Oggi. 2025. Un produttore e, perché no, anche un ricercatore accademico decidono di implementare un software che, magari, insieme a un hardware, è a vario titolo capace di fornire indicazioni in merito al trattamento di malattie oppure supporta medici e pazienti nella riabilitazione di questi ultimi o costituisce un supporto per la compensazione di disabilità fisiche.
Gli esempi sono innumerevoli: si pensi a un software integrato in un esoscheletro oppure a un software di sostegno alla decisione medica o, ancora, a un software che, tramite il proprio smartphone, sceglie esercizi per la riabilitazione di persone che siano state colpite da ictus.
La lista sarebbe lunghissima.
Ebbene, dobbiamo chiederci: possono il nostro ricercatore e il nostro produttore sviluppare il prodotto senza preoccuparsi delle normative oggi in vigore in Italia?
La risposta, che tanto piace agli avvocati e che di solito spaesa il povero cliente, è: “dipende”. Ma da cosa dipende la risposta “dipende”?
In questo articolo cercheremo di fornire una breve panoramica che possa aiutare a comprendere a che punto siamo in questo settore.
Indice degli argomenti
Il passaggio dalla direttiva al regolamento europeo
Per comprendere se produttori e ricercatori sono liberi di sviluppare software che possano essere intesi come dispositivi medici, dobbiamo partire da un dato incontrovertibile e dobbiamo chiederci: esistono obblighi normativi che mettono dei paletti o che, in qualche modo, possono influenzare il contenuto del nostro software o il modo in cui andiamo a svilupparlo?
Al netto degli aspetti etici che devono sempre essere considerati in campo clinico ma che restano al di fuori di questa breve analisi, guardiamo le norme.
Oggi, 2025, sono in vigore due regolamenti europei nel settore dei dispositivi medici. Il Regolamento UE n. 745 del 2017[1], dedicato alla generalità dei dispositivi medici e il Regolamento UE n. 746 del 2017[2], che disciplina specificamente i dispositivi medico-diagnostici in vitro. A questi si sommano alcune norme interne dell’ordinamento italiano che completano il panorama in materia[3].
L’evoluzione normativa e l’inclusione del software dispositivo medico
Il regolamento di nostro interesse, ovvero il n. 745/2017, pubblicato nella Gazzetta Ufficiale dell’Unione Europea il 25 maggio 2017, ha avuto un lungo periodo di vacatio legis[4], ed è pienamente operativo dal 26 maggio 2021.
Il regolamento in questione ha sostituito la direttiva 90/385/CEE del Consiglio sui dispositivi medici impiantabili attivi e la direttiva 93/42/CEE del Consiglio relativa ai dispositivi medicali.
Sotto la direttiva, che comunque era meno stringente dell’attuale regolamento, tra i tecnici di settore era sorta un’ampia discussione circa la possibilità che un software fosse considerato dispositivo medico.
Tuttavia, il nuovo regolamento ha superato ogni dubbio ricomprendendo espressamente il software (che presenti determinate caratteristiche) entro la sfera dei dispositivi medici. Già scorrendo i “Considerando” del Regolamento, al n. 19 si legge: “È necessario precisare che il software specificamente destinato dal fabbricante a essere impiegato per una o più delle destinazioni d’uso mediche indicate nella definizione di dispositivo medico si considera un dispositivo medico, mentre il software destinato a finalità generali, anche se utilizzato in un contesto sanitario, o il software per fini associati allo stile di vita e al benessere non è un dispositivo medico. La qualifica di software, sia come dispositivo sia come accessorio, è indipendente dall’ubicazione del software o dal tipo di interconnessione tra il software e un dispositivo”.
Già dal Considerando, si comprende come pacifica sia l’applicazione (entro certi limiti) del regolamento a determinati tipi di software: è dispositivo medico il software “specificamente destinato dal fabbricante a essere impiegato per una o più delle destinazioni d’uso mediche indicate nella definizione di dispositivo medico” (cfr. Considerando 19 del Regolamento 745/2017).
Resta tuttavia da chiarire cosa debba intendersi con la locuzione destinato dal fabbricante a essere impiegato per le destinazioni d’uso mediche.
Dalla definizione di dispositivo medico presente all’art. 2, si evince che dispositivo medico è “qualunque […] software […] destinato dal fabbricante a essere impiegato sull’uomo, […] per una o più delle seguenti destinazioni d’uso mediche specifiche:
— diagnosi, prevenzione, monitoraggio, previsione, prognosi, trattamento o attenuazione di malattie,
— diagnosi, monitoraggio, trattamento, attenuazione o compensazione di una lesione o di una disabilità,
— studio, sostituzione o modifica dell’anatomia oppure di un processo o stato fisiologico o patologico,
— fornire informazioni attraverso l’esame in vitro di campioni provenienti dal corpo umano, inclusi sangue e tessuti donati”[5].
Criteri di classificazione: quando il software diventa dispositivo medico
Come appare chiaro dalla definizione presente nel Regolamento, non tutti i software in ambito medico sono dispositivi medici. Appunto, “dipende”. Ma dipende da cosa?
Ora, letta la definizione, possiamo iniziare a tracciarne i confini. Anzitutto, il software è dispositivo medico quando, in base alle intenzioni del fabbricante (quello che in gergo viene definito “intended use”), svolge i compiti definiti dalla normativa.
Fondamentale quindi sarà la definizione degli obiettivi che il fabbricante intende far svolgere al software.
Possiamo quindi escludere tutti i software che servono a immagazzinare i dati sanitari, come ad esempio, le cartelle cliniche elettroniche.
Dalla definizione sono esclusi anche tutti quei prodotti che, secondo il fabbricante, sono destinati al benessere dell’utilizzatore e al suo stile di vita. È il caso degli smartwatch, anche quando questi rilevano parametri come il battito cardiaco o la pressione sanguigna.
Ciò non significa che tutti gli smartwatch siano esclusi dal Regolamento, che resterà applicabile a tutti quegli smartwatch che vengono utilizzati, ad esempio, per la rilevazione di parametri necessari all’assunzione di decisioni in ambito clinico, come la cura di malattie.
Altro esempio di dispositivo medico è quello di un software finalizzato all’esame di dati che provengono da un esoscheletro (componente hardware del sistema) e che serve alla selezione delle attività, come esercizi fisici, da sottoporre al paziente.
Chiaro quindi che lo scopo dichiarato dal fabbricante assume un ruolo centrale nell’applicazione delle regole contenute nel regolamento in esame. Per semplificare, possiamo quindi affermare che, se il nostro produttore sviluppa uno smartwatch per un pubblico generalista, il dispositivo non è medico. Ma se lo stesso produttore vuole sviluppare uno smartwatch affinché venga impiegato sui pazienti per la rilevazione dei parametri vitali finalizzata alla prescrizione di medicinali, allora il produttore sarà soggetto agli obblighi di cui alla normativa in esame.
Obblighi normativi e classificazione per rischio del software dispositivo medico
Quanto detto fino a qui non è un esercizio accademico o un vezzo di chi scrive. Comprendere se un dispositivo possa qualificarsi medico è di primaria importanza per gli obblighi normativi che ne conseguono.
Infatti, il regolamento impone una serie di obblighi e di attività nel caso in cui un prodotto dispositivo medico venga a) messo a disposizione sul mercato[6], b) immesso sul mercato[7] e c) messo in servizio[8]. Lo stesso dicasi nel caso in cui il prodotto dispositivo medico, pur senza essere immesso nel mercato, venga utilizzato per una indagine clinica, definita dal Regolamento come “qualsiasi indagine sistematica cui partecipano uno o più soggetti umani, volta a valutare la sicurezza o le prestazioni di un dispositivo” (cfr. Reg. 745/2017, art. 2, n. 45).
Gli obblighi imposti allo “sponsor”, inteso dal Regolamento quale “persona, società, istituzione oppure organizzazione che si assume la responsabilità di avviare, gestire e curare il finanziamento dell’indagine clinica”, o al fabbricante variano a seconda della classe in cui il dispositivo ricade.
Le classi individuate dal regolamento sono: classe I (che si suddivide ulteriormente in due sottocategorie), classe IIa, IIb e classe III. Tale classificazione si basa sulla rischiosità del dispositivo medico. Più il dispositivo presenta rischi, maggiore è la classe.
A classi più alte corrispondono obblighi normativi più stringenti, che il produttore o lo sponsor di un’indagine clinica devono soddisfare prima che il prodotto venga posto sul mercato o utilizzato sulle persone.
In linea di massima, il produttore e lo sponsor devono dotarsi di un sistema di controllo della qualità secondo gli standard internazionali, che include un sistema di gestione del rischio, e produrre una cospicua documentazione tecnica da presentare agli organi competenti affinché il dispositivo medico possa essere utilizzato per indagine clinica sulle persone o posto sul mercato.
Con riferimento al software dispositivo medico (SWMD), l’allegato VIII al Regolamento, Regola n. 11, prevede che gli SWMD ricadano in classe I ad eccezioni di quelli che i) hanno il compito di monitorare processi fisiologici o prendono decisioni finalizzate alla diagnosi o a scopi terapeutici (classe IIa), ii) comportino il rischio di seri deterioramenti della salute della persona o vengano usati per interventi chirurgici o, ancora, monitorino parametri vitali (classe IIb), iii) possano determinare il rischio di morte o deteriorazione irreversibile della salute (classe III).
Oltre alla regola appena descritta, per individuare la classe di rischio, si può ulteriormente fare riferimento alle linee guida emesse dal Medical Device Coordination Group (MDCG)[9].
Intelligenza artificiale e software dispositivo medico: nuovi obblighi normativi
Di frequente accade che i software utilizzati in ambito clinico abbiano al loro interno algoritmi o componenti di Intelligenza Artificiale.
La presenza dell’IA in un software dispositivo medico costituisce per lo sponsor o il produttore un ulteriore aggravio poiché, dopo l’entrata in vigore del Regolamento UE n. 1689/2024 sull’Intelligenza Artificiale (Artificial Intelligence Act -AIA), essi dovranno dimostrare la conformità del dispositivo anche all’AIA.
Sulla falsa riga degli obblighi previsti dal Regolamento sui dispositivi medici, anche nel caso dell’AIA, in base al grado di rischio del sistema di intelligenza artificiale, il fabbricante dovrà dotarsi di un sistema di gestione della qualità e del rischio.
Seppure non ancora pienamente operativo, il Regolamento sull’IA imporrà ai produttori, nell’immediato futuro, anche il rispetto delle norme in esso previste.
Impatti pratici e sanzioni per il software dispositivo medico
Come è facile comprendere dalla breve disamina sino a qui condotta, fabbricanti e sponsor delle indagini cliniche dovranno costruire i propri prodotti e i progetti di ricerca in conformità alle citate norme. Gli obblighi normativi dovranno essere tenuti ben presenti dai soggetti interessati sin dalle primissime fasi progettuali, adempiuti nella fase di sviluppo (anche dei prototipi) e tenuti in vita anche successivamente al posizionamento sul mercato per tutta la durata della loro presenza al servizio dell’utilizzatore.
Si tratta di obblighi stringenti la cui violazione è sanzionata con importi economici a cinque zeri[10].
È quindi fondamentale che i produttori e gli sponsor siano consapevoli degli obblighi previsti nei settori qui indagati e che si dotino di strutture, team e consulenti che approccino, in un’ottica interdisciplinare, la materia.
In conclusione, oggi. 2025.
Serve massima consapevolezza di quello che è il quadro normativo, pena la violazione di norme che, quando sanzionate, possono mettere a dura prova la sopravvivenza delle imprese, soprattutto quando come nel panorama italiano sono PMI e start up.
Note
[1] Il testo del Regolamento è disponibile alla pagina https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32017R0745 (ultima visita 31 maggio 2025). I dispositivi medici prima dell’entrata in vigore del Regolamento (UE) 2017/745 (dispositivi medici) erano regolamentati dalle Direttive 93/42/CEE e 90/385/CEE, relative rispettivamente ai dispositivi medici e ai dispositivi medici impiantabili attivi e dalla Direttiva 98/79/CE relativa ai dispositivi medico-diagnostici in vitro.
[2] Il testo della normativa sui dispositivi medici in vitro è consultabile alla pagina https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32017R0746 (ultima visita 31 maggio 2025). I dispositivi medico-diagnostici in vitro prima dell’entrata in vigore del Regolamento (UE) 2017/746 erano regolamentati dalla Direttiva 98/79/CE.
[3] Il 28 settembre 2022 è entrato in vigore il Decreto legislativo 137 del 5 agosto 2022, pubblicato nella Gazzetta Ufficiale del 13 settembre 2022, che ha sostituito entrambi i previgenti atti nazionali. Il Decreto legislativo 137/2022 ha regolamentato anche i dispositivi medici impiantabili attivi e ha lasciato invece ad un atto distinto (il Decreto legislativo 138/2022) la regolamentazione dei dispositivi medico-diagnostici in vitro.
[4] La vacatio legis è il tempo che trascorre tra la data di pubblicazione sulla Gazzetta Ufficiale e la sua entrata in vigore. Tale periodo serve a permettere agli operatori di settore di strutturarsi in modo da adeguare la propria organizzazione o i propri prodotti ai nuovi obblighi normativi.
[5] La definizione precisa ulteriormente che è dispositivo medico ai sensi del regolamento quel dispositivo che raggiunge lo scopo dichiarato dal fabbricante senza l’utilizzo di “mezzi farmacologici, immunologici o metabolici” poiché, in tal caso, si applicherebbero le normative del settore farmaceutico.
[6] Ai sensi dell’art. 2 n. 27 del Regolamento, per “messa a disposizione sul mercato” si intende “la fornitura di un dispositivo, diverso da un dispositivo oggetto di indagine, per la distribuzione, il consumo o l’uso sul mercato dell’Unione nel corso di un’attività commerciale, a titolo oneroso o gratuito”.
[7] Ai sensi dell’art. 2 n. 28 del Regolamento, per “immissione sul mercato” si intende “la prima messa a disposizione di un dispositivo, diverso da un dispositivo oggetto di indagine, sul mercato dell’Unione”.
[8] Ai sensi dell’art. 2 n. 29 del Regolamento, per “messa in servizio” si intende la “fase in cui un dispositivo, diverso da un dispositivo oggetto di indagine, è stato reso disponibile all’utilizzatore finale in quanto pronto per il primo utilizzo sul mercato dell’Unione secondo la sua destinazione d’uso”.
[9] MDCG della Commissione Europea si occupa di questioni fondamentali del settore dei dispositivi medici, quali la supervisione degli organismi notificati, la normazione, la sorveglianza del mercato o anche le questioni internazionali, le nuove tecnologie e le indagini cliniche. MDCG emette linee guida e documenti operativi che completano il regolamento e che possono essere utilizzati da fabbricanti e sponsor di indagini cliniche. Per quanto di interesse alla presente nota, l’MDCG ha emesso il documento 2019-11 che si occupa specificamente di guidare l’utente nella classificazione dei SWMD.
[10] Art. 27, decreto legislativo 137 del 5 agosto 2022.
