Gentile Direttore,
il 2 agosto 2025 rappresenta una data spartiacque per il settore sanitario europeo. In quel giorno entreranno in vigore nuove disposizioni del Regolamento (UE) 2024/1689, noto come AI Act, che mirano a garantire un uso sicuro, etico e trasparente dell’intelligenza artificiale. Per ospedali, cliniche, case di cura, aziende farmaceutiche e fornitori di tecnologie mediche sarà fondamentale essere pronti ad affrontare un quadro di obblighi stringenti, soprattutto per quanto riguarda l’uso di sistemi di AI ad alto rischio e di modelli di AI generativa di uso generale (GPAI).
Il presente approfondimento illustra in dettaglio:
- Gli obblighi che scattano dal 2 agosto 2025 per il settore sanitario
- Le azioni concrete da avviare per arrivare preparati
- I rischi e le sanzioni in caso di non conformità
- Alcune riflessioni conclusive sulle sfide e le opportunità per la sanità
- AI Act: quadro normativo e tempistiche
L’AI Act è entrato in vigore il 1° agosto 2024, ma prevede un’applicazione graduale. Le principali tappe sono:
- 2 febbraio 2025: divengono applicabili i divieti per i sistemi di IA ad “alto rischio inaccettabile” (ad esempio manipolazione comportamentale dannosa, social scoring pubblico), oltre all’obbligo di alfabetizzazione AI del personale;
- 2 agosto 2025: scattano obblighi specifici per i modelli di IA generativa di uso generale (GPAI) e gli Stati membri devono aver nominato le autorità competenti.
- 2 agosto 2026: si applicano obblighi completi per la maggior parte dei sistemi di AI classificati come “ad alto rischio” (inclusi molti sistemi utilizzati in ambito sanitario).
- 2 agosto 2027: trovano piena applicazione anche le disposizioni AI dedicate ai dispositivi medici AI , che rientrano in normative di conformità di prodotto.
Il settore sanitario è quindi al centro di questa rivoluzione normativa.
- Perché la sanità è direttamente coinvolta
Secondo l’Allegato III dell’AI Act, sono classificati come sistemi ad alto rischio quelli impiegati in contesti sanitari, tra cui:
- Sistemi di supporto decisionale clinico.
- Algoritmi di diagnostica assistita.
- Sistemi di monitoraggio dei pazienti.
- Software che influiscono su trattamenti terapeutici o chirurgici.
Oltre a questi, l’uso di modelli GPAI (per esempio chatbot sanitari generici, strumenti di analisi di testi o immagini a uso generale) è anch’esso regolamentato a far tempo dal 2 agosto 2025.
- Gli obblighi in vigore dal 2 agosto 2025
3.1 Obblighi per i modelli GPAI
Dal 2 agosto 2025, chi utilizza o fornisce modelli GPAI, anche in ambito sanitario, dovrà:
- Predisporre documentazione tecnica: specificando descrizione dell’architettura, dati di training, prestazioni, limiti e rischi.
- Pubblicare una sintesi dettagliata dei dati di training per garantire trasparenza e rispetto del diritto d’autore.
- Adottare policy di gestione del copyright.
- Per i GPAI con “rischi sistemici”: attuare testing di robustezza e sicurezza, valutazioni periodiche, reporting incidenti e misure di cybersecurity.
3.2 Designazione delle autorità nazionali
Entro il 2 agosto 2025, ogni Stato membro deve nominare le autorità competenti per la sorveglianza del mercato e per l’applicazione dell’AI Act. Saranno questi organismi a ricevere notifiche, segnalazioni e a gestire eventuali controlli.
- Le azioni concrete da intraprendere oggi
Le organizzazioni del settore sanitario devono quindi avviare una serie di azioni, tra cui:
4.1 Mappatura dei sistemi AI
- Identificare tutti i sistemi di AI già utilizzati o in fase di sviluppo.
- Classificarli tra GPAI e sistemi ad alto rischio.
4.2 Documentazione tecnica
- Redigere la documentazione tecnica richiesta dall’art. 53 per i modelli GPAI.
- Aggiornare le istruzioni per l’uso (IFU) per i sistemi clinici.
4.3 Risk management
- Implementare un sistema di gestione dei rischi (art. 9): valutazione continua, monitoraggio bias, sicurezza.
4.4 Supervisione umana
- Garantire la possibilità di intervento umano (art. 26): i professionisti devono poter interrompere o correggere il funzionamento di un sistema AI.
4.5 Procedure di segnalazione
- Creare processi per la notifica immediata di incidenti gravi all’autorità nazionale.
4.6 Trasparenza sui dati
- Preparare la sintesi dei dataset di training per i GPAI.
4.7 Code of Practice
- Valutare l’adesione al Codice di condotta per i GPAI, pubblicato dalla Commissione il 10 luglio 2025: il Codice è concepito come strumento complementare al Regolamento, in particolare agli articoli 53 e 55, che regolano l’obbligo di documentazione tecnica e di valutazione del rischio per i fornitori di GPAI. Il Codice potrebbe essere formalmente approvato dalla Commissione entro agosto 2025, è volontario ma fornisce una presunzione di conformità.
4.8 Formazione interna
- Completare la formazione di tutto il personale sull’uso corretto e responsabile dell’AI (che dovrebbe essere già stata avviata al 2 febbraio 2025).
- Rischi e sanzioni
La mancata conformità può comportare:
- Sanzioni fino a 35 milioni di euro o al 7% del fatturato mondiale.
- Blocchi all’uso dei sistemi AI.
- Danni reputazionali e legali.
Conclusioni
Il 2 agosto 2025 non è solo una scadenza normativa: per il settore sanitario segna l’inizio di una fase in cui la tecnologia e la cura si incontrano sotto un quadro di regole più chiare. Prepararsi (e ciò in vista anche delle attese novità legislative nazionali che potranno aggiungere ulteriori dettagli a quanto sopra) significa tutelare la sicurezza dei pazienti, aumentare la qualità delle diagnosi e dei trattamenti e creare fiducia tra cittadini e istituzioni sanitarie.
Le organizzazioni sanitarie che avviano ora percorsi di compliance, investendo nella governance dell’AI e nella formazione del personale, saranno le prime a trasformare l’adempimento in innovazione responsabile. In un ambito così delicato come la salute, la conformità non è solo un obbligo: è una condizione per erogare cure sicure, efficaci e trasparenti, e per rafforzare il rapporto di fiducia con i pazienti.
Nadia Martini
Head of Data protection, Cybersecurity & Innovation – Rödl & Partner
