Organismo notificato

Un organismo notificato è un'organizzazione indipendente designata ufficialmente da uno Stato membro UE per condurre valutazioni di conformità di terza parte per alcuni sistemi di IA ad alto rischio. Questi organismi possiedono competenze tecniche e imparzialità necessarie per valutare se i sistemi soddisfano i requisiti del EU AI Act, e le loro valutazioni hanno peso legale nella dimostrazione della conformità.

L'articolo 43 specifica quando è richiesta una valutazione da parte di un organismo notificato, rispetto all'autovalutazione del fornitore. Il coinvolgimento è obbligatorio per sistemi ad alto rischio usati per identificazione biometrica di persone fisiche (salvo verifica/autenticazione) e per sistemi ad alto rischio usati come componenti di sicurezza di prodotti che richiedono già valutazione di terza parte sotto la normativa UE di sicurezza di prodotto. Per la maggior parte degli altri sistemi dell'Allegato III, i fornitori possono condurre autovalutazione seguendo la procedura di controllo interno dell'Allegato VI. I fornitori possono comunque richiedere una valutazione volontaria per aumentare credibilità verso clienti, autorità o pubblico. L'ecosistema di organismi notificati per l'IA è ancora in sviluppo: a differenza di settori consolidati (dispositivi medici, macchinari), gli organismi specifici per l'IA stanno venendo designati e accreditati solo ora, con capacità limitate e potenziali lead time lunghi.

Le organizzazioni devono prima determinare se i propri sistemi richiedono valutazione di terza parte. I sistemi biometrici per identificazione remota in spazi accessibili al pubblico richiederanno organismi notificati. I sistemi come componenti di sicurezza di prodotti regolati devono verificare la normativa applicabile. Per i sistemi che richiedono terza parte, identificate organismi idonei il prima possibile. Criteri: competenza tecnica nel dominio IA, capacità e disponibilità temporale, copertura geografica e struttura delle fee. Consultate la banca dati ufficiale NANDO quando saranno pubblicate designazioni specifiche per IA.

Prepararsi alla revisione richiede prontezza documentale. I valutatori esamineranno documentazione dell'Allegato IV, record di gestione del rischio, pratiche di governance dei dati, evidenze di test e validazione e sistemi di gestione della qualità. Trattate la preparazione come un audit esterno con pacchetti di evidenze pronti. Anche in autovalutazione, mantenere la documentazione al livello atteso da un organismo notificato migliora la readiness in caso di evoluzione normativa, aspettative di mercato verso validazione di terza parte o richieste di verifica indipendente.