Legge UE sull'IA e IA ad alto rischio nei dispositivi medici: prepararsi alla conformità, competere per il futuro

L'Intelligenza Artificiale non è più solo un vantaggio tecnologico nel settore dei dispositivi medici, sta diventando una funzione regolamentata di fiducia, responsabilità e prestazioni. L'Europa ha stabilito un confine netto tra progresso tecnologico e responsabilità adottando il Regolamento formale dell'UE sull'Intelligenza Artificiale il 1° agosto 2024.

La nuova legislazione fornisce ai produttori di dispositivi medici, in particolare a quelli che lavorano con Software come Dispositivo Medico (SaMD) basati sull'intelligenza artificiale, sia i requisiti normativi che gli indicatori di mercato.

L'EU AI Act: Un Nuovo Paradigma Normativo

La Legge stabilisce nuovi standard per lo sviluppo, la valutazione e il monitoraggio delle operazioni di IA all'interno del territorio dell'Unione Europea attraverso le sue misure complete. Tutti gli sviluppatori di soluzioni di IA che mirano al mercato dell'Unione Europea devono comprendere che il messaggio relativo all'implementazione dell'IA rimane chiaro e conciso. Il sistema normativo determina che qualsiasi sistema che influisce sulla diagnosi sanitaria, sul trattamento del paziente o sulla salute, deve essere classificato come ad Alto Rischio.

Comprendere il nucleo dell'EU AI Act: basato sul rischio, specifico per settore, orientato all'impatto

L'EU AI Act integra un modello di classificazione basato sul rischio che crea tre categorie: Pratiche Proibite, Sistemi di IA ad Alto Rischio e Sistemi a Rischio Limitato. L'IA medica rientra quasi sempre nella categoria ad Alto Rischio, in particolare ai sensi dell'Articolo 6(1)(b), che classifica qualsiasi componente di IA di un dispositivo medico che richiede la revisione da parte di un Organismo Notificato come ad alto rischio per impostazione predefinita.

I sistemi di IA per la diagnosi, la pianificazione della terapia, il supporto alle decisioni cliniche e il monitoraggio remoto rientrano tutti in questa categoria ad alto rischio. Questo include quelli che impiegano:

• Modelli di Machine Learning (ML)
• Algoritmi di Deep Learning
• Reti Neurali o Classificatori Statistici
• Software predittivo o di riconoscimento di modelli integrato nei dispositivi medici

Principali requisiti per i fabbricanti ai sensi dell'EU AI Act:

L'implementazione dei mandati tecnici fondamentali all'interno di un Sistema di Gestione della Qualità richiede attenzione da parte dei produttori per una conformità efficace.

• Gestione del rischio (Articolo 9):
  Strategie organizzate di gestione del rischio dell'IA dovrebbero essere costruite e mantenute dai produttori poiché risolvono l'instabilità del modello di pregiudizio algoritmico, insieme alle violazioni dei sistemi di sicurezza e ai problemi con il pregiudizio algoritmico. Inoltre, ai sensi della IEC 62304, la classificazione della sicurezza del software è un passaggio critico. Ogni elemento software deve essere classificato come Classe A, B o C in base al rischio. Questa classificazione determina la profondità delle attività richieste durante l'intero ciclo di vita del software. È importante incorporare questa classificazione nelle prime fasi di progettazione e valutazione del rischio.
• Governance dei Dati (Articolo 10):
  I produttori dovrebbero selezionare set di dati di alta qualità insieme a campioni rappresentativi e informazioni annotabili e non di parte per la selezione dei set di dati, tra gli altri criteri.
• Documentazione Tecnica (Articolo 11):
  Organizzare un sistema di documentazione attivo per visualizzare informazioni complete sulla struttura del sistema di IA insieme a misurazioni delle prestazioni, controlli operativi e componenti di sicurezza. Secondo la norma IEC 82304, una Specifica dei Requisiti di Sicurezza del Prodotto deve essere inclusa anche durante la fase di finalizzazione dei requisiti. Questo documento definisce le esigenze essenziali di sicurezza, protezione e usabilità e dovrebbe essere esaminato come un risultato chiave.
• Trasparenza e Spiegabilità (Articolo 13):
  Gli utenti devono ricevere descrizioni accessibili della logica del sistema di IA che spieghino sia le capacità operative che i limiti del sistema, insieme alla giustificazione dei suoi processi decisionali.
• Supervisione umana (Articolo 14):
  I professionisti che seguono una formazione possono utilizzare procedure autorizzate per prevenire danni automatizzati alle decisioni, mantenendo il controllo operativo tramite tali procedure.
• Registrazione e Tracciabilità (Articolo 12):
  Gli input del sistema insieme agli output e ai registri dell'albero decisionale dovrebbero essere registrati completamente e specialmente durante l'implementazione clinica per le attività di sorveglianza post-commercializzazione.
• Monitoraggio post-commercializzazione (Articolo 72):
  Dovrebbero essere implementate linee guida per misurare continuamente le prestazioni del sistema di IA dopo la sua implementazione commerciale. Il sistema dovrebbe utilizzare analisi reali delle prestazioni operative effettive per integrare il feedback degli utenti e ottimizzare i sistemi di controllo del rischio. Inoltre, la norma IEC 62304 richiede un Piano di Manutenzione del Software documentato. Questo piano deve definire come vengono gestite e validate le anomalie del software post-rilascio, le patch e gli aggiornamenti. Le attività di manutenzione dovrebbero allinearsi con le pratiche di monitoraggio a lungo termine.
• Marcatura CE e Registrazione (Articolo 17):
  Quando si applica il marchio CE sui dispositivi medici di IA, questi devono soddisfare i requisiti sia del Regolamento sui Dispositivi Medici (MDR 2017/745) o del Regolamento sui Dispositivi Medico-Diagnostici in Vitro (IVDR 2017/746) che dell'Atto sull'IA dell'UE.

Oltre la regolamentazione: una revisione del ciclo di vita

La trasformazione va oltre i requisiti normativi perché richiede una riprogettazione completa del processo di sviluppo del ciclo di vita del sistema AI, dalla creazione alla manutenzione. L'eccellenza delle prestazioni tecniche lascia il posto a una supervisione normativa permanente e al monitoraggio degli standard etici.

Incorporando i principi della IEC 62304, è richiesto un processo formale di risoluzione dei problemi software lungo l'intero ciclo di vita. I produttori devono definire procedure per identificare, documentare, analizzare e risolvere le anomalie software. Questo dovrebbe essere integrato in ogni fase di controllo qualità, specialmente dopo la verifica.

È inoltre obbligatoria la gestione del SOUP (Software di Origine Sconosciuta). Ogni componente SOUP deve essere identificato, valutato per il rischio e controllato tramite revisioni della documentazione di progettazione e architettura. Ciò garantisce che le dipendenze esterne siano sicure e gestite in modo appropriato.

Inoltre, la norma IEC 82304 sottolinea processi definiti per l'installazione, la gestione della configurazione e la disattivazione del sistema. Questi devono essere convalidati e documentati durante le fasi avanzate di sviluppo prima del rilascio commerciale. Un processo di mitigazione del rischio di cybersecurity deve essere integrato anche nel SDLC e verificato in ogni fase del ciclo di vita.

Adozione dell'IA in Europa: Il panorama del 2024

Il rapporto Eurostat 2024 sull'uso dell'IA nelle imprese europee i dati a distanza mostrano un modello in crescita per l'implementazione dell'IA nelle aziende europee durante il 2024:

• 41,2% delle grandi imprese utilizzano attualmente l'intelligenza artificiale.
• 34,1% delle imprese beneficiano nelle operazioni di marketing e vendita.
• 27,5% di beneficio nelle operazioni aziendali.
• 6,1% di beneficio nella logistica.

Il divario nell'adozione dell'IA è evidente tra le grandi e le piccole imprese:

• La tecnologia IA è applicata per la sicurezza ICT dal 46,4% delle grandi imprese, ma solo il 17,2% delle piccole imprese la utilizza per questo scopo.
• Una percentuale significativa del 34,7% delle grandi imprese impiega l'AI nei processi di produzione rispetto alle aziende più piccole con un utilizzo dell'AI del 21,6%.
• L'adozione industriale dell'intelligenza artificiale presenta sia vantaggi che difficoltà, poiché il 13,5% delle aziende dell'UE applica attualmente tecnologie di IA.

 Questi dati dimostrano una duplice realtà: da un lato, l'IA sta già rimodellando funzioni aziendali critiche; dall'altro, esiste un divario sostanziale nell'adozione su larga scala, in particolare in settori regolamentati come la sanità, dove fiducia e sicurezza sono prerequisiti per la crescita.

L'Europa non si limita a regolamentare, ma sta investendo per espandere l'IA affidabile

A differenza delle precedenti ondate di trasformazione digitale, l'approccio dell'UE all'IA combina la politica con investimenti proattivi.

Un rapporto di Europarl riconosce che l'innovazione dell'IA deve essere accelerata ma non a costo della sicurezza del paziente o della supervisione etica.

• 1,8 miliardi di dollari di sostegno finanziario per le startup europee di IA (2023)
• L'UE riceve solo il 6% del capitale di rischio globale per l'IA, con investimenti quattro volte inferiori rispetto a quelli negli US.

Le Iniziative di Finanziamento Includono:

• Programma Europa Digitale: €1,3 miliardi (2025–2027) per strutture di test e centri di sviluppo delle competenze.
• InvestAI: Parte della strategia del Decennio Digitale, che mira a raccogliere 200 miliardi di € per:
  • Fabbriche di IA
  • Servizi Cloud
  • Reti di innovazione transfrontaliere

Le istituzioni dell'UE creano un ambiente favorevole attraverso modifiche normative che consentono sistemi di IA etici, clinicamente affidabili e scalabili per i produttori di SaMD.

Cosa significa questo per le aziende di dispositivi medici

I regolamenti dell'EU AI Act, insieme alle loro implicazioni commerciali essenziali, presentano due punti principali che i produttori di dispositivi medici devono affrontare.

Questi punti sono ulteriormente rafforzati se allineati agli standard IEC 62304 e IEC 82304 che forniscono struttura, rigore di classificazione, continuità post-rilascio e governance della sicurezza lungo l'intero ciclo di vita del software.

Prepararsi alla conformità prima dell'immissione sul mercato.

• Condurre un'analisi delle lacune dell'AI Act
• Aggiornare i fascicoli tecnici, i RMF e le SOP
• Integrare meccanismi di tracciabilità fin dalla fase di progettazione
• Collaborare tempestivamente con gli Organismi Notificati per la pre-valutazione
• Pianificare la sorveglianza post-commercializzazione a lungo termine con cicli di feedback

Trasformare la Conformità in Vantaggio Competitivo

• Le aziende all'avanguardia nella conformità sono anche all'avanguardia in termini di fiducia e quota di mercato
• Costruire un SGQ allineato all'AI Act fin dalla fase di ideazione
• Posizionare la trasparenza e l'auditabilità come fattori di differenziazione sul mercato
• Sfruttare la conformità al marchio CE + AI come segno di fiducia

Domande Frequenti (FAQ) sull'AI Act dell'UE per i Dispositivi Medici

Per aiutare i produttori di dispositivi medici a navigare nel panorama della conformità in continua evoluzione, ecco alcune delle domande più frequenti:

1. Cos'è l'EU AI Act e come impatta sui produttori di dispositivi medici?
   L'EU AI Act è il primo quadro normativo completo sull'IA al mondo. Impone requisiti obbligatori per la gestione del rischio, la governance dei dati, la supervisione umana e la sorveglianza post-commercializzazione, specialmente per l'IA medica ad alto rischio come gli strumenti diagnostici e i software di supporto alle decisioni cliniche.
2. Quali sistemi di IA nei dispositivi medici sono classificati ad alto rischio ai sensi dell'EU AI Act?
   Qualsiasi sistema di IA utilizzato nella diagnosi, nella pianificazione della terapia o nel monitoraggio del paziente è considerato ad alto rischio. Ciò include SaMD basati su Machine Learning, modelli di deep learning e strumenti di IA che influenzano decisioni o esiti sanitari.
3. Quali sono i requisiti chiave di conformità per i dispositivi medici basati sull'IA ai sensi dell'EU AI Act?
   I produttori devono assicurare:
   • Tracciabilità degli input e degli output
   • Qualità e governance robuste dei dati
   • Meccanismi di supervisione umana
   • Documentazione tecnica completa
   • Marcatura CE secondo gli standard MDR/IVDR e AI Act.

4. Come si relaziona l'atto UE sull'IA con l'MDR (2017/745) e l'IVDR (2017/746)?
    

   L'EU AI Act si basa su MDR/IVDR aggiungendo requisiti specifici per l'IA come la spiegabilità, la trasparenza degli algoritmi e i controlli del rischio. Tutti i dispositivi alimentati dall'IA devono soddisfare una doppia conformità – le regole tradizionali dei dispositivi medici e i nuovi standard dell'IA.

   I leader di mercato affrontano l'EU AI Act non come un ostacolo, ma come un modello per la costruzione di tecnologie mediche affidabili e ad alte prestazioni. Adottano la conformità a livello architetturale e la utilizzano per informare la strategia, il marketing e il posizionamento del marchio.

   Le aziende di dispositivi medici devono integrare la preparazione all'AI Act in tutto il loro ecosistema di prodotti e conformità per ottenere un vantaggio competitivo. Contattateci oggi stesso per allineare la vostra innovazione alla conformità e trasformare la preparazione normativa in un vantaggio competitivo.