← Torna a Intelligenza artificiale — AI Act (Regolamento UE 2024/1689)
Ultimo aggiornamento: 1 Giugno 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
  • I fornitori di sistemi di IA ad alto rischio devono conservare i log generati automaticamente dal sistema, nella misura in cui tali log sono sotto il loro controllo.
  • Il periodo minimo di conservazione è di sei mesi, salvo che il diritto UE o nazionale — compresa la normativa sulla protezione dei dati — imponga un termine diverso.
  • I fornitori che sono istituti finanziari possono conservare i log nell'ambito della documentazione già prevista dalla normativa sui servizi finanziari, senza dover creare un archivio separato.
  • I log sono lo strumento principale per garantire la tracciabilità e per consentire all'autorità di vigilanza di ricostruire il comportamento del sistema in caso di incidente o reclamo.
  • L'obbligo di conservazione si coordina con quello di registrazione continua previsto dall'art. 12 dell'AI Act.

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Art. 19 Reg. (UE) 2024/1689 — Log generati automaticamente

Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (regolamento sull’intelligenza artificiale)

1. I fornitori di sistemi di IA ad alto rischio conservano i log di cui all'articolo 12, paragrafo 1, generati automaticamente dai loro sistemi di IA ad alto rischio, nella misura in cui tali log sono sotto il loro controllo. Fatto salvo il diritto dell'Unione o nazionale applicabile, i log sono conservati per un periodo adeguato alla finalità prevista del sistema di IA ad alto rischio, della durata di almeno sei mesi, salvo diversamente disposto dal diritto dell'Unione o nazionale applicabile, in particolare dal diritto dell'Unione in materia di protezione dei dati personali.

2. I fornitori che sono istituti finanziari soggetti a requisiti in materia di governance, a dispositivi o a processi interni stabiliti a norma del diritto dell'Unione in materia di servizi finanziari, conservano i log generati automaticamente dai loro sistemi di IA ad alto rischio nell'ambito della documentazione conservata a norma del pertinente diritto in materia di servizi finanziari.

Stesso numero, altri codici

Commento

Il ruolo dei log nella governance dei sistemi di IA ad alto rischio

I sistemi di IA ad alto rischio non operano in modo del tutto trasparente: il loro processo decisionale è spesso complesso, statisticamente fondato e non immediatamente intellegibile dall'essere umano. Per questa ragione il Regolamento (UE) 2024/1689 (AI Act) impone, all'art. 12, che i sistemi ad alto rischio dispongano di capacità di registrazione automatica degli eventi — i cosiddetti log — che permettano di monitorare il funzionamento del sistema nel tempo. L'art. 19 completa il quadro stabilendo per quanto tempo questi log devono essere conservati e da chi. La ratio è chiara: senza log conservati, è impossibile svolgere audit post-hoc, indagare su incidenti, verificare se il sistema abbia operato entro i parametri dichiarati nella documentazione tecnica o valutare se anomalie sistematiche abbiano prodotto effetti pregiudizievoli su persone o gruppi.

Chi è tenuto e su cosa: il perimetro della norma

L'obbligo dell'art. 19 grava sul fornitore del sistema di IA ad alto rischio, non sul deployer. Questa scelta riflette il fatto che i log generati automaticamente sono tipicamente prodotti dal sistema stesso — dunque dall'architettura definita dal fornitore — e sono sotto il controllo tecnico di quest'ultimo. La norma usa l'espressione «nella misura in cui tali log sono sotto il loro controllo», che introduce un'importante limitazione: se l'architettura è tale per cui i log vengono generati e custoditi direttamente dal deployer (ad esempio perché il sistema è installato on-premises), il fornitore non risponde della loro conservazione oltre il perimetro di sua pertinenza. In pratica, il confine di responsabilità tra fornitore e deployer per la tenuta dei log dovrebbe essere definito contrattualmente, anche alla luce degli obblighi di cooperazione previsti dall'AI Act.

Il termine minimo di conservazione: sei mesi e le sue deroghe

Il periodo di conservazione minimo stabilito dall'art. 19 è di sei mesi. Si tratta di un floor, non di un tetto: norme speciali di settore possono imporre periodi più lunghi. Ad esempio, la normativa bancaria e finanziaria prevede spesso obblighi di conservazione della documentazione di cinque o dieci anni; la normativa sulla sicurezza sul lavoro può richiedere la conservazione di registrazioni relative a esposizioni a rischio per tutta la durata del rapporto di lavoro e oltre. Il coordinamento con il GDPR merita attenzione specifica: quando i log contengono dati personali — e spesso è così, se il sistema tratta dati di individui — il principio di limitazione della conservazione (art. 5, par. 1, lett. e, GDPR) impone di non conservarli oltre il tempo necessario alle finalità del trattamento. Il fornitore dovrà dunque contemperare l'obbligo minimo di sei mesi con il principio di minimizzazione: sei mesi di log completi possono essere sproporzionati se il sistema tratta dati sensibili di larga scala.

La regola speciale per gli istituti finanziari

Il paragrafo 2 dell'art. 19 introduce una disposizione di semplificazione per i fornitori che siano anche istituti finanziari soggetti a obblighi di governance interna ai sensi del diritto UE sui servizi finanziari (regolamenti e direttive bancarie, MiFID II, Solvency II, ecc.). Per questi soggetti, la conservazione dei log dell'IA può avvenire nell'ambito degli archivi documentali già previsti dalla normativa finanziaria, senza la necessità di istituire un sistema di archiviazione parallelo dedicato. Si tratta di una scelta pragmatica: gli istituti finanziari già dispongono di infrastrutture di data retention robuste e controllate da autorità di supervisione competenti (BCE, EBA, Banca d'Italia, Consob). Questa norma evita duplicazioni, ma non riduce il livello di tutela: i log devono comunque essere disponibili, accessibili e completi nel rispetto sia dell'AI Act sia della normativa finanziaria applicabile.

Il collegamento con l'art. 12 e con la sorveglianza post-commercializzazione

L'art. 19 non può essere letto isolatamente: va coordinato con l'art. 12 (registrazione), che stabilisce i requisiti tecnici delle capacità di logging (quali eventi devono essere registrati, con quale granularità, per quali finalità), e con l'art. 72, che disciplina la sorveglianza post-commercializzazione. I log conservati ai sensi dell'art. 19 sono lo strumento operativo che consente al fornitore di adempiere all'obbligo di monitorare il comportamento del sistema dopo la messa in servizio, di individuare scostamenti rispetto alle prestazioni dichiarate e di segnalare gli incidenti gravi all'autorità di vigilanza. Senza un sistema di conservazione adeguato, la sorveglianza post-commercializzazione diventa una dichiarazione di intenti priva di contenuto operativo.

Implicazioni pratiche: cosa deve fare un fornitore

Un fornitore che immette sul mercato un sistema di IA ad alto rischio deve, in sintesi, compiere alcune azioni concrete. Primo, verificare che il sistema disponga delle capacità tecniche di logging richieste dall'art. 12 e che i log vengano effettivamente generati durante l'esercizio. Secondo, definire una politica di conservazione che garantisca il rispetto del termine minimo di sei mesi, identificando la localizzazione fisica o logica dei log, le misure di sicurezza adottate per proteggerli da alterazioni o cancellazioni non autorizzate e le modalità di accesso da parte delle autorità di vigilanza. Terzo, effettuare una valutazione di compatibilità con il GDPR quando i log contengono dati personali, documentandola nell'ambito del registro dei trattamenti. Quarto, nei rapporti con i deployer, chiarire contrattualmente la ripartizione degli obblighi di conservazione, specie nei modelli di deployment distribuito. La violazione degli obblighi di conservazione può essere considerata una non conformità ai requisiti del sistema di IA ad alto rischio e può comportare le misure correttive previste dall'art. 79, fino alle sanzioni di cui all'art. 99.

Casi pratici

Caso 1:

Caso 2:

Caso 3:

Domande frequenti

Cosa sono esattamente i log ai sensi dell'AI Act?

I log sono registrazioni automatiche generate dal sistema di IA durante il suo funzionamento, che documentano gli eventi rilevanti: input ricevuti, decisioni prodotte, parametri di confidenza, interventi dell'operatore umano, eventuali anomalie. L'art. 12 stabilisce i requisiti tecnici minimi; l'art. 19 disciplina la conservazione.

Il termine di sei mesi è sempre sufficiente?

È un minimo. Normative di settore (bancarie, finanziarie, sanitarie, del lavoro) possono imporre periodi più lunghi. Quando i log contengono dati personali, il GDPR richiede di non conservarli oltre il necessario: è possibile, quindi, che sei mesi siano eccessivi per alcune tipologie di dati, e che occorra prevedere meccanismi di anonimizzazione o cancellazione selettiva.

Chi deve conservare i log: fornitore o deployer?

Il fornitore, nella misura in cui i log sono sotto il suo controllo. Se il sistema è installato on-premises dal deployer, il controllo tecnico dei log è del deployer, che assume la responsabilità della loro conservazione. La ripartizione deve essere chiarita contrattualmente.

I fornitori di servizi finanziari hanno obblighi diversi?

No, hanno gli stessi obblighi sostanziali, ma l'art. 19, paragrafo 2, consente loro di soddisfarli utilizzando i sistemi di archiviazione già previsti dalla normativa sui servizi finanziari, evitando duplicazioni documentali. Il termine minimo di sei mesi rimane applicabile salvo che la normativa finanziaria imponga un periodo più lungo.

Cosa accade se i log vengono perduti o alterati?

La perdita o l'alterazione dei log può configurare una violazione degli obblighi di conformità del sistema di IA ad alto rischio. L'autorità di vigilanza del mercato può richiedere misure correttive e, in casi gravi, applicare le sanzioni previste dall'art. 99 dell'AI Act. È quindi essenziale adottare misure tecniche e organizzative per garantire l'integrità e la disponibilità dei log per tutta la durata del periodo di conservazione.

Vedi anche

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.