Traccia di audit

Una traccia di audit nel contesto dei sistemi di IA è un record completo e cronologico di eventi, decisioni e interazioni significative che avvengono durante l'operatività. A differenza dei log applicativi di base per debugging o performance, le tracce di audit sono costruite per rispondere a domande di responsabilità: chi ha preso quale decisione, quando, quali informazioni erano disponibili e quale supervisione o intervento umano è avvenuto. Rendono le operazioni dell'IA trasparenti e verificabili.

L'articolo 12 del EU AI Act impone capacità di logging automatico per i sistemi di IA ad alto rischio. Questi log devono consentire il monitoraggio del funzionamento, facilitare il monitoraggio post-commercializzazione e supportare la tracciabilità lungo il ciclo di vita. Tuttavia, il regolamento non richiede solo l'esistenza dei log, ma che siano adeguati allo scopo. Gli auditori chiederanno: potete mostrare cosa è successo quando è stata presa questa decisione? potete provare chi ha approvato questa azione e quando? potete dimostrare che i controlli di supervisione dichiarati sono stati realmente applicati? Senza tracce di livello audit, queste domande restano senza risposta.

Non tutti i log equivalgono a una traccia di audit idonea a fini regolatori. Le tracce devono avere diverse caratteristiche. Integrità: i record devono essere a prova di manomissione o con manomissione rilevabile. Archiviazione append-only, hashing crittografico e meccanismi di verifica dell'integrità forniscono questa garanzia. Completezza: devono catturare tutti gli eventi rilevanti, non solo errori, incluse decisioni di routine, approvazioni umane, override, escalation e comportamento normale. Accessibilità: devono essere interrogabili ed esportabili in formati utili agli auditor. Conservazione: spesso è richiesta una retention di sette anni o più. Contesto: ogni entry deve includere contesto sufficiente (timestamp, identità dell'attore, input, stato del sistema e collegamento ai workflow).

Le organizzazioni dovrebbero distinguere tra audit log a livello di piattaforma (accessi, modifiche di configurazione, azioni amministrative) e record decisionali a livello di workflow (raccomandazioni dell'IA, approvazioni umane, azioni eseguite). Entrambi sono necessari. L'architettura deve supportare scritture append-only per prevenire modifiche retroattive. Pensate a come esportare e presentare le tracce durante una revisione regolatoria, non solo a come archiviarle internamente. Pianificate la retention in base al settore e alle giurisdizioni in cui operate.