Allegato IV

L'Allegato IV del EU AI Act definisce la documentazione tecnica completa che i fornitori di sistemi di IA ad alto rischio devono creare e mantenere. Questa documentazione è la base probatoria per la valutazione di conformità, dimostrando ad autorità e organismi notificati che un sistema soddisfa tutti i requisiti applicabili. L'Allegato IV non è una semplice checklist di documenti: richiede evidenze che processi, controlli e barriere siano stati effettivamente implementati nello sviluppo e nell'operatività.

La documentazione tecnica deve includere diverse sezioni principali. Descrizione generale: panoramica dello scopo previsto, interazione con hardware e software, versioni rilevanti, forme di immissione sul mercato e utenti previsti. Informazioni dettagliate sullo sviluppo: architettura, risorse computazionali, specifiche di design, metodologie di sviluppo e scelte chiave con razionale delle tecniche adottate. Documentazione di gestione del rischio: evidenze di implementazione del sistema di gestione del rischio, inclusa identificazione, analisi, valutazione e misure di mitigazione lungo il ciclo di vita. Governance dei dati: dettagli su dataset di training, validazione e test, processi di raccolta, preparazione, assunzioni su cosa misurano i dati, valutazione di disponibilità e idoneità, e misure per rilevare e mitigare bias. Test e validazione: metriche per accuratezza, robustezza e conformità, procedure e risultati di test, misure di cybersecurity e soluzioni adottate. Monitoraggio e logging: capacità di logging (requisiti dell'articolo 12), piani di monitoraggio post-commercializzazione e meccanismi per catturare comportamento del sistema e interventi umani.

La sfida dell'Allegato IV non è solo il volume, ma la qualità. Auditori e organismi notificati cercano prove che i controlli esistano e funzionino, non semplici affermazioni. Questo richiede che la documentazione sia collegata ad artefatti verificabili: risultati reali di test, audit log effettivi, valutazioni del rischio che hanno influenzato decisioni di design. Le organizzazioni che trattano l'Allegato IV come esercizio documentale separato dall'ingegneria faticano durante la valutazione di conformità, quando i revisori chiedono il legame tra dichiarazioni e realtà.

Iniziate con una gap analysis tra le pratiche attuali e i requisiti dell'Allegato IV. Molte organizzazioni hanno già documentazione tecnica, ma raramente è strutturata per requisiti regolatori. Le lacune tipiche includono: documentazione insufficiente della provenienza dei dati di training e del preprocessing, poche evidenze di test e mitigazione dei bias, scarsa tracciabilità tra decisioni di gestione del rischio e implementazione tecnica, e logging inadeguato. Costruire retroattivamente la documentazione è estremamente difficile; l'approccio migliore è integrare la raccolta di evidenze nei workflow di sviluppo e deployment fin dall'inizio.