Con l’entrata in vigore dell’AI Act vengono stabilite nuove regole per i dispositivi medici basati su intelligenza artificiale. Ecco le implicazioni per le aziende farmaceutiche riguardo ai Software as Medical Device (SaMD).

Cos’è l’AI Act?

L’AI Act, ufficialmente noto come EU Artificial Intelligence Act, è un regolamento dell’Unione Europea (Regolamento UE 2024/1689) che mira a stabilire un quadro normativo per l’uso dell’intelligenza artificiale (IA) all’interno dell’UE per garantire sicurezza, trasparenza e conformità ai diritti fondamentali.

Questo regolamento è stato proposto dalla Commissione Europea il 21 aprile 2021 e approvato dal Parlamento Europeo il 13 marzo 2024. La legge è entrata in vigore il 1° agosto 2024, segnando un passo significativo nella regolamentazione dell’IA a livello globale.

Il regolamento definisce requisiti globali per la progettazione, produzione e commercializzazione dei sistemi di AI, al fine di garantire un utilizzo sicuro ed etico in settori altamente regolamentati come la sanità. Questo nuovo atto impatta in particolare sui Software as a Medical Device (SaMD), introducendo un nuovo livello di responsabilità per le aziende produttrici, i fornitori di servizi sanitari e gli enti regolatori.

Quali software sono considerati Dispositivi Medici?

Secondo l’MDR, un software rientra nella categoria di dispositivo medico (Software as Medical Device – SaMD) se soddisfa tre criteri:

  • ha una destinazione d’uso legata a diagnosi, prevenzione o trattamento di malattie;
  • elabora dati complessi producendo output rilevanti per scopi medici;
  • viene usato sull’uomo per generare informazioni diagnostiche o terapeutiche.

La crescente complessità dei software, specialmente quelli che utilizzano l’intelligenza artificiale, porta a nuove sfide. In particolare, l’integrazione di AI richiede che i SaMD rispettino anche le normative del nuovo AI Act.

Cos’è l’intelligenza artificiale secondo l’AI Act

L’AI Act definisce l’intelligenza artificiale come:

Un sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall’input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali.

Questa definizione è cruciale per determinare quando un SaMD deve sottostare alle regole dell’AI Act. Non tutti i software medici integrano AI, ma quando lo fanno, devono rispettare le nuove normative.

Quando un SaMD deve sottostare all’AI Act?

Rientrano pertanto nell’ambito di applicazione dell’AI Act i Software as Medical Device con le seguenti caratteristiche:

  • autonomia variabile: il software è in grado di apprendere da diverse aree, come computer vision, elaborazione del linguaggio naturale, riconoscimento vocale, sistemi intelligenti di supporto alle decisioni e sistemi robotici intelligenti;
  • adattabilità: il dispositivo è in grado di evolversi attraverso l’interazione diretta (con input e dati) post-commercializzazione;
  • definizione di obiettivi:
    • espliciti, impostati dall’uomo, o impliciti, dai dati di addestramento;
    • impliciti, ovvero derivanti da regole specificate dall’uomo;
    • non completamente conosciuti in anticipo (sistemi di raccomandazione che usano apprendimento per rinforzo per restringere gradualmente il modello delle preferenze dei singoli utenti);
    • riferiti alla generazione di output come raccomandazioni, previsioni e decisioni.

Pertanto, un SaMD rientra nella sfera di applicazione dell’AI Act se integra AI con capacità di apprendimento e adattamento. Questo riguarda sistemi capaci di evolversi dopo la commercializzazione, che utilizzano algoritmi per prendere decisioni cliniche complesse. Se un SaMD è basato su AI, deve rispettare sia il MDR, sia l’AI Act, integrando i due Regolamenti al fine di garantire sicurezza e conformità normativa.

La Classificazione del Rischio nell’AI Act

L’AI Act introduce un quadro normativo che classifica i sistemi di intelligenza artificiale in base al livello di rischio valutato in termini di probabilità e gravità degli impatti negativi sui diritti delle persone e della società. Il rischio può essere: minimo (non regolato dall’AI Act), limitato, inaccettabile e alto. Ogni categoria richiede misure di controllo e conformità differenti.

Rischio limitato. Si riferisce a sistemi di intelligenza artificiale che non presentano un pericolo significativo per la sicurezza, i diritti fondamentali o la salute delle persone. Sono esempi di AI a rischio limitato i chatbot. Questi sistemi richiedono solo requisiti minimi di trasparenza, dunque, chi utilizza tali sistemi deve essere informato in modo chiaro e trasparente su come l’AI opera e come prende decisioni, così da permettere agli utenti di fare scelte consapevoli.

Rischio inaccettabile. È relativo ai sistemi di intelligenza artificiale che violano i diritti fondamentali dell’uomo o minacciano la sicurezza. Questi sistemi comprendono, ad esempio, tecniche subliminali o manipolative che influenzano il comportamento umano senza consapevolezza, sfruttano vulnerabilità personali come l’età o disabilità, utilizzano punteggi sociali per discriminare ingiustamente individui o gruppi, profilano il rischio di criminalità su base unicamente predittiva o deducono emozioni e caratteristiche personali da dati biometrici in contesti non autorizzati. Tali sistemi sono considerati non conformi per motivi di sicurezza e protezione dei diritti fondamentali e sono pertanto vietati dall’AI Act.

Rischio alto. Riguarda i sistemi di AI che possono influenzare in modo significativo la salute, la sicurezza o i diritti fondamentali delle persone. Ne fanno parte i sistemi destinati a fornire informazioni utilizzate per prendere decisioni a fini diagnostici o terapeutici o per monitorare i processi fisiologici. In questo caso vi sono degli obblighi aggiuntivi per utilizzatori e produttori, tra cui la richiesta di valutazione da parte di un Organismo Notificato.

Rischio alto: implicazioni per gli operatori del settore

Se il Software as Medical Device basato su AI viene considerato ad alto rischio (sia che si tratti di un componente di sicurezza di altro prodotto sia che si tratti di un prodotto stand-alone), produttore e utilizzatore dovranno rispettare gli obblighi dell’AI Act.

I produttori sono tenuti a dimostrare la conformità alle nuove normative coinvolgendo di un Organismo Notificato per la verifica della sicurezza e della qualità. Devono adottare e implementare dei processi di valutazione e gestione del rischio, nonché fornire una documentazione dettagliata sul funzionamento dei sistemi di IA. Devono, inoltre, garantire l’etica nell’uso dei dati e adempiere agli obblighi di monitoraggio post-commercializzazione, correzione e informazione sul funzionamento del sistema.

Gli utilizzatori di dispositivi medici basati su AI dovranno essere consapevoli delle responsabilità legali associate all’uso di tali tecnologie. Ciò comporta un’adeguata formazione del personale per usare correttamente il sistema, un monitoraggio costante del sistema di AI e seguire protocolli operativi per prevenire errori o malfunzionamenti. Devono inoltre essere rispettate le norme di sicurezza, mantenere la trasparenza e documentare qualsiasi problematica relativa all’uso del dispositivo, gestendo eventuali rischi in modo proattivo.

Inoltre, gli Organismi Notificati dovranno acquisire competenze specifiche per valutare i sistemi di AI e assicurare la conformità dei sistemi di IA ad alto rischio prima della loro immissione sul mercato. I fornitori (provider) e gli importatori devono garantire la conformità alle normative UE e i distributori (deployer) hanno l’obbligo di verificare che i fornitori rispettino le normative e possono avere responsabilità in caso di non conformità.

AI Act: le date di applicazione

L’AI Act, entrato in vigore il 1 agosto 2024, prevede un’applicazione graduale delle sue disposizioni, con diverse date chiave:

  • 2 febbraio 2025. Entrata in vigore del Capo I e II dell’AI Act. Il Capo I prevede la diffusione di un’intelligenza artificiale antropocentrica e affidabile per la protezione della salute e della sicurezza e dei diritti fondamentali. Inoltre, prevede l’obbligo di alfabetizzazione di fornitori e di deployer in materia di AI. Le aziende che sviluppano o utilizzano sistemi di AI devono quindi assicurarsi che il loro personale, così come chiunque sia coinvolto nel funzionamento di questi sistemi, riceva la formazione adeguata per comprenderne i rischi e il funzionamento. Il Capo II descrive le AI vietate in quanto considerate pericolose. Rientrano tra queste quelle di riconoscimento biometrico in tempo reale. Da tale data pertanto queste AI non potranno più essere commercializzate e dovranno essere dismesse quelle già in uso.
  • 2 maggio 2025. Termine ultimo per l’aggiornamento dei codici di buone pratiche, che aiuteranno le aziende a seguire le linee guida per un’applicazione corretta dell’AI Act.
  • 2 agosto 2025. Entrata in vigore del Capo V. Applicazione delle regole di governance e degli obblighi per i sistemi di AI di uso generale, insieme alle disposizioni relative alle sanzioni.
  • 2 agosto 2026. Applicazione dell’AI Act: tutti i sistemi di AI ad alto rischio dovranno essere conformi agli obblighi del regolamento. Le aziende dovranno aver strutturato sistemi di controllo e implementato un piano di monitoraggio efficace per continuare a operare in conformità.
  • 2 agosto 2027. Ultimo termine per i SaMD di Classi IIa, IIb e III per conformarsi al AI Act.

Inoltre, è previsto che il regolamento venga rivalutato entro il 2 agosto 2028 e successivamente ogni quattro anni.