I sistemi AI ad alto rischio devono mantenere un fascicolo tecnico completo prima dell'immissione sul mercato UE. L'Art. 11 e l'Allegato IV definiscono esattamente cosa includere — dall'architettura del sistema alla governance dei dati di addestramento e ai piani di monitoraggio post-commercializzazione.
Cos'è il Fascicolo Tecnico?
La documentazione tecnica — comunemente denominata "fascicolo tecnico" — è il pacchetto di prove principale che dimostra che un sistema AI ad alto rischio soddisfa tutti i requisiti del Regolamento UE sull'IA. Previsto dall'Art. 11 e strutturato dall'Allegato IV, deve essere redatto prima che il sistema venga immesso sul mercato UE e aggiornato durante tutto il ciclo di vita del sistema.
Il fascicolo tecnico non viene presentato centralmente. Il fornitore lo detiene e lo presenta su richiesta alle autorità di vigilanza del mercato e agli organismi notificati. Si tratta di un modello a richiesta: le autorità vengono da voi; dovete essere pronti a consegnare un pacchetto completo e coerente, non una pila improvvisata di file assemblati sotto pressione.
L'Art. 11 impone tre obblighi ai fornitori:
- Redigerlo prima dell'immissione sul mercato o della messa in servizio.
- Tenerlo aggiornato — qualsiasi modifica sostanziale al sistema richiede l'aggiornamento del fascicolo e la riassesment della conformità.
- Renderlo disponibile alle autorità competenti e agli organismi notificati su richiesta, entro un periodo di tempo definito (tipicamente 10 giorni lavorativi ai sensi delle norme nazionali di vigilanza del mercato).
Lo standard per "aggiornato" è funzionale: il fascicolo tecnico deve riflettere il sistema come effettivamente dispiegato, non il sistema come originariamente progettato. Se un aggiornamento del modello modifica le caratteristiche di prestazione, le soglie di accuratezza o i dati di addestramento, il fascicolo deve essere rivisto di conseguenza.
Chi ha bisogno della Documentazione Tecnica?
La documentazione tecnica ai sensi dell'Art. 11 e dell'Allegato IV è obbligatoria per i fornitori di:
- Sistemi AI ad alto rischio elencati nell'Allegato III — sistemi autonomi in aree come la categorizzazione biometrica, il reclutamento, lo scoring creditizio, la gestione delle infrastrutture critiche, l'istruzione, l'attività di contrasto, la migrazione e il controllo delle frontiere e l'amministrazione della giustizia (soggetti al filtro del rischio significativo dell'Art. 6(3))
- Sistemi AI che funzionano come componenti di sicurezza nei prodotti regolamentati dell'Allegato I — IA integrata in dispositivi medici, macchinari, veicoli, attrezzature aeronautiche e prodotti simili disciplinati dalla normativa UE esistente in materia di sicurezza dei prodotti
La documentazione tecnica non è richiesta per:
- Sistemi AI a rischio minimo (chatbot, filtri antispam, motori di raccomandazione al di fuori delle categorie ad alto rischio)
- Sistemi AI soggetti solo agli obblighi di trasparenza ai sensi dell'Art. 50 (ad es. comunicazioni sui deepfake, comunicazioni sul riconoscimento delle emozioni quando non ad alto rischio)
- Fornitori di modelli di IA per uso generale (GPAI) — questi hanno obblighi di documentazione separati ai sensi dell'Art. 53, inclusa la documentazione tecnica per il modello stesso, ma non il formato dell'Allegato IV progettato per i sistemi ad alto rischio dispiegati
Se siete un deployer (non un fornitore), non siete tenuti a preparare il fascicolo tecnico. Tuttavia, i deployer devono mantenere i registri dell'uso del sistema (Art. 26(5)), e i fornitori hanno il diritto di attingere a questi registri quando aggiornano la documentazione tecnica o gestiscono le segnalazioni degli incidenti.
I 14 Elementi dell'Allegato IV
L'Allegato IV specifica il contenuto minimo del fascicolo tecnico. Non esiste un formato rigido — i fornitori possono organizzare la documentazione come ritengono opportuno — ma tutti i 14 elementi devono essere presenti e sostanziali. Le voci spuntate senza prove di supporto non soddisfano l'Allegato IV.
| # | Elemento dell'Allegato IV | Cosa deve contenere |
|---|---|---|
| 1 | Descrizione generale | Nome del sistema, identificatore di versione, scopo previsto, utenti previsti, mercati geografici, nome e indirizzo del fornitore, qualsiasi mandatario autorizzato |
| 2 | Componenti del sistema | Requisiti hardware, componenti software, modelli o librerie di terze parti utilizzati, panoramica della metodologia di addestramento, approccio algoritmico (ad es. apprendimento supervisionato, apprendimento per rinforzo, architettura transformer) |
| 3 | Specifiche di progettazione | Architettura del sistema, diagrammi del flusso dei dati, decisioni di progettazione chiave e loro motivazione, compromessi effettuati (ad es. accuratezza vs. spiegabilità), formato dell'output e come gli output alimentano le decisioni a valle |
| 4 | Dati di addestramento, validazione e test | Set di dati utilizzati in ogni fase, fonti dei dati, procedure di governance dei dati, proprietà statistiche dei set di dati (dimensione, distribuzione, copertura), protocolli di elaborazione e pre-elaborazione dei dati, misure adottate per rilevare e affrontare i pregiudizi nei set di dati |
| 5 | Documentazione della gestione del rischio | Il sistema completo di gestione del rischio dell'Art. 9: rischi identificati per la salute, la sicurezza e i diritti fondamentali; stima e valutazione del rischio; misure di mitigazione del rischio adottate; rischi residui accettati; base per l'accettazione dei rischi residui |
| 6 | Modifiche del ciclo di vita | Descrizione di tutte le modifiche sostanziali apportate dopo il dispiegamento iniziale, loro natura e portata, come la conformità è stata riassestata dopo ogni modifica, storico delle versioni con date |
| 7 | Misure di supervisione umana | Come vengono implementati i requisiti dell'Art. 14: meccanismi di override e stop, interfacce che consentono agli operatori umani di monitorare gli output, requisiti di formazione o qualifica per gli operatori, procedure documentate per l'intervento umano |
| 8 | Procedure di validazione e test | Metriche di prestazione utilizzate (accuratezza, precisione, richiamo, F1, AUC, metriche di equità), descrizioni del set di test, condizioni e ambiente di test, metodologia e risultati del bias testing, test di robustezza e stress, prestazioni fuori distribuzione |
| 9 | Misure di sicurezza informatica | Misure tecniche contro il furto del modello, l'avvelenamento dei dati, gli attacchi avversariali, l'iniezione di prompt (per i sistemi basati su LLM), controlli degli accessi, crittografia in transito e a riposo, procedure di gestione delle vulnerabilità |
| 10 | Monitoraggio del pregiudizio e dell'accuratezza | Procedure di monitoraggio continuo post-dispiegamento, soglie di accuratezza al di sotto delle quali il sistema attiva una revisione, benchmark di prestazione disaggregati per gruppi demografici ove pertinente, procedure per agire sui fenomeni di drift o pregiudizio rilevati |
| 11 | Istruzioni per l'uso | Il documento rivolto ai deployer dell'Art. 13: scopo previsto e casi d'uso, caratteristiche di prestazione e limitazioni, vincoli noti, requisiti di manutenzione e aggiornamento, obblighi di registrazione per i deployer, punto di contatto per la segnalazione degli incidenti |
| 12 | Piano di monitoraggio post-commercializzazione | La progettazione del sistema di monitoraggio dell'Art. 72: dati raccolti dai deployer, frequenza dei cicli di monitoraggio, soglie che attivano una revisione o aggiornamento, procedura di segnalazione degli incidenti gravi (Art. 73), procedura per retroalimentare i dati di monitoraggio nella gestione del rischio |
| 13 | Descrizione delle interfacce | API e punti di integrazione, formati e vincoli dei dati di input, formati degli output e loro semantica, integrazione con altri sistemi o componenti, compatibilità delle versioni |
| 14 | Norme armonizzate e specifiche comuni | Elenco delle norme armonizzate applicate (ad es. ISO/IEC 42001:2023, norme EN nell'ambito del programma di standardizzazione del Regolamento sull'IA), specifiche comuni adottate ai sensi dell'Art. 41, la misura in cui ogni norma è stata applicata, eventuali deviazioni e la loro giustificazione |
Nota pratica sull'elemento 4 (dati di addestramento): L'Allegato IV non richiede di divulgare i set di dati pubblicamente o alle autorità per impostazione predefinita. Richiede che la documentazione esista e possa essere prodotta. Per i set di dati proprietari, una descrizione delle procedure di governance dei dati, sintesi statistiche e risultati del bias testing soddisferanno tipicamente il requisito senza divulgare dati commercialmente sensibili.
Nota pratica sull'elemento 14 (norme): A partire da metà 2026, il programma di standardizzazione del Regolamento sull'IA è ancora in corso. ISO/IEC 42001 (sistemi di gestione dell'IA) è disponibile e ampiamente referenziato. I fornitori dovrebbero monitorare il lavoro di standardizzazione europeo nell'ambito del JTC 21 CEN/CENELEC e aggiornare questa sezione man mano che le norme armonizzate vengono pubblicate nella Gazzetta Ufficiale.
Dichiarazione di Conformità UE (Art. 47)
La Dichiarazione di conformità UE (DoC UE) è un documento obbligatorio separato — non fa parte del fascicolo tecnico, ma vi fa riferimento. La DoC UE è la dichiarazione formale del fornitore che il sistema AI è conforme a tutti i requisiti applicabili del Regolamento UE sull'IA.
Una DoC UE valida deve includere:
- Il nome e l'indirizzo del fornitore (e il mandatario autorizzato se applicabile)
- Il nome, la versione, il numero di serie o di lotto del sistema AI se applicabile
- Una dichiarazione che il sistema è conforme al Regolamento UE sull'IA
- La procedura di valutazione della conformità utilizzata: Allegato VI (controllo interno / auto-valutazione) per la maggior parte dei sistemi dell'Allegato III, o Allegato VII (valutazione da terza parte da parte di un organismo notificato) per i sistemi AI di categorizzazione biometrica e i sistemi AI utilizzati nelle infrastrutture critiche che richiedono il coinvolgimento di terze parti
- Un elenco delle norme armonizzate o delle specifiche comuni su cui ci si è basati
- La firma del rappresentante autorizzato del fornitore con data e luogo
La DoC UE deve essere conservata per 10 anni dopo l'immissione sul mercato e prodotta su richiesta. Accompagna la marcatura CE (vedere di seguito).
Per i sistemi AI integrati in prodotti dell'Allegato I, la DoC UE può essere unita alla dichiarazione di conformità richiesta ai sensi della normativa settoriale pertinente, a condizione che contenga tutti gli elementi richiesti da entrambi gli strumenti giuridici.
Marcatura CE (Art. 48)
I sistemi AI ad alto rischio immessi sul mercato UE devono recare la marcatura CE, che segnala la conformità al Regolamento UE sull'IA e a qualsiasi altra normativa armonizzata dell'Unione applicabile allo stesso prodotto.
Eccezioni: I sistemi AI nelle categorie dell'Allegato III dispiegati da autorità pubbliche per il proprio uso interno sono esenti dai requisiti di marcatura CE. Rimangono soggetti a tutti gli altri obblighi — documentazione tecnica, gestione del rischio, supervisione umana, registrazione — ma non devono apporre la marcatura CE.
La marcatura CE deve essere apposta prima che il sistema venga immesso sul mercato UE. Deve essere visibile, leggibile e indelebile. Quando la natura fisica del sistema non consente di apporre direttamente il contrassegno, può comparire sull'imballaggio o nelle istruzioni per l'uso.
Quando un sistema AI ad alto rischio è un componente di un prodotto dell'Allegato I che richiede già la marcatura CE ai sensi della normativa settoriale (ad es. dispositivi medici, macchinari), la marcatura CE copre la conformità sia alla normativa settoriale che al Regolamento sull'IA. I fornitori dovrebbero documentare chiaramente quali procedure di valutazione della conformità sono alla base della marcatura CE.
Lista di Controllo Pratica: Fascicolo Tecnico Minimo Valido
Prima che qualsiasi sistema AI ad alto rischio venga immesso sul mercato UE, verificate che questi 10 elementi siano completi e documentati:
- [ ] Descrizione del sistema e controllo delle versioni — nome, versione, scopo previsto documentati; esiste un registro delle modifiche
- [ ] Diagramma dell'architettura — diagramma del flusso dei dati e dei componenti che mostri tutto l'hardware, il software e gli elementi di terze parti
- [ ] Inventario dei dati di addestramento e registro della governance — set di dati catalogati con fonte, dimensione, suddivisioni e procedure di qualità dei dati documentate
- [ ] Valutazione del rischio (ai sensi dell'Art. 9) — rischi identificati, misure di mitigazione e rischi residui accettati documentati e approvati
- [ ] Risultati del bias testing — metodologia di test documentata; risultati disaggregati per gruppi demografici rilevanti ove applicabile
- [ ] Metriche di accuratezza su un set di test rappresentativo — metriche di prestazione documentate con condizioni di test; soglie definite
- [ ] Documento sulla procedura di supervisione umana — meccanismi di override descritti; requisiti dell'operatore (formazione, qualifica) documentati
- [ ] Valutazione della sicurezza informatica — vettori di attacco noti valutati; contromisure tecniche documentate
- [ ] Istruzioni per l'uso (rivolte ai deployer) — documento Art. 13 completo, incluse limitazioni, obblighi di registrazione e contatto per la segnalazione degli incidenti
- [ ] Piano di monitoraggio post-commercializzazione — ambito di raccolta dei dati, frequenza di monitoraggio, trigger di revisione e procedura di segnalazione degli incidenti documentati
Questa lista di controllo copre il minimo. Un fascicolo tecnico ben preparato andrà oltre — in particolare sulla metodologia del bias testing, le schede modello per i modelli componente e le prove del processo di gestione del rischio come iterativo piuttosto che come esercizio una tantum.
Come Si Collega all'Accademia del Regolamento UE sull'IA
Il livello Pro dell'Accademia del Regolamento UE sull'IA include modelli di documentazione tecnica pronti all'uso che coprono tutti i 14 elementi dell'Allegato IV, tra cui:
- Un workbook XLSX strutturato con una scheda per elemento dell'Allegato IV, pre-compilato con prompt e voci di esempio
- Uno scheletro DOCX del fascicolo tecnico pronto per la modifica
- Un foglio di lavoro per la valutazione del rischio seguendo il processo iterativo dell'Art. 9
- Un modello di registro della governance dei dati che copre i set di dati di addestramento, validazione e test
- Un modello di piano di monitoraggio post-commercializzazione allineato all'Art. 72
Questi modelli sono progettati per essere adattati al vostro sistema specifico — sono punti di partenza con contenuto sostanziale, non moduli vuoti.
Pagine correlate:
- Allegato III — Categorie e obblighi dell'IA ad alto rischio
- Procedure di valutazione della conformità (Allegato VI e VII)
- Accademia del Regolamento UE sull'IA — modelli e formazione
- Strumenti — Selettore della Procedura di Conformità
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Il fornitore del sistema AI ad alto rischio è il solo responsabile della preparazione e del mantenimento della documentazione tecnica. I deployer non sono tenuti a prepararla, ma devono conservare i registri di accesso e potrebbe essere necessario che li forniscano ai fornitori per scopi di segnalazione.
La documentazione tecnica deve essere conservata per 10 anni dopo che il sistema AI è stato immesso sul mercato UE o messo in servizio (Art. 18). Per i sistemi AI integrati in prodotti soggetti alla normativa dell'Allegato I, si applica il periodo di conservazione della normativa sui prodotti se è più lungo.
No — la documentazione tecnica non viene archiviata centralmente. Deve essere conservata dal fornitore e resa disponibile alle autorità di vigilanza del mercato e agli organismi notificati su richiesta. La registrazione nella banca dati AI dell'UE (Art. 71) è obbligatoria, ma il fascicolo tecnico completo rimane presso il fornitore.
Un documento formale firmato dal fornitore che afferma che il sistema AI è conforme ai requisiti del Regolamento UE sull'IA. Deve includere il nome e la versione del sistema, l'identità del fornitore, un elenco dei requisiti applicabili soddisfatti, la procedura di valutazione della conformità utilizzata e un riferimento alle norme armonizzate pertinenti. Accompagna la marcatura CE.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.