Pacchetto di evidenze

Un pacchetto di evidenze è una raccolta strutturata e verificabile di documentazione, log di esecuzione, record di approvazione e artefatti di integrità che, nel loro insieme, dimostrano la conformità di un sistema di IA ai requisiti regolatori. A differenza di documentazione statica che descrive processi previsti, un pacchetto di evidenze contiene la prova che tali processi sono stati effettivamente eseguiti: tracce di audit con approvazioni umane, log che dimostrano l'enforcement di policy e checksum che consentono verifiche indipendenti di integrità.

Il EU AI Act richiede non solo di implementare misure, ma di poter dimostrare l'implementazione ad autorità di sorveglianza del mercato e auditor. L'articolo 18 richiede ai fornitori di tenere documentazione e log a disposizione delle autorità competenti per dieci anni. L'articolo 26 richiede agli utilizzatori di conservare i log generati automaticamente. In tutto il regolamento, l'enfasi è sulla conformità dimostrabile e documentata, non su semplici affermazioni. Quando arrivano gli auditor, chiedono evidenze: potete provare che il sistema di gestione del rischio opera? mostrate la traccia di audit. potete dimostrare la supervisione umana? mostrate i record di approvazione. potete verificare che non siano stati alterati? mostrate le prove di integrità.

Un pacchetto completo include tipicamente: documentazione tecnica dell'Allegato IV, tracce di audit, record di approvazione (approvazioni, rifiuti, escalation e override), report di monitoraggio (metriche, deriva e incidenti) e artefatti di integrità (manifest con hash crittografici).

La differenza chiave tra documentazione di conformità e pacchetto di evidenze è la verificabilità. Un pacchetto include meccanismi di verifica dell'integrità: manifest con hash, timestamp da fonti affidabili e prove append-only, consentendo agli auditor di confermare in modo indipendente che le evidenze non sono state modificate dopo.