Conservazione dei log (record-keeping automatico)
L'Articolo 12 del Regolamento (UE) 2024/1689 (AI Act) impone che i sistemi di intelligenza artificiale ad alto rischio siano progettati e sviluppati con capacità di registrazione automatica di eventi (log) lungo l'intero ciclo di vita del sistema. Il logging deve permettere la tracciabilità delle situazioni che possono dare luogo a un rischio, della messa in funzione del sistema nei diversi contesti e dell'identificazione di pattern di funzionamento — incluse le persone fisiche coinvolte nella sorveglianza umana. I log devono essere conservati dal fornitore (e dal deployer per i sistemi sotto il suo controllo) per un periodo adeguato alla finalità prevista del sistema. Non è una raccomandazione: è un requisito tecnico che impatta architettura, storage e governance dei dati. Konformia struttura nel modello Allegato IV (Sezione 3) la descrizione del meccanismo di logging — quali eventi, con quale granularità, conservati dove e per quanto tempo — pronto per essere allegato al fascicolo tecnico.
Cosa dice l'Art. 12 del Regolamento.
I sistemi di IA ad alto rischio devono consentire la registrazione automatica di eventi («log») durante il loro ciclo di vita. Le capacità di logging devono garantire un livello di tracciabilità proporzionato alla finalità prevista del sistema. I log devono coprire almeno: periodo di ogni utilizzo, eventuali database di riferimento confrontati con gli input, dati di input che hanno portato a un match, identificazione delle persone fisiche coinvolte nella verifica dei risultati (per i sistemi del §1(a) dell'Allegato III). I deployer conservano i log per il periodo previsto dal Regolamento, salvo obblighi più lunghi del diritto nazionale.
Sintesi divulgativa basata sulla versione italiana del Regolamento (UE) 2024/1689 pubblicata su EUR-Lex.
Cosa portarsi via, in pratica.
- Il logging è automatico, non manuale — deve essere progettato nel sistema.
- Copre eventi tecnici (input, output, errori, drift) non semplici metriche di prodotto.
- I log servono tracciabilità in caso di incidente, audit, contestazione.
- I deployer hanno l'obbligo di conservazione dei log per il periodo regolamentare.
Chi deve fare cosa.
- FornitoreProgettare il sistema in modo che generi automaticamente log degli eventi rilevanti.
- DeployerConservare i log generati dal sistema per il periodo richiesto dal Regolamento o dal diritto nazionale (se più lungo).
- EntrambiGarantire che il log sia integro e accessibile in caso di richiesta da parte dell'autorità.
Continua sulla rete degli articoli affini.
Sistema di gestione dei rischi (RMS)
Il fornitore di un sistema ad alto rischio deve istituire, attuare, documentare e mantenere un sistema di gestione dei rischi continuo lungo tutto il ciclo di vita.
Documentazione tecnica (Allegato IV)
Per ogni sistema ad alto rischio, prima dell'immissione sul mercato, il fornitore redige la documentazione tecnica secondo il contenuto dell'Allegato IV — il «fascicolo tecnico» AI Act.
Trasparenza e informazione ai deployer
I sistemi ad alto rischio devono essere accompagnati da istruzioni per l'uso che permettano al deployer di interpretare l'output del sistema e di usarlo correttamente.
Konformia copre l'Art. 12 nei tuoi processi.
Registro, classificazione, modelli documentali pre-popolati — l'Art. 12 è cablato nei workflow, non lasciato come nota a piè di pagina.

