Come prepararsi a un audit AI nella filiera farmaceutica

By
Cristiana Bernini
-
0
105

Dopo aver definito perché l’AI richiede un nuovo modello di controllo (“La nuova qualità dell’AI nel pharma tra regolazione e audit“) e come strutturare un ciclo di vita conforme (“Ciclo di vita dell’AI nel pharma tra requisiti europei e linee guida tecniche“), il passo successivo è inevitabile: come superare un audit AI.

Gli audit sui sistemi di intelligenza artificiale stanno diventando una realtà.
AI Act, Legge 132/2025 ed EMA indicano che la conformità non potrà più essere verificata solo sui processi tradizionali: gli auditor vorranno capire come l’azienda ha governato, monitorato e documentato ogni modello AI utilizzato in processi sensibili.

Le aziende che arriveranno impreparate non avranno margini di manovra: le deviazioni saranno inevitabili.

Perché l’audit AI non assomiglia a un audit informatico tradizionale

Un auditor AI non parte dal codice.
Parte da una domanda molto più semplice — e più incisiva:

Come avete tenuto sotto controllo questo modello?

Per questo il focus dell’audit si concentra su elementi nuovi rispetto all’informatica classica.
L’auditor vorrà sapere:

  • come è stato classificato il modello,
  • perché è stato scelto un certo livello di supervisione,
  • quali metriche vengono monitorate e con quali soglie,
  • come viene gestito il drift,
  • come si documentano gli output critici,
  • quali versioni dei dataset sono state utilizzate,
  • come è stato applicato il change control nei retraining.

È un approccio molto più vicino alla logica GAMP® che a quella IT.

I tre errori che portano alle deviazioni più frequenti

Gli audit AI stanno iniziando a mostrare pattern ricorrenti.
Ecco i tre errori più comuni — e più pericolosi.

Errore 1 — Trattare un modello AI come un semplice software

Se il modello è documentato come un “programma evoluto”, l’auditor lo percepirà subito.
L’AI richiede documentazione di:

  1. training,
  2. dataset,
  3. metriche,
  4. drift,
  5. supervisione.

Una documentazione software-only non è sufficiente.

Errore 2 — Non avere un audit trail degli output AI

La Legge 132/2025 è esplicita: se l’AI influisce su decisioni sensibili, ogni output deve essere tracciato.

La mancanza di tracciabilità è oggi uno dei motivi più frequenti di deviazione.

Errore 3 — Supervisione umana non documentata

Dire “un operatore controlla” non basta.
Serve una prova chiara:

  • quando,
  • come,
  • con quali criteri,
  • con quale outcome.

La supervisione deve essere significativa e verificabile.

Che cosa vogliono vedere davvero gli auditor

Per capire se un modello è governato, l’auditor chiede evidenze molto precise.
Ecco le più importanti.

1. Classificazione chiara del sistema

È il documento da cui parte l’intero audit.
Mostra che l’azienda ha compreso la natura del modello e il suo livello di rischio.

2. Matrice rischio–processo–modello

Questo è il ponte tra tecnologia e qualità.
Senza la matrice, la governance non può essere giustificata.

3. Evidenze di validazione del comportamento

Non basta dimostrare che il software funziona.
Bisogna mostrare che:

  • il modello è robusto,
  • le performance sono stabili,
  • i bias sono sotto controllo,
  • la sicurezza è verificata.

4. Documentazione completa del monitoraggio

L’auditor vorrà vedere:

  • grafici di drift,
  • soglie prestazionali,
  • alert generati e gestiti,
  • decisioni dell’operatore in caso di deviazione.

Queste evidenze dicono se il modello è vivo e sotto controllo.

5. Change control e retraining verificabili

Qui si gioca spesso il punto più critico.
L’auditor vorrà ricostruire:

quando è avvenuto il retraining,

  • perché è stato necessario,
  • quali dati sono stati utilizzati,
  • quali metriche sono state valutate,
  • quali test di accettazione sono stati ripetuti.

Un retraining non documentato = deviazione assicurata.

Checklist rapida per un audit AI

  • Classificazione del modello aggiornata
  • Ruoli e responsabilità definiti
  • Audit trail degli output AI
  • Matrice rischio–processo–modello
  • Evidenze di validazione del comportamento
  • Metriche e drift monitorati
  • Registro incident AI-specifici
  • Change control dei retraining
  • Supervisione umana documentata
  • Policy interna di governance AI

Se queste evidenze non sono presenti, coerenti o tracciabili, l’audit lo rileverà.

Che cosa distingue un’azienda pronta da una non pronta

Le aziende più mature mostrano un pattern comune:

  • governance AI centralizzata,
  • dashboard di monitoraggio continuo,
  • procedure integrate nel QMS,
  • cultura della supervisione documentata,
  • audit trail automatizzati,
  • criteri di retraining chiari e ripetibili.

Le altre gestiscono l’AI come un progetto isolato.
Sono quelle più esposte ai rischi regolatori.

AI in Control, per approfondire in modo strutturato

Per approfondire e prepararsi a un audit AI

Il percorso formativo AI in Control | Learn it. Apply it. Prove it. offre:

  • classificazione dei modelli AI,
  • template operativi,
  • esempi reali di audit trail,
  • metriche di monitoraggio,
  • piani di supervisione umana,
  • linee guida allineate a AI Act, EMA e GAMP AI.

Informazioni e iscrizioni:

AI IN CONTROL