Nel 2026 arrivano obblighi concreti per l’intelligenza artificiale in sanità: l’AI Act rende operative le regole per i sistemi ad alto rischio (tra cui molte soluzioni cliniche), mentre la marcatura CE sotto MDR 2017/745 resta il requisito base per i software che hanno destinazione d’uso medica. In parallelo, la nuova Direttiva sulla responsabilità per prodotti difettosi (2024/2853) amplia la responsabilità ai software/AI dal 2026. Per gli studi e i poliambulatori privati, il 2026 è l’anno per formalizzare criteri di acquisto e uso sicuro dell’AI.
- Cosa cambia nel 2026 (AI Act) e cosa resta del MDR
- Cosa chiedere ai fornitori di AI clinica (documenti, app e responsabilità)
- Privacy, log e incidenti: cosa servono davvero in studio
- Angolo Lokky: coperture adeguate a studi e poliambulatori
Cosa cambia nel 2026 (AI Act) e cosa resta del MDR
- AI Act: dopo i primi obblighi per i modelli GPAI nel 2025, da agosto 2026 scattano i requisiti centrali per i sistemi ad alto rischio (gestione del rischio, qualità dei dati, documentazione tecnica, sorveglianza post-market, supervisione umana). In sanità, gran parte dei software clinici rientra in questa fascia;
- MDR 2017/745: nulla sostituisce la marcatura CE: i software con intento medico (diagnosi, supporto decisionale, triage, follow-up) devono rispettare i requisiti generali di sicurezza e prestazione, la valutazione clinica e, se del caso, sorveglianza e UDI. Per il medico acquirente è la prima verifica: senza CE (MDR) il prodotto non è un dispositivo medico utilizzabile a fini clinici;
- Responsabilità prodotto: la Direttiva 2024/2853 estende la responsabilità oggettiva anche ai software/AI: dal 9 dicembre 2026 (termine massimo di recepimento) chi fornisce AI come prodotto può rispondere dei danni da difetto con regole aggiornate di prova. Per le strutture sanitarie questo significa filtri di due diligence più robusti sui fornitori.
Esempio pratico – un CAD radiologico usato per il triage di RX torace: nel 2026 il fornitore dovrà dimostrare conformità MDR (CE) e set AI Act (rischi, dati, supervisione), mentre la struttura documenta uso conforme e controllo umano nelle procedure.
Cosa chiedere ai fornitori di AI clinica (documenti, app e responsabilità)
Quando valuti un software/AI clinico, richiedi e archivia in cartella fornitore:
- Prova di marcatura CE (MDR): certificato/notified body (se applicabile), Dichiarazione di conformità, intended purpose e classe; riferimento a GSPR e valutazione clinica;
- Pacchetto AI Act “high-risk” (dal 2026): sintesi della gestione del rischio (limiti noti, failure modes), qualità e provenienza dei dati usati per addestramento/validazione, supervisione umana prevista, metriche di performance in uso reale, piano di sorveglianza post-market e canale per incident/feedback;
- Ruoli e “catena di responsabilità”: chi è provider (fabbricante ai fini AI Act/MDR), chi importa/distribuisce, cosa implica per aggiornamenti e modifiche sostanziali (che possono cambiare gli obblighi). Integra nei contratti SLA su fix, accesso ai log, tempi di correzione;
- Compatibilità workflow: istruzioni d’uso con punti di “human-in-the-loop” (chi valuta l’output e quando), regole per override clinico, requisiti minimi IT e tracciabilità dei casi (per audit clinico);
- Assicurazione del fornitore: chiedi evidenza di coperture E&O del vendor (errori di design/testing) e clausole di indennizzo in caso di malfunzionamenti documentati.
Tip scenario – dermatologia ambulatoriale: AI di supporto al rischio melanoma. In onboarding, il vendor fornisce CE (MDR), scheda dataset (range fototipi, qualità immagini), model card (metriche per sottogruppi), procedure di escalation se l’output è “non affidabile”.
Privacy, log e incidenti: cosa servono davvero in studio
- Base giuridica e minimizzazione: i dati sanitari sono categorie particolari: definisci informative aggiornate, minimizzazione dei dati verso il fornitore e selezione dei log necessari (nessun “dump” non giustificato). Linee guida italiane su sanità digitale/telemedicina restano il riferimento operativo per canali e sicurezza.
- Logging clinico: conserva log locali dell’uso (chi ha usato il sistema, su quale paziente, output e decisione finale umana). Servono per audit e difesa in caso di contestazioni.
- Incident & post-market: predisponi un runbook: quando scatta un incident (malfunzionamento con impatto clinico), come si isola il modello, chi notifica il fornitore e l’autorità ove richiesto. I provider di high-risk devono avere sorveglianza post-market: sfruttala per chiudere il ciclo di miglioramento.
Esempio operativo – poliambulatorio con AI per retinopatia: il protocollo prevede che l’output “riferire urgente” sia sempre rivisto da un oculista entro 24h; i casi discordanti sono discussi mensilmente e loggati in report qualità.
Angolo Lokky: coperture adeguate a studi e poliambulatori
- RC Professionale: tutela il medico e la struttura da errori/omissioni clinici;
- Cyber Risk: copre data breach su dataset e indisponibilità di gestionali/servizi AI (con business interruption per visite saltate, referti bloccati);
- Tutela legale: utile per ispezioni/richieste documentali e contenziosi con fornitori o pazienti su uso, consenso e tracciabilità.
Nel 2026 l’AI in sanità diventa compliance-by-design: MDR per la marcatura clinica e AI Act per rischio, dati e post-market. Mettere a terra due diligence, supervisione e logging ti consente di sfruttare i benefici dell’AI con processi difendibili. Lokky è il partner assicurativo per coprire malpractice, errori organizzativi e incidenti informatici mentre fai evolvere i tuoi servizi.
