Nel post precedente abbiamo introdotto i concetti di base relativi ai “sistemi ad alto rischio” secondo la definizione dell’AI Act (AIA).
Ora proviamo ad analizzare quali sono gli obblighi di
un’azienda che definisce un processo/servizio/prodotto contenente un sistema AI
ad alto rischio, dal punto di vista della documentazione tecnica associata.
In primo luogo, gli articoli che definiscono i requisiti da
soddisfare per i sistemi ad alto rischio sono quelli che vanno dall’articolo 8 all’articolo 15 (Sezione 2).
Tra questi articoli, l’articolo 11 è dedicato esplicitamente
alla documentazione tecnica, ma anche in altri articoli ci sono indicazioni
esplicite che ci interessano.
ARTICOLO 8
8.2
Where a product contains an AI system, to which the
requirements of this Regulation as well as requirements of the Union
harmonisation legislation listed in Section A of Annex I apply, providers
shall be responsible for ensuring that their product is fully compliant with
all applicable requirements under applicable Union harmonisation legislation.
In ensuring the compliance of high-risk AI systems...
...providers shall have a choice of integrating, as
appropriate, the necessary testing and reporting processes, information and
documentation they provide with regard to their product into documentation and
procedures that already exist and are required under the Union harmonisation
legislation listed in Section A of Annex I.
L’articolo 8.2 ci dice che se integriamo un componente AI ad
alto rischio, è nostra responsabilità integrare tutte le informazioni
necessarie in aggiunta a quelle già previste, in base agli standard armonizzati
eventualmente già esistenti per le aree elencate negli Allegati I e III.
Questo articolo ci dice chiaramente che dobbiamo produrre
della documentazione AGGIUNTIVA e SPECIFICA, rispetto a quella che già
forniamo.
Ma non solo: a mio avviso il concetto di INTEGRAZIONE va
interpretato anche nel senso che, qualora il componente AI vada a modificare
sostanzialmente il comportamento di una funzione pre-esistente del prodotto,
anche la documentazione di quella funzione VA AGGIORNATA.
ESEMPIO
Facciamo l’esempio di un controllo di qualità basato sulle
immagini di una videocamera che “fotografa” il prodotto che esce dalla linea di
produzione (LINEA 1). Ipotizziamo che vi sia un AI che, sulla base delle
immagini, prende decisioni autonome per scartare un singolo pezzo o inviarlo
alla linea successiva (LINEA 2).
Questa integrazione, se classificata ad alto rischio, si
presenta come funzione AGGIUNTIVA della linea e ovviamente va documentato tutto
ciò che è relativo a tale funzione aggiuntiva.
Ma se invece l’AI non si limita a scartare un pezzo
difettoso, ma va eventualmente anche a “riconfigurare” i parametri di
produzione della LINEA 1 (controreazione della linea) per ottimizzare la
produzione del singolo pezzo, allora questo comportamento potrebbe modificare
nel tempo il comportamento della LINEA 1 (e in tal caso sarebbe da considerare
un effetto voluto) che potrebbe comportare anche L’AGGIORNAMENTO della
documentazione della LINEA 1.
L’esempio proposto è un esempio di pura fantasia, ma serve a far capire che un componente AI implica considerazioni relative:
- alla documentazione AGGIUNTIVA e SPECIFICA del componente AI
- ALL’AGGIORNAMENTO di parti/funzioni pre-esistenti del prodotto che possono essere influenzate dal sistema AI.
Nell’articolo 8.2
tocchiamo con mano il fatto che l’AIA ci dice COSA FARE ma non ci dice
COME: ho già spiegato il perchè nel primo post di questa serie e vedremo che questo tema sarà ricorrente.
ARTICOLO 9
9.1
A risk management system shall be established, implemented, documented
and maintained in relation to high-risk AI systems.
9.2
The risk management system shall be understood as a continuous iterative process planned and run throughout the entire lifecycle of a high-risk AI system, requiring regular systematic review and updating. It shall comprise the following steps:...
9.2.(c)
the evaluation of other risks possibly arising, based on the
analysis of data gathered from the post-market monitoring system referred to in
Article 72;
9.3
The risks referred to in this Article shall concern only those which may be reasonably mitigated or eliminated through the development or design of the high-risk AI system, or the provision of adequate technical information.
Fermiamoci qui.
L’articolo 9 si occupa di definire le policy per la gestione dei rischi legati all’utilizzo di un sistema AI ad alto rischio integrato all’interno di un processo/servizio/prodotto e stabilisce, sostanzialmente, che:
- Bisogna definire un sistema di gestione dei rischi, al fine di minimizzarli per quanto possibile.
- Che tale sistema, in se, va documentato (9.1) e deve essere iterativamente aggiornato durante il ciclo di vita del sistema AI (9.2). Ovviamente, mi permetto di asserire che anche l’eventuale documentazione va aggiornata, anche se non è scritto esplicitamente.
- Che deve esistere un analisi di post-vendita per una valutazione dei rischi eventualmente non considerati in precedenza e che le regole per tale attività sono indicate nell’articolo 72, il quale afferma:
72.1
Providers shall establish and document a post-market monitoring system in a manner that is proportionate to the nature of the AI technologies and the risks of the high-risk AI system.
72.2
The post-market monitoring system shall actively and systematically collect, document and analyse relevant data which may be provided by deployers or which may be collected through other sources on the performance of high-risk AI systems ...
72.3
The post-market monitoring system shall be based on a post-market monitoring plan. The post-market monitoring plan shall be part of the technical documentation referred to in Annex IV...
- Che i rischi “ragionevolmente prevedibili” devono essere mitigati o eliminati attraverso 2 attività:
a)
La progettazione del sistema AI, oppure...
b)
La fornitura di adeguata informazione
tecnica
Per quest’ultima opzione b, osservo che non viene
utilizzata esplicitamente la locuzione documentazione tecnica.
E’ una svista del legislatore? Non credo.
L’informazione tecnica potrebbe essere costituita da
una sessione di training, da un video, da qualsiasi altra modalità, ma è
evidente che il modo più comune di fornire tale informazione tecnica è legata
alla documentazione di cui al punto 9.1.
Il punto b è molto potente e si ispira a quanto
stabilito in altri Regolamenti e Direttive: il “rischio ragionevolmente
prevedibile” può essere gestito anche dalla sola attività di documentazione.
Volendo sintetizzare le indicazioni dell’articolo 8, 9 e 72 (richiamato all’interno dell’articolo 9), possiamo a mio avviso ragionevolmente concludere che se integriamo un sistema AI ad alto rischio dentro ad un nostro processo/servizio/prodotto, dobbiamo:
- Produrre della documentazione specifica ed aggiuntiva relativa al sistema AI integrato nel nostto processo/servizio/prodotto.
- Produrre della documentazione d’integrazione laddove il sistema AI vada a modificare funzioni pre-esistenti (e quindi già documentate).
- Definire un sistema di valutazione dei rischi relativi all’integrazione del sistema AI, e documentare il sistema stesso.
- Definire anche un sistema di analisi post-vendita per migliorare il sistema di valutazione dei rischi; la documentazione del sistema di monitoraggio post-vendita è parte integrante della documentazione indicata nell’allegato IV.
- Aggiornare il sistema di valutazione dei rischi lungo l’intero ciclo di vita del medesimo e, implicitamente, aggiornare la documentazione relativa.
- Definire quali sono i rischi “ragionevolmente”prevedibili e, qualora non eliminabili, fornire documentazione adatta alla eliminazione o mitigazione di questi rischi.
E non è finita qui... al prossimo post!
Leggi questo articolo...
