AI nei sistemi GxP
AI nei sistemi GxP:
un nuovo paradigma per CSV, qualità e data integrity
L’introduzione dell’intelligenza artificiale nei sistemi GxP sta cambiando in modo profondo il modo in cui affrontiamo qualità, CSV e Data Integrity. Per molti anni abbiamo lavorato con sistemi deterministici, basati su logiche fisse e prevedibili. L’AI segue un’altra logica: apprende dai dati, cambia in base al contesto operativo e può variare il proprio comportamento nel tempo. Di conseguenza, l’affidabilità non dipende più solo dal software, ma anche dalla qualità del dataset, dal processo con cui il modello è stato addestrato e dalle condizioni in cui verrà utilizzato.
Figura 1 - Relazioni concettuali tra AI, Machine Learning e Deep Learning. Sarkar C. et al., International Journal of Molecular Sciences, 2023, 24(3), 2026. Licenza CC BY 4.0.
Mentre l’intelligenza artificiale trova spazio in un numero crescente di attività del settore farmaceutico, anche il quadro regolatorio europeo sta assumendo contorni più definiti. L’EMA ha introdotto dieci principi che delineano un approccio ampio e strutturato all’impiego dell’AI lungo il ciclo di vita del medicinale. Si tratta di indicazioni che richiamano aspetti ben conosciuti da chi opera nel mondo della qualità: attenzione alla provenienza e alla gestione dei dati, trasparenza del funzionamento dei modelli, possibilità di interpretarne i risultati e presenza di processi che garantiscano il controllo umano in tutte le fasi critiche. In pratica, l’AI viene trattata come un elemento del sistema qualità e non come un componente isolato, e l’organizzazione è chiamata a integrare questa tecnologia attraverso ruoli chiari, responsabilità definite e un modello di governance coerente.
A complemento di questo quadro generale, il draft dell’Annex 22 propone un orientamento più operativo rivolto ai processi GMP. Pur non essendo ancora vincolante, riflette un insieme di aspettative che stanno già influenzando il modo in cui le aziende affrontano l’adozione dell’AI. Il documento pone l’accento su modelli statici e deterministici, sulla qualità e rappresentatività dei dataset utilizzati per addestramento e test, e sulla necessità di mantenere una separazione rigorosa tra le due fasi. Particolare rilievo viene dato alla descrizione dell’intended use, alla spiegabilità dei risultati e alla gestione controllata dei cambiamenti, aspetti che richiedono una conoscenza dettagliata del processo produttivo e una supervisione continua nel tempo. L’obiettivo è garantire che il modello si comporti in maniera affidabile e prevedibile, almeno quanto il processo che va eventualmente a sostituire.
Questa variazione di natura richiede un ampliamento dell’approccio tradizionale alla validazione. Le linee guida pubblicate negli ultimi anni, es. GAMP 5 2nd ed. e GAMP AI Guide del 2025, chiariscono che la valutazione di un sistema basato su AI deve includere anche il modello, i dati di training, le tecniche di addestramento, gli iperparametri e il modo in cui viene monitorata la stabilità del modello nel tempo. Non si tratta quindi di aggiungere un nuovo documento alla validazione, ma di allargare il perimetro e includere elementi che finora erano considerati estranei al concetto di "software".
Le normative di riferimento rimangono valide. Il 21 CFR Part 11 e l’Annex 11 continuano a richiedere audit trail completi, controlli degli accessi, sicurezza dei dati e salvaguardia dell’integrità dei record. Tuttavia, l’AI introduce rischi aggiuntivi, come la presenza di “bias” nei dataset, la possibile degradazione delle performance durante l’uso reale o l’eccessiva dipendenza da condizioni operative specifiche. Tutti aspetti che richiedono nuovi controlli.
Per comprendere meglio questa trasformazione è utile un esempio concreto.
Si consideri un sistema di ispezione visiva per fiale o flaconi. Prima che l’AI possa essere utilizzata in produzione, deve essere addestrata su un grande numero di immagini.
Questa variazione di natura richiede un ampliamento dell’approccio tradizionale alla validazione. Le linee guida pubblicate negli ultimi anni, es. GAMP 5 2nd ed. e GAMP AI Guide del 2025, chiariscono che la valutazione di un sistema basato su AI deve includere anche il modello, i dati di training, le tecniche di addestramento, gli iperparametri e il modo in cui viene monitorata la stabilità del modello nel tempo. Non si tratta quindi di aggiungere un nuovo documento alla validazione, ma di allargare il perimetro e includere elementi che finora erano considerati estranei al concetto di "software".
Le normative di riferimento rimangono valide. Il 21 CFR Part 11 e l’Annex 11 continuano a richiedere audit trail completi, controlli degli accessi, sicurezza dei dati e salvaguardia dell’integrità dei record. Tuttavia, l’AI introduce rischi aggiuntivi, come la presenza di “bias” nei dataset, la possibile degradazione delle performance durante l’uso reale o l’eccessiva dipendenza da condizioni operative specifiche. Tutti aspetti che richiedono nuovi controlli.
Per comprendere meglio questa trasformazione è utile un esempio concreto.
Si consideri un sistema di ispezione visiva per fiale o flaconi. Prima che l’AI possa essere utilizzata in produzione, deve essere addestrata su un grande numero di immagini.
Queste immagini vengono raccolte da un lotto rappresentativo e analizzate una per una da un team di operatori esperti. Ogni immagine deve essere etichettata manualmente, identificando difetti come graffi, scheggiature, bolle, particelle, microfratture, anomalie del tappo o livello di riempimento non corretto. È un’attività lenta e meticolosa, ma è la fase più importante dell’intero processo, perché questo set di etichette rappresenta la verità su cui il modello imparerà a distinguere i prodotti conformi da quelli non conformi.
Durante l’addestramento, la rete neurale rielabora più volte l’intero dataset. Confronta ciò che prevede con ciò che è stato etichettato dagli operatori e modifica progressivamente i propri pesi interni. Iterazione dopo iterazione, riduce l’errore e migliora la sua capacità di riconoscere i difetti. Il training si conclude solo quando le performance si stabilizzano. A quel punto il modello viene congelato e può essere distribuito in produzione. Tuttavia, anche questo non è sufficiente.
In un contesto GxP occorre registrare le versioni dei dataset, tracciare eventuali trasformazioni applicate ai dati, valutare le performance reali del modello durante l’uso e controllare l’eventuale aumento di falsi scarti o falsi accettati. Se il processo produttivo cambia, il modello potrebbe reagire in modo diverso e potrebbe essere necessario riaddestrarlo oppure aggiornarlo. Questo aspetto dinamico è totalmente diverso da ciò a cui siamo abituati con un software tradizionale.
A livello europeo, l’AI Act del 2024 aggiunge un ulteriore livello di responsabilità. Il regolamento introduce una classificazione basata sul rischio e richiede che i sistemi ad alto rischio, categoria in cui ricadono molte applicazioni GxP, rispettino regole più severe in materia di governance dei dati, robustezza, documentazione e supervisione umana. È un approccio che si integra perfettamente con la logica della convalida e spinge le aziende a strutturare processi più maturi.
Per chi lavora nella CSV non si tratta di reinventare tutto, ma di spostare il focus. Le attività note rimangono, ma devono essere applicate a un oggetto diverso: non più solo software deterministici, bensì modelli che cambiano nel tempo, dipendono dai dati e richiedono un monitoraggio continuo. Di conseguenza, sarà necessario valutare la rappresentatività dei dataset, controllare le trasformazioni dei dati, definire criteri oggettivi di accettazione dei modelli, gestire i cambiamenti nel comportamento del sistema e attuare un monitoraggio continuo delle prestazioni. Anche il Data Integrity si estende infatti, oltre ai principi classici, diventano importanti la tracciabilità del dataset di training, la capacità di spiegare come il modello prende determinate decisioni e la verifica che i dati utilizzati siano adeguati allo scopo. Sono aspetti che richiedono un’organizzazione con ruoli e responsabilità ben definiti e una cultura del “dato” ad una versione 2.0.
A livello europeo, l’AI Act del 2024 aggiunge un ulteriore livello di responsabilità. Il regolamento introduce una classificazione basata sul rischio e richiede che i sistemi ad alto rischio, categoria in cui ricadono molte applicazioni GxP, rispettino regole più severe in materia di governance dei dati, robustezza, documentazione e supervisione umana. È un approccio che si integra perfettamente con la logica della convalida e spinge le aziende a strutturare processi più maturi.
Per chi lavora nella CSV non si tratta di reinventare tutto, ma di spostare il focus. Le attività note rimangono, ma devono essere applicate a un oggetto diverso: non più solo software deterministici, bensì modelli che cambiano nel tempo, dipendono dai dati e richiedono un monitoraggio continuo. Di conseguenza, sarà necessario valutare la rappresentatività dei dataset, controllare le trasformazioni dei dati, definire criteri oggettivi di accettazione dei modelli, gestire i cambiamenti nel comportamento del sistema e attuare un monitoraggio continuo delle prestazioni. Anche il Data Integrity si estende infatti, oltre ai principi classici, diventano importanti la tracciabilità del dataset di training, la capacità di spiegare come il modello prende determinate decisioni e la verifica che i dati utilizzati siano adeguati allo scopo. Sono aspetti che richiedono un’organizzazione con ruoli e responsabilità ben definiti e una cultura del “dato” ad una versione 2.0.
L’AI offre molte opportunità e può rendere i processi più solidi, più rapidi e più controllabili. Ma non è una scorciatoia. Senza dati di qualità e senza una governance rigorosa, l’AI rischia di diventare un espediente inefficace. Se invece viene inserita in un contesto preparato, con processi e responsabilità chiare, può diventare un alleato potente per la qualità e per l’intera azienda. In definitiva, la differenza non la fa il modello, ma il modo in cui l’organizzazione decide di gestirlo. E questo è anche il punto di convergenza tra i principi EMA e l’Annex 22, che richiamano l’importanza di un sistema di qualità capace di sostenere dati, processi e modelli in modo coerente. L’AI diventa realmente utile solo quando si innesta in una struttura solida, con ruoli chiari e un governo del dato adeguato al contesto.
Articolo a cura di Andrea Bussi - CSV Business Unit Manager, S.T.B. Valitech S.r.l.
Articolo a cura di Andrea Bussi - CSV Business Unit Manager, S.T.B. Valitech S.r.l.
Riferimenti:
- GAMP 5 - A Risk-Based Approach to Compliant GxP Computerized Systems (Second Edition). 2022.
- ISPE GAMP Guide: Artificial Intelligence. 2025.
- Sarkar C. et al. Artificial Intelligence and Machine Learning Technology Driven Modern Drug Discovery and Development. International Journal of Molecular Sciences, 2023, 24(3), 2026. [https://www.mdpi.com/1422-0067/24/3/2026] Licenza: CC BY 4.0.
- European Medicines Agency (EMA). Guiding Principles of Good AI Practice in Drug Development. [https://www.ema.europa.eu/en/documents/other/guiding-principles-good-ai-practice-drug-development_en.pdf]
- European Commission. EudraLex Volume 4 - Annex 22: Artificial Intelligence (draft). [https://health.ec.europa.eu/document/download/5f38a92d-bb8e-4264-8898-ea076e926db6_en?filename=mp_vol4_chap4_annex22_consultation_guideline_en.pdf]
- S. Food and Drug Administration. 21 CFR Part 11 - Electronic Records; Electronic Signatures. [https://www.ecfr.gov/current/title-21/chapter-I/subchapter-A/part-11]
- Artificial Intelligence/Machine Learning (AI/ML)-Based Software as a Medical Device (SaMD) Action Plan. 2021. [https://www.fda.gov/medical-devices/software-medical-device-samd/artificial-intelligence-and-machine-learning-software-medical-device]
- European Medicines Agency (EMA). Reflection Paper on the Use of Artificial Intelligence in the Medicinal Product Lifecycle. 2021 [https://www.ema.europa.eu/en/documents/scientific-guideline/reflection-paper-use-artificial-intelligence-medicinal-product-lifecycle_en.pdf]
- European Union. Artificial Intelligence Act [https://artificialintelligenceact.eu]
- Gazzetta Ufficiale UE [https://eur-lex.europa.eu]
- Nagy, Zsolt. Artificial Intelligence and Machine Learning Fundamentals. Packt Publishing, 2018.
- Musiol, Martin. Generative AI: Navigating the Course to the Artificial General Intelligence Future. John Wiley & Sons, 2024.
- European Commission - EU Annex 11 (GMP Guidelines) [https://health.ec.europa.eu/system/files/2016-11/annex11_01-2011_en_0.pdf]
- European Commission - EudraLex Volume 4 (GMP) [https://health.ec.europa.eu/latest-updates/eudralex-volume-4_en]
Ultime
Novità
