Marcatura CE

La marcatura CE (dal francese "Conformite Europeenne") è un marchio di certificazione obbligatorio per i prodotti venduti nello Spazio economico europeo, che indica la conformità alla normativa UE applicabile. Per i sistemi di IA regolati dal EU AI Act, la marcatura CE segnala che un sistema ad alto rischio ha completato le procedure di valutazione di conformità richieste e soddisfa i requisiti applicabili in materia di sicurezza, tutela dei diritti fondamentali e trasparenza. È il simbolo visibile che consente l'immissione legale sul mercato dell'UE o la messa in servizio.

La marcatura CE è da tempo familiare in ambiti di sicurezza di prodotto come macchinari, dispositivi medici ed elettronica. La sua estensione a sistemi di IA software rappresenta un'espansione significativa del framework di conformità di prodotto. Per i sistemi ad alto rischio, non è opzionale: è un prerequisito legale per l'immissione sul mercato. A differenza di framework che applicano la conformità soprattutto con sanzioni post-market, l'EU AI Act richiede dimostrazione ex-ante. La marcatura CE diventa quindi la barriera d'ingresso al mercato UE.

Per la maggior parte dei sistemi ad alto rischio, la marcatura CE si ottiene tramite autocertificazione: il fornitore conduce una valutazione interna, compila la documentazione tecnica (Allegato IV), implementa il sistema di gestione della qualità, redige la dichiarazione UE di conformità e appone la marcatura CE. Il fornitore si assume la responsabilità legale dell'accuratezza di tale autocertificazione. Tuttavia, alcuni sistemi richiedono una valutazione di terza parte da parte di un organismo notificato prima dell'apposizione. Sotto l'EU AI Act, la terza parte è richiesta per l'identificazione biometrica remota in tempo reale per forze dell'ordine in spazi accessibili al pubblico e per sistemi destinati a essere componenti di sicurezza di prodotti coperti da alcune normative di armonizzazione dell'Unione (dove già era prevista valutazione di terza parte). Quando interviene un organismo notificato, il processo è più rigoroso e la marcatura può essere apposta solo dopo il rilascio del certificato.

Le organizzazioni dovrebbero iniziare completando la valutazione di conformità, che richiede l'implementazione piena degli articoli 8-15: gestione del rischio, governance dei dati, documentazione tecnica dell'Allegato IV, logging e tracciabilità, supervisione umana e livelli adeguati di accuratezza, robustezza e cybersecurity. Una volta completata, il fornitore emette la dichiarazione e appone la marcatura. Importante: non è un evento una tantum; la conformità va mantenuta lungo il ciclo di vita e aggiornata in caso di modifiche sostanziali.