Applicare l’AI Act ai Dispositivi Medici Software
L'intelligenza Artificiale nel Mondo Medicale

Applicare l’AI Act ai Dispositivi Medici Software

L’era digitale ha trasformato radicalmente la medicina grazie ai Dispositivi Medici software (Software as a Medical Device – SaMD e Software in a Medical Device – SiMD) che rappresentano una frontiera cruciale per la diagnosi, il trattamento e la gestione della salute. Molti di questi software incorporano algoritmi di Intelligenza Artificiale (AI) promettendo efficienze e capacità diagnostiche senza precedenti.

In Europa, la commercializzazione di questi dispositivi è già regolamentata dal Regolamento (UE) 2017/745 sui Dispositivi Medici (MDR), un quadro normativo rigoroso volto a garantire la sicurezza e le prestazioni dei dispositivi medici. Tuttavia, l’avvento dell’Artificial Intelligence Act (AIA) dell’Unione Europea introduce un nuovo strato di complessità e requisiti specifici per i sistemi di IA, in particolare per i dispositivi medici considerati “ad alto rischio” (che sono la maggior parte). La sfida per i fabbricanti di Dispositivi Medici software è ora quella di comprendere come queste due normative si intersecano e come garantire la conformità ad entrambe.

Per fare ciò, può venire in aiuto la nuova linea guida MDCG 2025-6Interplay between the Medical Devices Regulation (MDR) & In vitro Diagnostic Medical Devices Regulation (IVDR) and the Artificial Intelligence Act (AIA)” che dà delle indicazioni su come integrare i requisiti MDR di un Dispositivo Medico software sviluppato con IA con i requisiti del Regolamento europeo AIA

Il Dispositivo Medico Software sotto l’MDR

Il Regolamento MDR è stato concepito per affrontare le sfide della sicurezza e dell’efficacia dei dispositivi medici nell’era moderna. Per i Dispositivi Medici software, la conformità all’MDR consiste soprattutto nello stabilire requisiti dettagliati che coprano l’intero ciclo di vita del prodotto, dalla progettazione alla sorveglianza post-commercializzazione. Questi includono:

  • Classificazione del Rischio: I SaMD e SiMD sono classificati in Classe I, IIa, IIb o III in base all’uso previsto e al rischio potenziale per il paziente; a questa classificazione bisogna aggiungere anche quella relativa agli aspetti propriamente software, A,B,C in conformità alla IEC 62304.
  • Requisiti Generali di Sicurezza e Prestazione (GSPR): Una lista esaustiva di requisiti che i dispositivi devono soddisfare, inclusi aspetti di robustezza, accuratezza, sicurezza dei dati e interoperabilità.
  • Gestione del Rischio: Un processo continuo per identificare, analizzare, valutare, controllare e monitorare i rischi.
  • Valutazione Clinica: Per dimostrare l’efficacia e la sicurezza nell’ambiente clinico.
  • Documentazione Tecnica: Un fascicolo completo che dimostra la conformità a tutti i requisiti MDR.
  • Sorveglianza Post-Commercializzazione (PMS) e Vigilanza: Monitoraggio continuo della performance del dispositivo e gestione degli eventuali eventi avversi.
  • Sistema di Gestione della Qualità (QMS): Deve coprire tutte le fasi di sviluppo, produzione e monitoraggio post-commercializzazione Necessario per garantire la sistematica conformità regolatoria al regolamento MDR

Il MDR ha già comunque posto le basi per affrontare molti degli aspetti intrinseci ai sistemi IA, come la robustezza, l’accuratezza e la gestione del rischio.

L’Artificial Intelligence Act (AIA): un nuovo Livello di Vigilanza

L’Artificial Intelligence Act (AI Act) dell’Unione Europea mira a stabilire un quadro giuridico armonizzato per l’utilizzo dell’ Intelligenza Artificiale nella UE, con un approccio basato sul rischio. Classifica i sistemi di intelligenza artificiale in quattro livelli di rischio: inaccettabile, alto, limitato e minimo : questa classificazione determina i requisiti normativi e le misure di controllo applicabili ai diversi sistemi di IA. Ecco una descrizione più dettagliata dei livelli di rischio:

  1. Rischio inaccettabile: i Sistemi di IA che rappresentano una chiara minaccia per la sicurezza, i mezzi di sussistenza e i diritti delle persone sono vietati. Esempi includono sistemi di manipolazione o inganno, sfruttamento di vulnerabilità, punteggio sociale, valutazione del rischio di reato, riconoscimento facciale biometrico in tempo reale, e categorizzazione biometrica basata su caratteristiche protette.
  2. Rischio alto: Questi sistemi richiedono requisiti stringenti ed un controllo rigorosoSono considerati ad alto rischio i sistemi di IA utilizzati in settori sensibili come la sicurezza dei prodotti, la sorveglianza, l’istruzione, l’impiego, le infrastrutture critiche e l’applicazione della legge
  3. Rischio limitato: Questa categoria comprende i sistemi di IA che interagiscono con le persone, come chatbot o sistemi di raccomandazione. Richiedono trasparenza, informando gli utenti che stanno interagendo con un sistema di IA, ma non devono rispettare requisiti rigorosi come quelli dei sistemi ad alto rischio.
  4. Rischio minimo : La maggior parte dei sistemi di IA rientra in questa categoria, che comprende applicazioni che hanno un impatto minimo sui diritti o sulle libertà degli individui. Questi sistemi sono soggetti a requisiti di trasparenza e devono rispettare alcune regole di base, ma non sono sottoposti a controlli e valutazioni approfondite come quelli ad alto rischio

In sintesi, l’AI Act adotta un approccio basato sul rischio per regolamentare i sistemi di IA, garantendo che i sistemi più pericolosi siano vietati o sottoposti a severi controlli, mentre i sistemi meno rischiosi sono soggetti a requisiti più leggeri. 

L’impostazione di un Dispositivo Medico software all’interno dell’Artificial Intelligence Act (AIA)

La vasta maggioranza dei Dispositivi Medici software basati sulla IA, considerando la loro potenziale influenza sulla salute umana, ai sensi dell’AIA, viene classificata come sistema di IA ad alto rischio . Questo implica il fatto che, sebbene vi siano sinergie tra MDR e AIA, i fabbricanti dovranno implementare una serie di nuovi e specifici requisiti, in aggiunta a quelli dell’MDR, in quanto l’AI Act introduce obblighi distinti, specifici per l’IA.

I principali ambiti di sovrapposizione e integrazione sono:

  1. Sistemi di Gestione del Rischio: L’MDR richiede già un processo di gestione del rischio. L’AIA espande questo requisito specificamente per l’AI, chiedendo un’analisi del rischio legata ai dati (es. bias, qualità dei dati), alla prevedibilità, all’accuratezza, alla robustezza e alla sicurezza informatica dell’AI. Il fabbricante dovrà integrare le specifiche dell’AIA nel proprio processo ISO 14971.
  2. Qualità dei Dati e Governance: L’AIA pone un’enfasi senza precedenti sulla qualità dei dati utilizzati per addestrare, convalidare e testare i sistemi di AI. Questo include requisiti per:
    • Data Governance: Processi chiari per l’acquisizione, la raccolta, la preparazione e la curatela dei dati
    • Rappresentatività, Sufficienza e Riduzione del Bias: i dataset devono essere sufficientemente ampi e rappresentativi per l’uso inteso, con meccanismi per identificare e mitigare potenziali bias sistemici che potrebbero portare a discriminazioni o decisioni errate. Questo è cruciale per la sicurezza clinica.
  3. Documentazione Tecnica e Registrazione : L’MDR richiede una documentazione tecnica dettagliata. L’AIA aggiunge requisiti specifici per i sistemi di AI, inclusa la descrizione dei set di dati di addestramento, convalida e test, la metodologia di addestramento, le metriche di prestazione e i risultati. I sistemi di AI ad alto rischio dovranno inoltre essere registrati in un database UE gestito dalla Commissione Europea prima dell’immissione sul mercato
  4. Trasparenza e  Informazioni agli Utenti: L’AIA richiede che i sistemi di IA ad alto rischio siano progettati per essere sufficientemente trasparenti e intelligibili, consentendo agli utenti (professionisti sanitari e, indirettamente, pazienti) di interpretare l’output del sistema. Questo si traduce in requisiti per:
    • Istruzioni per l’Uso Chiare: Spiegazioni sul funzionamento del sistema, le sue capacità e limitazioni, e le condizioni in cui potrebbe non essere affidabile
    • Livelli di Accuratezza, Robustezza e Cybersecurity: Informazioni documentate sulle prestazioni del sistema
  5. Robustezza Tecnica e Sicurezza : Sebbene l’MDR affronti già la sicurezza del software, l’AIA rafforza i requisiti per la robustezza e la sicurezza dei sistemi di AI. Ciò include la capacità di resistere a errori, malfunzionamenti o attacchi informatici, e di mantenere le prestazioni previste in diverse condizioni
  6. Sorveglianza Umana (Human Oversight): L’AIA impone la necessità di garantire che i sistemi di IA ad alto rischio siano soggetti a un’adeguata sorveglianza umana. Questo significa che i sistemi IA non devono operare in modo completamente autonomo, ma devono permettere agli operatori umani di intervenire, annullare o ignorare le decisioni del sistema se necessario, e comprendere il funzionamento del sistema per prendere decisioni informate.
  7. Sistema di Gestione della Qualità (QMS): Il QMS dell’MDR dovrà essere esteso per includere i requisiti specifici dell’AIA, assicurando che tutti i processi relativi all’IA (dalla governance dei dati alla sorveglianza post-commercializzazione ) siano gestiti in conformità

Conclusione

L’AI Act segna un passo significativo nella regolamentazione dell’Intelligenza Artificiale in Europa, e la sua applicazione ai Dispositivi Medici software conformi all’MDR è un imperativo. Per i fabbricanti, non si tratta solo di adempiere a un obbligo legale, ma di rafforzare la fiducia degli utenti e dei pazienti nell’IA medica. Integrare i requisiti dell’AIA nel framework esistente dell’MDR non è solo una questione di conformità, ma una strategia essenziale per garantire che l’innovazione digitale in sanità sia etica, sicura e affidabile, portando benefici concreti a tutti i cittadini europei. La proattività e un approccio olistico alla conformità saranno chiavi per navigare questo nuovo e complesso panorama regolatorio.

GRAZIE PER L’ATTENZIONE

De Martino Antonio

De Martino Antonio

Laurea in matematica presso l’Università degli Studi di Milano. Sono cresciuto professionalmente nell’ ambito della Informatica Industriale all’interno di progetti per le Telecomunicazioni e di Automazione e dal 1990 mi occupo di consulenza aziendale sia su temi di compliance normativa, di processo e di prodotto, sia su temi di gestione aziendale. Negli ultimi tempi mi sto occupando soprattutto di Sistemi Integrati, di Marcature CE e di Dispositivi Medici su tematiche che riguardano la Validazione del Software per ISO13485, Regolamenti FDA, MDR , ANNEX 11 e GAMP Ho all’attivo interventi che riguardano più di 100 aziende sia manifatturiere sia di servizi di diverse dimensioni

Recommended For You

Il mondo FDAL'intelligenza Artificiale nel Mondo Medicale

L’APPROCCIO FDA PER L’UTILIZZO DELLA INTELLIGENZA ARTIFICIALE IN AMBITO MEDICALE

De Martino Antonio
De Martino Antonio26 Giugno 2025
L'intelligenza Artificiale nel Mondo MedicaleNormazione per Dispositivi medici

IL FUTURO NORMATIVO DELL’INTELLIGENZA ARTIFICIALE NEI DISPOSITIVI MEDICI

De Martino Antonio
De Martino Antonio6 Giugno 2022
L'intelligenza Artificiale nel Mondo Medicale

LA DIMENSIONE ETICA DELL’INTELLIGENZA ARTIFICIALE

De Martino Antonio
De Martino Antonio8 Novembre 2021

Leave a Reply