Dal 2 agosto 2026, qualsiasi sistema di IA incorporato in un dispositivo medico regolamentato ai sensi del MDR UE 2017/745 o dell'IVDR UE 2017/746 dovrà conformarsi integralmente agli obblighi per i sistemi ad alto rischio previsti dall'EU AI Act 2024/1689. Questo si applica in parallelo al MDR, non in sostituzione. I fabbricanti devono soddisfare entrambi i quadri normativi attraverso un'unica valutazione di conformità.
Perché i dispositivi medici con IA sono automaticamente ad alto rischio
L'Articolo 6(1) dell'AI Act classifica i sistemi di IA come ad alto rischio quando sono componenti di sicurezza di prodotti coperti dalla legislazione di armonizzazione dell'UE elencata nell'Allegato I. Sia il MDR 2017/745 che l'IVDR 2017/746 figurano in tale allegato.
Ciò significa che qualsiasi software come dispositivo medico (SaMD) nelle classi di rischio IIa, IIb o III è automaticamente un sistema di IA ad alto rischio ai sensi dell'AI Act. Non è necessaria un'analisi di classificazione separata. I dispositivi di Classe I possono rientrare anch'essi se includono un componente di IA che funge da componente di sicurezza.
| Classe MDR | Classificazione AI Act | Motivazione |
|---|---|---|
| III | Alto rischio (automatico) | Legislazione di armonizzazione elencata nell'Allegato I |
| IIb | Alto rischio (automatico) | Idem |
| IIa | Alto rischio (automatico) | Idem |
| I | Potenzialmente alto rischio | Se l'IA funge da componente di sicurezza |
Cosa aggiunge l'AI Act oltre al MDR
Il MDR richiede già un sistema di gestione della qualità, una valutazione clinica e la sorveglianza post-commercializzazione. L'AI Act aggiunge requisiti specifici per il componente di IA che vanno oltre quanto previsto dal MDR:
Gestione del rischio per l'IA (Articolo 9 dell'AI Act): Un processo di gestione del rischio specifico per l'IA, documentato e mantenuto durante l'intero ciclo di vita del sistema di IA. Questo deve essere integrato con il fascicolo di gestione del rischio ISO 14971 esistente, ma affronta rischi specifici dell'IA come bias, deriva distributiva e modalità di guasto in casi limite.
Governance dei dati (Articolo 10 dell'AI Act): I dataset di addestramento, validazione e test devono soddisfare criteri di qualità. È necessario documentare i metodi di raccolta dei dati, affrontare possibili bias e garantire che i dataset siano pertinenti, rappresentativi e completi per la finalità prevista.
Trasparenza (Articolo 13 dell'AI Act): Gli utilizzatori (deployer) devono essere in grado di interpretare l'output del sistema di IA e comprenderne i limiti. Le istruzioni per l'uso devono specificare il livello di accuratezza, robustezza e cybersicurezza raggiunto dal sistema.
Supervisione umana (Articolo 14 dell'AI Act): Il sistema deve essere progettato in modo che un essere umano possa supervisionarne efficacemente il funzionamento, comprenderne le capacità e i limiti, e intervenire o sovrascrivere quando necessario.
Accuratezza, robustezza, cybersicurezza (Articolo 15 dell'AI Act): Il sistema deve raggiungere livelli appropriati di accuratezza, essere resiliente contro errori e incongruenze, ed essere protetto da manipolazioni non autorizzate.
Documentazione tecnica: requisiti duplici
Il fascicolo tecnico viene valutato rispetto ai requisiti sia del MDR che dell'AI Act. In pratica, ciò significa che la documentazione tecnica MDR esistente ai sensi dell'Allegato II/III deve essere integrata con la documentazione tecnica dell'AI Act prevista dall'Allegato IV.
| Fascicolo tecnico MDR | Integrazione Allegato IV AI Act |
|---|---|
| Descrizione del dispositivo e destinazione d'uso | Descrizione dettagliata degli elementi del sistema di IA, processo di sviluppo |
| Gestione del rischio (ISO 14971) | Gestione del rischio specifica per l'IA con analisi di bias e robustezza |
| Valutazione clinica (Allegato XIV MDR) | Documentazione sulla governance dei dati, dataset di addestramento/validazione |
| Ciclo di vita del software (IEC 62304) | Progettazione dell'algoritmo, metodologia di addestramento, metriche di prestazione |
| Verifica e validazione | Test specifici per l'IA inclusi casi limite, input avversariali |
| Piano di sorveglianza post-commercializzazione | Monitoraggio delle prestazioni dell'IA, piano di rilevamento della deriva |
Valutazione di conformità: una procedura, due quadri normativi
L'Articolo 43(1) dell'AI Act specifica che la valutazione di conformità per i sistemi di IA ad alto rischio incorporati nei dispositivi medici segue la procedura già stabilita dal MDR. Il vostro Organismo Notificato valuta la conformità sia al MDR che all'AI Act in un unico processo.
Questo non significa meno lavoro. Significa che il vostro Organismo Notificato valuterà i requisiti aggiuntivi dell'AI Act durante lo stesso audit. Prevedete cicli di revisione più lunghi e domande aggiuntive sulla governance dei dati, la validazione degli algoritmi e la mitigazione dei bias.
Scadenze principali
| Data | Requisito |
|---|---|
| 2 agosto 2026 | Gli obblighi per l'IA ad alto rischio si applicano integralmente ai nuovi dispositivi medici con IA immessi sul mercato UE |
| 2 agosto 2027 | Conformità completa richiesta per i dispositivi medici con IA già sul mercato prima di agosto 2026 |
| Continuativo | Il monitoraggio post-commercializzazione deve includere il tracciamento delle prestazioni dell'IA, il rilevamento della deriva e la segnalazione degli incidenti |
I fabbricanti che immettono nuovi SaMD basati sull'IA sul mercato UE dopo il 2 agosto 2026 devono dimostrare la conformità sia al MDR che all'AI Act fin dal primo giorno. Non è previsto alcun periodo di transizione per i nuovi prodotti.
Come prepararsi ora
- Mappare i componenti di IA: Identificare ogni elemento di IA/ML nel dispositivo e documentare il suo ruolo nel processo decisionale clinico
- Estendere la gestione del rischio: Aggiungere l'analisi dei rischi specifici dell'IA (bias, deriva distributiva, robustezza avversariale) al fascicolo ISO 14971
- Documentare la pipeline dei dati: Registrare le fonti dei dati, la preelaborazione, l'etichettatura, le suddivisioni e i criteri di qualità per tutti i dati di addestramento e validazione
- Definire le metriche di prestazione: Stabilire benchmark di accuratezza, sensibilità, specificità e robustezza con criteri di accettazione chiari
- Pianificare il monitoraggio: Costruire un sistema di monitoraggio post-commercializzazione delle prestazioni dell'IA che rilevi la deriva e il degrado del modello nel tempo
- Coinvolgere il vostro Organismo Notificato tempestivamente: Discutere la preparazione all'AI Act con il vostro ON ora, poiché le tempistiche di audit sono già sotto pressione
Cercate lo strumento giusto per la regulatory intelligence? Leggete la nostra guida alla valutazione delle piattaforme di regulatory intelligence.
Punti chiave
- Tutti i SaMD basati sull'IA nelle classi MDR da IIa a III sono automaticamente ad alto rischio ai sensi dell'EU AI Act
- L'AI Act si applica in parallelo al MDR, non in sostituzione
- I nuovi obblighi coprono la governance dei dati, la trasparenza, la supervisione umana e la gestione del rischio specifica per l'IA
- La documentazione tecnica deve soddisfare sia l'Allegato II/III del MDR che l'Allegato IV dell'AI Act
- Un'unica valutazione di conformità copre entrambi i quadri normativi, condotta dal vostro Organismo Notificato
- I nuovi dispositivi devono essere conformi dal 2 agosto 2026; i dispositivi esistenti entro il 2 agosto 2027
- Iniziate a prepararvi ora perché la capacità degli Organismi Notificati è già limitata
Come RegAid può aiutare
RegAid copre il testo completo dell'EU AI Act 2024/1689 insieme al MDR 2017/745 e a tutte le linee guida MDCG sul software e l'IA. Chiedete "Quali requisiti di governance dei dati si applicano al mio diagnostico basato sull'IA ai sensi dell'AI Act?" e otterrete una risposta con riferimenti che collegano i requisiti dell'Articolo 10 ai vostri obblighi di documentazione tecnica MDR.