IA nei dispositivi medici: cosa fare per essere conformi

IA nella Sanità Italiana: Innovazione ClinicaBy 3L3C

IA e dispositivi medici: come rispettare insieme MDR/IVDR e AI Act e trasformare la conformità in un vantaggio per cliniche, ospedali e produttori italiani.

intelligenza artificiale in sanitàdispositivi mediciAI ActMDR IVDRsanità digitale italianatelemedicinadiagnostica per immagini
Share:

IA nei dispositivi medici: cosa significa davvero essere conformi alle norme Ue

Un algoritmo di triage che sbaglia priorità in pronto soccorso non è solo un bug: è un problema di sicurezza del paziente, di responsabilità medica e di conformità normativa. E in Italia, tra PNRR, telemedicina e diagnostica per immagini sempre più automatizzata, questi sistemi di intelligenza artificiale in sanità stanno entrando ovunque.

Il punto è che i fabbricanti e le strutture sanitarie si trovano stretti tra due mondi regolatori: MDR/IVDR per i dispositivi medici e AI Act per i sistemi di IA ad alto rischio. Il nuovo documento congiunto dell’Artificial Intelligence Board e del Medical Device Coordination Group prova a mettere ordine e a spiegare come far convivere questi obblighi. Ma tradurre le indicazioni in scelte concrete di progetto e governance non è immediato.

Questo articolo, all’interno della serie “IA nella Sanità Italiana: Innovazione Clinica”, prende quel documento come punto di partenza e lo trasforma in una guida operativa per chi sviluppa, acquista o utilizza soluzioni di IA per la sanità digitale in Italia: software di supporto alla diagnosi, sistemi di imaging, piattaforme di telemedicina, dispositivi indossabili con algoritmi predittivi.

1. Quando un sistema di IA è un “dispositivo medico” e rientra nell’AI Act

Il primo errore che molti fanno è sottovalutare la qualificazione del prodotto. Un software di IA in sanità diventa dispositivo medico quando ha una chiara finalità medica: diagnosi, prevenzione, monitoraggio, trattamento o mitigazione di una malattia.

In pratica, rientrano quasi sempre nel perimetro MDR/IVDR:

  • software che analizzano immagini radiologiche per supportare la diagnosi;
  • algoritmi che calcolano il rischio cardiovascolare o oncologico;
  • sistemi di telemonitoraggio che generano allarmi clinici basati su IA;
  • soluzioni di medicina personalizzata che suggeriscono terapie o dosaggi.

Dal lato AI Act, questi stessi sistemi sono quasi sempre classificati come sistemi di IA ad alto rischio, perché incidono direttamente sulla salute e la sicurezza delle persone. Questo comporta un doppio effetto:

  1. Restano dispositivi medici a tutti gli effetti: MDR/IVDR continua a valere integralmente (classi di rischio, marcatura CE, valutazione clinica ecc.).
  2. Devono anche rispettare i requisiti specifici per i sistemi di IA ad alto rischio: gestione dati, trasparenza, robustezza, governance.

La linea guida congiunta AI Board–MDCG chiarisce che non si tratta di due percorsi separati, ma di un’unica traiettoria di conformità in cui i requisiti dell’AI Act si integrano in quelli MDR/IVDR.

In pratica: non dovete fare due certificazioni separate, ma dimostrare che il vostro sistema soddisfa contemporaneamente entrambi i set di requisiti, documentandolo in modo coerente.

2. MDR/IVDR + AI Act: come leggere gli obblighi in modo integrato

Per chi sviluppa soluzioni di IA per la diagnostica per immagini, telemedicina o medicina personalizzata, il tema non è “quali norme devo applicare?”, ma come costruire un sistema di gestione che copra tutto senza duplicazioni.

Qualità e gestione del rischio

MDR e IVDR chiedono un sistema di gestione qualità e una gestione del rischio clinico lungo l’intero ciclo di vita del dispositivo. L’AI Act introduce in parallelo:

  • gestione dei rischi specifici dell’IA (bias, overfitting, errore sistematico);
  • requisiti di robustezza, accuratezza e resilienza ai guasti;
  • monitoraggio continuo delle prestazioni in esercizio.

Il modo sensato di procedere è:

  • estendere il sistema qualità MDR per includere i rischi tipici dell’IA (dati, modelli, drift);
  • integrare nella valutazione clinica anche gli aspetti di performance algoritmica (sensibilità, specificità, AUC, metriche di fairness sugli specifici sottogruppi di pazienti);
  • formalizzare un PMS (Post-Market Surveillance) che non si limita alle segnalazioni di incidenti, ma prevede indicatori continui sulle prestazioni del modello.

Dati, dataset e bias

Qui l’AI Act è molto chiaro: un sistema di IA ad alto rischio in sanità deve essere addestrato e validato con dataset di qualità, rappresentativi e privi di bias ingiustificati.

In contesto italiano questo significa, ad esempio:

  • evitare dataset basati solo su una regione o una singola struttura, se poi il prodotto viene commercializzato a livello nazionale;
  • documentare la distribuzione demografica (età, sesso, comorbidità) e clinica dei pazienti utilizzati per l’addestramento;
  • spiegare le misure prese se un sottogruppo è sottorappresentato (re-sampling, raccolta dati aggiuntivi, limiti d’uso dichiarati nelle istruzioni).

Questa documentazione può e deve confluire sia nel Technical Documentation MDR/IVDR, sia nel fascicolo richiesto dall’AI Act: l’obiettivo è avere un’unica “storia del dato” che risponde a entrambi i regimi.

Trasparenza e documentazione tecnica

L’AI Act richiede che il sistema di IA sia sufficientemente trasparente per consentire agli utilizzatori (medici, strutture sanitarie) di comprenderne il funzionamento a livello adeguato al contesto d’uso.

Per un dispositivo medico basato su IA, questo implica:

  • descrivere in modo chiaro la logica di funzionamento a livello funzionale (no segreti industriali, sì spiegazioni comprensibili per clinici e risk manager);
  • indicare limiti d’uso: popolazioni per cui il modello non è validato, condizioni cliniche borderline, qualità minima dei dati in ingresso (es. risoluzione delle immagini);
  • prevedere interfacce che espongano informazioni sui fattori chiave della decisione algoritmica (quando tecnicamente possibile) o almeno indici di confidenza.

Tutto questo va reso coerente con le istruzioni per l’uso MDR e con l’etichettatura: chi usa il dispositivo deve avere un quadro chiaro di cosa il sistema può e non può fare.

3. Dal laboratorio al reparto: cosa devono fare ospedali e aziende sanitarie

Le norme non riguardano solo i fabbricanti. Con l’AI Act, anche chi implementa e utilizza IA in sanità (ospedali, Asl, Irccs, reti diagnostiche) ha responsabilità precise, che si sommano a quelle già previste da MDR, GDPR e norme nazionali.

Scelta e valutazione dei fornitori

Un acquisto di tecnologia IA non può essere gestito come la sostituzione di una stampante. Serve un processo strutturato che includa:

  • verifica della marcatura CE come dispositivo medico e della classe di rischio;
  • richiesta della documentazione AI Act rilevante (uso previsto, limiti, requisiti di qualità dei dati);
  • valutazione di cybersecurity e privacy in ottica GDPR e NIS2, soprattutto se si parla di diagnostica per immagini in cloud o piattaforme di telemedicina.

Per le strutture che stanno implementando progetti PNRR su FSE, telemedicina e gestione ospedaliera, conviene creare linee guida interne per la valutazione dei sistemi di IA, coordinate tra direzione sanitaria, IT, DPO e risk management.

Formazione del personale e responsabilità clinica

Un sistema di IA ad alto rischio in sanità, per definizione, non sostituisce il medico: fornisce un supporto che il clinico deve essere in grado di interpretare e, se necessario, disattendere.

Questo richiede:

  • programmi di formazione specifica per medici, infermieri e tecnici di radiologia sull’uso del singolo dispositivo IA;
  • procedure che chiariscano chi decide cosa in caso di conflitto tra output dell’algoritmo e giudizio clinico;
  • log e tracciabilità delle decisioni, utili tanto per la sicurezza del paziente quanto per la gestione del contenzioso.

In pratica, l’IA nella pratica clinica diventa una questione organizzativa, non solo tecnologica. Ignorarlo è il modo più rapido per finire fuori conformità, anche se il dispositivo è perfettamente certificato.

Monitoraggio post-market nelle strutture

L’AI Act insiste sul monitoraggio dei sistemi in esercizio. Per gli ospedali questo si traduce in:

  • raccogliere feedback strutturato sugli errori o i comportamenti inattesi del sistema;
  • contribuire alle segnalazioni verso il fabbricante e, quando necessario, verso le autorità competenti;
  • integrare gli alert di performance dell’IA (es. calo di accuratezza su un certo reparto) nei normali processi di gestione del rischio clinico.

Una struttura che utilizza IA in diagnostica per immagini o in telemedicina, ma non ha un processo di monitoraggio interno, sta sostanzialmente rinunciando a una parte fondamentale della sicurezza.

4. Governance, privacy e sicurezza: il triangolo da non sbagliare

L’integrazione tra MDR, AI Act e GDPR è il terreno su cui molti progetti italiani di sanità digitale si giocano credibilità e sostenibilità.

Privacy e gestione dei dati (GDPR)

Per allenare, validare e far funzionare un sistema di IA in sanità servono enormi quantità di dati. Il GDPR non è un ostacolo, ma impone condizioni chiare:

  • definire basi giuridiche adeguate per il trattamento (cura, ricerca, interesse pubblico);
  • progettare una minimizzazione dei dati già in fase di sviluppo del sistema;
  • valutare con attenzione i trasferimenti extra-UE, soprattutto se i servizi cloud sono esteri;
  • effettuare una DPIA (valutazione d’impatto sulla protezione dei dati) per i trattamenti più rischiosi.

Un buon progetto di IA clinica in Italia oggi parte sempre da un disegno chiaro dei flussi di dati: chi li fornisce, dove vengono conservati, chi li usa, per quanto tempo.

Cybersecurity e continuità operativa

Un algoritmo diagnostico che smette di funzionare nel mezzo di un turno di notte è un problema di sicurezza tanto quanto un bug di calcolo. MDR, AI Act e normativa NIS2 spingono nella stessa direzione:

  • progettare sistemi robusti, con fallback sicuri in caso di indisponibilità dell’IA;
  • garantire aggiornamenti di sicurezza strutturati e testati;
  • proteggere i modelli e i dataset da accessi non autorizzati o da manipolazioni (adversarial attacks).

Chi gestisce infrastrutture sanitarie digitali (dal PACS radiologico alle piattaforme di telemedicina) deve considerare l’IA come un elemento critico dell’ecosistema IT clinico, non come un widget accessorio.

5. Una roadmap pratica per le realtà italiane

Per non perdersi tra acronimi e regolamenti, conviene chiudere con una roadmap essenziale che aiuti a muoversi in concreto.

Per i fabbricanti di dispositivi medici basati su IA

  1. Chiarire uso previsto e qualificazione: definire in modo netto finalità medica, classe di rischio MDR/IVDR e inquadramento AI Act.
  2. Integrare qualità e rischio: estendere il sistema qualità MDR ai rischi specifici dell’IA, includendo governance dei dati, versioning dei modelli, controllo del drift.
  3. Progettare data governance e dataset: documentare origine, qualità e rappresentatività dei dati; prevedere misure contro bias e squilibri di popolazione.
  4. Curare trasparenza e istruzioni d’uso: spiegare funzionamento, limiti, prerequisiti dei dati in modo utile per clinici e strutture.
  5. Preparare il monitoraggio post-market: definire KPI di performance algoritimica, canali di feedback con gli utilizzatori, piani di aggiornamento.

Per ospedali, Asl e strutture private

  1. Stabilire una governance IA interna: un gruppo misto (clinico, IT, legale, DPO) che valuti e monitori i progetti.
  2. Standardizzare la scelta dei fornitori: checklist di conformità MDR/IVDR + AI Act + GDPR per ogni nuova soluzione IA.
  3. Investire su formazione e procedure: linee guida chiare su come integrare l’output dell’IA nei percorsi clinici, con ruoli e responsabilità definite.
  4. Integrare IA nel risk management: includere incidenti IA e performance algoritmica nei sistemi di gestione del rischio clinico esistenti.

Questa impostazione è quella che vedo funzionare meglio nelle strutture italiane che stanno portando IA nella pratica clinica quotidiana, dalla radiologia alla gestione delle liste d’attesa.

Perché questa conformità è un vantaggio competitivo, non solo un obbligo

Adeguarsi a MDR, IVDR e AI Act non è solo un esercizio burocratico. Per chi sviluppa e utilizza IA per la sanità italiana, rappresenta un vantaggio concreto:

  • riduce il rischio di incidenti clinici e contenziosi;
  • aumenta la fiducia di medici e pazienti nei sistemi di IA;
  • facilita la scalabilità nazionale delle soluzioni, in linea con gli obiettivi PNRR;
  • posiziona meglio i fabbricanti italiani anche sui mercati europei.

Nella serie “IA nella Sanità Italiana: Innovazione Clinica” questo tassello regolatorio è il retrofondo di tutto: senza una base solida di conformità e governance, telemedicina, diagnostica per immagini e medicina personalizzata restano progetti pilota difficili da portare a regime.

La domanda vera, per chi lavora oggi in questo settore, non è se adeguarsi o meno. È: quanto velocemente riusciremo a trasformare queste regole in processi semplici, ripetibili e sostenibili, capaci di portare l’IA fuori dai convegni e dentro i reparti, in modo sicuro per pazienti e professionisti.