La Commissione europea ha posto in consultazione la bozza di linee guida che attuano l’art. 73 dell’AI Act (Draft Guidance on Incident Reporting for High-Risk AI Systems), per cui i fornitori di sistemi di IA ad alto rischio saranno tenuti, da agosto 2026, a segnalare gli incidenti gravi alle autorità nazionali.
L’obbligo di cui all’art. 73 del Regolamento (UE) 2024/1689 (AI Act) è volto ad individuare tempestivamente i rischi, garantire la responsabilità, consentire interventi rapidi e rafforzare la fiducia del pubblico nelle tecnologie di intelligenza artificiale.
Si ricorda che degli obblighi di fornitori e utilizzatori dei sistemi di IA se ne discuterà ampiamente nel corso del prossimo webinar DB del 30 ottobre 2025, “AI Act: adeguamento di policy e contratti“.
La bozza di linee guida chiarisce quindi le definizioni, offre esempi pratici e spiega come le nuove norme si relazionano ad altri obblighi di legge; in allegato, la Commissione pubblica altresì un “reporting template“.
Quanto alle definizioni, in particolare, nella bozza si chiarisce:
- che per “serious incident” (incidente grave), conformemente all’art. 3, par. 49, dell’AI Act, si deve intendere la morte o un danno grave alla salute, una compromissione irreversibile di infrastrutture critiche, violazioni dei diritti fondamentali, danni seri a proprietà o ambiente
- che per “widespread infringement” (infrazione diffusa), in conformità all’art. 3, par. 61, si devono intendere le violazioni transfrontaliere che colpiscono interessi collettivi in più Stati membri.
La bozza chiarisce inoltre:
- la differenza fra incidente e malfunzionamento
- quando una classificazione errata diventa un evento segnalabile
- come valutare la causalità indiretta, come nel caso di un sistema di credit scoring che discrimina i consumatori
La Commissione ammette che la definizione ampia rischia di generare overreporting, ma preferisce un approccio prudenziale, in linea con i principi di tutela dei diritti fondamentali.
In riferimento alle tempistiche di segnalazione in capo ai fornitori, i termini sono i seguenti:
- fino a 15 giorni per gli incidenti ordinari
- 2 giorni se diffusi o con impatto sulle infrastrutture critiche
- 10 giorni in caso di decesso.
I deployer (ovvero gli utilizzatori dei sistemi di IA) avranno invece l’obbligo di notificare l’incidente entro 24 ore al fornitore e alle autorità: tuttavia, se il fornitore non dovesse rispondere, gli obblighi del fornitore ricadranno sugli utilizzatori.
La consultazione è aperta sino al 07 novembre 2025.
