Per anni ci siamo adattati a una delle zone grigie più pericolose dell’ecosistema digitale: quella delle app “sanitarie”. Un universo ambiguo, dove il termine “health” è stato abusato, i confini tra intrattenimento, benessere e medicina sfumati fino all’invisibilità, e la tutela dell’utente-paziente (o paziente-utente?) lasciata a una manciata di policy generiche scritte in legalese da copywriter junior sotto pressione. Ma qualcosa, nel 2025, si muove finalmente nella direzione giusta.
Il nuovo Regolamento europeo, che integra e rafforza il MDR (Medical Device Regulation, Regolamento UE 2017/745), obbliga gli store digitali a classificare, etichettare e certificare ogni applicazione destinata a un uso medico, sanitario o di monitoraggio dello stile di vita. Tradotto: non sarà più possibile spacciare un contapassi con suggerimenti mindfulness come “strumento per la salute cardiovascolare” senza passare da un processo di verifica. Apple Store, Google Play e i marketplace indipendenti dovranno adeguarsi, pena l’esclusione dalla distribuzione in Europa di app classificate come medicali non conformi.
La vera novità, però, è la creazione di tre classi distinte di app “sanitarie”: quelle per la cura clinica (es. supporto alla diagnosi, gestione di patologie croniche, interfacce con dispositivi medici), quelle per la promozione della salute (es. prevenzione, screening digitali, monitoraggio di parametri vitali con validazione clinica) e infine quelle per lo stile di vita (es. fitness tracker, app nutrizionali, programmi di meditazione). Solo le prime due categorie potranno utilizzare terminologie mediche ed essere associate a un uso clinico: la terza dovrà limitarsi a claim generici e dovrà esplicitare la mancanza di valore medico certificato. In altre parole, una distinzione semantica che diventa finalmente giuridica.
Per capire l’importanza di questa evoluzione, basta ricordare che fino a ieri il confine tra “medical device” e “wellness gadget” era lasciato all’autodichiarazione dello sviluppatore, con il risultato che molte app finivano per eseguire funzioni paramediche senza alcuna sorveglianza regolatoria. Il caso emblematico? Le app di ovulazione e fertilità basate su intelligenza artificiale: vendute come strumenti di monitoraggio sicuro della fertilità, ma prive di validazioni cliniche comparabili a un metodo contraccettivo. Una pericolosa illusione di precisione scientifica.
La nuova regolamentazione, che rientra nell’ambito della Digital Health Strategy 2025-2030 della Commissione europea, impone anche un sistema di etichettatura standardizzata: ogni app classificata come sanitaria dovrà riportare chiaramente informazioni su scopo, classe di rischio (secondo le categorie del MDR: I, IIa, IIb, III), organismo notificato responsabile della certificazione (se presente), meccanismi di aggiornamento degli algoritmi, origine e tipo dei dati utilizzati per l’addestramento, nonché un link esplicito alla valutazione del rischio clinico.
Chiaro: la norma c’è, ma ora arriva il difficile. Applicarla. Verificarla. Farla rispettare. Non bastano le linee guida: servono enforcement, controlli, sanzioni. Perché i colossi tech sono maestri nel cavalcare le zone d’ombra normative, e gli sviluppatori indipendenti spesso ignorano anche solo l’esistenza dei framework europei. La European Medicines Agency e i Ministeri della Salute dei singoli Stati membri saranno chiamati a fare da arbitri, ma con quali risorse? E chi vigilerà sui marketplace globali in cui la sede legale dello sviluppatore è, per così dire, “mobile”?
In parallelo, viene introdotto un registro europeo delle app sanitarie certificate, accessibile al pubblico e integrabile nelle cartelle cliniche elettroniche (EHR). Le ASL, gli ospedali e i medici di medicina generale potranno così consultare in tempo reale lo status regolatorio di un’app prima di raccomandarla o integrarla nei propri sistemi. Un altro passo verso una sanità digitale interoperabile, anche se al momento il progetto pilota è operativo solo in 5 Paesi (Germania, Francia, Paesi Bassi, Svezia, Italia) e con molte limitazioni.
Naturalmente non mancano le proteste: alcuni sviluppatori temono un aumento insostenibile dei costi di certificazione; altri parlano di freno all’innovazione. Ma chi conosce il settore sa che il vero problema non è la burocrazia, bensì la superficialità. Per troppi anni è bastato dire “IA predittiva” per ottenere download, dati, e persino fondi pubblici, senza uno straccio di trial clinico. Ora le cose cambiano. Finalmente.
Le implicazioni per il trattamento dei dati sanitari sono enormi. Le app certificate saranno soggette non solo al GDPR, ma anche al Regolamento ePrivacy aggiornato (UE) 2025/1158, che introduce criteri specifici per la raccolta, la portabilità e la pseudonimizzazione dei dati sanitari digitali. I consensi dovranno essere granulari, contestuali e verificabili, e l’utente potrà accedere a un log delle attività algoritmiche eseguite sui propri dati, incluso l’output dei modelli di machine learning. Sì, perché la trasparenza algoritmica non sarà più una gentile concessione PR-friendly, ma un obbligo di legge.
Curioso che ci si sia arrivati nel 2025, quando già nel 2016 il Comitato europeo per la protezione dei dati indicava la salute digitale come “settore ad altissimo rischio di trattamento improprio dei dati sensibili”. Nove anni di inerzia digitale, spazzati via da una manciata di scandali e da un’accelerazione imposta più dai tribunali che dai legislatori. L’AI Act, entrato pienamente in vigore quest’anno, ha fatto da detonatore: classificando molte app sanitarie come “high-risk systems”, ha costretto Bruxelles a mettere mano al puzzle normativo.
È quindi legittimo chiedersi: cosa accadrà ora ai colossi che basano la loro offerta benessere su ecosistemi chiusi? Apple dovrà certificare HealthKit? Google rivaluterà le API di Fit? Amazon potrà ancora commercializzare i suoi wearable con claim “clinici”? E TikTok, che già sperimenta filtri anti-ansia e “mood tracker” per adolescenti, potrà proseguire nel suo corteggiamento sanitario camuffato da intrattenimento? La risposta, per ora, è nel grigio. Ma il regolamento UE apre una faglia che difficilmente potrà essere ignorata.
In tutto questo, l’Italia si trova in una posizione interessante. Il Ministero della Salute, dopo anni di ambiguità, ha varato il PNNS-Digital Health 2025, piano nazionale per la sanità digitale, che recepisce il regolamento europeo e istituisce una Cabina di Regia per le App Sanitarie, con compiti di vigilanza, promozione e raccordo tra Regioni, ASL e industria. Il nodo cruciale sarà la formazione dei medici e dei farmacisti, che saranno chiamati a orientare i pazienti nella giungla regolata ma sempre affollata delle app digitali: una nuova alfabetizzazione sanitaria in chiave tecnologica.
Rivista.AI ha anche chiesto il parere di un esperto dell ISS di Roma che ci ha detto:
L’unica cosa sulla quale sono solo in parte concorde è che queste app ricadono nel perimetro di applicazione della normativa da sempre (dal 1993, o se vogliamo proprio essere duri di comprendonio, dal 2007). Solo che produttori (soprattutto grandi), consumatori e spesso anche medici hanno sempre fatto finta di non sapere. E il meccanismo di controllo, di fatto, è debole su questi temi.
Non ci facciamo illusioni: i ciarlatani digitali non spariranno. Continueranno a promuovere soluzioni miracolose in qualche store extra-UE, continueranno a giocare sul confine tra coaching e trattamento terapeutico. Ma ora avranno meno spazio, meno impunità, meno scuse. E noi, come utenti, come cittadini e come innovatori, potremo finalmente scegliere con maggiore consapevolezza.
D’altra parte, come scriveva Karl Popper, “la scienza inizia quando si accetta la possibilità di sbagliare”. E noi, nel digitale sanitario, abbiamo sbagliato abbastanza a lungo.
PS: Sotto quel palazzone c’era il vivaio del mio bisnonno espropriato per la 2 volta, speriamo che ne sia valsa la pena…
Il Regolamento (UE) 2017/745 – MDR definisce in modo esplicito il concetto di “software come dispositivo medico” e impone la conformità, inclusi marcatura CE, registrazione EUDAMED, UDI, sorveglianza post‑marketing e requisiti di qualità. Cruciale è la Regola 11 del Allegato VIII, che estende la classificazione a software che influenzano decisioni cliniche .
L’MDCG 2019‑11, pubblicata dall’European Medical Device Coordination Group, fornisce le linee guida ufficiali per la qualificazione e classificazione del software medico, chiarendo che ogni applicazione mobile o cloud deve essere considerata medicale in base allo scopo dichiarato .
Il documento MDCG 2025‑4, pubblicato il 16 giugno 2025, analizza in dettaglio le responsabilità delle piattaforme digitali (come Apple, Google, Amazon) nella distribuzione di MDSW (Medical Device Software). Include obblighi legati al MDR, all’IVDR e al Digital Services Act, imponendo a queste piattaforme di verificare la presenza della marcatura CE, documentazione, etichettatura e informazioni complete.
La Commissione Europea, con il Regolamento (UE) 2023/607, ha esteso i periodi di transizione per il MDR/IVDR e ha eliminato il “sell‑off deadline”, ma rafforza l’obbligo per il CE e la registrazione fino al 2027‑28.
La guida Futurium “Blueprint on MDR and app certification” fornisce uno strumento pratico per confrontare le caratteristiche delle app mediche e definire i livelli di certificazione necessari.
La letteratura accademica conferma che molte app ricadono in Classe IIa o IIb, soggette a conformità formale, audit da parte di notified bodies, e obbligo di documentazione completa.
In sintesi, la normativa europea ora obbliga:
“Qualsiasi app destinata al monitoraggio, diagnosi, prevenzione o trattamento, indipendentemente dalla piattaforma, deve essere classificata secondo il MDR, avere marcatura CE, UDI, registrazione EUDAMED e conformità alle linee guida MDCG”, e gli store digitali devono verificarne la validità e responsabilità legale (anche sotto il DSA) prima di consentirne la pubblicazione.