

  13. Alle autorità di vigilanza del mercato è concesso l'accesso al codice sorgente del sistema di IA ad alto rischio su richiesta motivata e solo qualora siano soddisfatte entrambe le condizioni seguenti:

    a) l'accesso al codice sorgente è necessario per valutare la conformità di un sistema di IA ad alto rischio ai requisiti di cui al capo III, sezione 2; e

    b) le procedure di prova o di audit e le verifiche basate sui dati e sulla documentazione presentati dal fornitore sono state esaurite o si sono dimostrate insufficienti.

  14. Qualsiasi informazione o documentazione ottenuta dalle autorità di vigilanza del mercato è trattata in conformità degli obblighi di riservatezza di cui all'articolo 78.

Articolo 75

  1. Qualora un sistema di IA si basi su un modello di IA per finalità generali e il modello e il sistema siano sviluppati dallo stesso fornitore, l'ufficio per l'IA ha il potere di monitorare e supervisionare la conformità di tale sistema di IA agli obblighi di cui al presente regolamento. Per svolgere i suoi compiti di monitoraggio e supervisione, l'ufficio per l'IA dispone di tutti i poteri di un'autorità di vigilanza del mercato prevista dalla presente sezione e dal regolamento (UE) 2019/1020.

  2. Qualora abbiano motivi sufficienti per ritenere che i sistemi di IA per finalità generali che possono essere utilizzati direttamente dai deployer per almeno una finalità classificata come ad alto rischio a norma del presente regolamento non siano conformi ai requisiti di cui al presente regolamento, le pertinenti autorità di vigilanza del mercato cooperano con l'ufficio per l'IA per effettuare valutazioni della conformità e informano di conseguenza il consiglio per l'IA e le altre autorità di vigilanza del mercato.

  3. Qualora non sia in grado di concludere la propria indagine sul sistema di IA ad alto rischio perché non può accedere a determinate informazioni relative al modello di IA per finalità generali nonostante abbia compiuto tutti gli sforzi opportuni per ottenere tali informazioni, un'autorità di vigilanza del mercato può presentare una richiesta motivata all'ufficio per l'IA, che garantisce l'accesso a tali informazioni. In tal caso, l'ufficio per l'IA fornisce all'autorità richiedente senza indugio, e in ogni caso entro 30 giorni, tutte le informazioni che esso ritiene pertinenti al fine di stabilire se un sistema di IA ad alto rischio non è conforme. Le autorità di vigilanza del mercato salvaguardano la riservatezza delle informazioni ottenute conformemente all'articolo 78 del presente regolamento. La procedura di cui al capo VI del regolamento (UE) 2019/1020 si applica mutatis mutandis.

Articolo 76

  1. Le autorità di vigilanza del mercato hanno le competenze e i poteri per garantire che le prove in condizioni reali siano conformi al presente regolamento.

  2. Qualora siano effettuate prove in condizioni reali per i sistemi di IA sottoposti a controllo all'interno di uno spazio di sperimentazione normativa per l'IA a norma dell'articolo 58, le autorità di vigilanza del mercato verificano la conformità dell'articolo 60 nell'ambito del loro ruolo di controllo per lo spazio di sperimentazione normativa per l'IA. Tali autorità possono, se del caso, consentire che le prove in condizioni reali siano effettuate dal fornitore o potenziale fornitore in deroga alle condizioni di cui all'articolo 60, paragrafo 4, lettere f) e g).

  3. Qualora sia stata informata dal potenziale fornitore, dal fornitore o da un terzo di un incidente grave o abbia altri motivi per ritenere che le condizioni di cui agli articoli 60 e 61 non siano soddisfatte, un'autorità di vigilanza del mercato può adottare una delle seguenti decisioni sul suo territorio, a seconda dei casi:

    a) sospendere o cessare le prove in condizioni reali;

    b) imporre al fornitore o potenziale fornitore e al deployer o al potenziale deployer di modificare qualsiasi aspetto delle prove in condizioni reali.

  4. Ove un'autorità di vigilanza del mercato abbia adottato una decisione di cui al paragrafo 3 o sollevato un'obiezione ai sensi dell'articolo 60, paragrafo 4, lettera b), la decisione o l'obiezione ne indica i motivi ed espone le modalità con cui il fornitore o potenziale fornitore può contestare la decisione o l'obiezione.

  5. Se del caso, ove un'autorità di vigilanza del mercato abbia adottato una decisione di cui al paragrafo 3, ne comunica i motivi alle autorità di vigilanza del mercato degli altri Stati membri in cui il sistema di IA è stato sottoposto a prova conformemente al piano di prova.

Articolo 77

  1. Le autorità o gli organismi pubblici nazionali che controllano o fanno rispettare gli obblighi previsti dal diritto dell'Unione a tutela dei diritti fondamentali, compreso il diritto alla non discriminazione, in relazione all'uso dei sistemi di IA ad alto rischio di cui all'allegato III hanno il potere di richiedere qualsiasi documentazione creata o mantenuta a norma del presente regolamento o di accedervi, in una lingua e un formato accessibili, quando l'accesso a tale documentazione è necessario per l'efficace adempimento dei loro mandati entro i limiti della loro giurisdizione. L'autorità pubblica o l'organismo pubblico pertinente informa l'autorità di vigilanza del mercato dello Stato membro interessato di qualsiasi richiesta in tal senso.

  2. Entro il 2 novembre 2024 ciascuno Stato membro individua le autorità o gli organismi pubblici di cui al paragrafo 1 e ne pubblica l'elenco. Gli Stati membri notificano l'elenco alla Commissione e agli altri Stati membri e lo tengono aggiornato.

  3. Qualora la documentazione di cui al paragrafo 1 non sia sufficiente per accertare un'eventuale violazione degli obblighi previsti dal diritto dell'Unione a tutela dei diritti fondamentali, l'autorità pubblica o l'organismo pubblico di cui al paragrafo 1 può presentare all'autorità di vigilanza del mercato una richiesta motivata al fine di organizzare una prova del sistema di IA ad alto rischio mediante mezzi tecnici. L'autorità di vigilanza del mercato organizza le prove coinvolgendo da vicino l'autorità pubblica o l'organismo pubblico richiedente entro un termine ragionevole dalla richiesta.

  4. Qualsiasi informazione o documentazione ottenuta a norma del presente articolo dalle autorità o dagli organismi pubblici nazionali di cui al paragrafo 1 del presente articolo è trattata in conformità degli obblighi di riservatezza stabiliti all'articolo 78.

Articolo 78

  1. In conformità del diritto dell'Unione o nazionale, la Commissione, le autorità di vigilanza del mercato e gli organismi notificati, nonché le altre persone fisiche o giuridiche che partecipano all'applicazione del presente regolamento, garantiscono la riservatezza delle informazioni e dei dati ottenuti nello svolgimento dei loro compiti e delle loro attività in modo da tutelare, in particolare:

    a) i diritti di proprietà intellettuale e le informazioni commerciali riservate o i segreti commerciali di una persona fisica o giuridica, compreso il codice sorgente, tranne nei casi di cui all'articolo 5 della direttiva (UE) 2016/943 del Parlamento europeo e del Consiglio (57);

    b) l'efficace attuazione del presente regolamento, in particolare ai fini delle ispezioni, delle indagini e degli audit;

    c) gli interessi pubblici e di sicurezza nazionale;

    d) lo svolgimento del procedimento penale o amministrativo;

    e) le informazioni classificate a norma del diritto dell'Unione o nazionale.

  2. Le autorità che partecipano all'applicazione del presente regolamento a norma del paragrafo 1 richiedono solo i dati strettamente necessari per la valutazione del rischio posto dai sistemi di IA e per l'esercizio dei loro poteri conformemente al presente regolamento e al regolamento (UE) 2019/1020. Esse pongono in essere misure di cibersicurezza adeguate ed efficaci per proteggere la sicurezza e la riservatezza delle informazioni e dei dati ottenuti e cancellano i dati raccolti non appena non sono più necessari per lo scopo per il quale sono stati ottenuti, conformemente al diritto dell'Unione o nazionale applicabile.

  3. Fatti salvi i paragrafi 1 e 2, nel momento in cui i sistemi di IA ad alto rischio di cui all'allegato III, punti 1, 6 o 7, sono utilizzati dalle autorità competenti in materia di contrasto, di controllo delle frontiere, di immigrazione o di asilo, le informazioni scambiate in via riservata tra le autorità nazionali competenti, o tra le autorità nazionali competenti e la Commissione, non sono divulgate senza previa consultazione dell'autorità nazionale competente e del deployer che hanno prodotto tali informazioni, qualora tale divulgazione rischi di compromettere gli interessi pubblici e di sicurezza nazionale. Tale scambio di informazioni non riguarda i dati operativi sensibili in relazione alle attività delle autorità competenti in materia di contrasto, di controllo delle frontiere, di immigrazione o di asilo.

    Qualora le autorità competenti in materia di contrasto, di immigrazione o di asilo siano fornitori di sistemi di IA ad alto rischio di cui all'allegato III, punti 1, 6 o 7, la documentazione tecnica di cui all'allegato IV rimane nei locali di tali autorità. Tali autorità garantiscono che le autorità di vigilanza del mercato di cui all'articolo 74, paragrafi 8 e 9, a seconda dei casi, possano, su richiesta, accedere immediatamente alla documentazione o ottenerne una copia. Solo il personale dell'autorità di vigilanza del mercato in possesso di un nulla osta di sicurezza di livello adeguato è autorizzato ad accedere a tale documentazione o a una copia della stessa.

  4. I paragrafi 1, 2 e 3 non pregiudicano i diritti o gli obblighi della Commissione, degli Stati membri e delle rispettive autorità pertinenti nonché quelli degli organismi notificati in materia di scambio delle informazioni e di diffusione degli avvisi di sicurezza, anche nel contesto della cooperazione transfrontaliera, né pregiudicano gli obblighi delle parti interessate di fornire informazioni a norma del diritto penale degli Stati membri.

  5. La Commissione e gli Stati membri possono scambiare, ove necessario e conformemente alle pertinenti disposizioni degli accordi internazionali e commerciali, informazioni riservate con le autorità di regolamentazione dei paesi terzi con i quali abbiano concluso accordi di riservatezza, bilaterali o multilaterali, che garantiscano un livello di riservatezza adeguato.

Articolo 79

  1. Un sistema di IA che presenta un rischio è inteso come un «prodotto che presenta un rischio» quale definito all'articolo 3, punto 19, del regolamento (UE) 2019/1020 nella misura in cui presenta rischi per la salute o la sicurezza o per i diritti fondamentali delle persone.

  2. Qualora l'autorità di vigilanza del mercato di uno Stato membro abbia un motivo sufficiente per ritenere che un sistema di IA presenti un rischio di cui al paragrafo 1 del presente articolo, essa effettua una valutazione del sistema di IA interessato per quanto riguarda la sua conformità a tutti i requisiti e gli obblighi di cui al presente regolamento. Particolare attenzione è prestata ai sistemi di IA che presentano un rischio per i gruppi vulnerabili. Qualora siano individuati rischi per i diritti fondamentali, l'autorità di vigilanza del mercato informa anche le autorità o gli organismi pubblici nazionali competenti di cui all'articolo 77, paragrafo 1, e coopera pienamente con essi. I pertinenti operatori cooperano, per quanto necessario, con l'autorità di vigilanza del mercato e con le altre autorità o gli altri organismi pubblici nazionali di cui all'articolo 77, paragrafo 1.

    Se, nel corso di tale valutazione, l'autorità di vigilanza del mercato o, se del caso, l'autorità di vigilanza del mercato in cooperazione con l'autorità pubblica nazionale di cui all'articolo 77, paragrafo 1, rilevano che il sistema di IA non è conforme ai requisiti e agli obblighi di cui al presente regolamento, esse chiedono senza indebito ritardo al pertinente operatore di adottare tutte le misure correttive adeguate al fine di rendere il sistema di IA conforme, ritirarlo dal mercato o richiamarlo entro il termine che l'autorità di vigilanza del mercato può prescrivere o, in ogni caso, entro 15 giorni lavorativi a seconda di quale termine sia il più breve, oppure entro il termine previsto dalla pertinente normativa di armonizzazione dell'Unione.

    L'autorità di vigilanza del mercato informa di conseguenza l'organismo notificato pertinente. L'articolo 18 del regolamento (UE) 2019/1020 si applica alle misure di cui al secondo comma del presente paragrafo.

  3. Qualora ritenga che la non conformità non sia limitata al territorio nazionale, l'autorità di vigilanza del mercato informa la Commissione e gli altri Stati membri senza indebito ritardo dei risultati della valutazione e delle azioni che hanno chiesto all'operatore economico di intraprendere.

  4. L'operatore garantisce che siano adottate tutte le opportune misure correttive nei confronti di tutti i sistemi di IA interessati che ha messo a disposizione sul mercato dell'Unione.

  5. Qualora l'operatore di un sistema di IA non adotti misure correttive adeguate nel periodo di cui al paragrafo 2, l'autorità di vigilanza del mercato adotta tutte le misure provvisorie del caso per vietare o limitare la messa a disposizione o la messa in servizio del sistema di IA sul mercato nazionale, per ritirare il prodotto o il sistema di IA autonomo dal mercato o per richiamarlo. Tale autorità notifica senza indebito ritardo tali misure alla Commissione e agli altri Stati membri.

  6. La notifica di cui al paragrafo 5 include tutti i particolari disponibili, soprattutto le informazioni necessarie all'identificazione del sistema di IA non conforme, la sua origine e la catena di approvvigionamento, la natura della presunta non conformità e dei rischi connessi, la natura e la durata delle misure nazionali adottate, nonché gli argomenti espressi dal pertinente operatore. Le autorità di vigilanza del mercato indicano in particolare se la non conformità sia dovuta a una o più delle cause seguenti:

    a) non conformità al divieto delle pratiche di IA di cui all'articolo 5;

    b) mancato rispetto da parte di un sistema di IA ad alto rischio dei requisiti di cui al capo III, sezione 2;

    c) carenze nelle norme armonizzate o nelle specifiche comuni, di cui agli articoli 40 e 41, che conferiscono la presunzione di conformità;

    d) non conformità all'articolo 50.

  7. Le autorità di vigilanza del mercato diverse dall'autorità di vigilanza del mercato dello Stato membro che ha avviato la procedura comunicano senza indebito ritardo alla Commissione e agli altri Stati membri tutte le misure adottate, tutte le altre informazioni a loro disposizione sulla non conformità del sistema di IA interessato e, in caso di disaccordo con la misura nazionale notificata, le loro obiezioni.

  8. Se, entro tre mesi dal ricevimento della notifica di cui al paragrafo 5 del presente articolo, un'autorità di vigilanza del mercato di uno Stato membro o la Commissione non sollevano obiezioni contro la misura provvisoria adottata da un'autorità di vigilanza del mercato di un altro Stato membro, tale misura è ritenuta giustificata. Ciò non pregiudica i diritti procedurali dell'operatore interessato in conformità dell'articolo 18 del regolamento (UE) 2019/1020. Il periodo di tre mesi di cui al presente paragrafo è ridotto a 30 giorni in caso di non conformità al divieto delle pratiche di IA di cui all'articolo 5 del presente regolamento.

  9. Le autorità di vigilanza del mercato garantiscono che siano adottate senza indebito ritardo adeguate misure restrittive in relazione al prodotto o al sistema di IA interessato, come il ritiro del prodotto o del sistema di IA dal loro mercato.

Articolo 80

  1. Se ha motivi sufficienti per ritenere che un sistema di IA classificato dal fornitore come non ad alto rischio a norma dell'articolo 6, paragrafo 3, sia in realtà ad alto rischio, l'autorità di vigilanza del mercato effettua una valutazione del sistema di IA interessato in relazione alla sua classificazione come sistema di IA ad alto rischio sulla base delle condizioni di cui all'articolo 6, paragrafo 3, e degli orientamenti della Commissione.

  2. Se, nel corso di tale valutazione, ritiene che il sistema di IA interessato sia ad alto rischio, l'autorità di vigilanza del mercato chiede senza indebito ritardo al fornitore pertinente di adottare tutte le misure necessarie per rendere il sistema di IA conforme ai requisiti e agli obblighi di cui al presente regolamento, nonché di adottare le opportune misure correttive entro un termine che l'autorità di vigilanza del mercato può prescrivere.

  3. Se ritiene che l'uso del sistema di IA interessato non sia limitato al territorio nazionale, l'autorità di vigilanza del mercato informa la Commissione e gli altri Stati membri senza indebito ritardo dei risultati della valutazione e delle misure che ha chiesto al fornitore di adottare.

  4. Il fornitore garantisce che siano adottate tutte le misure necessarie per rendere il sistema di IA conforme ai requisiti e agli obblighi di cui al presente regolamento. Qualora il fornitore di un sistema di IA interessato non renda il sistema di IA conforme a tali requisiti e obblighi entro il termine di cui al paragrafo 2 del presente articolo, il fornitore è soggetto a sanzioni pecuniarie conformemente all'articolo 99.

  5. Il fornitore garantisce che siano adottate tutte le opportune misure correttive nei confronti di tutti i sistemi di IA interessati che ha messo a disposizione sul mercato dell'Unione.

  6. Se il fornitore del sistema di IA in questione non adotta misure correttive adeguate entro il periodo di cui al paragrafo 2 del presente articolo, si applica l'articolo 79, paragrafi da 5 a 9.

  7. Qualora, nel corso della valutazione di cui al paragrafo 1 del presente articolo, l'autorità di vigilanza del mercato stabilisca che il sistema di IA è stato classificato erroneamente dal fornitore come non ad alto rischio al fine di eludere l'applicazione dei requisiti di cui al capo III, sezione 2, il fornitore è soggetto a sanzioni pecuniarie conformemente all'articolo 99.

  8. Nell'esercizio del loro potere di monitorare l'applicazione del presente articolo e in conformità dell'articolo 11 del regolamento (UE) 2019/1020, le autorità di vigilanza del mercato possono eseguire i controlli del caso, tenendo conto in particolare delle informazioni conservate nella banca dati dell'UE di cui all'articolo 71 del presente regolamento.

Articolo 81

  1. Se entro tre mesi dal ricevimento della notifica di cui all'articolo 79, paragrafo 5, o entro 30 giorni in caso di non conformità al divieto delle pratiche di IA di cui all'articolo 5, l'autorità di vigilanza del mercato di uno Stato membro solleva obiezioni contro una misura adottata da un'altra autorità di vigilanza del mercato, o se la Commissione ritiene che la misura sia contraria al diritto dell'Unione, la Commissione consulta senza indebito ritardo l'autorità di vigilanza del mercato dello Stato membro interessato e l'operatore o gli operatori e valuta la misura nazionale. Sulla base dei risultati di tale valutazione, la Commissione, entro sei mesi, o entro 60 giorni in caso di non conformità al divieto delle pratiche di IA di cui all'articolo 5, a decorrere dalla notifica di cui all'articolo 79, paragrafo 5, decide se la misura nazionale sia giustificata e notifica la sua decisione all'autorità di vigilanza del mercato dello Stato membro interessato. La Commissione informa anche tutte le altre autorità di vigilanza del mercato della sua decisione.

  2. Se la Commissione ritiene che la misura adottata dallo Stato membro interessato sia giustificata, tutti gli Stati membri provvedono ad adottare misure restrittive appropriate in relazione al sistema di IA interessato, ad esempio richiedendo il ritiro del sistema di IA dal loro mercato senza indebito ritardo, e ne informano la Commissione. Se la Commissione ritiene che la misura nazionale sia ingiustificata, lo Stato membro interessato provvede a ritirarla e ne informa la Commissione.

  3. Se la misura nazionale è ritenuta giustificata e la non conformità del sistema di IA è attribuita alle carenze nelle norme armonizzate o nelle specifiche comuni di cui agli articoli 40 e 41 del presente regolamento, la Commissione applica la procedura prevista all'articolo 11 del regolamento (UE) n, 1025/2012.

Articolo 82

  1. Se, dopo aver effettuato una valutazione a norma dell'articolo 79 e aver consultato la pertinente autorità pubblica nazionale di cui all'articolo 77, paragrafo 1, l'autorità di vigilanza del mercato di uno Stato membro ritiene che un sistema di IA ad alto rischio, pur conforme al presente regolamento, rappresenti comunque un rischio per la salute o la sicurezza delle persone, per i diritti fondamentali o per altri aspetti della tutela dell'interesse pubblico, essa chiede all'operatore pertinente di adottare tutte le misure adeguate a far sì che il sistema di IA in questione, all'atto della sua immissione sul mercato o messa in servizio, non presenti più tale rischio senza indebito ritardo entro un termine che essa può prescrivere.

  2. Il fornitore o un altro operatore pertinente garantisce l'adozione di misure correttive nei confronti di tutti i sistemi di IA interessati che ha messo a disposizione sul mercato dell'Unione entro il termine prescritto dall'autorità di vigilanza del mercato dello Stato membro di cui al paragrafo 1.

  3. Gli Stati membri informano immediatamente la Commissione e gli altri Stati membri della conclusione cui sono giunti conformemente al paragrafo 1. Tali informazioni comprendono tutti i dettagli disponibili, in particolare i dati necessari all'identificazione del sistema di IA interessato, l'origine e la catena di approvvigionamento del sistema di IA, la natura del rischio connesso, nonché la natura e la durata delle misure nazionali adottate.

  4. La Commissione avvia senza indebito ritardo consultazioni con gli Stati membri interessati e gli operatori pertinenti e valuta le misure nazionali adottate. In base ai risultati di tale valutazione, la Commissione decide se la misura sia giustificata e propone, ove necessario, altre misure appropriate.

  5. La Commissione comunica immediatamente la propria decisione agli Stati membri interessati e agli operatori pertinenti e ne informa anche gli altri Stati membri.

Articolo 83

  1. L'autorità di vigilanza del mercato di uno Stato membro chiede al fornitore pertinente, entro un termine che essa può prescrivere, di porre fine alla contestata non conformità qualora giunga a una delle conclusioni riportate di seguito:

    a) la marcatura CE è stata apposta in violazione dell'articolo 48;

    b) la marcatura CE non è stata apposta;

    c) la dichiarazione di conformità UE di cui all’articolo 47 non è stata redatta;

    d) la dichiarazione di conformità UE di cui all’articolo 47 non è stata redatta correttamente;

    e) la registrazione nella banca dati dell'UE di cui all’articolo 71 non è stata effettuata;

    f) se del caso, non è stato nominato nessun rappresentante autorizzato;

    g) la documentazione tecnica non è disponibile.

  2. Se la non conformità di cui al paragrafo 1 permane, l'autorità di vigilanza del mercato dello Stato membro interessato adotta misure appropriate e proporzionate per limitare o proibire la messa a disposizione sul mercato del sistema di IA ad alto rischio o per garantire che sia richiamato o ritirato dal mercato senza ritardo.

Articolo 84

  1. La Commissione designa una o più strutture di sostegno dell'Unione per la prova dell'IA per lo svolgimento dei compiti di cui all'articolo 21, paragrafo 6, del regolamento (UE) 2019/1020/nel settore dell'IA.

  2. Fatti salvi i compiti di cui al paragrafo 1, le strutture di sostegno dell'Unione per la prova dell'IA forniscono anche pareri tecnici o scientifici indipendenti su richiesta del consiglio per l'IA, della Commissione o delle autorità di vigilanza del mercato.

SEZIONE 4

Articolo 85

Fatti salvi altri ricorsi amministrativi o giurisdizionali, qualsiasi persona fisica o giuridica che abbia motivo di ritenere che vi sia stata una violazione delle disposizioni del presente regolamento può presentare un reclamo alla pertinente autorità di vigilanza del mercato.

Conformemente al regolamento (UE) 2019/1020, tali reclami sono presi in considerazione ai fini dello svolgimento delle attività di vigilanza del mercato e sono trattati in linea con le procedure specifiche stabilite a tal fine dalle autorità di vigilanza del mercato.

Articolo 86

  1. Qualsiasi persona interessata oggetto di una decisione adottata dal deployer sulla base dell'output di un sistema di IA ad alto rischio elencato nell'allegato III, ad eccezione dei sistemi elencati al punto 2 dello stesso, e che produca effetti giuridici o in modo analogo incida significativamente su tale persona in un modo che essa ritenga avere un impatto negativo sulla sua salute, sulla sua sicurezza o sui suoi diritti fondamentali ha il diritto di ottenere dal deployer spiegazioni chiare e significative sul ruolo del sistema di IA nella procedura decisionale e sui principali elementi della decisione adottata.

  2. Il paragrafo 1 non si applica all'uso di sistemi di IA per i quali sono previste eccezioni o limitazioni all'obbligo stabilito in tale paragrafo in virtù del diritto dell'Unione o del diritto nazionale, in linea con il diritto dell'Unione.

  3. Il presente articolo si applica solo nella misura in cui il diritto di cui al paragrafo 1 non sia altrimenti previsto dal diritto dell'Unione.

Articolo 87

La direttiva (UE) 2019/1937 si applica alla segnalazione di violazioni del presente regolamento e alla protezione delle persone che segnalano tali violazioni.

SEZIONE 5

Articolo 88

  1. La Commissione ha competenze esclusive per la vigilanza e l'esecuzione del capo V, tenendo conto delle garanzie procedurali a norma all'articolo 94. La Commissione affida l'attuazione di tali compiti all'ufficio per l'IA, fatte salve le competenze di organizzazione della Commissione e la ripartizione delle competenze tra gli Stati membri e l'Unione sulla base dei trattati.

  2. Fatto salvo l'articolo 75, paragrafo 3, le autorità di vigilanza del mercato possono chiedere alla Commissione di esercitare le competenze di cui alla presente sezione, ove ciò sia necessario e proporzionato per assisterle nell'adempimento dei loro compiti a norma del presente regolamento.

Articolo 89

  1. Ai fini dello svolgimento dei compiti ad esso assegnati a norma della presente sezione, l'ufficio per l'IA può intraprendere le azioni necessarie per monitorare l'efficace attuazione e il rispetto del presente regolamento da parte dei fornitori di modelli di IA per finalità generali, compresa la loro adesione ai codici di buone pratiche approvati.

  2. I fornitori a valle hanno il diritto di presentare un reclamo per presunta violazione del presente regolamento. Il reclamo è debitamente motivato e indica almeno:

    a) il punto di contatto del fornitore del modello di IA per finalità generali in questione;

    b) una descrizione dei fatti di cui trattasi, delle pertinenti disposizioni del presente regolamento e del motivo per cui il fornitore a valle ritiene che il fornitore del modello di IA per finalità generali in questione abbia violato il presente regolamento;

    c) qualsiasi altra informazione che il fornitore a valle che ha inviato la richiesta ritenga pertinente, comprese, se del caso, le informazioni raccolte di propria iniziativa.

Articolo 90

  1. Il gruppo di esperti scientifici può effettuare una segnalazione qualificata all'ufficio per l'IA qualora abbia motivo di sospettare che:

    a) un modello di IA per finalità generali presenti un rischio concreto identificabile a livello dell'Unione; o

    b) un modello di IA per finalità generali soddisfi le condizioni di cui all'articolo 51.

  2. In seguito a tale segnalazione qualificata, la Commissione, tramite l'ufficio per l'IA e dopo avere informato il consiglio per l'IA, può esercitare le competenze di cui alla presente sezione ai fini della valutazione della questione. L'ufficio per l'IA informa il consiglio per l'IA di qualsiasi misura conformemente agli articoli da 91 a 94.

  3. La segnalazione qualificata è debitamente motivata e indica almeno:

    a) il punto di contatto del fornitore del modello di IA per finalità generali con rischio sistemico in questione;

    b) una descrizione dei fatti di cui trattasi e dei motivi della segnalazione effettuata dal gruppo di esperti scientifici;

    c) qualsiasi altra informazione che il gruppo di esperti scientifici ritenga pertinente, comprese, se del caso, le informazioni raccolte di propria iniziativa.

Articolo 91

  1. La Commissione può chiedere al fornitore del modello di IA per finalità generali in questione di fornire la documentazione redatta dal fornitore in conformità degli articoli 53 e 55 o qualsiasi altra informazione supplementare necessaria al fine di valutare la conformità del fornitore al presente regolamento.

  2. Prima di inviare la richiesta di informazioni, l'ufficio per l'IA può avviare un dialogo strutturato con il fornitore del modello di IA per finalità generali.

  3. Su richiesta debitamente motivata del gruppo di esperti scientifici, la Commissione può presentare una richiesta di informazioni a un fornitore di un modello di IA per finalità generali, qualora l'accesso alle informazioni sia necessario e proporzionato per l'adempimento dei compiti del gruppo di esperti scientifici a norma dell'articolo 68, paragrafo 2.

  4. La richiesta di informazioni indica la base giuridica e lo scopo della richiesta, precisa quali informazioni sono richieste, fissa un termine entro il quale le informazioni devono essere fornite e indica le sanzioni pecuniarie previste all'articolo 101 in caso di comunicazione di informazioni inesatte, incomplete o fuorvianti.

  5. Il fornitore del modello di IA per finalità generali in questione o il suo rappresentante fornisce le informazioni richieste. Nel caso di persone giuridiche, società o imprese, o qualora il fornitore non abbia personalità giuridica, le persone autorizzate a rappresentarle per legge o in virtù del loro statuto forniscono le informazioni richieste per conto del fornitore del modello di IA per finalità generali in questione. Gli avvocati debitamente incaricati possono fornire le informazioni per conto dei loro clienti. I clienti restano tuttavia pienamente responsabili se le informazioni fornite sono incomplete, inesatte o fuorvianti.

Articolo 92

  1. L'ufficio per l'IA, previa consultazione del consiglio per l'IA, può effettuare valutazioni del modello di IA per finalità generali in questione:

    a) per valutare la conformità del fornitore agli obblighi previsti dal presente regolamento, qualora le informazioni raccolte a norma dell'articolo 91 siano insufficienti; o

    b) per indagare sui rischi sistemici a livello dell'Unione dei modelli di IA per finalità generali con rischio sistemico, in particolare a seguito di una segnalazione qualificata del gruppo di esperti scientifici conformemente all'articolo 90, paragrafo 1, lettera a).

  2. La Commissione può decidere di nominare esperti indipendenti incaricati di effettuare valutazioni per suo conto, anche provenienti dal gruppo di esperti scientifici istituito a norma dell'articolo 68. Gli esperti indipendenti nominati per tale compito soddisfano i criteri di cui all'articolo 68, paragrafo 2.

  3. Ai fini del paragrafo 1, la Commissione può chiedere l'accesso al modello di IA per finalità generali in questione attraverso API o altri mezzi e strumenti tecnici adeguati, compreso il codice sorgente.

  4. La richiesta di accesso indica la base giuridica, lo scopo e i motivi della richiesta e fissa il termine entro il quale deve essere fornito l'accesso e le sanzioni pecuniarie previste all'articolo 101 in caso di mancata fornitura dell'accesso.

  5. I fornitori del modello di IA per finalità generali in questione o il loro rappresentante forniscono le informazioni richieste. Nel caso di persone giuridiche, società o imprese, o qualora i fornitori non abbiano personalità giuridica, le persone autorizzate a rappresentarli per legge o in virtù del loro statuto, forniscono l'accesso richiesto per conto del fornitore del modello di IA per finalità generali in questione.

  6. La Commissione adotta atti di esecuzione che stabiliscono le modalità dettagliate e le condizioni per le valutazioni, comprese le modalità dettagliate per la partecipazione di esperti indipendenti, nonché la procedura per la loro selezione. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.

  7. Prima di richiedere l'accesso al modello di IA per finalità generali in questione, l'ufficio per l'IA può avviare un dialogo strutturato con il fornitore del modello di IA per finalità generali al fine di raccogliere maggiori informazioni sulle prove interne del modello, sulle garanzie interne per prevenire rischi sistemici e su altre procedure e misure interne che il fornitore ha adottato per attenuare tali rischi.

Articolo 93

  1. Se necessario e opportuno, la Commissione può chiedere ai fornitori di:

    a) adottare misure adeguate per adempiere gli obblighi di cui agli articoli 53 e 54;

    b) attuare misure di attenuazione se la valutazione effettuata conformemente all'articolo 92 ha suscitato un timore serio e comprovato di un rischio sistemico a livello dell'Unione;

    c) limitare la messa a disposizione sul mercato, ritirare o richiamare il modello.

  2. Prima di richiedere una misura, l'ufficio per l'IA può avviare un dialogo strutturato con il fornitore del modello di IA per finalità generali.

  3. Se, durante il dialogo strutturato di cui al paragrafo 2, il fornitore del modello di IA per finalità generali con rischio sistemico si assume impegni relativi all'attuazione di misure di attenuazione per far fronte a un rischio sistemico a livello dell'Unione, la Commissione può, mediante decisione, rendere tali impegni vincolanti e dichiarare che non vi sono ulteriori motivi di intervento.

Articolo 94

L'articolo 18 del regolamento (UE) 2019/1020 si applica mutatis mutandis ai fornitori del modello di IA per finalità generali, fatti salvi i diritti procedurali più specifici previsti dal presente regolamento.