Modello di documentazione tecnica Allegato IV

L'Articolo 11 del Regolamento IA UE richiede ai fornitori di sistemi di IA ad alto rischio di redigere la documentazione tecnica prima dell'immissione del sistema sul mercato o della messa in servizio. La documentazione deve essere mantenuta aggiornata e messa a disposizione delle autorità competenti su richiesta.

L'Allegato IV specifica esattamente cosa deve essere incluso. Di seguito il modello completo con tutte le 9 sezioni richieste e indicazioni su cosa deve contenere ciascuna.

Sezione 1: Descrizione generale del sistema di IA

Questa sezione stabilisce identità e ambito del sistema. Includi:

• Finalità prevista — Cosa fa il sistema, a chi è destinato e il contesto specifico di utilizzo
• Identificazione del fornitore — Nome, indirizzo e dettagli di contatto
• Versione del sistema — Versione corrente e relazione con le versioni precedenti
• Interazioni hardware e software — Come il sistema interagisce con altri hardware, software o sistemi di IA non parte del sistema stesso
• Versioni di software e firmware — Tutti i numeri di versione rilevanti e i requisiti di aggiornamento
• Forme di distribuzione — Come il sistema è erogato (pacchetto software, integrato in hardware, API, download, ecc.)
• Requisiti hardware — L'hardware su cui il sistema è destinato a funzionare
• Interfaccia utente — Descrizione di base dell'interfaccia fornita al deployer
• Istruzioni per l'uso — Riferimento alle istruzioni per l'uso fornite ai deployer

Sezione 2: Descrizione dettagliata degli elementi del sistema e del processo di sviluppo

La sezione più sostanziale. Documenta:

• Metodi di sviluppo — Passi compiuti, incluso l'uso di sistemi pre-addestrati o strumenti di terze parti e come sono stati integrati o modificati
• Specifiche di progettazione — Logica generale, scelte progettuali principali con motivazione, ipotesi, scelte di classificazione, target di ottimizzazione e qualità attesa dell'output
• Architettura del sistema — Come i componenti software si basano l'uno sull'altro, integrazione nell'elaborazione complessiva e risorse computazionali utilizzate
• Requisiti dei dati — Metodologie di addestramento, descrizioni dei dataset, provenienza, ambito, caratteristiche, metodi di acquisizione, procedure di etichettatura e metodi di pulizia dei dati
• Valutazione della sorveglianza umana — Misure necessarie ai sensi dell'Articolo 14 e misure tecniche per l'interpretazione dell'output
• Modifiche pre-determinate — Se applicabile, descrivi eventuali modifiche pianificate al sistema e come sarà mantenuta la conformità continua
• Validazione e test — Procedure utilizzate, dati e caratteristiche principali, metriche, valutazione dell'impatto discriminatorio e relazioni di test firmate
• Misure di cybersicurezza — Protezioni tecniche messe in atto

Sezione 3: Monitoraggio, funzionamento e controllo

Dettaglia le caratteristiche operative del sistema:

• Capacità e limiti delle prestazioni
• Gradi di accuratezza per persone o gruppi specifici a cui il sistema è destinato e accuratezza complessiva attesa
• Esiti indesiderati prevedibili e fonti di rischio per salute, sicurezza, diritti fondamentali e discriminazione
• Misure di sorveglianza umana ai sensi dell'Articolo 14
• Misure tecniche che consentono ai deployer di interpretare l'output
• Specifiche dei dati di input ove pertinenti

Sezione 4: Adeguatezza delle metriche di prestazione

Descrivi perché le metriche di prestazione scelte sono adeguate per il sistema di IA specifico. Spiega la ragione della scelta di alcune metriche rispetto ad altre e come catturino in modo significativo le prestazioni del sistema nel suo contesto previsto.

Sezione 5: Sistema di gestione dei rischi

Fornisci una descrizione dettagliata del sistema di gestione dei rischi istituito ai sensi dell'Articolo 9. È un processo continuo e iterativo che attraversa l'intero ciclo di vita e deve includere:

• Identificazione e analisi dei rischi noti e ragionevolmente prevedibili
• Stima e valutazione dei rischi derivanti dall'uso previsto e dall'uso improprio ragionevolmente prevedibile
• Valutazione dei rischi dall'analisi dei dati raccolti tramite il monitoraggio post-commercializzazione
• Adozione di misure adeguate di gestione dei rischi

Sezione 6: Modifiche del ciclo di vita

Documenta tutte le modifiche rilevanti apportate dal fornitore al sistema durante il ciclo di vita. Crea uno storico delle modifiche che auditor e autorità possono esaminare.

Sezione 7: Norme e specifiche tecniche

Elenca tutte le norme armonizzate applicate, in tutto o in parte, con riferimenti alla loro pubblicazione nella Gazzetta ufficiale dell'UE. Quando non sono state applicate norme armonizzate:

• Fornisci una descrizione dettagliata delle soluzioni adottate per soddisfare i requisiti del Capo III, Sezione 2
• Elenca tutte le altre norme e specifiche tecniche pertinenti applicate

Sezione 8: Dichiarazione UE di conformità

Includi una copia della dichiarazione UE di conformità redatta ai sensi dell'Articolo 47. Deve essere mantenuta aggiornata e tenuta a disposizione delle autorità competenti per 10 anni dopo l'immissione del sistema sul mercato.

Sezione 9: Valutazione delle prestazioni post-commercializzazione

Descrivi il sistema in atto per valutare le prestazioni del sistema di IA nella fase successiva all'immissione sul mercato, come richiesto dall'Articolo 72. Deve includere:

• Un piano di monitoraggio successivo all'immissione sul mercato proporzionato alla natura del sistema di IA e ai rischi che presenta
• Procedure per raccogliere, analizzare e agire sui dati relativi alle prestazioni del sistema dopo il deployment