← Back to all articles

Documenti generati dall'AI e validità legale: il divario di conformità

SealDoc Team · · 7 min read

I sistemi AI possono ora produrre una bozza di contratto, un rapporto di conformità o una fattura strutturata in pochi secondi. L’output è grammaticalmente corretto, formattato professionalmente e spesso indistinguibile dai documenti scritti da esseri umani a prima vista.

Questa capacità crea un divario di conformità che non è ben compreso. Il divario non riguarda la qualità della scrittura dell’AI. Il divario è tra “generare testo che sembra un documento legale” e “produrre un documento che è legalmente valido.”

Questi sono problemi diversi e risolvere il primo non risolve il secondo.

Cosa rende un documento legalmente valido

La validità legale non è una proprietà del testo. È una proprietà del processo che ha prodotto il documento e delle prove che possono essere presentate su quel processo.

Un contratto è legalmente valido se è stato formato da parti con capacità contrattuale, esprime il loro genuino mutuo consenso ed è stato creato attraverso un processo che può essere dimostrato se contestato. Le parole nel contratto contano, ma conta anche la provenienza: chi ha concordato, quando, in quali circostanze e qualcuno di questo può essere provato in una controversia?

Una fattura è legalmente valida ai fini fiscali se contiene i campi richiesti nel formato richiesto, è stata emessa dalla parte identificata e non è stata alterata dopo l’emissione. La conformità al formato è necessaria ma non sufficiente. La fattura deve anche essere provabilmente non alterata.

Un rapporto di conformità è legalmente valido se riflette accuratamente lo stato che afferma di documentare, è stato prodotto con una metodologia che può essere esaminata ed è attribuibile a una parte responsabile.

In ogni caso, la validità richiede l’integrità del processo, non solo la qualità del contenuto. L’AI può produrre il contenuto. Non può produrre le prove del processo.

Il problema delle allucinazioni nei documenti legali

I modelli linguistici AI producono output che sono statisticamente plausibili rispetto ai loro dati di addestramento. Non recuperano fatti; generano testo. Per alcuni tipi di documenti questa distinzione è irrilevante: una fattura basata su template in cui l’AI riempie gli importi da un input strutturato è essenzialmente deterministica e il rischio di allucinazione è basso.

Per i documenti in cui l’AI genera contenuto sostanziale (una clausola contrattuale, un’analisi normativa, un’asserzione di conformità), il rischio è più alto. Il modello potrebbe:

  • Citare normative che non esistono o che sono state superate
  • Affermare fatti sulle parti che sono incorretti o obsoleti
  • Omettere informative obbligatorie perché non erano nei dati di addestramento per documenti simili
  • Produrre combinazioni di clausole internamente incoerenti in modi non rilevabili leggendo ogni clausola separatamente

La conseguenza pratica: i documenti legali generati dall’AI richiedono un passaggio di revisione sostanziale, non solo di correzione bozze. La revisione deve essere eseguita da qualcuno con la conoscenza del dominio per rilevare errori che l’AI non segnalerebbe come errori, perché l’AI non sa quello che non sa.

La scansione di conformità come livello separato

Per i tipi di documenti strutturati in cui esiste uno schema formale o un insieme di regole, la scansione automatica della conformità può verificare che l’output generato dall’AI soddisfi i requisiti formali, indipendentemente dall’accuratezza del contenuto.

Una fattura conforme a EN16931 ha regole di validazione formali: campi obbligatori, relazioni aritmetiche tra gli importi, codici di categoria IVA e regole di business Schematron. Questi possono essere verificati automaticamente e deterministicamente. Un generatore di fatture AI che supera tutte le regole Schematron EN16931 è almeno formalmente corretto, anche se gli importi della fattura stessa sono sbagliati (il che sarebbe un errore di input dei dati, non un errore di output dell’AI).

Per contratti e report, gli schemi formali sono più rari, ma esistono in domini specifici: documentazione ipotecaria (formato ESIS standardizzato dall’UE), documenti informativi chiave per l’assicurazione (formato EU PRIIPs KID) e avvisi di appalto pubblico (EU eForms).

Lo schema è: usare l’AI per la velocità di generazione, usare la validazione formale per la garanzia di conformità, mantenerli come fasi separate della pipeline. L’output dell’AI è un input alla fase di validazione, non il prodotto finale.

Catena di custodia per i documenti generati dall’AI

Un documento generato dall’AI ha una domanda di provenienza che i documenti scritti da esseri umani non affrontano: cosa lo ha generato, con quale input, in quale momento, e l’output è stato modificato prima di essere utilizzato?

Questo conta per due motivi. Primo, se un documento viene contestato, è necessario essere in grado di dimostrare che il processo di generazione era valido. Secondo, l’articolo 22 del GDPR crea obblighi specifici riguardo ai processi decisionali automatizzati che riguardano gli individui. Un contratto o una comunicazione generati interamente dall’AI potrebbe far scattare obblighi di divulgazione se incide sui diritti di una persona.

La risposta è la stessa di qualsiasi altro documento: una traccia di audit con catena di hash che registra l’evento di generazione (inclusa la versione del modello, i parametri di input e l’hash dell’output), eventuali passaggi successivi di revisione e approvazione e l’azione di archiviazione finale. Questa traccia non prova che il contenuto è corretto, ma prova che il processo è stato seguito.

Requisiti di spiegabilità per le decisioni di conformità

Alcuni flussi di lavoro di conformità assistiti dall’AI comportano decisioni, non solo la generazione di documenti: classificare la categoria di conservazione di un documento, segnalare una clausola contrattuale per la revisione o determinare se una transazione richiede ulteriore verifica.

Per le decisioni che riguardano individui o che devono essere verificabili per legge, il componente AI deve produrre una spiegazione insieme all’output. Una classificazione che dice “conservare per 10 anni” senza ragionamento non è utile per un revisore che chiede perché è stata fatta quella classificazione.

La spiegabilità in questo contesto significa un output strutturato che registra la classificazione, il livello di confidenza e le caratteristiche o le regole che hanno guidato la decisione. Questo output diventa parte della traccia di audit del documento ed è incluso nel pacchetto di prove.

Senza spiegabilità, le decisioni AI nei flussi di lavoro di conformità producono output che non possono essere difesi retroattivamente. La decisione sembra arbitraria perché non c’è traccia del perché è stata presa.

La questione della governance per l’AI nei flussi di lavoro documentali

Le organizzazioni che utilizzano l’AI nei flussi di lavoro documentali hanno bisogno di un framework di governance che risponda a:

  • Quali tipi di documenti sono approvati per la generazione AI senza revisione umana obbligatoria?
  • Quali richiedono un passaggio di revisione umana prima che il documento possa essere archiviato o inviato?
  • Qual è il processo per rilevare e correggere gli errori AI che entrano in un archivio?
  • Come vengono gestiti gli aggiornamenti del modello AI? Un aggiornamento del modello richiede la rivalidazione dei documenti generati in precedenza?
  • Quale traccia di audit esiste per il passaggio di generazione AI stesso?

Non si tratta di domande sulla qualità dell’AI. Sono domande sui controlli di processo che si applicherebbero a qualsiasi sistema automatizzato in un ambiente regolamentato.

SealDoc e i flussi di lavoro documentali AI

SealDoc fornisce il livello di prove per i documenti generati dall’AI. Il passaggio di generazione (da qualsiasi sistema AI) produce un documento. SealDoc convalida quel documento rispetto alle regole di formato applicabili (EN16931, PDF/A-3, XRechnung o schemi personalizzati), applica un timestamp RFC 3161, registra il risultato della validazione e il timestamp in una traccia di audit con catena di hash, e confeziona tutto in un Legal Evidence Pack.

Il risultato è che il documento generato dall’AI ha la stessa infrastruttura di prove di uno scritto da un essere umano: un tempo di creazione dimostrabile, un risultato di validazione formale catturato alla creazione e una traccia di audit a prova di manomissione.

Quello che SealDoc non fa è verificare l’accuratezza sostanziale del contenuto. Questo è un passaggio di revisione umana specifico del dominio. L’infrastruttura gestisce tutto ciò che è formalmente verificabile. La valutazione sull’appropriatezza delle clausole contrattuali rimane con le persone responsabili del documento.

Questa separazione è l’architettura corretta per l’AI nei flussi di lavoro di conformità: AI per la velocità di generazione, validazione formale per la conformità strutturale, revisione umana per l’accuratezza sostanziale, infrastruttura di prove per tutto ciò che deve sopravvivere a una contestazione.

← Back to all articles