Articolo 17 dell'Atto AI dell'UE: Sistema di Gestione della Qualità (QMS)
L'articolo 17 richiede ai fornitori di sistemi AI ad alto rischio di mettere in atto un sistema di gestione della qualità e di documentarlo in politiche, procedure e istruzioni scritte. È la spina dorsale organizzativa che lega insieme ogni altro obbligo ad alto rischio. Questa pagina elenca gli elementi del QMS che devono essere documentati e segnala la norma armonizzata ancora in fase di elaborazione per sostenerlo.
Articolo 17 dell'Atto AI dell'UE: Sistema di Gestione della Qualità (QMS)
L'articolo 17 richiede ai fornitori di sistemi AI ad alto rischio di mettere in atto un sistema di gestione della qualità e di documentarlo in politiche, procedure e istruzioni scritte. È la spina dorsale organizzativa che lega insieme ogni altro obbligo ad alto rischio. Questa pagina elenca gli elementi del QMS che devono essere documentati e segnala la norma armonizzata ancora in fase di elaborazione per sostenerlo.
Ultimo aggiornamento: 4 luglio 2026
Cosa è il Requisito del QMS
I fornitori di sistemi AI ad alto rischio devono stabilire un sistema di gestione della qualità che garantisca la conformità all'Atto AI, documentato in modo sistematico e ordinato come politiche, procedure e istruzioni scritte.
Il QMS è proporzionato alle dimensioni dell'organizzazione del fornitore e per i fornitori che sono già soggetti a obblighi di gestione della qualità di settore ai sensi di altre leggi dell'Unione, i requisiti dell'Atto AI possono essere integrati nel sistema esistente anziché essere duplicati. L'obiettivo non è la carta per la carta stessa: il QMS è il modo in cui un fornitore dimostra che la conformità è un processo ripetibile e governato anziché uno sforzo una tantum.
Elementi che il QMS Deve Documentare
L'articolo 17(1) elenca gli aspetti che il sistema di gestione della qualità deve coprire, almeno:
- Strategia di conformità normativa — compresa per la valutazione di conformità e per la gestione delle modifiche al sistema ad alto rischio
- Procedure di progettazione e sviluppo — tecniche, procedure e azioni sistematiche per la progettazione, il controllo della progettazione e la verifica della progettazione
- Sviluppo e controllo della qualità — procedure per lo sviluppo, il controllo della qualità e l'assicurazione della qualità del sistema
- Esame, test e convalida — procedure da eseguire prima, durante e dopo lo sviluppo e con che frequenza vengono eseguite
- Specifiche tecniche e norme — le norme applicate e, laddove le norme armonizzate non sono applicate integralmente, i mezzi utilizzati per soddisfare i requisiti
- Gestione dei dati — sistemi e procedure per l'acquisizione, la raccolta, l'analisi, l'etichettatura, l'archiviazione, la filtrazione, l'estrazione, l'aggregazione e la conservazione dei dati
- Gestione del rischio — il sistema di gestione del rischio dell'articolo 9
- Monitoraggio post-mercato — l'istituzione, l'attuazione e la manutenzione di un sistema di monitoraggio post-mercato ai sensi dell'articolo 72
- Segnalazione degli incidenti — procedure per la segnalazione degli incidenti gravi in conformità con l'articolo 73
- Comunicazione e responsabilità — gestione della comunicazione con le autorità e altre parti, tenuta dei registri, gestione delle risorse e un quadro di responsabilità che definisce le responsabilità della gestione e del personale
La Norma Armonizzata è Ancora in Fase di Elaborazione
Per sostenere l'articolo 17, una norma armonizzata dedicata al sistema di gestione della qualità dell'AI è in fase di elaborazione ai sensi della richiesta di standardizzazione della Commissione a CEN-CENELEC.
Quel lavoro è in corso con il riferimento prEN 18286 (una norma per il sistema di gestione della qualità dell'AI). È ancora un progetto: il prefisso 'pr' indica uno standard europeo in lavorazione che non è stato ancora pubblicato o citato nella Gazzetta Ufficiale, quindi non conferisce ancora una presunzione di conformità. I fornitori dovrebbero progettare il loro QMS in base al testo dell'articolo 17 e monitorare la norma man mano che matura — costruire sul progetto può ridurre il lavoro di riorganizzazione, ma non è un sostituto del requisito legale e non dovrebbe essere affidato come se già in vigore.
I riferimenti alle norme e lo stato di pubblicazione cambiano nel tempo; verificare sempre lo stato attuale di prEN 18286 e delle norme armonizzate correlate contro la Gazzetta Ufficiale prima di affidarsi ad essi.
Come AIAgentree Aiuta
Un sistema di gestione della qualità deve conservare la prova che le sue procedure siano state effettivamente seguite. AIAgentree fornisce il record di decisione e controllo tracciabile che gli elementi di gestione dei dati, tenuta dei registri e responsabilità del QMS devono conservare:
- Registri di decisione a prova di manomissione forniscono al quadro di responsabilità e alla tenuta dei registri una fonte di verità difendibile per come sono state prese le decisioni e chi ne è responsabile
- Flussi di lavoro di controllo umano e approvazione documentano i passaggi di esame, revisione e approvazione richiesti dalle procedure del QMS, con chi-ha-approvato-cosa catturato automaticamente
- Conservazione idonea per l'audit, ricerca di precedenti ed esportazioni tramite REST, MCP, A2A e OpenTelemetry (con SDK Python e TypeScript e residenza dei dati dell'UE in Germania) consentono al QMS di produrre registri su richiesta — puoi provarlo con il piano da 25 tracce gratuito
Domande Frequenti
Chi deve mantenere un sistema di gestione della qualità ai sensi dell'articolo 17?
I fornitori di sistemi di intelligenza artificiale ad alto rischio. Il sistema di gestione della qualità è un obbligo del fornitore e deve essere in atto per supportare la valutazione della conformità e la conformità continua del sistema durante l'intero ciclo di vita.
Il sistema di gestione della qualità deve essere un sistema separato?
No. Se un fornitore è già soggetto a obblighi di gestione della qualità ai sensi di altre leggi dell'Unione (ad esempio nei settori regolamentati), gli elementi dell'articolo 17 possono essere integrati in quel sistema di gestione della qualità esistente piuttosto che essere eseguiti in parallelo.
Il prEN 18286 è obbligatorio?
No. Il prEN 18286 è uno standard europeo di progetto per i sistemi di gestione della qualità dell'intelligenza artificiale in fase di sviluppo per supportare l'articolo 17. In quanto progetto, non è ancora pubblicato o citato nella Gazzetta ufficiale e non conferisce una presunzione di conformità. L'obbligo vincolante è il testo dell'articolo 17 stesso.
Come si differenzia il sistema di gestione della qualità dalla documentazione tecnica?
La documentazione tecnica dell'allegato IV descrive un sistema ad alto rischio specifico e la sua conformità; il sistema di gestione della qualità è l'insieme di politiche e procedure a livello di organizzazione che disciplina come il fornitore progetta, testa, monitora e segnala attraverso i propri sistemi. Il sistema di gestione della qualità produce e mantiene la documentazione.
Il sistema di gestione della qualità è proporzionato alle dimensioni dell'azienda?
Sì. L'articolo 17 afferma che il sistema di gestione della qualità deve essere proporzionato alle dimensioni dell'organizzazione del fornitore, in modo che i fornitori più piccoli possano implementarlo in modo che si adatti alle loro dimensioni, mantenendo comunque tutti gli elementi richiesti.
Continua a esplorare la guida all'Atto AI UE
Guida alla conformità all'Atto AI UE
La guida completa alla conformità all'Atto AI UE per gli agenti AI — inizia da qui.
Articolo 12 — Conservazione dei registri e registrazione
Cosa ogni sistema AI ad alto rischio deve registrare e come catturarlo.
Articolo 14 — Supervisione umana
Progettazione di controlli efficaci con intervento umano per le decisioni AI.
Allegato III — Sistemi AI ad alto rischio
Quali casi d'uso AI l'Atto classifica come ad alto rischio.
Checklist di conformità all'Atto AI UE
Una checklist passo dopo passo per raggiungere e documentare la conformità.
Calcolatore dei costi di conformità
Stima lo sforzo e il costo di conformità all'Atto AI UE.
Scadenze e cronologia
Date di applicazione chiave, compresa la scadenza del 2 agosto 2026.
Sanzioni e penalità
Livelli di penalità fino a 35 milioni di euro o il 7% del fatturato annuo globale.
Obblighi di trasparenza (Art. 13 e 50)
Doveri di divulgazione per i sistemi AI e i loro output.
Gestione del rischio e valutazione della conformità
Crea un sistema di gestione del rischio e valuta la conformità.
Obblighi GPAI
Regole per i fornitori di modelli AI di uso generale.
Atto AI UE per le aziende statunitensi
Ambito extraterritoriale e cosa devono fare i fornitori statunitensi.
Aggiornamento omnibus
Gli ultimi cambiamenti alla cronologia e alle regole dell'Atto AI UE.
Calcolatore delle penalità
Stima la tua multa massima secondo le fasce dell'articolo 99.
Articolo 11 + Allegato IV
Quale documentazione tecnica richiede l'Atto AI dell'UE.
Articolo 26: Obblighi del distributore
Cosa devono fare i distributori di AI ad alto rischio, compresa la conservazione dei log.
Articolo 10: Governance dei dati
Qualità dei dati, mitigazione dei pregiudizi e doveri di governance.
Articolo 4: Alfabetizzazione AI
L'obbligo di alfabetizzazione AI dello staff in vigore dal febbraio 2025.
Distributore vs Fornitore
Chi sostiene quale obbligo — e quando un distributore diventa un fornitore.
FRIA (Articolo 27)
Chi deve eseguire una valutazione di impatto sui diritti fondamentali, e come.
A chi si applica?
Ambito, operatori e portata extraterritoriale dell'Atto AI dell'UE.
Monitoraggio post-mercato
Articoli 72-73: monitoraggio continuo e segnalazione di incidenti.
ISO 42001 vs Atto AI dell'UE
Come lo standard volontario e la legge vincolante si integrano.
NIST AI RMF vs Atto AI dell'UE
Un confronto pratico tra il framework e la legge.
Atto AI dell'UE per l'assistenza sanitaria
AI medica ad alto rischio, interazione con MDR/IVDR e supervisione clinica.
Atto AI dell'UE per i servizi finanziari
Punteggi di credito, prezzi assicurativi e regolamentazione finanziaria esistente.
Atto AI dell'UE per le risorse umane e l'occupazione
Assunzione di AI come ad alto rischio, più sovrapposizione con NYC LL144 e EEOC.