La produzione normativa avente riguardo lo sviluppo e l’applicazione dei sistemi di Intelligenza Artificiale è in costante incremento, principalmente per l’intento di regolamentare temi delicati e potenzialmente invasivi.
Senza dubbio l’ambito sanitario è uno dei contesti maggiormente interessati dal fenomeno.
Indice degli argomenti
Il parere 2020 come testo fondativo: valore orientativo e limiti contestuali
Rileggere oggi il parere congiunto CNB–CNBBSV del 29 maggio 2020 “Intelligenza artificiale e medicina: aspetti etici” richiede uno sforzo interpretativo che va oltre la semplice ricognizione dei contenuti.
Il documento va collocato con precisione nel sistema delle fonti: si tratta di un atto di soft law istituzionale, privo di efficacia normativa diretta ma dotato di un significativo peso orientativo nei confronti del legislatore, della giurisprudenza e della prassi clinico-organizzativa. La sua rilevanza giuridica attuale risiede non nella vincolatività, bensì nella funzione anticipatoria: il parere del 2020 ha infatti individuato con notevole tempestività i nuclei problematici che il diritto positivo avrebbe successivamente formalizzato (anzi è chiamato ad ultimare il delicato quadro normativo ed applicativo).
Il testo va però riletto nella consapevolezza del contesto storico in cui fu prodotto: è un documento ante AI Act, ante EHDS e sostanzialmente anteriore alla diffusione massiva dei modelli generativi. Questo non ne diminuisce certamente il valore intellettuale, ma ne delimita l’operatività come strumento di compliance o di governance aziendale.
Il CNB stesso, nel parere del 2026, riconosce espressamente che “lo scenario è mutato profondamente” e che l’ingresso dell’IA nella relazione di cura costituisce “una netta discontinuità epistemica e organizzativa”, non una mera innovazione strumentale. Il parere del 2020 va dunque considerato il primo strato di una cartografia normativa in costante costruzione, ma, proprio per il valore anticipatorio, dovrebbe essere attentamente analizzato in modo strutturato con i successivi più recenti provvedimenti.
Cinque intuizioni del documento 2020 che rimangono valide
Cinque intuizioni del documento mantengono infatti una validità piena e si rivelano oggi particolarmente pregnanti.
- La prima è la centralità della relazione medico-paziente: l’IA deve essere considerata uno strumento di supporto, non sostituto della cura, e l’atto medico rimane strutturalmente un atto umano.
- La seconda è l’anticipazione del problema del consenso informato debole: già nel 2020 il CNB–CNBBSV segnalava che il paziente difficilmente può essere in grado di comprendere la logica degli algoritmi, con il rischio che il consenso scivoli verso una forma più fiduciaria che cognitiva.
- La terza è la teorizzazione della responsabilità distribuita lungo tutta la filiera, che coinvolge sviluppatore, produttore, venditore, struttura, professionista e integratore in obblighi distinti e potenzialmente concorrenti.
- La quarta è il legame tra affidabilità dei sistemi di IA e qualità del dato sanitario come infrastruttura di interesse sistemico.
- La quinta è l’attenzione ai bias algoritmici come riflesso di squilibri strutturali preesistenti, e non già meri difetti tecnici.
Il parere CNB 2026: la discontinuità come mandato organizzativo
Il parere “Relazione di cura, consenso informato e responsabilità nell’era dell’IA” redatto il 27 febbraio 2026 dal Comitato Nazionale di Bioetica rappresenta un salto qualitativo rispetto al documento precedente, non solo, ovviamente, per l’aggiornamento contenutistico ma per lo spostamento del baricentro analitico: si passa da un concetto di etica generale dell’IA in medicina alla necessità di concretizzare una governance dell’uso clinico concreto.
La distinzione è assolutamente fondamentale, in quanto traccia un percorso di trasformazione dell’interlocuzione da filosofica ad operativa.
Il primo contributo rilevante del parere 2026 è il riconoscimento che l’IA sia in grado di modificare la struttura stessa della decisione clinica. Non si tratta più di un mero supporto documentale o informativo aggiuntivo: l’algoritmo entra nel processo di formazione del giudizio, orienta la selezione delle ipotesi diagnostiche, influenza la valutazione del rischio, potendo incidere direttamente sulla scelta terapeutica.
Questa constatazione ha un’immediata implicazione giuridica: adottare un sistema di IA in un contesto clinico non equivale ad aggiornare un’infrastruttura informatica, ma a modificare un processo clinico-assistenziale con tutto ciò che ne consegue in termini di responsabilità organizzativa, gestione del rischio e obblighi di sorveglianza.
Il secondo asse del parere 2026 di particolare rilievo giuridico è la proposta di distinguere due famiglie di uso dell’IA in sanità: il supporto diretto alla diagnosi, in cui la tecnologia incide direttamente sulla decisione clinica e richiede un consenso specifico e tracciabile, e l’uso come strumento integrativo o di monitoraggio terapeutico, in cui l’informazione va calibrata sul percorso complessivo. A questa distinzione il CNB affianca la formulazione dei tre elementi minimi del consenso informato nel contesto algoritmico:
a) l’informazione attenta circa il fatto che venga utilizzato un sistema di IA
b) la approfondita informazione circa il ruolo svolto dalla IA nel processo decisionale,
c) la natura probabilistica e non deterministica dei risultati.
Si tratta di una specificazione operativa immediatamente rilevante che impone alle strutture di differenziare i modelli di consenso in funzione dell’impatto effettivo del sistema sulla decisione clinica, rendendo inadeguati i moduli generici.
Il terzo asse è il rifiuto del consenso formalistico e la proposta di un paradigma relazionale e contestualizzato.
Il CNB prende atto che la spiegazione tecnica di sistemi non interpretabili non possa essere trasferita sul paziente nei termini di una comprensione piena: ne consegue un dovere di lealtà comunicativa che non coincide con la mera disclosure tecnica (ciò avrebbe un impatto indubbio sul fronte del segreto industriale), ma richiede un’informazione adattata alla vulnerabilità specifica del paziente e funzionale alla sua decisione.
Il quarto delicato asse attiene al concetto di doppio rischio di deriva nella responsabilità professionale: da un lato, si riscontra il fenomeno dell’automation bias, ossia l’adesione acritica all’output algoritmico, in assenza di un’adeguata valutazione contestuale e clinica; dall’altro, si configura il rischio opposto, rappresentato dal rigetto immotivato di indicazioni generate da sistemi validati e largamente adottati, che – ove idonee a migliorare l’accuratezza decisionale – possono trasformarsi, se ignorate, in fonte autonoma di responsabilità.
In tale prospettiva, la colpa non si esaurisce più nella decisione in sé, ma si estende alla modalità di interazione tra professionista e sistema di intelligenza artificiale, imponendo un utilizzo critico, consapevole e governato dello strumento tecnologico.
Il punto di equilibrio, secondo il CNB, è un sistema in cui la decisione rimane clinica e umana, ma l’organizzazione rende conoscibili limiti, condizioni d’uso, margini di errore e versioni del sistema.
AI Act e EHDS: dall’intuizione all’obbligo di accountability
Il quadro delineato dai due pareri del Comitato Nazionale per la Bioetica trova nella dimensione della soft law istituzionale il proprio limite intrinseco in termini di vincolatività, esprimendo indirizzi e raccomandazioni privi di immediata cogenza, ma comunque idonei ad orientare l’interpretazione e l’evoluzione delle prassi applicative.
Il Regolamento (UE) 2024/1689 sull’intelligenza artificiale ha tuttavia profondamente mutato (prendendo in osservazione il parere del 2020) tale prospettiva, segnando il passaggio da una dimensione prevalentemente etico-deontologica ad un sistema di obblighi giuridici cogenti e direttamente applicabili (ed è in questa direzione che va letto il recente parere pubblicato dal CNB pochi giorni fa).
Il regolamento adotta infatti un approccio risk-based e qualifica come sistemi ad alto rischio numerose applicazioni in ambito sanitario, in particolare quelle che costituiscono componenti di sicurezza di prodotti disciplinati dalla normativa armonizzata dell’Unione, tra cui i dispositivi medici soggetti a procedure di valutazione della conformità da parte di organismi notificati.
Per i sistemi ad alto rischio, l’AI Act impone obblighi articolati e cumulativi in materia di gestione del rischio, governance dei dati, documentazione tecnica, logging, trasparenza, sorveglianza umana, accuratezza, robustezza, cybersecurity e post-market monitoring. La conseguenza per le aziende sanitarie è di primaria importanza: la valutazione di conformità del fornitore non esaurisce la questione della responsabilità nell’uso clinico.
La struttura che integra il sistema nei propri workflow, lo parametrizza, lo addestra ulteriormente o ne modifica il contesto d’uso deve interrogarsi sul proprio ruolo regolatorio effettivo e sui correlati obblighi di vigilanza, audit, formazione e controllo del rischio.
L’AI Act non alleggerisce la responsabilità organizzativa dell’ente utilizzatore ma la rende più visibile e più esigibile.
Il Regolamento (UE) 2025/327 sullo European Health Data Space aggiunge una dimensione ulteriore.
Disciplinando sia l’uso primario che l’uso secondario dei dati sanitari elettronici, introduce un quadro europeo per l’accesso, la condivisione, l’interoperabilità ed il riuso dei dati, spingendo le aziende sanitarie verso una maturità informativa più elevata nella qualità del dato, nella strutturazione semantica e nella separazione dei ruoli tra cura, ricerca, analisi e sviluppo tecnologico.
L’effetto combinato del Regolamento (UE) 2024/1689 e dello European Health Data Space può essere sintetizzato in modo semplice: non basta più avere dati. È necessario poter dimostrare che quei dati sono leciti, pertinenti, affidabili sotto il profilo qualitativo, correttamente governati, interoperabili e utilizzati all’interno di un sistema organizzativo che sia tracciabile e documentabile.
È proprio in questo passaggio che l’intuizione etica contenuta nel parere del 2020 del Comitato Nazionale per la Bioetica (il dato sanitario come infrastruttura di interesse sistemico) si trasforma in qualcosa di molto più concreto: un vero e proprio obbligo organizzativo, accompagnato da controlli e, soprattutto, da possibili sanzioni.
Il consenso informato nell’era degli algoritmi: implicazioni giuridiche dei tre elementi minimi
Nessun istituto del diritto sanitario subisce una sollecitazione più intensa dall’avvento dell’IA quanto il consenso informato. Il paradigma della legge n. 219/2017 — che fonda il rapporto terapeutico sul consenso libero e informato del paziente come espressione dell’autodeterminazione — mantiene intatta la propria centralità, ma richiede una riformulazione operativa profonda in presenza di sistemi non pienamente interpretabili.
Il problema non è soltanto “se” informare il paziente dell’uso dell’IA, ma come collocare quell’informazione all’interno del processo clinico senza ridurla a un mero adempimento burocratico.
I tre elementi minimi indicati dal CNB 2026 (uso del sistema, ruolo nel processo decisionale, natura probabilistica dei risultati) definiscono il contenuto minimo inderogabile dell’informazione, ma non la sua forma.
Questo significa che i modelli di consenso non possono essere uniformi per tutte le applicazioni di IA: ad esempio un sistema che incide direttamente sul giudizio diagnostico (si pensi all’analisi di immagini radiologiche) esige un’informazione specifica e contestualizzata, qualitativamente diversa da quella richiesta per un sistema di monitoraggio remoto con effetti indiretti sul percorso di cura.
Sul piano strettamente giuridico, il punto decisivo è questo: quanto più l’intelligenza artificiale incide sul processo valutativo clinico, tanto più cresce l’esigenza di un’informazione specifica, tracciabile e contestualizzata. Non perché al paziente debba essere richiesto di comprendere l’architettura dell’algoritmo, ma perché è essenziale che abbia una chiara consapevolezza del fatto che la proposta diagnostica o terapeutica possa fondarsi anche su una valutazione statistico-predittiva, sull’impiego di sistemi addestrati su dataset esterni, o su strumenti che operano secondo logiche probabilistiche e che, in determinate popolazioni, possono presentare margini di errore anche sistematici.
Questo contenuto informativo è materiale essenziale per l’autodeterminazione del paziente ai sensi della legge n. 219/2017, e la sua omissione o genericità potrebbe esporre la struttura a un profilo di responsabilità per violazione del dovere informativo.
Un ulteriore nodo giuridico riguarda il raccordo con l’art. 22 del GDPR, che riconosce il diritto a non essere sottoposti a decisioni basate unicamente su trattamenti automatizzati. In ambito sanitario, i sistemi di intelligenza artificiale non determinano, di regola, decisioni automatizzate in senso stretto, poiché la scelta finale rimane affidata al giudizio clinico del professionista. Ciò nonostante, la trasparenza rispetto al ruolo concretamente svolto dall’algoritmo nel processo decisionale resta un presupposto imprescindibile, affinché il paziente possa esercitare in modo pieno e consapevole il proprio diritto all’autodeterminazione.
Le responsabilità distribuite tra professionista, struttura e fornitore
La legge n. 24/2017 (cd. legge Gelli-Bianco) ha ridisegnato il sistema della responsabilità sanitaria, distinguendo la posizione del professionista da quella della struttura e attribuendo un ruolo centrale al rispetto delle linee guida quale parametro per la valutazione della colpa.
Tuttavia, questo impianto mostra oggi alcuni limiti strutturali quando si confronta con l’errore algoritmico, che difficilmente può essere ricondotto né a una condotta del singolo professionista né alla violazione di un protocollo clinico tradizionale.
La filiera dell’intelligenza artificiale, che coinvolge sviluppatore del modello, produttore del dispositivo, fornitore, integratore, struttura utilizzatrice e professionista, genera una pluralità di obblighi distinti, tra loro collegati ma solo in parte sovrapponibili, la cui allocazione non è ancora disciplinata in modo così chiaro dal diritto sanitario vigente.
Il Regolamento (UE) 2024/1689 offre un primo quadro di riferimento per i soggetti della filiera, soprattutto sul versante della progettazione, immissione sul mercato e utilizzo dei sistemi. Resta tuttavia aperto il tema del coordinamento con i profili di responsabilità civile e penale del professionista e della struttura sanitaria, ambito nel quale il diritto positivo appare ancora in evoluzione e che sarà inevitabilmente rimesso, in larga parte, all’elaborazione progressiva della giurisprudenza.
Le quattro aree di rischio giuridico che meritano attenzione
Si ritiene che quattro aree di rischio giuridico meritino particolare attenzione.
La prima è la responsabilità da affidamento acritico: il professionista che adotta l’output del sistema senza valutazione contestuale del caso concreto espone sé stesso e la struttura a possibili contestazioni per mancato esercizio del giudizio clinico.
La seconda, speculare, è la responsabilità da rigetto immotivato: quando il sistema è validato, ampiamente adottato e il suo output è significativamente discordante dalla scelta effettuata, l’assenza di motivazione documentata può diventare elemento di valutazione della colpa (resta ovviamente aperto il delicato tema di chi abbia il compito e la competenza di indicare quali sistemi siano “validati” ed in relazione a quali eventuali aspetti clinici).
La terza riguarda la responsabilità organizzativa della struttura, che emerge ogni volta che l’azienda non abbia adeguatamente verificato l’intended use del sistema, presidiato gli aggiornamenti del modello, formato il personale, gestito gli incidenti o istituito meccanismi di revisione periodica.
La quarta attiene invece alla responsabilità contrattuale lungo la filiera: i contratti con i fornitori di sistemi di intelligenza artificiale devono disciplinare in modo puntuale aspetti quali la gestione dei dataset, il model drift, gli aggiornamenti, l’auditabilità, l’accesso ai log, la gestione degli incidenti, l’allocazione degli obblighi regolatori e la cybersecurity. Si tratta di profili che gli SLA generici spesso non coprono adeguatamente, ma che il Regolamento (UE) 2024/1689 considera parte integrante della conformità.
Dati sanitari e governance
La data governance rappresenta il presupposto silenzioso, ma strutturale, di ogni sistema di intelligenza artificiale in sanità. Il parere 2026 del Comitato Nazionale per la Bioetica e il quadro europeo convergono nell’individuare tre livelli distinti, che il giurista sanitario deve saper mantenere analiticamente separati.
Il primo riguarda la liceità del trattamento. Restano centrali il GDPR e la disciplina nazionale di settore, ma il tema non si esaurisce nell’individuazione della base giuridica.
In ambito sanitario, l’utilizzo dei dati per addestrare, validare o monitorare sistemi di IA richiede una chiara distinzione tra finalità assistenziali, organizzative, di ricerca, di sviluppo tecnologico e di valutazione delle performance. In questa direzione si colloca anche lo European Health Data Space, che formalizza a livello europeo la distinzione tra uso primario e uso secondario dei dati, con rilevanti implicazioni organizzative per le strutture sanitarie.
Il secondo livello attiene alla qualità e alla rappresentatività del patrimonio informativo. Un dataset incompleto, o non rappresentativo della popolazione trattata dall’azienda non è solo un problema tecnico ma genera un rischio giuridico concreto. Può infatti determinare errori differenziali, bias di popolazione, prestazioni peggiori su sottogruppi fragili e, in ultima analisi, danni clinici difficilmente prevedibili.
Il parere 2026 del Comitato Nazionale per la Bioetica e il Consiglio d’Europa convergono nel collegare l’uso dell’IA ai principi di equo accesso alle cure e di autonomia del paziente: un dataset distorto non deve soltanto essere considerato dal punto di vista di un difetto tecnico, ma incide direttamente sul diritto alla salute e sul principio di non discriminazione.
Il terzo livello riguarda il governo istituzionale del consenso e del riuso. Il parere 2026 richiama la proposta della World Medical Association di affiancare al consenso individuale una vera e propria “governance del consenso”, ossia forme di supervisione istituzionale nei casi in cui la complessità tecnica renda insufficiente l’autorizzazione del singolo come unico presidio. Si tratta di un passaggio strategico: l’uso secondario dei dati per addestrare o monitorare modelli non può essere affidato a logiche meramente contrattuali o informatiche, ma richiede un’architettura organizzativa strutturata, in cui direzione sanitaria, DPO, comitati etici e funzioni di risk management operino in modo coordinato e documentato.
Trasparenza, responsabilità umana e governance dell’IA in sanità
Il percorso analitico tracciato consente di individuare tre principi operativi utili per interpretare il quadro giuridico vigente, tanto sul piano teorico quanto nella declinazione pratica.
Il primo è che la trasparenza algoritmica non è una buona pratica, ma una vera e propria condizione di legittimità. Il paziente ha diritto di sapere se la decisione clinica che lo riguarda si fonda anche su una valutazione probabilistica generata da un sistema addestrato su dati esterni. Di conseguenza, la struttura sanitaria deve rendere questa informazione effettiva, comprensibile, contestualizzata e tracciabile. Parallelamente, il fornitore è tenuto a mettere a disposizione le informazioni tecniche necessarie affinché tale obbligo possa essere concretamente adempiuto.
Il secondo principio è che la responsabilità umana resta insopprimibile. L’intelligenza artificiale può fornire dati, correlazioni e raccomandazioni, ma non può assumere decisioni nel senso giuridicamente rilevante del termine. La decisione clinica deve infatti restare in capo al professionista, che è chiamato a valutare criticamente l’output algoritmico, a documentare il proprio ragionamento e a rispondere delle scelte effettuate. Questo principio attraversa l’intero sistema normativo: è coerente con la legge n. 219/2017, è ribadito dal parere 2026 del Comitato Nazionale per la Bioetica ed è presupposto anche dal Regolamento (UE) 2024/1689 attraverso l’obbligo di human oversight.
Il terzo principio riguarda la governance istituzionale del consenso e del dato, che rappresenta il punto di arrivo dell’evoluzione normativa. È ormai superata l’idea che possano bastare un consenso generico e un contratto software standard. Il diritto europeo — General Data Protection Regulation, Regolamento (UE) 2024/1689 e European Health Data Space — insieme ai pareri del Comitato Nazionale per la Bioetica, indica con chiarezza che la gestione dell’IA in sanità richiede un’architettura organizzativa integrata: mappatura degli usi, classificazione del rischio, modelli di consenso differenziati, presidi di controllo umano, gestione del ciclo di vita dei modelli, governance contrattuale della filiera, verifica della qualità dei dati, formazione del personale e una funzione stabile di AI governance con adeguati flussi di reporting verso la direzione.
Il filo che collega i due pareri del Comitato Nazionale per la Bioetica — e che oggi trova piena espressione normativa nel Regolamento (UE) 2024/1689 e nello European Health Data Space — è il passaggio da un’etica dei principi a un’etica dell’infrastruttura. Dignità, autonomia, equità e responsabilità non sono più soltanto valori da affermare, ma obblighi da tradurre in procedure, presidi organizzativi, contratti e sistemi di controllo documentabili.
In questo scenario, il giurista sanitario e il compliance officer che non saranno in grado di governare questa architettura integrata rischiano di trovarsi impreparati di fronte al contenzioso, alle attività ispettive e, più in generale, alle nuove sfide di governance che caratterizzeranno i prossimi anni.
