La legge UE sull'IA per la sanità e l'IA medica: i due percorsi ad alto rischio
Pubblicato 18 luglio 2026 · 6 min di lettura
L'IA entra rapidamente nella diagnosi, nel triage e nel supporto alle decisioni cliniche. Ai sensi della legge UE sull'IA, l'IA sanitaria è spesso ad alto rischio, ma attraverso uno di due percorsi distinti, con diversi iter di valutazione. Sapere quale si applica è il primo passo per qualsiasi medtech, clinica o startup del settore sanitario.
Percorso 1: la tua IA è (parte di) un dispositivo medico
Se la tua IA è un componente di sicurezza di, o è essa stessa, un dispositivo medico o un dispositivo medico-diagnostico in vitro, è ad alto rischio ai sensi dell'articolo 6(1). Il punto di aggancio è l'allegato I, che elenca il regolamento sui dispositivi medici (UE) 2017/745 e il IVDR (UE) 2017/746 (punti 11 e 12). Devono essere soddisfatte entrambe le condizioni: l'IA è o fa parte di un tale prodotto e quel prodotto richiede già una valutazione della conformità da parte di terzi. La maggior parte dei dispositivi di Classe IIa e superiori la richiede.
Percorso 2: la tua IA è un caso d'uso sanitario elencato
Anche al di fuori delle norme sui dispositivi medici, l'allegato III (articolo 6(2)) elenca usi legati alla sanità che sono ad alto rischio di per sé:
- Ammissibilità ai servizi sanitari (punto 5(a)). IA utilizzata da o per le autorità pubbliche per decidere chi ottiene prestazioni e servizi essenziali, espressamente inclusa l'assistenza sanitaria, o per concederli, ridurli o revocarli.
- Triage di emergenza (punto 5(d)). IA che effettua il triage delle chiamate di emergenza o coordina il primo intervento, inclusi il soccorso medico e i sistemi di triage dei pazienti in emergenza.
- Tariffazione delle assicurazioni sulla vita e sanitarie (punto 5(c)). IA per la valutazione del rischio e la tariffazione delle persone fisiche, trattata nella nostra guida alle assicurazioni.
Si somma all'MDR, non lo sostituisce
La legge sull'IA non si fonde con le norme sui dispositivi medici; i suoi requisiti sono aggiuntivi. Quando un prodotto rientra in entrambe, devi rispettarle tutte (articolo 8(2)). L'unico sollievo: puoi integrare i test, la documentazione e le segnalazioni della legge sull'IA nelle procedure MDR o IVDR che già svolgi, per evitare duplicazioni (considerando 64). E nota bene: essere classificati ad alto rischio non rende di per sé lecito un uso ai sensi di altre normative (considerando 63) — le norme sulla protezione dei dati e sui dispositivi continuano ad applicarsi integralmente.
Cosa devi fare
Una volta classificata ad alto rischio, si applicano gli obblighi del Capo III:
- Gestione del rischio (articolo 9) e governance dei dati (articolo 10) — qualità, rappresentatività e verifica dei bias dei dati clinici.
- Documentazione tecnica (articolo 11, allegato IV) e registrazione (articolo 12).
- Sorveglianza umana (articolo 14) — un clinico deve poter esaminare e annullare le decisioni.
- Accuratezza, robustezza e cibersicurezza (articolo 15).
Scadenze
I casi d'uso sanitari dell'allegato III si applicano dal 2 dicembre 2027; il percorso dei dispositivi medici (allegato I) dal 2 agosto 2028, entrambi riprogrammati dal Digital Omnibus (adottato, in attesa di pubblicazione nella Gazzetta ufficiale). Dati i cicli di validazione dei dispositivi, inizia ora. La nostra guida alle scadenze contiene la tabella completa.
Da dove iniziare
Individua quale percorso si applica ai tuoi sistemi con lo strumento gratuito EU AI Act Snapshot, due minuti, senza registrazione, poi segui la checklist in 9 passaggi e prepara la valutazione della conformità. I piani partono da EUR 0.