AI Act and Healthcare: What's Changed since August 2, 2025

Il 2 agosto 2025 rappresenta una data spartiacque per il settore sanitario europeo.
Sono entrate infatti in in vigore nuove disposizioni del Regolamento (UE) 2024/1689, noto come AI Act, che mirano a garantire un uso sicuro, etico e trasparente dell'intelligenza artificiale.

Per ospedali, cliniche, case di cura, aziende farmaceutiche e fornitori di tecnologie mediche sarà fondamentale essere pronti ad affrontare un quadro di obblighi stringenti, soprattutto per quanto riguarda l'uso di sistemi di AI ad alto rischio e di modelli di AI generativa di uso generale (GPAI).

AI Act: quadro normativo e tempistiche

L'AI Act è entrato in vigore il 1° agosto 2024, ma prevede un'applicazione graduale.
Le principali tappe sono:

• 2 febbraio 2025: divengono applicabili i divieti per i sistemi di IA ad "alto rischio inaccettabile" (ad esempio manipolazione comportamentale dannosa, social scoring pubblico), oltre all’obbligo di alfabetizzazione AI del personale;
• 2 agosto 2025: scattano obblighi specifici per i modelli di IA generativa di uso generale (GPAI) e gli Stati membri devono aver nominato le autorità competenti.
• 2 agosto 2026: si applicano obblighi completi per la maggior parte dei sistemi di AI classificati come "ad alto rischio" (inclusi molti sistemi utilizzati in ambito sanitario).
• 2 agosto 2027: trovano piena applicazione anche le disposizioni AI dedicate ai dispositivi medici AI , che rientrano in normative di conformità di prodotto.

Il settore sanitario è quindi al centro di questa rivoluzione normativa.

Perché la sanità è direttamente coinvolta

Secondo l'Allegato III dell'AI Act, sono classificati come sistemi ad alto rischio quelli impiegati in contesti sanitari, tra cui:

• Sistemi di supporto decisionale clinico.
• Algoritmi di diagnostica assistita.
• Sistemi di monitoraggio dei pazienti.
• Software che influiscono su trattamenti terapeutici o chirurgici.

Oltre a questi, l'uso di modelli GPAI (per esempio chatbot sanitari generici, strumenti di analisi di testi o immagini a uso generale) è anch'esso regolamentato a far tempo dal 2 agosto 2025.

Gli obblighi in vigore dal 2 agosto 2025

3.1 Obblighi per i modelli GPAI

Dal 2 agosto 2025, chi utilizza o fornisce modelli GPAI, anche in ambito sanitario, dovrà:

• Predisporre documentazione tecnica: specificando descrizione dell'architettura, dati di training, prestazioni, limiti e rischi.
• Pubblicare una sintesi dettagliata dei dati di training per garantire trasparenza e rispetto del diritto d'autore.
• Adottare policy di gestione del copyright.
• Per i GPAI con "rischi sistemici": attuare testing di robustezza e sicurezza, valutazioni periodiche, reporting incidenti e misure di cybersecurity.

3.2 Designazione delle autorità nazionali

Entro il 2 agosto 2025, ogni Stato membro deve nominare le autorità competenti per la sorveglianza del mercato e per l'applicazione dell'AI Act. Saranno questi organismi a ricevere notifiche, segnalazioni e a gestire eventuali controlli.

Le azioni concrete da intraprendere oggi

Le organizzazioni del settore sanitario devono quindi avviare una serie di azioni, tra cui:
4.1 Mappatura dei sistemi AI

• Identificare tutti i sistemi di AI già utilizzati o in fase di sviluppo.
• Classificarli tra GPAI e sistemi ad alto rischio.

4.2 Documentazione tecnica

• Redigere la documentazione tecnica richiesta dall'art. 53 per i modelli GPAI.
• Aggiornare le istruzioni per l'uso (IFU) per i sistemi clinici.

4.3 Risk management

• Implementare un sistema di gestione dei rischi (art. 9): valutazione continua, monitoraggio bias, sicurezza.

4.4 Supervisione umana

• Garantire la possibilità di intervento umano (art. 26): i professionisti devono poter interrompere o correggere il funzionamento di un sistema AI.

4.5 Procedure di segnalazione

• Creare processi per la notifica immediata di incidenti gravi all'autorità nazionale.

4.6 Trasparenza sui dati

• Preparare la sintesi dei dataset di training per i GPAI.

4.7 Code of Practice

• Valutare l'adesione al Codice di condotta per i GPAI, pubblicato dalla Commissione il 10 luglio 2025: il Codice è concepito come strumento complementare al Regolamento, in particolare agli articoli 53 e 55, che regolano l’obbligo di documentazione tecnica e di valutazione del rischio per i fornitori di GPAI. Il Codice potrebbe essere formalmente approvato dalla Commissione entro agosto 2025, è volontario ma fornisce una presunzione di conformità.

4.8 Formazione interna

• Completare la formazione di tutto il personale sull'uso corretto e responsabile dell'AI (che dovrebbe essere già stata avviata al 2 febbraio 2025).

Rischi e sanzioni

La mancata conformità può comportare:

• Sanzioni fino a 35 milioni di euro o al 7% del fatturato mondiale.
• Blocchi all'uso dei sistemi AI.
• Danni reputazionali e legali.

Conclusioni

Il 2 agosto 2025 non è solo una scadenza normativa: per il settore sanitario segna l'inizio di una fase in cui la tecnologia e la cura si incontrano sotto un quadro di regole più chiare.

Prepararsi (e ciò in vista anche delle attese novità legislative nazionali che potranno aggiungere ulteriori dettagli a quanto sopra) significa tutelare la sicurezza dei pazienti, aumentare la qualità delle diagnosi e dei trattamenti e creare fiducia tra cittadini e istituzioni sanitarie.

Le organizzazioni sanitarie che avviano ora percorsi di compliance, investendo nella governance dell’AI e nella formazione del personale, saranno le prime a trasformare l’adempimento in innovazione responsabile.

In un ambito così delicato come la salute, la conformità non è solo un obbligo: è una condizione per erogare cure sicure, efficaci e trasparenti, e per rafforzare il rapporto di fiducia con i pazienti. (Fonte: Nadia Martini, https://www.quotidianosanita.it/)