Vai al contenuto principale
Se spedisci un agent AI a utenti UE, l’AI Act pone tre obblighi sul sistema stesso: non guidare pratiche proibite, dire alle persone che stanno parlando con un’AI, e mantenere un record tecnico di ciò che il sistema ha fatto. Il pack EU AI Act mappa quegli obblighi su controlli reali del gateway e li materializza in un guardrail che puoi eseguire prima in observe mode, poi portare live — con un report verificabile dall’auditor alla fine. Questa pagina è l’atterraggio specifico per l’EU AI Act sopra il flusso di compliance generale. Per la meccanica che ogni pack condivide — observe-first, plan gating, il report firmato — parti dalla panoramica sulla compliance.

1. Cosa copre la compliance all’eu ai act sul gateway

Il pack eu_ai_act mappa l’EU Artificial Intelligence Act (giurisdizione EU, in vigore 2024-08-01) su tre controlli del piano dei contenuti. Ciascuno è una regola di guardrail reale e modificabile — non una casella da spuntare — costruita dalla stessa libreria di preset contro cui puoi autorare a mano.
Blocca i tentativi di manipolazione e jailbreak che guidano comportamenti proibiti. Costruito dal preset Prompt-Injection Basics più una regola regex-block per il jailbreak, così l’intento di injection e jailbreak è intercettato sulla richiesta prima che il modello li veda.
Applica una disclosure così gli utenti sanno di stare interagendo con un’AI. Costruito dal preset Legal Disclaimer Enforce, che segnala l’output che dà consigli legali/finanziari definitivi per la revisione del team.
Logga le decisioni del guardrail per il record tecnico. Costruito dal preset Compliance Logger (observe-only) — registra le occorrenze di PII e le decisioni di policy senza bloccare o modificare il traffico.
Questi sono gli obblighi che il gateway può portare: applicazione su input e output, una superficie di disclosure, e un record delle decisioni. I doveri organizzativi che la regolamentazione impone anche — il tuo sistema di risk management dell’Art. 9 e le misure di supervisione umana dell’Art. 14 — vivono nella matrice dei controlli del pack come item Organizational: true da evidenziare fuori dal gateway. Vedi responsabilità condivisa.

2. Un esempio concreto: installa, osserva, vai live

Il lavoro sui pack usa la tua sessione di console (UserAuth) — non una chiave di relay sk-orca-…. Sfogliare il catalogo e controllare la readiness sono gratis per qualsiasi Member del workspace; installare è un’azione da Admin del workspace su un piano a pagamento, applicata lato server così una chiamata API diretta non può aggirare il gate.
1

Sfoglia e controlla la readiness (Member, gratis)

Apri Compliance → Frameworks e seleziona EU AI Act. La readiness mostra come i tre controlli mappano sulle tue policy correnti prima di impegnarti in qualcosa.
2

Installa il pack (Admin, a pagamento)

Installare dalla console emette POST /api/compliance/packs/eu_ai_act/install. Una sola chiamata materializza i controlli in un guardrail reale e modificabile taggato con la provenienza del pack — creato in observe mode, così segnala anziché bloccare e raccogli evidenze “avrebbe-bloccato” sul traffico live senza influenzarlo.
POST /api/compliance/packs/eu_ai_act/install
3

Osserva i match

Passa in rassegna cosa intercetterebbero i controlli sulle pratiche proibite e sulla trasparenza nel feed di match dei Guardrails (GET /api/guardrail/match, Member). Regola qualsiasi regola nella console — è un guardrail standard, quindi ogni percorso di modifica, versione e revert funziona invariato.
4

Portalo live e collegalo

Tira il guardrail fuori dall’observe mode quando le evidenze sembrano giuste, poi collegalo alle chiavi usate dai tuoi agent rivolti all’UE impostando guardrail_id sulla chiave (o rendilo il default del workspace). Ora i block dell’Art. 5 applicano sulla richiesta prima del metering.
Un risultato guardrail_blocked è un HTTP 400 che non costa quota — un block in fase di input è intercettato pre-metering, ed è marcato skip-retry, così un tentativo di pratica proibita bloccato non consuma mai spesa né va in loop.

3. Spedisci un report firmato e verificabile

Quando applichi, genera il report di compliance: un artefatto firmato Ed25519 e marcato SHA-256 che puoi esportare come CSV, JSON o PDF e consegnare a un auditor. Chiunque può verificarlo senza un account.

Report firmato

Cosa contiene il report e come è firmato.

Verifica un report

L’endpoint pubblico di verifica e la pubkey — gli auditor confermano l’autenticità in modo indipendente.
I report sono marcati e archiviati sotto la tua regione di data-residency dichiarata (us / eu / uk / ap / cn / global). Per un deposito EU AI Act imposterai di solito la residency a eu; un report viene servito solo sotto una regione dichiarata corrispondente, e le letture cross-region vengono trattenute.
La data residency è la regione dell’artefatto report di compliance, non geo-blocco di dove gira l’inferenza. Controlla dove vivono le tue evidenze firmate e chi può leggerle, non dove viene instradato il traffico del modello. Vedi data residency.

4. L’EU AI Act accanto al resto del tuo programma

L’EU AI Act atterra raramente da solo. Lo stesso flusso di installazione copre i framework adiacenti di governance dell’AI e di privacy UE, ciascuno materializzando i propri controlli modificabili (i pack di governance dell’AI sono solo-guardrail; il pack GDPR aggiunge anche una policy di firewall per il suo controllo sui trasferimenti transfrontalieri):
PackFramework
iso_42001ISO/IEC 42001 sistema di gestione dell’AI
nist_ai_rmfNIST AI Risk Management Framework
gdprEU General Data Protection Regulation

ISO 42001

Evidenze del sistema di gestione dell’AI.

NIST AI RMF

Controlli Map / Measure / Manage.

GDPR

Obblighi UE sui dati personali.
Il controllo sulle pratiche proibite dell’Art. 5 è la difesa del gateway contro le stesse minacce che le tue policy di sicurezza già tracciano — prompt injection e jailbreak. Se vuoi irrigidirle indipendentemente dal pack di compliance, i riferimenti su firewall e guardrail vanno più a fondo.

5. Dove andare dopo

Installa un pack

L’intera meccanica di installazione, condivisa tra ogni framework.

Observe vs enforce

Come l’observe mode si trasforma in applicazione live, deliberatamente.

Riferimento Guardrails

I controlli del piano dei contenuti da cui è costruito il pack EU AI Act.

Prompt injection

La minaccia da cui il guard sulle pratiche proibite dell’Art. 5 difende.
Installa in observe mode, osserva cosa intercetterebbero i controlli sulle pratiche proibite e sulla trasparenza, portali live sulle tue chiavi rivolte all’UE, poi spedisci un report firmato. Questa è la compliance all’eu ai act come una configurazione, non un progetto.