Announcement4-week governed pilot: move one real workflow into controlled production
KLA Digital Logo
KLA Digital
EU AI Act Articolo 12

Il gap delle evidenze nell'EU AI Act: cosa chiederanno davvero gli auditor

L'Articolo 12 richiede la "registrazione automatica degli eventi" ma fornisce pochissime specifiche. Questo gap si colmerà rapidamente una volta avviata l'applicazione. I precedenti di MiFID II, SOX, GDPR e MDR dimostrano che i requisiti basati su principi evolvono costantemente in aspettative di audit altamente specifiche entro 2-4 anni.

Le organizzazioni che si preparano ora dovrebbero implementare sistemi di logging a prova di manomissione, con ancoraggio crittografico. Non perché l'Articolo 12 lo prescriva, ma perché è esattamente ciò che gli auditor esigeranno.

Guarda le evidenze a prova di manomissione in azioneOttieni il template QMS
Il gap delle evidenze

Gli organismi notificati stanno già segnalando aspettative più rigorose

L'ecosistema della valutazione di conformità si sta mobilitando in vista della scadenza di agosto 2025 per la designazione degli organismi notificati. TUV SUD ha iniziato a offrire certificati volontari di conformità all'AI Act a novembre 2025. Team-NB ha avvertito di una potenziale carenza di organismi designati con competenze in materia di AI. Quelli che otterranno la designazione applicheranno standard rigorosi.

Il sandbox regolatorio AESIA della Spagna ha prodotto 16 guide tecniche di esecuzione che coprono metodi documentali specifici. I partecipanti ricevono "report di uscita" che i valutatori di conformità devono "tenere positivamente in considerazione", stabilendo un precedente su come debba presentarsi una documentazione accettabile.

Ai sensi dell<annex>Allegato VII</annex>, gli organismi notificati avranno ampi poteri di accesso: accesso completo ai dataset di addestramento tramite API, diritti di test diretti e, in casi eccezionali, accesso ai modelli addestrati stessi. I vostri log di accesso ai dataset diventeranno obiettivi di audit.

Precedente normativo

Lo schema è chiaro: il testo vago diventa prassi rigorosa

Ogni normativa importante segue la stessa traiettoria. I requisiti basati su principi evolvono in aspettative di audit altamente specifiche entro 2-4 anni.

L'Articolo 12 dell'EU AI Act seguirà lo stesso schema

In cosa si è evoluto

  • Divergenza UTC di 100 microsecondi (HFT)
  • 1 millisecondo (trading algoritmico)
  • Archiviazione WORM per 5-7 anni
  • Ricostruzione dei trade in 72 ore su richiesta

Lezione chiave

La precisione temporale è diventata 1.000.000x più rigorosa

La 'registrazione automatica degli eventi' dell'Articolo 12 diventerà logging tamper‑evident e ancorato crittograficamente entro 2‑4 anni dall'inizio dell'applicazione.

Lezioni apprese

Come altre normative sono evolute da vaghe a prescrittive

MiFID II

Requisito originale

"Fonte temporale accurata" per le registrazioni di trading

Cosa è diventato

Divergenza di 100 microsecondi UTC (HFT), storage WORM, conservazione 5-7 anni, ricostruzione in 72 ore

ESMA RTS 25

I requisiti di precisione temporale sono diventati 1.000.000 di volte più rigorosi di quanto il testo originale lasciasse intendere

SOX

Requisito originale

"Controllo interno adeguato" (nessuna definizione)

Cosa è diventato

Framework COSO: 17 principi, 87 punti focali, tasso di carenze del 40% negli audit Big 4

COSO FrameworkPCAOB

Un testo basato su principi è diventato altamente prescrittivo attraverso la pratica di audit

GDPR

Requisito originale

"Misure tecniche adeguate"

Cosa è diventato

2FA ora atteso (sanzione Haga Hospital), procedure di accesso documentate obbligatorie

Decisione Haga Hospital

Il principio di accountability ha reso la documentazione stessa un requisito di compliance

MDR

Requisito originale

Requisiti di "documentazione tecnica"

Cosa è diventato

Tracce di audit IEC 62304, controllo di versione completo, tracciabilità dai requisiti ai test

IEC 62304Linee guida Team-NB

I pattern dei dispositivi medici vengono importati direttamente nelle aspettative dell'AI Act

Aspettative di audit

Cosa si preparano a valutare gli auditor

Sulla base di prEN ISO/IEC 24970, prEN 18286 e delle aree di pratica emergenti dei Big 4, ecco cosa coprirà probabilmente la valutazione di conformità.

  • Eventi operativi (input, output, decisioni)
  • Eventi di monitoraggio automatizzato (drift, anomalie)
  • Interventi di supervisione umana (approvazioni, sovrascritture)
Implementazione

Segnali tecnici convergenti nelle linee guida di audit

Pur non essendo esplicitamente prescritti, questi pattern tecnici rispondono alla domanda pratica che porranno gli auditor: come dimostrate che questi log non sono stati modificati?

Concatenamento crittografico

Ogni voce di log include un hash della voce precedente, creando sequenze a prova di manomissione

Catene hash SHA-256 con rollup Merkle tree

Storage WORM

Lo storage Write-Once-Read-Many impedisce la modifica dei record storici

immudb, Amazon S3 Object Lock, blob immutabili Azure

Ancoraggio temporale

Timestamp di terze parti indipendenti dimostrano che le registrazioni esistevano in un momento specifico

OpenTimestamps, RFC 3161 TSA, ancoraggio blockchain

Architettura append-only

Le correzioni diventano nuove versioni collegate anziché sovrascritture

Event sourcing, registri immutabili, database nativi per tracce di audit

Infografica

Catena delle evidenze: dalle operazioni alla prova pronta per l'audit

L'obiettivo non è solo il logging. È dimostrare che i log sono affidabili.

Gli auditor vogliono prova che il vostro QMS funziona (registrazioni) e che le registrazioni siano affidabili (prove di integrità).

Errori comuni

Dove i team sbagliano

  • Aspettare gli standard armonizzati prima di implementare i controlli di integrità
  • Considerare la conservazione di 6 mesi sufficiente quando le regole di settore richiedono periodi più lunghi
  • Il logging esiste ma l'integrità non è verificabile (nessun hashing, nessun concatenamento)
  • I log di accesso ai dataset mancano o sono facilmente modificabili
  • Nessuna prova temporale indipendente che le registrazioni esistessero quando dichiarato
Soluzione

Integrate le evidenze a prova di manomissione nelle vostre operazioni AI

KLA Digital fornisce tracce di audit con ancoraggio crittografico fin dal primo giorno.

  • immudb-backed ledger: storage delle evidenze append-only con verifica crittografica integrata
  • Ancoraggio OpenTimestamps: ancoraggio batch su Bitcoin ogni ora, fornendo prove indipendenti che le registrazioni esistevano quando dichiarato
  • S3 Object Lock: storage WORM in modalità compliance per la conservazione dei payload grezzi
  • Esportazioni Evidence Room: bundle firmati con hash per artefatto e istruzioni di verifica

Non aspettate gli standard armonizzati. Costruite l'architettura delle evidenze che gli auditor esigeranno.

Guarda l'architettura delle evidenze

Verificate l'integrità delle evidenze con la CLI:

kla
# Verify evidence bundle integrity
kla evidence verify --bundle ./evidence-export.zip

# Export with full hash chain
kla export evidence \
  --tenant $KLA_TENANT_ID \
  --days 30 \
  --include-timestamps \
  --format pdf
Architettura di sicurezzaDocumentazione per sviluppatori
Domande

Domande frequenti

L'Articolo 12 richiede esplicitamente l'integrità crittografica?

No, ma lo schema emerso da MiFID II, SOX, GDPR e MDR è inequivocabile: il testo basato su principi diventa prassi prescrittiva entro 2-4 anni. Auditor e organismi notificati interpreteranno "registrazione automatica" come logging a prova di manomissione.

Quali periodi di conservazione si applicano ai log AI?

L'Articolo 12 specifica un minimo di 6 mesi per i log automatizzati, ma i requisiti settoriali spesso prevalgono. Gli istituti finanziari dovrebbero aspettarsi 5-7 anni. La documentazione tecnica deve essere conservata per 10 anni dopo l'immissione del sistema sul mercato.

Quando verranno pubblicati gli standard armonizzati?

prEN ISO/IEC 24970 (standard di logging) è in fase di voto come Draft International Standard. prEN 18286 (standard QMS) è entrato in inchiesta pubblica a ottobre 2025. Standard definitivi attesi per il Q4 2026, ma le aspettative degli auditor si stanno formando ora.

Quale accesso avranno gli organismi notificati?

Ai sensi dell'Allegato VII, gli organismi notificati possono richiedere accesso completo via API ai dataset di addestramento, validazione e test. Possono condurre test diretti se non soddisfatti dalle evidenze del provider. I log di accesso ai dataset diventeranno essi stessi obiettivi di audit.

Come dovremmo gestire l'auditabilità dei modelli ML?

Le soglie per un logging estensivo restano poco chiare, ma gli auditor si aspetteranno probabilmente: tracciamento delle versioni del modello, modifiche degli iperparametri, metadati delle sessioni di addestramento e tracciabilità delle decisioni per gli output ad alto rischio.

Per saperne di più

Risorse correlate

Proseguite il vostro percorso di conformità EU AI Act.

Template QMS Article 17

Template del sistema di gestione della qualità per AI ad alto rischio con mappatura prEN 18286.

Apri

Hub EU AI Act

Guida completa ai requisiti EU AI Act e ai tempi di conformità.

Apri

Panoramica sulla sicurezza

Architettura tecnica per l'integrità delle evidenze e la protezione dei dati.

Apri

Demo esportazione evidenze

Scoprite come vengono generati i bundle di evidenze a prova di manomissione.

Apri

Non aspettate che gli standard vi raggiungano

Il divario tra il testo dell'Articolo 12 e le aspettative pratiche di audit si colmerà rapidamente. Le organizzazioni che anticipano requisiti più rigorosi avranno vantaggi competitivi significativi quando inizieranno le valutazioni di conformità.

Prenota una demo Leggi l'Articolo 12