Capo III · SEZIONE 3
Articolo 17 - Sistema di gestione della qualità
Digital OmnibusArticolo oggetto di rinvio o modifica da monitorare fino all’adozione definitiva.
Sistemi di IA ad alto rischio / Obblighi dei fornitori e dei deployer dei sistemi di IA ad alto rischio e di altre parti
Sintesi Articolo 17
L’articolo 17 disciplina sistema di gestione della qualità nell’ambito dei sistemi di IA ad alto rischio. La disposizione va letta come parte del ciclo di conformità del Capo III: qualificare correttamente il sistema, progettare controlli tecnici e organizzativi, documentare le evidenze e mantenere la conformità dopo l’immissione sul mercato o la messa in servizio. Sul piano operativo, i fornitori devono documentare scelte, controlli e responsabilità lungo il ciclo di vita; i deployer devono integrare il sistema in processi governati e verificabili; la classificazione ad alto rischio attiva requisiti rafforzati, evidenze tecniche e controlli organizzativi. Per fornitori, deployer e altri operatori questo articolo richiede procedure interne, responsabilità chiare, tracciabilità delle decisioni e coordinamento con sicurezza, privacy, qualità, procurement e gestione del rischio. La sintesi non sostituisce il testo ufficiale, ma aiuta a trasformare la norma in requisiti verificabili. Il presidio operativo è una matrice di classificazione, con evidenze conservate e riesaminate quando cambiano finalità, dati, contesto o integrazioni tecniche.
Testo ufficiale
1)I fornitori di sistemi di IA ad alto rischio istituiscono un sistema di gestione della qualità che garantisce la conformità al presente regolamento. Tale sistema è documentato in modo sistematico e ordinato sotto forma di politiche, procedure e istruzioni scritte e comprende almeno gli aspetti seguenti:
a)una strategia per la conformità normativa, compresa la conformità alle procedure di valutazione della conformità e alle procedure per la gestione delle modifiche dei sistemi di IA ad alto rischio;
b)le tecniche, le procedure e gli interventi sistematici da utilizzare per la progettazione, il controllo della progettazione e la verifica della progettazione del sistema di IA ad alto rischio;
c)le tecniche, le procedure e gli interventi sistematici da utilizzare per lo sviluppo e per il controllo e la garanzia della qualità del sistema di IA ad alto rischio;
d)le procedure di esame, prova e convalida da effettuare prima, durante e dopo lo sviluppo del sistema di IA ad alto rischio e la frequenza con cui devono essere effettuate;
e)le specifiche tecniche, comprese le norme, da applicare e, qualora le pertinenti norme armonizzate non siano applicate integralmente, o non includano tutti i requisiti pertinenti di cui alla sezione 2, i mezzi da usare per garantire che il sistema di IA ad alto rischio sia conforme a tali requisiti;
f)i sistemi e le procedure per la gestione dei dati, compresa l'acquisizione, la raccolta, l'analisi, l'etichettatura, l'archiviazione, la filtrazione, l'estrazione, l'aggregazione, la conservazione dei dati e qualsiasi altra operazione riguardante i dati effettuata prima e ai fini dell'immissione sul mercato o della messa in servizio di sistemi di IA ad alto rischio;
g)il sistema di gestione dei rischi di cui all'
articolo 9;
h)la predisposizione, l'attuazione e la manutenzione di un sistema di monitoraggio successivo all'immissione sul mercato a norma dell'
articolo 72;
i)le procedure relative alla segnalazione di un incidente grave a norma dell'
articolo 73;
j)la gestione della comunicazione con le autorità nazionali competenti, altre autorità pertinenti, comprese quelle che forniscono o sostengono l'accesso ai dati, gli organismi notificati, altri operatori, clienti o altre parti interessate;
k)i sistemi e le procedure per la conservazione delle registrazioni e di tutte le informazioni e la documentazione pertinenti;
l)la gestione delle risorse, comprese le misure relative alla sicurezza dell'approvvigionamento;
m)un quadro di responsabilità che definisca le responsabilità della dirigenza e di altro personale per quanto riguarda tutti gli aspetti elencati nel presente paragrafo.
2)L'attuazione degli aspetti di cui al paragrafo 1 è proporzionata alle dimensioni dell'organizzazione del fornitore. I fornitori rispettano, in ogni caso, il grado di rigore e il livello di protezione necessari per garantire la conformità dei loro sistemi di IA ad alto rischio al presente regolamento.
3)I fornitori di sistemi di IA ad alto rischio soggetti agli obblighi relativi ai sistemi di gestione della qualità o a una funzione equivalente a norma del pertinente diritto settoriale dell'Unione possono includere gli aspetti elencati al paragrafo 1 nell'ambito dei sistemi di gestione della qualità stabiliti a norma di tale diritto.
4)Per i fornitori che sono istituti finanziari soggetti a requisiti in materia di governance, dispositivi o processi interni stabiliti a norma del diritto dell'Unione in materia di servizi finanziari, l'obbligo di istituire un sistema di gestione della qualità, ad eccezione del paragrafo 1, lettere g), h) e i), del presente articolo, si considera soddisfatto se sono soddisfatte le regole sui dispositivi o i processi di governance interna a norma del pertinente diritto dell'Unione in materia di servizi finanziari. A tal fine, si tiene conto delle norme armonizzate di cui all'
articolo 40.