Per quanto tempo devono essere conservati i log dei sistemi di IA ad alto rischio?

L'art. 12 non fissa un periodo minimo di conservazione direttamente nel testo normativo. Il periodo deve essere indicato nel piano di monitoraggio successivo all'immissione sul mercato (art. 72) e nella documentazione tecnica (allegato IV). In pratica, il fornitore e il deployer devono valutare la durata adeguata in funzione della finalità del sistema, dei termini di prescrizione applicabili e degli obblighi GDPR in materia di retention dei dati personali.

Chi è responsabile dell'attivazione e della gestione dei log: il fornitore o il deployer?

Il fornitore è responsabile della progettazione del sistema affinché le capacità di logging siano tecnicamente disponibili e conformi all'art. 12. Il deployer è responsabile dell'attivazione e dell'uso effettivo di tali capacità durante l'operatività del sistema, come previsto dall'art. 26, par. 5. Si tratta di una responsabilità complementare e non alternativa.

I log dei sistemi di IA contengono dati personali? Quali obblighi GDPR si applicano?

Nella maggior parte dei casi, soprattutto per i sistemi biometrici o di gestione delle risorse umane, i log contengono dati personali. Il deployer, nella sua qualità di titolare del trattamento, deve individuare una base giuridica per la conservazione, adottare misure di sicurezza adeguate, e verificare se è necessaria una DPIA ai sensi dell'art. 35 GDPR. L'art. 27 AI Act prevede che la valutazione d'impatto sui diritti fondamentali integri la DPIA già effettuata.

I requisiti di log dell'art. 12, par. 3, si applicano a tutti i sistemi di IA ad alto rischio?

No. I requisiti minimi specifici del par. 3 si applicano esclusivamente ai sistemi di identificazione biometrica remota di cui all'allegato III, punto 1, lettera a). Per tutti gli altri sistemi ad alto rischio si applica la regola generale del par. 2, che richiede log adeguati alla finalità del sistema, senza imporre contenuti minimi predefiniti.

Art. 12 AI Act – Conservazione delle registrazioni (log)

Q: Cosa rischia un'azienda che non rispetta gli obblighi di logging?

La mancanza o l'inadeguatezza dei log configura una violazione dei requisiti tecnici dei sistemi ad alto rischio (Capo III, Sezione 2). Ai sensi dell'art. 99 AI Act, tale violazione può comportare sanzioni amministrative pecuniarie significative. Inoltre, in caso di incidente o reclamo, l'assenza di log rende impossibile dimostrare la conformità del sistema e aggrava la posizione dell'operatore nei confronti dell'autorità di vigilanza.

← Torna a Intelligenza artificiale — AI Act (Regolamento UE 2024/1689)

Ultimo aggiornamento: 30 Maggio 2026

Fonte: Normattiva.it · Gazzetta Ufficiale

Indice

Testo dell'articolo
Commento
Casi pratici
Domande frequenti
Vedi anche

In sintesi

I sistemi di IA ad alto rischio devono essere progettati per registrare automaticamente gli eventi (log) per tutta la durata del ciclo di vita.
Le capacità di registrazione devono consentire di individuare situazioni di rischio, agevolare il monitoraggio post-mercato e supportare la sorveglianza da parte dei deployer.
Per i sistemi biometrici di cui all'allegato III, punto 1, lettera a), i log devono includere dati minimi specifici: periodi di utilizzo, banche dati di riferimento, dati di input con corrispondenza e identificativo dei verificatori.
L'obbligo di tracciabilità è funzionale alla responsabilità: in caso di incidente o verifica da parte delle autorità, i log costituiscono la principale fonte di prova sul funzionamento del sistema.
Il requisito si coordina con il monitoraggio successivo all'immissione sul mercato (art. 72) e con la sorveglianza umana (art. 14).

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.

Art. 12 Reg. (UE) 2024/1689 — Conservazione delle registrazioni

Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (regolamento sull’intelligenza artificiale)

1. I sistemi di IA ad alto rischio consentono a livello tecnico la registrazione automatica degli eventi («log») per la durata del ciclo di vita del sistema.

2. Al fine di garantire un livello di tracciabilità del funzionamento del sistema di IA ad alto rischio adeguato alla finalità prevista del sistema, le capacità di registrazione consentono la registrazione di eventi pertinenti per:

a) l'individuazione di situazioni che possono far sì che il sistema di IA ad alto rischio presenti un rischio ai sensi dell'articolo 79, paragrafo 1, o determinare una modifica sostanziale;

b) l'agevolazione del monitoraggio successivo all'immissione sul mercato di cui all'articolo 72; e

c) il monitoraggio del funzionamento dei sistemi di IA ad alto rischio di cui all'articolo 26, paragrafo 5.

3. Per i sistemi di IA ad alto rischio di cui all'allegato III, punto 1, lettera a), le capacità di registrazione comprendono almeno i dati seguenti:

a) la registrazione del periodo di ciascun utilizzo del sistema (data e ora di inizio e di fine di ciascun utilizzo);

b) la banca dati di riferimento utilizzata dal sistema per verificare i dati di input;

c) i dati di input per i quali la ricerca ha portato a una corrispondenza;

d) l'identificativo delle persone fisiche che partecipano alla verifica dei risultati di cui all'articolo 14, paragrafo 5.

Stesso numero, altri codici

In sintesi

I sistemi di IA ad alto rischio devono essere progettati per registrare automaticamente gli eventi (log) per tutta la durata del ciclo di vita.
Le capacità di registrazione devono consentire di individuare situazioni di rischio, agevolare il monitoraggio post-mercato e supportare la sorveglianza da parte dei deployer.
Per i sistemi biometrici di cui all'allegato III, punto 1, lettera a), i log devono includere dati minimi specifici: periodi di utilizzo, banche dati di riferimento, dati di input con corrispondenza e identificativo dei verificatori.
L'obbligo di tracciabilità è funzionale alla responsabilità: in caso di incidente o verifica da parte delle autorità, i log costituiscono la principale fonte di prova sul funzionamento del sistema.
Il requisito si coordina con il monitoraggio successivo all'immissione sul mercato (art. 72) e con la sorveglianza umana (art. 14).

Indice dei contenuti

Il requisito di logging nell'architettura di conformità AI Act

L'articolo 12 del Regolamento (UE) 2024/1689 (AI Act) introduce uno degli obblighi tecnici più rilevanti per i sistemi di IA ad alto rischio: la capacità di registrazione automatica degli eventi, comunemente denominata «logging». Questa previsione non è accessoria ma strutturale: senza una traccia affidabile del funzionamento del sistema, non è possibile verificare la conformità, indagare un malfunzionamento né esercitare una sorveglianza umana effettiva.

La norma si colloca nel Capo III, Sezione 2, dedicata ai requisiti tecnici dei sistemi ad alto rischio. Il fornitore è il soggetto primariamente responsabile del rispetto di questo obbligo in fase di progettazione e sviluppo, mentre il deployer ne beneficia sul piano operativo e ne risponde sul piano del monitoraggio durante l'uso (art. 26, par. 5).

Cosa devono registrare i log: la regola generale

Il paragrafo 2 dell'articolo 12 indica tre finalità a cui le capacità di registrazione devono servire in modo adeguato rispetto alla finalità del sistema:

Individuazione di situazioni di rischio: il sistema deve consentire di riconoscere eventi che possano configurare un rischio ai sensi dell'art. 79, par. 1, o una modifica sostanziale del sistema stesso;
Monitoraggio successivo all'immissione sul mercato (post-market monitoring, art. 72): i log devono fornire dati utili per valutare nel tempo le prestazioni del sistema e la sua costante conformità;
Sorveglianza operativa da parte del deployer: in applicazione dell'art. 26, par. 5, il deployer deve poter monitorare il funzionamento del sistema durante il suo utilizzo.

Il principio di proporzionalità è esplicito: le capacità di log devono essere «adeguate alla finalità prevista del sistema». Ciò significa che un sistema ad alto rischio impiegato in ambito sanitario avrà requisiti di tracciabilità più stringenti rispetto a uno impiegato nella classificazione di candidature in un processo di selezione del personale, benché entrambi rientrino nell'allegato III.

I requisiti minimi per i sistemi biometrici (allegato III, punto 1, lettera a))

Il paragrafo 3 introduce una disciplina speciale e più dettagliata per i sistemi di identificazione biometrica remota di cui all'allegato III, punto 1, lettera a). Per questi sistemi — che presentano un rischio particolarmente elevato per i diritti fondamentali, inclusa la privacy — i log devono contenere almeno:

Registrazione dei periodi di utilizzo: data e ora di inizio e di fine di ogni sessione di utilizzo;
Banca dati di riferimento: quale archivio biometrico è stato consultato per la verifica;
Dati di input con corrispondenza: i dati biometrici per i quali il sistema ha restituito una corrispondenza positiva;
Identificativo dei verificatori umani: chi ha effettuato la verifica dei risultati ai sensi dell'art. 14, par. 5.

Questi requisiti minimi sono inderogabili. Il fornitore può prevedere log più estesi, ma non può ridurli al di sotto di questa soglia. Si noti che il legislatore ha scelto di non imporre un periodo minimo di conservazione direttamente nell'art. 12: tale aspetto è rimesso alla documentazione tecnica e al piano di monitoraggio post-mercato (allegato IV, art. 72).

Rapporto con gli obblighi del deployer e con il GDPR

Il logging crea un'interazione diretta tra gli obblighi del fornitore (progettare il sistema con le capacità tecniche adeguate) e quelli del deployer (utilizzare le funzionalità di log per monitorare il sistema in esercizio). In pratica, il fornitore deve consegnare un sistema che «sappia registrare», e il deployer deve assicurarsi che la funzione sia attivata e che i dati siano conservati in modo sicuro.

Quando i sistemi di IA ad alto rischio trattano dati biometrici o altri dati personali, i log stessi contengono dati personali e sono pertanto soggetti al Regolamento (UE) 2016/679 (GDPR). Il deployer, che nella maggior parte dei casi assume il ruolo di titolare del trattamento, dovrà definire una base giuridica per la conservazione dei log, fissare un periodo di retention adeguato, adottare misure di sicurezza appropriate (es. cifratura, controllo degli accessi) e, se richiesto, includere i log nella valutazione d'impatto sulla protezione dei dati (DPIA) ai sensi dell'art. 35 GDPR.

Il raccordo tra i due regimi non è facoltativo: l'art. 27 AI Act — sulla valutazione d'impatto sui diritti fondamentali — prevede espressamente che tale valutazione integri, ove applicabile, la DPIA già effettuata ai sensi del GDPR, creando un sistema di compliance integrato.

Implicazioni operative per fornitore e deployer

Per il fornitore, l'art. 12 richiede che le specifiche tecniche del sistema includano, già nella fase di progettazione, moduli di logging conformi al regolamento. La documentazione tecnica (allegato IV) deve descrivere le capacità di registrazione, le tipologie di eventi tracciati e il formato dei log. È opportuno prevedere meccanismi di tamper-proofing che impediscano la modifica o cancellazione non autorizzata dei log, anche per garantire il valore probatorio degli stessi in caso di verifica da parte delle autorità di vigilanza del mercato.

Per il deployer, l'obbligo pratico si traduce in:

Attivare e mantenere le funzioni di logging previste dal fornitore nelle istruzioni per l'uso;
Definire policy interne di gestione, conservazione e accesso ai log;
Garantire che i log siano disponibili per le autorità competenti su richiesta (art. 74 ss.);
Integrare la gestione dei log nelle procedure di risposta agli incidenti e di segnalazione ai sensi dell'art. 73.

Le sanzioni per il mancato rispetto dei requisiti tecnici di cui alla Sezione 2 del Capo III rientrano nel regime dell'art. 99 AI Act, che prevede sanzioni amministrative pecuniarie significative sia per i fornitori sia, in taluni casi, per i deployer. L'assenza o l'inadeguatezza dei log può aggravare il giudizio dell'autorità di vigilanza, configurando una violazione sistematica degli obblighi di trasparenza e tracciabilità.

Casi pratici

Caso 1:

Caso 2:

Caso 3:

Domande frequenti

A cura di

Andrea Marton — Dottore in Economia e Finanza, praticante commercialista

Fondatore e responsabile editoriale di Legge in Chiaro, portale di divulgazione giuridica e fiscale gratuita su 100 testi e codici italiani. I contenuti sono curati e rivisti da un team di laureati in economia; hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.