Nel settore della tecnologia medica, i software basati sull'intelligenza artificiale non sono più regolamentati esclusivamente dal regolamento sui dispositivi medici (MDR) o dal regolamento sui dispositivi diagnostici in vitro (IVDR). Con la nuova legge sull'intelligenza artificiale (AI Act) dell'UE entra in scena un terzo quadro normativo che si sovrappone ai precedenti.
Il risultato è un trilemma normativo in cui le decisioni di classificazione adottate in un quadro normativo comportano conseguenze immediate e decisive nell'altro.
Il fattore scatenante decisivo: perché l’MDR/IVDR porta direttamente all’AI Act
La destinazione d'uso del software è l'elemento decisivo. Non appena un software di IA viene classificato come dispositivo medico di classe IIa o superiore secondo le regole di classificazione dell'MDR (spesso la regola 11) o dell'IVDR, oppure se è necessario coinvolgere un organismo notificato per la valutazione della conformità, esso rientra quasi senza eccezioni nella categoria ad alto rischio (High-Risk AI) ai sensi dell'AI Act.
Ciò significa che la classificazione ai sensi dell’MDR/IVDR costituisce il fattore scatenante diretto per l’applicazione dei requisiti più rigorosi previsti dall’AI Act. Le normative non possono più essere considerate separatamente.
Il divario: dalla classificazione all'attuazione
Purtroppo, rendersi conto che il proprio prodotto è un dispositivo basato sull'intelligenza artificiale ad alto rischio è solo il primo passo. Il compito di gran lunga più complesso per i produttori consiste nell'attuazione operativa. L'AI Act, negli articoli da 8 a 15, richiede misure specifiche che vanno ben oltre la classica interpretazione del MDR:
- Governance dei dati: requisiti rigorosi per i set di dati di addestramento, di validazione e di test, al fine di evitare distorsioni.
- Trasparenza e controllo umano: le decisioni prese dall'IA devono rimanere comprensibili per gli utenti (i medici) ed essere soggette a revisione (IA spiegabile).
- Cybersecurity e robustezza: requisiti notevolmente più elevati in termini di affidabilità sistematica dei modelli.
Questi aspetti devono ora essere integrati senza soluzione di continuità nell'attuale sistema di gestione dei rischi (ISO 14971) e nel sistema di gestione della qualità (ISO 13485). Considerate le scadenze prorogate, molti produttori si sentono al sicuro, poiché l'applicazione definitiva delle norme relative all'IA ad alto rischio di cui all'Allegato I entrerà in vigore solo nel 2028.
Tuttavia, questo periodo non è un margine di tempo da sfruttare per temporeggiare, bensì una fase essenziale in cui gli organismi notificati devono ancora mettere a punto i propri standard di verifica. Chi non inizia fin da ora con l’analisi delle lacune e una documentazione accurata (ad esempio in materia di governance dei dati), nel 2028 si troverà bloccato da un’architettura di sistema non verificabile.