Guida tecnica · GxP IT pharma · Audit trail
Cosa il vendor del sistema può davvero fornire (elementi tecnici) e cosa resta sempre al cliente (validazione, SOP, qualifica). Più aggiornamenti FDA 2025-2026 e Allegato 11 EudraLex.
Il CFR 21 Part 11 è la regulation FDA che da quasi 30 anni governa i record elettronici e le firme elettroniche nel pharma. È citato in ogni RFP, è il primo argomento delle gare per sistemi di monitoraggio temperatura farmaceutici, è la voce di costo più gonfiata negli RFI di valutazione fornitori. Eppure è anche la normativa più mal interpretata del settore: i vendor "vendono" conformità Part 11 come proprietà intrinseca del software, i clienti la "comprano" come fosse una certificazione, e gli auditor FDA scrivono ogni anno warning letters per non-conformità che entrambi avrebbero potuto evitare. Nel 2025 FDA ha emesso 327 warning letters in soli 6 mesi (+73% YoY), e le top citation sono ricorrenti: audit trail disabilitati, shared login, mancanza di documented review.
Questa guida è scritta in spirito di onestà tecnica: nessun vendor (né MCA né i nostri competitor) può vendere conformità Part 11 come bullet point del datasheet. Part 11 nasce dall'integrazione tra il sistema (elementi tecnici), le SOP del cliente, la qualifica IQ/OQ/PQ, il Quality Agreement con i sub-fornitori, e la review periodica dell'audit trail da parte del QA del cliente. La guida copre il quadro normativo aggiornato 2025-2026 (con i grandi shift della Computer Software Assurance guidance di settembre 2025 e dell'AI guidance), spiega esattamente cosa il vendor del sistema temperatura può fornire e cosa resta sempre al cliente, e offre le top deficiency da evitare. Audience target: QA, Responsabili Persona (RP), GxP IT, validation managers di pharma italiane. Stimato tempo lettura: 15-18 minuti.
Computer-generato, time-stamped, indipendente, inalterabile
Controparte europea, applicabile in Italia, principi ALCOA
Vendor fornisce elementi tecnici, cliente valida nel proprio ambiente
Risk-based testing: validazione proporzionata al rischio reale
Capire il scope di applicazione è il primo step. Part 11 non si applica a "qualunque sistema elettronico" ma solo a sistemi che gestiscono record richiesti dalle predicate rules FDA. Per il monitoraggio temperatura pharma, il discrimine è chiaro.
Quando il record di temperatura è usato per dimostrare conformità a una predicate rule FDA o supporta una decisione regolata:
Quando il record di temperatura è puramente operativo, non legato a predicate rule, non sottomesso a FDA:
Per il pharma italiano: Part 11 si applica direttamente solo se la company sottomette dati a FDA US (es. multinazionali con submission, CDMO che fanno per cliente USA, aziende con esportazione USA significativa). Per produttori/distributori solo italiani, il riferimento normativo primario è Allegato 11 EudraLex (controparte UE), parte integrante di EU GMP. I requisiti tecnici si sovrappongono al 90% — un sistema configurato per Part 11 soddisfa anche Annex 11 by design, e viceversa. La differenza è nei deliverable documentali della validazione.
Il § 11.10(e) è la sezione di Part 11 più citata e più ispezionata dagli auditor FDA. Definisce i requisiti dell'audit trail per i record elettronici. Per il monitoraggio temperatura pharma, l'audit trail è il dato che separa una conservazione "informativa" da una conservazione "compliant". Vediamo i 6 elementi obbligatori.
| Elemento | Descrizione | Esempio per monitoraggio temperatura |
|---|---|---|
| 1. User ID | Identificativo univoco dell'operatore. No shared login. | "mario.rossi@cliente.it" (NON "QC operator") |
| 2. Timestamp | Data e ora con timezone reference, non modificabile dall'utente. | "2026-05-07 14:23:17 UTC+02:00 CEST" |
| 3. Action type | Tipo di azione: creazione, modifica, cancellazione, lettura. | "MODIFY threshold value", "DELETE alarm event" |
| 4. Original value | Valore PRIMA della modifica (mai sovrascrivere). | Soglia precedente: "+8.0 °C" |
| 5. New value | Valore DOPO la modifica. | Soglia nuova: "+7.5 °C" |
| 6. Reason for change | Motivazione della modifica (campo testuale obbligatorio). | "Stretto soglia per allineamento ICH Q1A R2 update" |
Caratteristiche tecniche dell'audit trail § 11.10(e): deve essere computer-generato (mai manuale), indipendente dal record principale (non si cancella se si cancella il record), inalterabile dall'utente (l'utente non può modificare o disabilitare l'audit trail nemmeno con permessi admin), conservato per la durata richiesta dalla predicate rule (tipicamente 5+ anni anche dopo cessazione attività). FDA enforcement nel 2025 si è intensificato: 327 warning letters in seconda metà 2025, +73% YoY, top citation: audit trail disabilitati o disabilitabili.
Questa è la sezione più importante della guida, e quella più mal compresa nel mercato. Part 11 NON è una "feature" del software che il vendor può vendere come fosse Wi-Fi o Bluetooth. È il risultato dell'integrazione tra elementi tecnici del sistema e processi del cliente. La tabella sotto chiarisce la divisione di responsabilità in modo onesto.
Elementi tecnici del sistema configurati e documentati:
Tutto il resto, e nessun vendor può sostituirsi al cliente:
Quando un vendor dice "Part 11 compliant out-of-the-box" o "Sistema certificato Part 11", sta semplificando troppo. Nessun sistema è conforme Part 11 fino a quando il cliente non lo ha qualificato nel proprio ambiente con le proprie SOP e la propria validazione documentata. La responsabilità della conformità è SEMPRE del titolare del record (il pharma manufacturer/distributor), non del vendor del sistema.
Linguaggio corretto da cercare: "Sistema con elementi tecnici che supportano la conformità Part 11/Annex 11", "Validation pack pre-redatto per la qualifica del cliente", "Audit trail § 11.10(e) compliant by design". Linguaggio scorretto: "Part 11 compliant", "Pre-validated for FDA". Nokeval e MCA usano sempre il linguaggio corretto, e così dovrebbero fare i vendor seri.
Il quadro Part 11 è in evoluzione attiva. Negli ultimi 24 mesi FDA ha emesso aggiornamenti significativi che cambiano l'approccio pratico alla conformità. Per chi gestisce sistemi pharma critici è essenziale conoscerli.
Il più grande shift di paradigma in 20 anni. Sposta il focus dal "test tutto" al risk-based testing focalizzato sui rischi reali. Per monitoraggio temperatura: validazione proporzionata al rischio reale del record (rilascio lotto = test pesante; trend ambientale = test leggero). Riduce drasticamente il burden documentale.
Modernizzazione interpretazione Part 11 per tecnologie digitali: wearables, real-world evidence, remote source data verification. Risk-based lens esplicito. Per pharma indica direzione: FDA accetta tecnologie nuove ma chiede traceability robusta. Sostituisce 5 draft guidance precedenti.
Prima draft FDA gennaio 2025, joint EMA-FDA gennaio 2026. L'AI nel pharma è ora regolamentata: principles per AI lifecycle management, risk classification, data integrity, human oversight. Per monitoraggio temperatura: alert AI-driven richiedono validazione specifica.
FDA ha emesso 327 warning letters in soli 6 mesi della seconda metà 2025 (+73% YoY). Top citation: data integrity, audit trails missing/disabled, shared logins, untrained operators. Il messaggio: la fase di "discretion" della enforcement Part 11 è finita, FDA inspection nel 2026 sono pesantemente focalizzate sui requisiti Part 11 di base.
Per pharma italiane non FDA-regulated: questi aggiornamenti sono comunque rilevanti perché influenzano l'evoluzione di Allegato 11 EudraLex. EMA tende ad allineare progressivamente Annex 11 con Part 11 e viceversa, soprattutto sui temi di data integrity e AI. È prevedibile che nel 2026-2027 vedremo aggiornamenti formali Annex 11 che riprendono concetti CSA risk-based e AI guidance. Anticiparsi è una mossa strategica intelligente per l'IT pharma.
Le top citation dei warning letters FDA recenti su Part 11 sono ricorrenti e per lo più evitabili con processo, non con tecnologia. Il sistema può essere ottimo, ma le SOP del cliente possono creare la non-conformità. Vediamo le 8 più frequenti e come prevenirle.
| # | Deficiency | Come prevenirla |
|---|---|---|
| 1 | Audit trail disabilitati o disabilitabili dall'utente | Sistema deve avere audit trail "always-on, always-protected" by design. Se è disabilitabile da admin, l'admin deve essere ruolo segregato (no operatori). |
| 2 | Shared login account (es. "QC_lab" usato da 3 persone) | SOP che impone login individuali. Sistema con account individuali obbligatori. Verifica audit trail con review per identificare login condivisi. |
| 3 | Password scritte su monitor / post-it / chat di team | Training operatori + SOP password. Password manager aziendale. 2FA obbligatorio per ridurre incentivo a scrivere password. |
| 4 | Uncontrolled access (tutti operatori con admin rights) | Role-based access control con ruoli ben definiti. Operatori = solo lettura/registrazione. Admin = pochi, segregati, training documentato. |
| 5 | Mancanza di documented review dell'audit trail | SOP che definisce frequency e responsabile. Sistema con report di review esportabile. Archivio evidenze review per 5+ anni. |
| 6 | Spreadsheet Excel non validati per calcoli critici | Excel come strumento di lavoro temporaneo OK, ma non per record GxP. Sistema validato per calcoli QC. Excel solo come visualizzazione. |
| 7 | Missing metadata negli audit trail (no reason for change) | Sistema che obbliga campo "reason for change" come compulsory. Operatore non può salvare modifica senza motivazione testuale. |
| 8 | Backup non testati / disaster recovery non verificato | Test disaster recovery annuale documentato. Restore di campione random ogni trimestre con evidenza scritta. |
Vediamo tre scenari tipici di pharma italiana e come Part 11 / Allegato 11 si applica concretamente al sistema di monitoraggio temperatura.
Stabilimento italiano di multinazionale farmaceutica USA-headquartered che produce un farmaco con submission FDA. Camere stabilità ICH per studi long-term/intermediate/accelerated, magazzino prodotto finito a temperatura controllata. Part 11 si applica direttamente.
Stabilimento di produzione farmaceutica con vendita solo in UE, senza submission FDA. Audit GMP autorità nazionale (AIFA) + audit cliente farmaceutico EU. Allegato 11 EudraLex si applica, Part 11 non direttamente ma le best practice si sovrappongono al 90%.
Grossista farmaceutico nazionale che distribuisce farmaci a 1.500 farmacie italiane. GDP UE + UNI EN 17098 applicabili, audit AIFA periodici. Part 11 e Annex 11 non direttamente applicabili ma audit trail e data integrity sono comunque richiesti dalle GDP UE.
Officina italiana che produce contract manufacturing per pharma USA (cliente final filer FDA). Anche se la company italiana non sottomette direttamente a FDA, il cliente USA chiede conformità Part 11 al CDMO come parte del Quality Agreement. Part 11 si applica indirettamente.
Mandaci una descrizione del sistema temperatura attuale, lo scope regolatorio (FDA submission o solo EU), e le criticità identificate dall'ultimo audit interno o esterno. Ti rispondiamo con gap analysis vs Part 11/Annex 11 + raccomandazione su elementi tecnici da aggiornare + validation pack disponibile entro 5 giorni lavorativi.
MCA non si vende come "validation consultant" (quel ruolo è dei consulenti specialisti GxP IT come ISPE-trained partner). MCA fornisce gli elementi tecnici Nokeval che il cliente farmaceutico integra nella propria strategia di validazione, accompagnando con documentazione e supporto.
Sistema configurato per supportare la conformità: audit trail § 11.10(e), account individuali con SSO + 2FA, role-based access, firma elettronica per azioni critiche, backup geo-ridondante con DR testabile, tempo legale NTP, retention 5+ anni. Tutti gli elementi tecnici per cui il cliente non deve fare lavoro custom.
Forniamo template IQ (Installation Qualification) e OQ (Operational Qualification) pre-redatti per Nokeval/NSnappy. Coprono il 70-80% del lavoro documentale tipico del cliente per la validazione. La PQ (Performance Qualification) resta responsabilità del cliente come da prassi farmaceutica, ma il template MCA fornisce il framework.
Annex 11 richiede supplier audit del vendor: forniamo documentazione tecnica, certificazioni ISO 9001/27001 di Nokeval, dichiarazioni di conformità EMC, manuali in italiano, evidenze di lifecycle management software. Il cliente farmaceutico può completare il proprio supplier audit con il nostro supporto, riducendo il time-to-validation.
Quando il cliente serve un validation consultant esterno (per IQ/OQ/PQ formale, validation master plan aziendale, gap analysis Annex 11), MCA fornisce un network di consulenti italiani validati con cui abbiamo lavorato in joint-projects. Possiamo facilitare il contatto e accompagnare il briefing tecnico iniziale, garantendo che il consulente conosca già il sistema Nokeval.
Part 11 / Allegato 11 è uno dei temi più caldi del pharma italiano. Per il quadro completo di sensori, piattaforma cloud GDP, mappatura termica e calibrazione, naviga le sezioni del cluster.
CFR 21 Part 11 è la regulation FDA del 1997 che definisce i criteri sotto cui i record elettronici e le firme elettroniche sono considerati trustworthy, reliable e generalmente equivalenti ai record cartacei. Si applica ai sistemi che creano, modificano, mantengono, archiviano o trasmettono record richiesti dalle predicate rules FDA (es. cGMP 21 CFR 211 per produzione farmaci, 21 CFR 820 per dispositivi medici, 21 CFR 58 per laboratori GLP). Per il monitoraggio temperatura di un magazzino farmaceutico, Part 11 si applica se i dati di temperatura sono usati per dimostrare conformità GMP/GDP nel rilascio lotti, conservazione prodotto, o documentazione per submission FDA. Per produttori/distributori solo italiani che non sottomettono dati a FDA, il riferimento principale è Allegato 11 EudraLex (controparte UE).
Il § 11.10(e) richiede "l'uso di audit trail sicuri, computer-generati e con timestamp che registrano in modo indipendente la data e l'ora delle operazioni dell'operatore e delle azioni che creano, modificano o cancellano record elettronici". In pratica un audit trail conforme deve catturare: 1) USER ID univoco dell'operatore, 2) TIMESTAMP (data e ora con timezone reference), 3) ACTION TYPE (creazione, modifica, cancellazione), 4) ORIGINAL VALUE prima della modifica, 5) NEW VALUE dopo la modifica, 6) REASON for change (motivazione). L'audit trail deve essere computer-generato (mai manuale), inalterabile dall'utente, indipendente dal record principale, conservato per la durata richiesta dalla predicate rule (tipicamente 5+ anni). FDA enforcement nel 2025 si è intensificato: 327 warning letters nella seconda metà 2025, +73% YoY.
Tecnicamente NO. Nessun vendor può vendere conformità Part 11 come proprietà intrinseca del software, perché Part 11 dipende dall'integrazione tra il sistema, le SOP del cliente, la qualifica IQ/OQ/PQ, il Quality Agreement con eventuali subfornitori, e la review periodica dell'audit trail da parte del QA. I vendor seri (Nokeval, MCA, ma anche Vaisala, ELPRO, Berlinger) parlano correttamente di "sistema con elementi tecnici per supportare la conformità Part 11". Marketing che dice "Part 11 ready" o "Part 11 compliant" senza qualifica al cliente è fuorviante: la responsabilità della conformità è ALWAYS del titolare del record (il pharma manufacturer/distributor), non del vendor. Il vendor fornisce gli strumenti tecnici, il cliente li valida nel proprio ambiente e con le proprie SOP.
Per supportare la conformità Part 11 (e analogamente Allegato 11 EudraLex per UE), il sistema di monitoraggio temperatura deve fornire come minimo: 1) AUDIT TRAIL secondo § 11.10(e) con tutti i 6 elementi sopra; 2) ACCOUNT UTENTE INDIVIDUALI con autenticazione robusta (no shared logins - top citation in warning letters), password complesse, lockout dopo tentativi falliti; 3) FIRMA ELETTRONICA per le azioni critiche (rilascio lotto, deviation handling) con due elementi distinti (es. user+password); 4) ROLE-BASED ACCESS CONTROL con ruoli definiti (operatore, supervisor, QA, admin); 5) BACKUP CRITTOGRAFATO geo-ridondante con disaster recovery testato; 6) PROTEZIONE INTEGRITÀ DATI (TLS 1.3 in-transit, AES at-rest); 7) REPORT ESPORTABILE conservato firmato con timestamp; 8) TEMPO LEGALE non modificabile dall'utente.
Closed system (sistema chiuso) è un sistema dove l'accesso ai record è controllato dalla persona responsabile per il contenuto dei record stessi (esempio tipico: NSnappy on-premise dietro firewall aziendale, o sistema cloud privato con SSO aziendale). Per closed system bastano i controlli base § 11.10. Open system (sistema aperto) è un sistema dove l'accesso non è controllato dalla persona responsabile (esempio tipico: dati di temperatura inviati via internet pubblico a un cloud multi-tenant condiviso). Per open system il § 11.30 richiede controlli aggiuntivi: encryption dei dati, digital signatures per garantire authenticity, e altre safeguards proporzionate al rischio. Per il monitoraggio temperatura pharma la pratica più diffusa in Italia è "cloud privato segregato" o "architettura ibrida" con dati critici on-premise (Stable-Sky-Node Modbus) e dashboard cloud. Sostanzialmente è un closed system con safeguard di open system.
Allegato 11 (Annex 11) di EudraLex Volume 4 è la controparte UE di Part 11 ed è parte integrante delle EU GMP. Si applica a tutti i sistemi computerizzati GMP/GDP usati in UE. I principi sono molto allineati con Part 11 ma con sfumature specifiche: 1) RISK-BASED VALIDATION (più esplicita nel testo Annex 11 rispetto a Part 11); 2) SUPPLIER AUDIT del vendor del sistema (Annex 11 lo richiede formalmente, Part 11 lo deduce); 3) PERIODIC REVIEW con frequenza basata sul rischio; 4) DATA INTEGRITY come principio cardine ALCOA (Attributable, Legible, Contemporaneous, Original, Accurate); 5) ELECTRONIC SIGNATURES con stessa forza di firma autografa quando il sistema è qualificato. Per produttori/distributori italiani che non vendono in USA, Allegato 11 è il riferimento normativo primario, Part 11 è invece centrale per chi sottomette dati a FDA o lavora con clienti USA.
La FDA Computer Software Assurance (CSA) guidance finalizzata il settembre 2025 è il più grande shift di paradigma in 20 anni nell'approccio Part 11. Sposta il focus dal "testing tutto pesantemente" (CSV tradizionale) al "testing risk-based focalizzato sui rischi reali per quality, safety, data integrity". Per il monitoraggio temperatura pharma il messaggio pratico è: 1) la documentazione di validazione può essere proporzionata al rischio reale del record, 2) il testing intensivo è giustificato solo per record critici come il rilascio lotto, 3) per record di supporto (es. trend ambientali) basta validazione leggera. CSA non rilassa Part 11 ma ne razionalizza l'applicazione. La nuova guida è particolarmente importante per ridurre il burden documentale eccessivo che era diventato la prassi pre-CSA. Aspettarsi che gli auditor FDA chiedano evidenza di approccio CSA risk-based negli audit dal 2026 in poi.
FDA non specifica una frequenza esatta nella regulation, ma le guidance 2018 Data Integrity e Annex 11 EU dicono "a regular intervals". Industry best practice consolidata: per record CRITICI (es. rilascio lotto, deviation termiche pharma) la review è settimanale o per-batch; per record DI SUPPORTO (es. trend ambientali magazzino) review mensile o trimestrale; per record HISTORIC (storico monitoring per audit) review annuale aggregata. La review deve essere DOCUMENTATA: chi ha rivisto, quando, cosa è stato esaminato, cosa è stato trovato, eventuali deviation aperte. La pratica più diffusa è formalizzare nella SOP la frequency e il responsabile, configurare il sistema per estrarre report di audit trail review, archiviare evidenza della review per 5 anni minimo.
FDA ha emesso 327 warning letters nella seconda metà 2025 (+73% YoY), e le top citation Part 11 ricorrenti sono: 1) AUDIT TRAIL DISABILITATI o disabilitabili dall'utente (violazione § 11.10(e)); 2) SHARED LOGIN ACCOUNT (violazione del principio di unique user identification); 3) PASSWORD scritte su monitor, post-it, condivise in team chat (violazione § 11.10(d)); 4) UNCONTROLLED ACCESS in lab/produzione con tutti gli operatori che hanno admin rights (violazione role-based access); 5) MANCANZA DI DOCUMENTED REVIEW dell'audit trail (violazione data integrity); 6) UNVALIDATED SPREADSHEET con calcoli critici per QC (Excel non validato come strumento Part 11); 7) MISSING METADATA negli audit trail (no reason for change, no original value); 8) BACKUP NON TESTATI con disaster recovery non verificato. La maggior parte di queste citation sono fixable con processo, non con tecnologia. Il sistema può essere ottimo ma le SOP del cliente possono creare la non-conformità.
Sì, ed è la pratica standard. I requisiti tecnici si sovrappongono al 90%: audit trail computer-generato, account utente individuali, accesso role-based, backup, validazione lifecycle. Le differenze sono nelle interpretazioni e nei deliverable documentali, non nelle features tecniche del sistema. Per un'azienda farmaceutica multinazionale con stabilimenti in UE e submission FDA in USA, la prassi è: 1) sistema unico configurato per soddisfare requisiti più stringenti (Part 11 + Annex 11 "union", non "intersection"), 2) due set di documenti di validazione (Part 11 docs per FDA + Annex 11 docs per EU), 3) un Quality Manual aziendale che mappa i singoli controlli ai due framework. Per aziende italiane che non sottomettono dati FDA, basta Annex 11; il sistema soddisfa anche Part 11 "by design" ma la validazione formale non serve.
MCA Strumentazione Industriale è distributore ufficiale Nokeval per Lombardia, Veneto, Emilia-Romagna, Piemonte, Lazio e tutto il territorio italiano. Forniamo sistemi NSnappy con elementi tecnici Part 11/Annex 11 documentati, validation pack IQ/OQ pre-redatto per accelerare la qualifica del cliente, supplier audit support per le richieste Annex 11, network di consulenti GxP IT raccomandati per validation master plan e gap analysis. Il nostro principio guida è la onestà tecnica: non vendiamo conformità Part 11 come bullet point del datasheet, vendiamo sistemi che il QA del cliente può qualificare con fiducia in tempi ragionevoli. Per audit FDA/AIFA in vista, audit cliente pharma corporate, o gap analysis post-warning letter, contattaci entro le 5 giornate lavorative successive alla notifica.