·
Sicurezza dell'IA nell'assistenza sanitaria
Assistenza sanitaria
IT sanitario / CIO
Spiegazione dell'AI Act dell'UE: cosa devono sapere le organizzazioni sanitarie
Una guida completa all'AI Act dell'UE per le organizzazioni sanitarie. Comprendi le classificazioni di rischio, le tempistiche di conformità e gli obblighi per utilizzatori e fornitori

La legge sull'IA dell'UE (Regolamento UE 2024/1689) rappresenta il primo quadro giuridico completo per la regolamentazione dell'intelligenza artificiale (IA) nell'Unione Europea, adottato dal Parlamento europeo nel marzo 2024 e pubblicato nella Gazzetta ufficiale dell'Unione Europea nel luglio 2024. Introduce un nuovo livello di obblighi giuridicamente vincolanti che si aggiunge ai quadri normativi esistenti. Ospedali, studi di medicina generale e fornitori di tecnologie sanitarie che operano o offrono servizi nei mercati dell'UE devono comprendere cosa richiede la legge, quando si applicano tali requisiti e chi è responsabile del loro rispetto.
Cos'è la legge sull'IA dell'UE
La legge sull'IA dell'UE stabilisce un quadro giuridico unificato per i sistemi di IA utilizzati in tutti i settori dell'Unione Europea. Il suo scopo è garantire che i sistemi di IA immessi sul mercato dell'UE o utilizzati al suo interno siano sicuri, trasparenti, tracciabili, non discriminatori e soggetti a supervisione umana. La legge si applica non solo alle organizzazioni con sede nell'UE, ma anche ai fornitori e agli utilizzatori al di fuori dell'UE i cui sistemi di IA influenzano persone all'interno dell'Unione.
Il regolamento è strutturato attorno a un sistema di classificazione basato sul rischio, con obblighi proporzionati al potenziale danno che un sistema di IA potrebbe causare. Introduce inoltre nuove strutture di governance, tra cui l'Ufficio europeo per l'IA, che fa parte della Commissione europea e supervisiona l'applicazione delle norme relative ai modelli di IA per scopi generali (GPAI). Un modello di IA per scopi generali è un grande modello di IA addestrato su set di dati ampi che può svolgere un'ampia gamma di compiti.
Quando entra in vigore la legge sull'IA dell'UE
La legge è entrata in vigore il 1° agosto 2024, ma gli obblighi vengono introdotti attraverso un calendario di attuazione graduale, anziché in un'unica data di attivazione. I responsabili delle decisioni sanitarie dovrebbero essere consapevoli delle seguenti tappe fondamentali:
Febbraio 2025: Entrano in vigore i divieti sui sistemi di IA a rischio inaccettabile. Da questa data si applica anche l'obbligo di alfabetizzazione all'IA per tutte le organizzazioni che utilizzano l'IA, che richiede al personale che lavora con i sistemi di IA di possedere conoscenze sufficienti per utilizzarli in modo appropriato.
Agosto 2025: Diventano applicabili le norme che regolano i modelli di IA per scopi generali, compresi i modelli di base alla base di molti strumenti di IA clinica.
Agosto 2026: Gli obblighi fondamentali per i sistemi di IA ad alto rischio, comprese le valutazioni di conformità, la documentazione tecnica e i requisiti di supervisione umana, si applicano integralmente. Questa è la scadenza critica per la conformità della maggior parte delle soluzioni di IA in ambito sanitario.
Agosto 2027: Un periodo di transizione esteso si applica specificamente ai sistemi di IA già regolamentati come dispositivi medici ai sensi del Regolamento sui dispositivi medici (MDR) o del Regolamento sui dispositivi diagnostici in vitro (IVDR) che richiedono la valutazione dell'Organismo notificato. Questi sistemi hanno un anno aggiuntivo per soddisfare i requisiti dell'articolo 6(1) della legge sull'IA.
La Commissione europea ha proposto adeguamenti alla tempistica delle norme ad alto rischio attraverso l'iniziativa Digital Omnibus, che affronta le sfide di attuazione, compresi i ritardi nello sviluppo di standard armonizzati. Le organizzazioni sanitarie dovrebbero monitorare questo processo, poiché potrebbe influire sul momento in cui determinati requisiti di documentazione sulla conformità diventeranno applicabili nella pratica.
Perché la sanità è un settore prioritario ai sensi della legge
La sanità è esplicitamente identificata come un settore ad alto rischio nella legge sull'IA perché i sistemi di IA utilizzati in contesti clinici possono influenzare direttamente la sicurezza dei pazienti, l'accesso alle cure e i diritti fondamentali. Un sistema di IA che incide su una decisione diagnostica, raccomanda un percorso terapeutico o esegue il triage dei pazienti in base all'urgenza prevista comporta un potenziale concreto di danno se è impreciso, distorto o utilizzato senza un'adeguata supervisione umana.
Le linee guida sulla salute pubblica della Commissione europea sull'IA nella sanità sottolineano che i sistemi di IA ad alto rischio destinati a scopi medici devono soddisfare requisiti relativi alla mitigazione del rischio, alla qualità dei dati, alla trasparenza e alla supervisione umana. Ciò riflette un riconoscimento più ampio del fatto che la posta in gioco nella sanità è diversa rispetto a settori come il marketing o la logistica.
Un'analisi comparativa dei quadri di governance dell'IA in cinque giurisdizioni ha rilevato che gli schemi di classificazione del rischio per l'IA sanitaria stanno convergendo a livello internazionale, con l'approccio dell'UE che funge da modello influente, in particolare nel modo in cui distingue tra l'IA che supporta il processo decisionale e quella che potrebbe influenzare autonomamente i risultati clinici.
Come la legge sull'IA dell'UE classifica i sistemi di IA
La legge organizza i sistemi di IA in quattro categorie di rischio, ciascuna con un diverso livello di obbligo normativo.
Rischio inaccettabile
I sistemi di IA che rappresentano una chiara minaccia per i diritti fondamentali o la sicurezza sono vietati in modo assoluto. Gli esempi includono sistemi di punteggio sociale utilizzati dalle autorità pubbliche e IA che sfruttano vulnerabilità psicologiche. Questi divieti si applicano da febbraio 2025.
Alto rischio
Sistemi di IA che comportano rischi significativi per la salute, la sicurezza o i diritti fondamentali, ma i cui benefici possono giustificarne l'uso in condizioni rigorose. Questi sistemi devono soddisfare requisiti di conformità estesi prima dell'implementazione. L'IA sanitaria rientra prevalentemente in questa categoria.
Rischio limitato
Sistemi di IA soggetti a specifici obblighi di trasparenza, come i chatbot che devono dichiarare di essere IA. Molti strumenti digitali rivolti ai pazienti rientrano in questa categoria.
Rischio minimo
Sistemi di IA senza requisiti normativi specifici ai sensi della legge, come filtri antispam o IA utilizzata nei videogiochi.
Una categoria separata riguarda i modelli di IA per scopi generali. Questi grandi modelli di base sono alla base di molti strumenti linguistici clinici e comportano obblighi propri, indipendentemente dal livello di rischio dell'applicazione a valle costruita su di essi.
Quali sistemi di IA sanitaria sono classificati come ad alto rischio
L'allegato III della legge sull'IA specifica le categorie di sistemi di IA ad alto rischio. Per la sanità, la più rilevante è il punto 5(a) dell'allegato III: sistemi di IA destinati a essere utilizzati come componenti di sicurezza di dispositivi medici o come sistemi di IA autonomi che sono essi stessi dispositivi medici. La legge copre i sistemi di IA utilizzati per:
Diagnosi e supporto decisionale clinico: compresi gli strumenti di IA che assistono nell'identificazione delle malattie, nell'interpretazione delle immagini mediche o nella raccomandazione di percorsi diagnostici
Raccomandazioni terapeutiche: sistemi di IA che suggeriscono o danno priorità alle opzioni di trattamento per i singoli pazienti
Triage dei pazienti: sistemi che assegnano priorità o urgenza clinica
Monitoraggio dei pazienti: strumenti di IA che valutano continuamente lo stato del paziente e segnalano eventuali peggioramenti
Un'analisi peer-reviewed su npj Digital Medicine ha rilevato che circa il 75% dei dispositivi medici commerciali abilitati all'IA si trova in radiologia e tutti tranne uno sono classificati come Classe IIa o superiore ai sensi del MDR, il che significa che la maggior parte dell'IA clinica implementata sarà trattata come ad alto rischio ai sensi della legge sull'IA.
Gli assistenti sanitari virtuali e i chatbot clinici basati sull'IA occupano una posizione più sfumata. Laddove forniscono informazioni cliniche che potrebbero influenzare le decisioni dei pazienti, potrebbero rientrare nella classificazione ad alto rischio. Se invece funzionano principalmente come interfacce di comunicazione, potrebbero applicarsi obblighi di trasparenza a rischio limitato.
Cosa significa la legge sull'IA dell'UE per i dispositivi medici IA e la sovrapposizione con il MDR
Uno degli aspetti più complessi della legge sull'IA è la sua relazione con la regolamentazione esistente sui dispositivi medici. Per ulteriori informazioni sul motivo per cui gli strumenti di documentazione IA devono rientrare nel quadro MDR, si veda questa analisi. I sistemi di IA già regolamentati come dispositivi medici ai sensi del MDR o dell'IVDR sono soggetti a entrambi i quadri contemporaneamente e gli obblighi non si fondono semplicemente.
L'analisi legale di Reed Smith descrive questo come un quadro di doppia conformità. I sistemi di IA per dispositivi medici classificati come MDR Classe IIa, IIb o III, o IVDR Classe A fino a D, si qualificheranno generalmente come ad alto rischio ai sensi della legge sull'IA. La legge sull'IA aggiunge quindi requisiti relativi alla qualità dei dati, alla governance dei dati, alla tenuta dei registri, alla trasparenza, alla responsabilità e alla supervisione umana che vanno oltre quanto richiesto dal MDR.
Le organizzazioni possono integrare i requisiti della legge sull'IA nella documentazione del sistema di gestione della qualità (QMS) esistente e una singola valutazione di conformità è consentita quando l'Organismo notificato è accreditato in entrambi i quadri. Tuttavia, le organizzazioni sanitarie non dovrebbero presumere che la conformità al MDR sia sufficiente. Il briefing di Hunton Andrews Kurth sottolinea che la legge sull'IA introduce obblighi aggiuntivi, compresa la segnalazione di incidenti alle autorità di vigilanza del mercato entro 15 giorni per incidenti gravi, che non hanno un equivalente diretto nel MDR.
L'analisi di White & Case osserva inoltre che la legge sull'IA, il MDR e la direttiva riveduta sulla responsabilità per danno da prodotti formano insieme quello che viene descritto come un "triangolo normativo" che inasprisce la responsabilità per i produttori di dispositivi medici basati sull'IA, una considerazione rilevante sia per le decisioni di approvvigionamento sia per la pianificazione della conformità interna.
Obblighi chiave di conformità per l'IA ad alto rischio nella sanità
Le organizzazioni che implementano o forniscono sistemi di IA ad alto rischio nella sanità devono soddisfare un insieme sostanziale di requisiti. Gli obblighi fondamentali ai sensi della legge includono:
Valutazione di conformità
I sistemi di IA ad alto rischio devono essere sottoposti a una valutazione di conformità prima di essere immessi sul mercato o messi in servizio. Per i dispositivi medici IA già soggetti a revisione dell'Organismo notificato ai sensi del MDR, questo processo può essere integrato nel percorso di valutazione esistente.
Documentazione tecnica
I fornitori devono mantenere una documentazione tecnica completa che copra la progettazione del sistema, la metodologia di sviluppo, le caratteristiche dei dati di addestramento, le metriche di prestazione e le limitazioni note. Questa documentazione deve essere mantenuta aggiornata per tutto il ciclo di vita del sistema.
Meccanismi di supervisione umana
I sistemi di IA ad alto rischio devono essere progettati in modo da consentire la supervisione umana, compresa la possibilità per gli utenti di monitorare, comprendere e, quando necessario, ignorare o interrompere gli output del sistema.
Obblighi di trasparenza
Gli utilizzatori devono garantire che gli utenti siano informati di interagire con o fare affidamento su un sistema di IA. Per gli strumenti clinici, ciò include la chiara comunicazione del ruolo dell'IA nella generazione di output come suggerimenti diagnostici o documentazione clinica.
Governance dei dati
I dati di addestramento, validazione e test devono soddisfare standard di qualità. I dati devono essere pertinenti, rappresentativi e privi di errori che potrebbero produrre output discriminatori o non sicuri.
Monitoraggio post-commercializzazione
I fornitori devono implementare sistemi per raccogliere e analizzare i dati sulle prestazioni dopo l'implementazione e segnalare incidenti gravi all'autorità nazionale competente.
Alfabetizzazione all'IA
Applicabile da febbraio 2025, tutte le organizzazioni che implementano sistemi di IA devono garantire che il personale che lavora con tali sistemi abbia conoscenze sufficienti per comprenderne le capacità e i limiti. HIMSS ha osservato che questo obbligo si applica a tutti i livelli di rischio, non solo ai sistemi ad alto rischio.
Una revisione dell'ambito pubblicata su npj Digital Medicine che sintetizza le prove sui quadri di governance dell'IA nelle organizzazioni sanitarie ha identificato la supervisione umana, la trasparenza e il monitoraggio post-implementazione come i componenti più costantemente citati di una governance efficace, allineandosi strettamente a ciò che la legge ora impone.
Chi è responsabile: fornitori di IA vs utilizzatori
La legge sull'IA traccia una chiara distinzione giuridica tra due categorie di soggetti obbligati.
Fornitori
I fornitori sono organizzazioni che sviluppano un sistema di IA, lo immettono sul mercato o lo mettono in servizio con il proprio nome o marchio. Ciò include fornitori di IA, sviluppatori di software e aziende di tecnologia sanitaria.
Utilizzatori
Gli utilizzatori sono organizzazioni che utilizzano un sistema di IA ad alto rischio sotto la propria autorità in un contesto professionale. Nella sanità, ciò significa ospedali, studi di medicina generale, sistemi di assistenza integrata e qualsiasi altra organizzazione che utilizzi uno strumento di IA di terze parti nei flussi di lavoro clinici o amministrativi.
Questa distinzione è importante perché entrambe le parti hanno obblighi distinti e non trasferibili. I fornitori sono responsabili di garantire che i loro sistemi soddisfino i requisiti tecnici e di documentazione prima dell'implementazione. Gli utilizzatori sono responsabili di garantire che i sistemi siano utilizzati in modo appropriato, che sia in atto una supervisione umana e che il personale sia adeguatamente formato.
L'analisi del Diagnostic and Interventional Radiology journal sottolinea che le organizzazioni sanitarie che agiscono come utilizzatori non possono semplicemente fare affidamento sulla conformità del fornitore. Devono verificare attivamente che i sistemi di IA utilizzati soddisfino i requisiti della legge e che i processi interni supportino un uso conforme.
Una sfumatura importante: le organizzazioni sanitarie che sviluppano strumenti di IA internamente per il proprio uso possono beneficiare di un'esenzione limitata, ma solo a condizioni specifiche, e la legge richiede comunque l'adesione agli standard di qualità dei dati e trasparenza.
Cosa significa effettivamente la supervisione umana in un contesto clinico
Il requisito di supervisione umana della legge non è semplicemente una formalità legale. Riflette un principio sostanziale: le decisioni consequenziali che riguardano i pazienti non dovrebbero essere delegate interamente a sistemi automatizzati.
In pratica, una supervisione umana significativa nei flussi di lavoro clinici significa:
Un clinico che esamina la documentazione clinica generata dall'IA prima che venga salvata nella cartella del paziente, invece di accettarla senza revisione
Un radiologo che esamina un reperto segnalato dall'IA e formula un giudizio clinico indipendente prima di agire di conseguenza
Un infermiere di triage che valuta un punteggio di priorità generato dall'IA nel contesto dell'osservazione diretta del paziente, invece di trattarlo come un'istruzione definitiva
Il personale clinico che ha la capacità tecnica e l'autorizzazione organizzativa per ignorare o disattendere un output dell'IA quando il giudizio clinico lo richiede
Un commento del BMJ Health Care Informatics che propone un approccio stratificato per rischio alla governance dei grandi modelli linguistici nella pratica clinica sostiene che una supervisione significativa richiede non solo meccanismi tecnici ma anche una cultura organizzativa. I clinici devono sentirsi autorizzati a mettere in discussione gli output dell'IA e le strutture di governance devono supportare tale comportamento.
La legge richiede che i sistemi di IA ad alto rischio siano progettati con meccanismi di supervisione integrati per impostazione predefinita, non aggiunti come ripensamento. Le organizzazioni sanitarie che valutano strumenti di IA dovrebbero verificare se la progettazione del prodotto supporta effettivamente la revisione del clinico o se le pressioni del flusso di lavoro rendono l'approvazione automatica degli output dell'IA la strada più semplice.
Governance dei dati e GDPR: come interagiscono i due quadri
La legge sull'IA introduce obblighi di governance dei dati che si affiancano, ma non sostituiscono, i requisiti esistenti ai sensi del Regolamento generale sulla protezione dei dati (GDPR). Le organizzazioni sanitarie che operano in entrambi i quadri devono comprendere che la conformità al GDPR non soddisfa automaticamente i requisiti sui dati della legge sull'IA.
Mentre il GDPR si concentra sul trattamento lecito dei dati personali, le disposizioni sulla governance dei dati della legge sull'IA si concentrano specificamente sulla qualità e sull'adeguatezza dei dati utilizzati per addestrare, validare e testare i sistemi di IA. La legge richiede che i set di dati di addestramento siano:
Pertinenti e sufficientemente rappresentativi del caso d'uso previsto
Privi di errori e lacune di completezza che potrebbero causare output non sicuri
Esaminati per potenziali distorsioni che potrebbero portare a risultati discriminatori in contesti clinici
Il commento peer-reviewed di npj Digital Medicine evidenzia che i sistemi di IA addestrati su set di dati che sottorappresentano determinate popolazioni di pazienti, per età, etnia, sesso o profilo di comorbidità, possono produrre output sistematicamente peggiori per quei gruppi, con implicazioni dirette sulla sicurezza del paziente. I requisiti di governance dei dati della legge sono progettati per affrontare questo rischio.
La residenza dei dati è un'ulteriore considerazione. Le organizzazioni sanitarie che acquistano strumenti di IA da fornitori extra-UE dovrebbero verificare dove vengono elaborati e archiviati i dati dei pazienti, sia per soddisfare i requisiti del GDPR sia per garantire la conformità con le disposizioni di trasparenza e responsabilità della legge sull'IA. Lo Spazio europeo dei dati sanitari (EHDS), entrato in vigore nel 2025, aggiunge un ulteriore livello di governance dei dati applicabile specificamente ai dati sanitari.
Cosa dovrebbero fare ora le organizzazioni sanitarie
Dato il calendario di attuazione graduale, le organizzazioni sanitarie hanno una finestra definita per prepararsi. I seguenti passaggi rappresentano il nucleo di un programma di conformità pratico:
Verificare gli strumenti di IA attuali: Identificare ogni sistema di IA in uso nell'organizzazione, compresi gli strumenti integrati nei sistemi di cartelle cliniche, software diagnostici, automazione amministrativa e applicazioni rivolte ai pazienti
Valutare le classificazioni di rischio: Per ogni sistema identificato, determinare se rientra nella categoria ad alto rischio ai sensi dell'allegato III della legge o se comporta obblighi di trasparenza a rischio limitato
Rivedere i contratti con i fornitori: Esaminare gli accordi con i fornitori di IA per comprendere come sono allocati gli obblighi di conformità. I contratti dovrebbero specificare quale parte è responsabile delle valutazioni di conformità, della documentazione tecnica e del monitoraggio post-commercializzazione
Nominare un responsabile della governance dell'IA: Designare una figura interna responsabile della conformità alla legge sull'IA. Nelle organizzazioni più grandi, ciò può rientrare in una funzione di informatica clinica, legale o governance delle informazioni. Nelle realtà più piccole, potrebbe essere necessario un supporto esterno
Preparare la documentazione: Iniziare a compilare o richiedere la documentazione tecnica richiesta per i sistemi ad alto rischio, comprese le prove delle valutazioni di conformità, le garanzie sulla qualità dei dati e i meccanismi di supervisione umana
Implementare la formazione sull'alfabetizzazione all'IA: L'obbligo di alfabetizzazione all'IA si applica da febbraio 2025. Le organizzazioni che non hanno ancora affrontato questo aspetto dovrebbero dare priorità alla formazione per il personale clinico e amministrativo che interagisce con gli strumenti di IA
Stabilire processi di segnalazione degli incidenti: Mettere in atto procedure interne per identificare ed escalare gli incidenti relativi all'IA, allineate al requisito della legge di segnalare incidenti gravi alle autorità nazionali entro 15 giorni
Uno studio comparativo sulla governance in cinque giurisdizioni ha rilevato che le organizzazioni che hanno sviluppato in modo proattivo strutture di governance interna dell'IA prima delle scadenze normative erano meglio posizionate per soddisfare i requisiti di conformità rispetto a quelle che hanno atteso l'inizio dell'applicazione.
Come valutare i fornitori di IA per la conformità alla legge sull'IA dell'UE
I team di approvvigionamento e informatica clinica che valutano prodotti di IA dovrebbero trattare la conformità alla legge sull'IA dell'UE come un requisito standard di due diligence, insieme alle prove cliniche e alla sicurezza dei dati. Le domande chiave da porre ai fornitori includono:
Classificazione del rischio: Come classifica il fornitore questo sistema ai sensi della legge sull'IA? Quali prove supportano tale classificazione?
Valutazione di conformità: Il sistema è stato sottoposto a una valutazione di conformità? Laddove è richiesto un Organismo notificato, quale organismo l'ha condotta?
Documentazione tecnica: Il fornitore può fornire la documentazione tecnica completa, comprese le caratteristiche dei dati di addestramento, i benchmark di prestazione e le limitazioni note?
Marcatura CE: Per i dispositivi medici IA, è presente la marcatura CE ai sensi del MDR o dell'IVDR ed è stata aggiornata per riflettere i requisiti della legge sull'IA?
Supervisione umana per progettazione: In che modo la progettazione del prodotto supporta la revisione e l'override del clinico? Il fornitore può dimostrarlo in un flusso di lavoro reale?
Residenza dei dati: Dove vengono elaborati e archiviati i dati dei pazienti? Ciò soddisfa i requisiti del GDPR e dell'EHDS?
Monitoraggio post-commercializzazione: Quali processi ha in atto il fornitore per il monitoraggio continuo delle prestazioni e la segnalazione degli incidenti?
Dipendenze dal modello GPAI: Se il prodotto è costruito su un modello di base, quali obblighi si applicano a quel modello ai sensi delle disposizioni GPAI e come li gestisce il fornitore?
Il verificatore di conformità della piattaforma informativa unica (SIP) della legge sull'IA, gestito dalla Commissione europea, fornisce uno strumento strutturato per valutare dove si colloca un determinato sistema di IA all'interno del quadro normativo, un punto di partenza utile per i team di approvvigionamento.
Sanzioni per la non conformità
La struttura delle sanzioni della legge sull'IA è stratificata per riflettere la gravità della violazione:
Fino a 35 milioni di euro o il 7% del fatturato annuo globale (a seconda di quale sia il valore più alto) per violazioni che coinvolgono sistemi di IA vietati
Fino a 15 milioni di euro o il 3% del fatturato annuo globale (a seconda di quale sia il valore più alto) per violazioni di altri obblighi, compresi i requisiti per i sistemi ad alto rischio
Fino a 7,5 milioni di euro o l'1,5% del fatturato annuo globale (a seconda di quale sia il valore più alto) per la fornitura di informazioni errate o fuorvianti alle autorità
L'applicazione sarà gestita a livello di Stato membro attraverso autorità di vigilanza nazionali designate. L'Ufficio europeo per l'IA avrà la responsabilità di supervisione per la conformità dei modelli GPAI. Le sanzioni possono applicarsi anche agli utilizzatori, non solo agli sviluppatori e ai fornitori di IA, laddove l'utilizzatore non abbia rispettato i propri obblighi ai sensi della legge.
L'analisi sulla responsabilità di White & Case osserva che il ritiro della direttiva autonoma sulla responsabilità dell'IA nel febbraio 2025 significa che le richieste di responsabilità civile saranno incanalate attraverso la direttiva riveduta sulla responsabilità per danno da prodotti piuttosto che uno strumento dedicato alla responsabilità dell'IA. Ciò non riduce l'esposizione finanziaria per le organizzazioni ritenute in violazione della legge sull'IA stessa.
Glossario: termini chiave della legge sull'IA dell'UE per i professionisti sanitari
Fornitore
Un'organizzazione o un individuo che sviluppa un sistema di IA, lo immette sul mercato dell'UE o lo mette in servizio con il proprio nome. Include fornitori di IA e aziende di tecnologia sanitaria.
Utilizzatore
Un'organizzazione o un individuo che utilizza un sistema di IA ad alto rischio in un contesto professionale sotto la propria autorità. Ospedali, studi di medicina generale e altre organizzazioni sanitarie che utilizzano strumenti di IA di terze parti sono utilizzatori.
Sistema di IA ad alto rischio
Un sistema di IA elencato nell'allegato III della legge o utilizzato come componente di sicurezza in un prodotto regolamentato dalla legislazione settoriale specifica come il MDR. Soggetto agli obblighi di conformità più estesi della legge.
Valutazione di conformità
Un processo formale mediante il quale un fornitore dimostra che un sistema di IA ad alto rischio soddisfa i requisiti della legge. A seconda del tipo di sistema, può essere condotto autonomamente dal fornitore o da un Organismo notificato accreditato.
Monitoraggio post-commercializzazione
Un processo continuo mediante il quale i fornitori raccolgono e analizzano i dati sulle prestazioni nel mondo reale di un sistema di IA implementato, con l'obiettivo di identificare rischi o degrado delle prestazioni non evidenti durante la valutazione pre-commercializzazione.
Valutazione dell'impatto sui diritti fondamentali
Una valutazione strutturata che gli utilizzatori di determinati sistemi di IA ad alto rischio devono condurre prima dell'implementazione, valutando il potenziale impatto sui diritti fondamentali, compresa la non discriminazione, la privacy e l'accesso all'assistenza sanitaria.
Modello di IA per scopi generali
Un grande modello di IA addestrato su set di dati ampi che può svolgere un'ampia gamma di compiti. I modelli di base alla base di molti strumenti linguistici clinici rientrano in questa categoria e comportano obblighi specifici ai sensi della legge, indipendentemente dall'applicazione a valle.
Alfabetizzazione all'IA
Le conoscenze e le competenze necessarie per utilizzare i sistemi di IA in modo appropriato, valutare criticamente i loro output e comprenderne i limiti. Le organizzazioni devono garantire che il personale pertinente possieda un'alfabetizzazione all'IA sufficiente da febbraio 2025 in poi.
Documentazione tecnica
Il registro formale che un fornitore deve mantenere, coprendo la progettazione, lo sviluppo, le caratteristiche dei dati, la metodologia di test e le prestazioni di un sistema di IA. Richiesto per tutti i sistemi di IA ad alto rischio e deve essere mantenuto aggiornato per tutta la vita operativa del sistema.
Domande frequenti
▶ Cos'è la legge sull'IA dell'UE e si applica alle organizzazioni sanitarie
La legge sull'IA dell'UE (Regolamento UE 2024/1689) è il primo quadro giuridico completo per la regolamentazione dell'intelligenza artificiale nell'Unione Europea. Si applica a qualsiasi organizzazione che immette sistemi di IA sul mercato dell'UE o li utilizza per influenzare persone all'interno dell'UE, compresi ospedali, studi di medicina generale e fornitori di tecnologie sanitarie. Non si applica solo alle organizzazioni con sede nell'UE: la sua portata extraterritoriale significa che anche i fornitori extra-UE sono coperti se i loro sistemi influenzano i pazienti dell'UE.
▶ Quando le organizzazioni sanitarie devono conformarsi alla legge sull'IA dell'UE
Gli obblighi vengono introdotti in fasi. I divieti sui sistemi di IA a rischio inaccettabile e il requisito di alfabetizzazione all'IA si applicano da febbraio 2025. Le norme per i modelli di IA per scopi generali si applicano da agosto 2025. Gli obblighi fondamentali per i sistemi di IA ad alto rischio, comprese le valutazioni di conformità e i requisiti di supervisione umana, si applicano integralmente da agosto 2026. I sistemi di IA già regolamentati come dispositivi medici ai sensi del Regolamento sui dispositivi medici hanno un periodo di transizione esteso fino ad agosto 2027.
▶ Quali sistemi di IA sanitaria sono classificati come ad alto rischio ai sensi della legge
La legge classifica i sistemi di IA utilizzati per diagnosi, supporto decisionale clinico, raccomandazioni terapeutiche, triage dei pazienti e monitoraggio dei pazienti come ad alto rischio. Un'analisi peer-reviewed su npj Digital Medicine ha rilevato che circa il 75% dei dispositivi medici commerciali abilitati all'IA si trova in radiologia e sono classificati come Classe IIa o superiore ai sensi del Regolamento sui dispositivi medici, il che significa che la maggior parte dell'IA clinica implementata sarà trattata come ad alto rischio ai sensi della legge.
▶ Qual è la differenza tra un fornitore e un utilizzatore ai sensi della legge sull'IA dell'UE
I fornitori sono organizzazioni che sviluppano un sistema di IA e lo immettono sul mercato con il proprio nome: ciò include fornitori di IA e aziende di tecnologia sanitaria. Gli utilizzatori sono organizzazioni che utilizzano un sistema di IA ad alto rischio in un contesto professionale, come ospedali e studi di medicina generale che utilizzano strumenti di IA di terze parti. Entrambe le parti hanno obblighi distinti che non possono essere trasferiti all'altra. Le organizzazioni sanitarie che agiscono come utilizzatori non possono semplicemente fare affidamento sulla conformità del fornitore: devono verificare attivamente che i sistemi soddisfino i requisiti della legge e che i processi interni supportino un uso conforme.
▶ La conformità al MDR soddisfa i requisiti della legge sull'IA dell'UE per i dispositivi medici IA
No. I sistemi di IA regolamentati come dispositivi medici ai sensi del Regolamento sui dispositivi medici sono soggetti a entrambi i quadri contemporaneamente. La legge sull'IA aggiunge requisiti relativi alla qualità dei dati, alla governance dei dati, alla tenuta dei registri, alla trasparenza, alla responsabilità e alla supervisione umana che vanno oltre quanto richiesto dal Regolamento sui dispositivi medici. Le organizzazioni possono integrare i requisiti della legge sull'IA nella documentazione del sistema di gestione della qualità esistente, ma la sola conformità al MDR non è sufficiente.
▶ Cosa significa in pratica il requisito di supervisione umana per il personale clinico
La supervisione umana significa che le decisioni consequenziali che riguardano i pazienti non dovrebbero essere delegate interamente a sistemi automatizzati. In pratica, significa che un clinico esamina la documentazione clinica generata dall'IA prima che venga salvata nella cartella del paziente, un radiologo formula un giudizio indipendente su un reperto segnalato dall'IA e un infermiere di triage valuta un punteggio di priorità generato dall'IA rispetto all'osservazione diretta del paziente. Il personale clinico deve anche avere sia la capacità tecnica sia l'autorizzazione organizzativa per ignorare un output dell'IA quando il proprio giudizio clinico lo giustifica.
▶ Come interagisce la legge sull'IA dell'UE con il GDPR per le organizzazioni sanitarie
La legge sull'IA introduce obblighi di governance dei dati che si affiancano al GDPR ma non lo sostituiscono. La conformità al GDPR non soddisfa automaticamente i requisiti sui dati della legge sull'IA. Mentre il GDPR si concentra sul trattamento lecito dei dati personali, la legge sull'IA si concentra specificamente sulla qualità e sull'adeguatezza dei dati utilizzati per addestrare, validare e testare i sistemi di IA. I set di dati di addestramento devono essere pertinenti, rappresentativi ed esaminati per distorsioni che potrebbero produrre output discriminatori o non sicuri per particolari gruppi di pazienti.
▶ Quali sono le sanzioni per la non conformità alla legge sull'IA dell'UE
La struttura delle sanzioni è stratificata. Le violazioni che coinvolgono sistemi di IA vietati possono comportare multe fino a 35 milioni di euro o il 7% del fatturato annuo globale, a seconda di quale sia il valore più alto. Le violazioni degli obblighi per i sistemi ad alto rischio possono comportare multe fino a 15 milioni di euro o il 3% del fatturato annuo globale. La fornitura di informazioni errate alle autorità può comportare multe fino a 7,5 milioni di euro o l'1,5% del fatturato annuo globale. Le sanzioni possono applicarsi anche agli utilizzatori oltre che ai fornitori, laddove l'utilizzatore non abbia rispettato i propri obblighi.
▶ Cosa dovrebbero fare ora le organizzazioni sanitarie per prepararsi alla legge sull'IA dell'UE
Le organizzazioni dovrebbero iniziare verificando ogni sistema di IA attualmente in uso, compresi gli strumenti integrati nei sistemi di cartelle cliniche, software diagnostici e applicazioni rivolte ai pazienti. Ogni sistema dovrebbe essere valutato rispetto alle classificazioni di rischio della legge. I contratti con i fornitori dovrebbero essere rivisti per confermare come sono allocati gli obblighi di conformità. L'obbligo di alfabetizzazione all'IA si applica da febbraio 2025, quindi la formazione per il personale che interagisce con gli strumenti di IA dovrebbe essere una priorità se non è già stata affrontata. Dovrebbero anche essere in atto processi interni di segnalazione degli incidenti allineati al requisito della legge di segnalare incidenti gravi entro 15 giorni.
▶ Quali domande dovrebbero porre i team di approvvigionamento ai fornitori di IA sulla conformità alla legge sull'IA dell'UE
I team di approvvigionamento dovrebbero chiedere ai fornitori come classificano il proprio sistema ai sensi della legge e quali prove supportano tale classificazione. Dovrebbero richiedere conferma se è stata completata una valutazione di conformità e, laddove è richiesto un Organismo notificato, quale organismo l'ha condotta. La documentazione tecnica completa, comprese le caratteristiche dei dati di addestramento e le limitazioni note, dovrebbe essere disponibile su richiesta. I fornitori dovrebbero anche essere in grado di dimostrare come la progettazione del prodotto supporta la revisione e l'override del clinico, confermare dove vengono elaborati e archiviati i dati dei pazienti e spiegare i loro processi di monitoraggio post-commercializzazione e segnalazione degli incidenti.