Ciclo di vita dell’AI nel pharma tra requisiti europei e linee guida tecniche

L’intelligenza artificiale sta imponendo una revisione profonda del modo in cui pensiamo al ciclo di vita dei sistemi in ambito regolato. Le norme europee convergono su un concetto che segna un punto di svolta: l’AI non può essere gestita come un normale software GxP. Richiede controllo continuo, metriche dinamiche e una governance end-to-end. Un cambio di mentalità che il settore non può più rimandare.

By
Cristiana Bernini
-
0
157

Nell’articolo “La nuova qualità dell’AI nel pharma tra regolazione e audit” abbiamo analizzato perché l’intelligenza artificiale richiede un nuovo modello di controllo nella filiera del farmaco (puoi leggerlo qui: https://makingpharmaindustry.it/intelligenza-artificiale/la-nuova-qualita-dellintelligenza-artificiale-nel-pharma-tra-regolazione-e-audit).
Ora è il momento di passare dal “perché” al “come”.

L’AI Act, il Reflection Paper EMA e la nuova GAMP Guide: Artificial Intelligence convergono su un punto decisivo:

il ciclo di vita dell’AI non può seguire la logica lineare del software GxP tradizionale.
Non basta validare un sistema: occorre dimostrare che il suo comportamento rimane controllato nel tempo, in relazione ai dati e alle condizioni operative reali.

Questo articolo esplora il come strutturare un ciclo di vita AI che sia tecnicamente solido, operativo e audit-proof.

Il ciclo di vita AI: da lineare a circolare

Nel modello tradizionale dei sistemi GxP, il ciclo di vita segue una logica lineare: definizione dei requisiti, sviluppo o configurazione, testing e validazione, rilascio in produzione e, infine, gestione delle modifiche tramite change control.

Funziona per sistemi deterministici, cioè prevedibili. L’AI no.

I modelli AI:

  • cambiano comportamento dopo il retraining,
  • possono degradare a causa del drift dei dati,
  • dipendono in modo critico dalla qualità del dataset,
  • mostrano performance variabili in contesti diversi.

La normativa europea sta quindi imponendo un passaggio netto verso un ciclo di vita circolare, in cui la validazione non è un evento, ma uno stato da mantenere.

1. Classificazione del modello: la base di tutto

La classificazione è la fase più trascurata e allo stesso tempo più strategica.

Qui si decide:

  • se il modello è deterministico, probabilistico, adattivo o generativo;
  • il livello di rischio secondo l’AI Act;
  • l’impatto GxP del processo in cui verrà usato;
  • il tipo di supervisione umana necessario;
  • i requisiti di explainability;
  • la documentazione tecnica attesa.

In pratica, questa fase traduce la tecnologia in requisiti di qualità.
È anche la prima cosa che un auditor chiederà.

2. Addestramento e qualificazione: governare i dati, non solo il modello

Il Reflection Paper EMA è chiaro: la qualità dell’AI coincide in larga parte con la qualità del dataset.

Per questo l’addestramento richiede:

  • dataset documentati, approvati e versionati;
  • criteri di inclusione/esclusione dei dati;
  • controlli su bias, outlier e rumore;
  • registrazione delle metriche durante il training;
  • replicabilità del processo di addestramento.

Gli auditor verificheranno se:

  • si può ricostruire esattamente con quali dati è stato addestrato un modello,
  • il dataset originale è stato modificato,
  • le metriche di validazione sono coerenti,
  • è documentato come sono stati risolti i bias.

Questa è un’area in cui molte aziende non sono ancora preparate.

3. Validazione del comportamento: non solo del software

Il GAMP AI introduce un concetto che cambia il paradigma: non si valida il software, si valida il comportamento del modello.

Significa che la validazione deve rispondere a domande nuove:

  • Il modello si comporta in modo ripetibile sullo stesso dataset?
  • Come reagisce a casi-limite e input avversi?
  • È robusto a variazioni graduali dei dati reali?
  • Quali metriche devono essere accettabili per poterlo mettere in produzione?

La validazione non certifica solo che “il modello funziona”, ma che funziona in modo controllabile.

4. Monitoraggio continuo: il cuore del ciclo di vita AI

La fase più lunga, più critica e più regolata.

Il monitoraggio deve includere:

  • drift detection: misurare variazioni nel comportamento del modello;
  • audit trail degli output: richiesto dalla Legge 132/2025 quando l’AI influisce su decisioni sensibili;
  • soglie prestazionali: quando superate, richiedono intervento umano o retraining;
  • alert: automatici e documentati;
  • decisioni di supervisione: registrate, non implicite;
  • criteri di retraining: non ad hoc, ma definiti a priori.

Il modello non può “girare” da solo: deve poter dimostrare, in qualsiasi momento, di essere sotto controllo.

La gestione delle modifiche: la vera prova di maturità

Nel software tradizionale, change control = modifica del codice.

Nell’AI, change control = modifica di tutto:

  • modello,
  • dataset,
  • iperparametri,
  • pipeline di training,
  • metriche di valutazione,
  • condizioni operative.

Ecco perché gli auditor chiederanno:

  • quando è stato effettuato l’ultimo retraining,
  • perché è stato necessario,
  • quali metriche sono migliorate o peggiorate,
  • quali test sono stati ripetuti,
  • se la supervisione è stata adeguata prima e dopo il retraining.

Questo è il punto in cui molte aziende oggi rischiano deviazioni significative.

Il ruolo del QMS: dalla verifica alla regia

Il QMS (Quality Management System) non deve “validare l’AI”: deve governarla.

Le sue nuove responsabilità comprendono:

  • criteri di classificazione dei modelli,
  • inventario aziendale dell’AI,
  • principi di supervisione umana,
  • change control dedicato al retraining,
  • gestione incident AI-specifici,
  • formazione risk-based del personale,
  • procedure di audit trail per gli output AI.

L’AI non può vivere fuori dal QMS.
È parte integrante del sistema qualità.

Verso un ciclo di vita AI realmente audit-proof

Le aziende più avanzate stanno convergendo su tre elementi chiave:

1) Tracciabilità integrale
Ogni passaggio deve essere ricostruibile: dati, training, versioni, metriche.

2) Metriche dinamiche
Non una prestazione unica ma curve di comportamento nel tempo.

3) Supervisione umana significativa
Non un controllo simbolico, ma un intervento definito, documentato, verificabile.

È questo il terreno su cui il settore sta costruendo la propria maturità digitale.

AI in Control, per approfondire in modo strutturato

Per chi desidera un metodo operativo per gestire il ciclo di vita AI, è disponibile il percorso formativo integrato AI in Control | Learn it. Apply it. Prove it.

Il percorso combina:

  • guida operativa,
  • moduli video on-demand,
  • annex pratici,
  • strumenti per audit e supervisione umana,
  • framework allineati a AI Act, EMA, GAMP 5 Second Edition, GAMP AI e Legge italiana 132/2025.

Informazioni e iscrizioni:

AI IN CONTROL