Dispositivi medici e AI Act: guida alla conformità e classificazione del rischio

Quando un dispositivo medico (DM) deve rispettare l’AI ACT ed in quale categoria di rischio AI dovranno essere inseriti i dm?

Vediamo per step il processo di analisi del rapporto tra, da una parte, i reg. Ue 2017/745 (MDR – dispositivi medici ) e 2017/746 (IVDR-diagnostici in vitro ) e dall’altra il  reg. UE 2024/1689 (AI Act).

Quando un software è medical device

Un software utilizzato in sanità deve rispettare i requisiti del MDR quando rientra nella nozione di dispositivo medico ex art. 2 lett. a) MDR.

Più precisamente dalla lettura combinata delle prescrizioni del MDR/IVDR e delle linee guida emanate in materia, il software deve essere qualificato come dispostivo medico (c.d. samd – software as medical device) quando sono presenti i seguenti 3 requisiti:

• Il software ha una destinazione d’uso “specifica” in area medicale (più esattamente opera nell’ambito delle diverse fattispecie di cui alle 4 lineette indicate nello stesso art. 1lett- a) MDR)
• Il software presenta funzionalità di modifica ed elaborata dei dati che vengono inseriti, fornendo quindi out esterni diversi dati di input (MDGC 2019-11 Guidance on Qualification and Classification of Software in Regulation (EU) 2017/745 – MDR and Regulation (EU) 2017/746 – IVDR – punto 3.1 Introduction to qualification criteria)
• Il software viene “impiegato sull’uomo” (come previsto dall’art. 2 MDR)  estendendo tale concetto a tutte le ipotesi in cui il software “fornisce  informazioni” che vengono poi utilizzate per “prendere decisioni a fini diagnostici o terapeutici” (Allegato VIII – regola 11 MDR).

In presenza dei profili sopra illustrati il software dovrà essere qualificato come dispositivo medico e dovrà quindi rispettare tutte le prescrizioni del MDR/IVDR.

Quando un software rientra nella nozione di intelligenza artificiale

Vediamo adesso quando un software presenta funzionalità che lo fanno rientrare nella nozione di software di Intelligenza Artificiale.

Partiamo dall’art. 3 che contiene la definizione di Intelligenza Artificiale.

Tale norma alla lett. 1) così stabilisce: “sistema di IA”: un sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall’input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali;

Seguendo le indicazioni pubblicate a marzo 2024 dall’OEDC.AI nel “Explanatory Memorandum of the updated Oecd definiition of an AI system” – le caratteristiche indicate nella norma che portano il software a rientrare nella nozione di AI sono

• presenza di autonomie variabili (cioè delle diverse capacità di apprendimento in diverse aree – la computer vision, l’elaborazione del linguaggio naturale, il riconoscimento vocale, i sistemi intelligenti di supporto alle decisioni, i sistemi robotici intelligenti),
• la capacità di  adattamento (cioè la capacità di continuare ad evolversi attraverso l’interazione diretta (con input e dati) anche dopo l’immissione sul mercato
• la definizione di obiettivi. Più precisamente
• obiettivi espliciti (cioè definiti esplicitamente dall’uomo) oppure
• obiettivi impliciti che possono derivare dalle regole specificate dall’uomo (“se il semaforo è rosso, fermati”) oppure che possono derivare dai dati di addestramento (in questo caso l’obiettivo finale non è programmato esplicitamente, ma è “incorporato” attraverso i dati di addestramento e attraverso un’architettura di sistema che impara a emulare quei dati – ad esempio, premiando i modelli linguistici di grandi dimensioni per aver generato una risposta plausibile);
• obiettivi non completamente conosciuti in anticipo (sistemi di raccomandazione che usano apprendimento per rinforzo per restringere gradualmente il modello delle preferenze dei singoli utenti)
• la capacità di genere output, che possono essere raccomandazioni, previsioni e decisioni (ovviamente le “decisioni” rappresentano il tipo di output più autonomo, le  “previsioni” il meno autonomo)

I software in generale (ed ai fini del presente articolo i samd) che presentano le caratteristiche e funzionalità sopra indicate dovranno applicare il nuovo Reg.Ue 2024/1689 (AI ACT).

Il livello di rischio di un software di AI stabilito nell’AI ACT

Il nuovo AI ACT distingue poi tra software di AI vietati (art. 5), software considerati ad Alto Rischio (art. 6 e seg.) e modelli di software per finalità generali (art. 51 e seg.) .

Il settore medical device è in particolare impattato dalla disciplina relativa ai software di Alto Rischio.

Infatti l’art. 6  così stabilisce: “A prescindere dal fatto che sia immesso sul mercato o messo in servizio in modo indipendente rispetto ai prodotti di cui alle lettere a) e b), un sistema di IA è considerato ad alto rischio se sono soddisfatte entrambe le condizioni seguenti:

1. il sistema di IA è destinato a essere utilizzato come componente di sicurezza di un prodotto, o il sistema di IA è esso stesso un prodotto, disciplinato dalla normativa di armonizzazione dell’Unione elencata nell’allegato I;
2. il prodotto, il cui componente di sicurezza a norma della lettera a) è il sistema di IA, o il sistema di IA stesso in quanto prodotto, è soggetto a una valutazione della conformità da parte di terzi ai fini dell’immissione sul mercato o della messa in servizio di tale prodotto ai sensi della normativa di armonizzazione dell’Unione elencata nell’allegato I”.

Le condizioni richieste perché un software di AI sia considerato ad alto rischio

Due quindi le condizioni richieste perché un software di AI sia considerato ad Alto Rischio:

• che il software sia un componente di sicurezza o un prodotto autonomo
• che il prodotto, nel quale è inserito il componente di sicurezza o il prodotto autonomo:
  • rientrino nell’ambito di applicazione di una delle normative elencate nell’Allegato I;
  • in attuazione di tale normativa siano sottoposti alla valutazione di conformità un soggetto terzo (es. Organismo notificato)

Senza dubbio tale regole di applicano anche ai dispositivi medici ed ai diagnostici in vitro in ragione del fatto che i due regolamenti di riferimento – Reg. Ue 2017/745 (MDR) che il Reg. Ue 2017/46 (IVDR) – sono entrambi indicati nell’allegato I dell’AI ACT

Come saranno classificati i Samd di AI

Dalla lettura combinata delle discipline sopra riportate si desume che l’analisi circa l’applicazione dell’AI ACT al mondo dei medical device deve seguire il seguente flusso:

• se il software qualificato come medical device (samd) presenta le caratteristiche  e le funzionalità di cui all’art. 3 dell’AI ACT (autonomia variabile, adattabilità, obiettivi espliciti o impliciti, generazione di output.), sarà un Samd di AI e dovrà essere sottoposto al nuovo AI ACT
• tale samd di AI potrà poi essere:
  • o un componente di sicurezza
  • o un Samd di AI “stand alone”

Circa il livello di rischio (e quindi le norme da applicare):

• sei il Samd di AI nel suo iter di acquisizione della marcatura CE come samd è sottoposto alla valutazione di conformità di un Notify Body (dm di Classe IIa, IIb, III per quanto attiene al MDR e Classe B,C,D per quanto attiene ll’IVDR), dovrà essere considerato sotto il profilo della disciplina della AI come un software AI ad “Alto Rischio”
• se invece al Samd di AI nel suo iter di acquisizione della marcatura CE come samd non è sottoposto alla valutazione di conformità di un Notify Body (Classe I MDR e Classe A IVDR), non sarà considerato ad “alto rischio” (e applicherà solo il Capo IV dell’AI ACT).

Ultima precisazione: ai sensi dell’art. 113 AI ACT gli obblighi collegati ai sistemi di AI considerati ad “alto rischio” devono trovare applicazione a far data dal 2 agosto 2027.