ISO 42001: il sistema di gestione per un’Intelligenza Artificiale Affidabile
Nel panorama tecnologico contemporaneo, l’adozione e la rapida diffusione dell’intelligenza artificiale, specialmente in ambiti che potrebbero avere un impatto significativo sulla sicurezza e i diritti umani, hanno reso impellente la necessità di un’adeguata regolamentazione. Un vero e proprio movimento normativo sta prendendo piede a livello globale, coinvolgendo l’Unione Europea, gli Stati Uniti e gli enti normativi internazionali.
In Europa, è stata recentemente adottata l’AI Act, con l’obiettivo di disciplinare lo sviluppo e l’utilizzo dell’intelligenza artificiale. Negli Stati Uniti, l’Ordine Esecutivo 14110 sulla Sicurezza, Protezione e Affidabilità nello Sviluppo e nell’Utilizzo dell’Intelligenza Artificiale istituisce uno sforzo governativo volto a guidare l’implementazione responsabile dell’IA, attraverso il coordinamento delle agenzie federali, la regolamentazione del settore industriale e il coinvolgimento dei partner internazionali. Inoltre, il NIST ha pubblicato l’AI Risk Management Framework, volto ad aiutare le aziende a identificare i rischi unici posti dall’intelligenza artificiale generativa (GenAI) e a proporre azioni di gestione della GenAI allineate con gli obiettivi e le priorità aziendali.
Nel 2023, anche l’Organizzazione Internazionale per la Normazione (ISO) ha contribuito a questo processo normativo, rilasciando l’ISO 42001, uno standard dedicato alla gestione dei sistemi di intelligenza artificiale. Questa norma rappresenta un passo importante verso la regolamentazione e l’istituzione di standard globali per l’utilizzo responsabile dell’IA.
Lo standard ISO/IEC 42001:2023
ISO/IEC 42001 è lo standard globale che delinea i criteri per l’implementazione, l’esecuzione, la manutenzione e il miglioramento continuo di un sistema di gestione dell’intelligenza artificiale (Artificial Intelligence Management System – AIMS) nelle aziende.
In altre parole, lo standard è progettato per assistere le aziende che sviluppano e utilizzano sistemi di Intelligenza Artificiale, nell’implementazione di robusti sistemi di gestione. Tra i vari requisiti,
ISO/IEC 42001 richiede che tali sistemi definiscano un processo accurato per valutare le potenziali implicazioni per individui, gruppi di individui e società nel loro complesso, derivanti dallo sviluppo, dalla fornitura o dall’impiego di sistemi di intelligenza artificiale.
La norma sottolinea l’importanza del miglioramento continuo e richiede alle organizzazioni che implementano l’IA di migliorare costantemente l’idoneità, l’adeguatezza e l’efficacia del proprio sistema di gestione dell’IA.
> Scopri il corso “ISO 42001: Sistema di gestione per l’Intelligenza Artificiale”
Caratteristiche e struttura dello standard ISO 42001
Lo standard ISO 42001 facilita l’integrazione con altri framework di gestione standardizzati, quali:
- ISO 27001 (sicurezza delle informazioni),
- ISO 27701 (privacy),
- ISO 9001 (qualità).
Non richiede tuttavia l’implementazione o la certificazione di tali sistemi come prerequisito, né intende sostituire i sistemi di gestione esistenti per la qualità, la sicurezza, la privacy o altri ambiti. L’enfasi è posta sull’integrazione del sistema di gestione dell’IA con le strutture aziendali già in atto.
Lo standard presenta 38 controlli, 10 obiettivi e 4 allegati di riferimento:
- L’Annex A fornisce un elenco strutturato di controlli volti a gestire i rischi associati alla progettazione e all’operatività dei sistemi di Intelligenza Artificiale. Le aziende possono scegliere di adattare questi controlli alle proprie esigenze, senza dover implementare l’intero insieme.
- L’Annex B offre una guida dettagliata per l’implementazione di tali controlli. Sebbene sia preziosa, le aziende non sono obbligate a documentare l’inclusione o l’esclusione di questa guida nella loro dichiarazione di conformità.
- L’Annex C funge da repository di obiettivi organizzativi e fonti di rischio relativi all’IA e sottolinea l’importanza della selezione discrezionale delle organizzazioni in base al loro contesto e obiettivi specifici.
- L’Annex D illustra l’applicabilità del sistema di gestione dell’IA in vari settori, evidenziando la sua rilevanza trasversale e la necessità di considerare le specificità dell’IA nell’ecosistema più ampio di tecnologie e componenti che compongono il sistema di gestione dell’IA. Questo allegato sottolinea anche la natura olistica dello sviluppo e dell’utilizzo responsabile dell’IA.
La compatibilità con lo standard ISO 27001 si riflette negli Allegati A e B, che presentano caratteristiche simili tra i due standard.
Inoltre, ISO/IEC 42001 è allineata con i requisiti normativi previsti dall’AI Act dell’Unione Europea e potrebbe fungere da valutazione di conformità per certificare la compliance dei sistemi IA ad alto rischio secondo i requisiti del Titolo III, Capitolo 2 della legge (link esterno), ovvero i requisiti relativi a governance dei dati, documentazione e conservazione delle registrazioni, trasparenza e fornitura di informazioni agli utenti, sorveglianza umana, robustezza, accuratezza e sicurezza.
> Leggi anche: “Intelligenza Artificiale: il Parlamento Europeo approva la legge”
L’affidabilità dell’AI nello standard ISO 42001
Uno degli obiettivi primari dello standard ISO 42001 è promuovere l’affidabilità, la trasparenza e l’uso etico dell’intelligenza artificiale. In senso ampio, le organizzazioni dovrebbero sviluppare e utilizzare sistemi di IA che siano affidabili, ovvero sicuri, responsabili e attendibili. Tuttavia, la definizione di affidabilità per i sistemi di IA è complessa e comprende componenti etiche, tecniche e relative ai rischi.
L’affidabilità dell’IA è menzionata nell’Allegato A come parte della guida di gestione per lo sviluppo dei sistemi di IA. Nell’Allegato B, sono indicate ulteriori misure specifiche, ad esempio che la documentazione relativa ai dati deve includere il processo di etichettatura dei dati per l’apprendimento e il test.
Lo standard fa riferimento a molteplici aree di affidabilità, come equità, trasparenza, spiegabilità, accessibilità e sicurezza, ad esempio attraverso la documentazione delle scelte di progettazione e le specifiche del metodo di machine learning utilizzato. Vengono inoltre menzionate altre aree di impatto rilevanti, ad esempio gli effetti sull’ambiente, il potenziale per la disinformazione e possibili problemi di salute e sicurezza.
Una disposizione significativa riguarda la necessità di fornire una giustificazione per lo sviluppo di un sistema di IA, includendo una spiegazione di quando e perché il sistema verrà utilizzato, nonché un elenco di metriche per valutare la compatibilità delle prestazioni del sistema con gli obiettivi prefissati.
Infine, l’Allegato B si concentra sui processi di gestione dei dati, sottolineando la trasparenza, la spiegabilità e l’uso responsabile dell’IA. Fornisce indicazioni sulla preparazione dei dati, affronta l’esplorazione statistica dei dati e la gestione responsabile dei dati di addestramento, al fine di promuovere ulteriormente un’etica improntata sull’affidabilità dei sistemi di IA.
> Leggi anche: “Principi e sfide dell’etica applicata all’Intelligenza Artificiale”
Lo standard ISO 42001 rappresenta un passo significativo verso la regolamentazione e l’istituzione di linee guida globali per lo sviluppo e l’utilizzo responsabile dell’intelligenza artificiale.
Tuttavia, il movimento normativo sull’intelligenza artificiale è ancora in una fase iniziale e continuerà ad evolversi per tenere il passo con i rapidi progressi tecnologici e le nuove sfide emergenti. È probabile che vedremo ulteriori sforzi normativi e di standardizzazione a livello nazionale e internazionale, al fine di garantire uno sviluppo e un utilizzo dell’IA che sia sicuro, etico e allineato con i valori umani.
Inoltre, sarà fondamentale promuovere una maggiore collaborazione tra gli enti normativi, le organizzazioni di standardizzazione, le aziende e la comunità accademica per affrontare le sfide multidisciplinari poste dall’IA. Solo attraverso un approccio coordinato e inclusivo sarà possibile sfruttare appieno il potenziale dell’intelligenza artificiale, tutelando al contempo i diritti e la sicurezza delle persone e delle aziende.
Fonti:
Cloud Security Alliance. (2023, 28 novembre). How ISO 42001 Aims to Promote Trustworthy AI. https://cloudsecurityalliance.org/blog/2023/11/28/how-iso-42001-aims-to-promote-trustworthy-ai
Commissione Europea. (2021). Proposta di Regolamento del Parlamento Europeo e del Consiglio che stabilisce norme armonizzate sull’intelligenza artificiale. https://eur-lex.europa.eu/resource.html?uri=cellar:e0649735-a372-11eb-9585-01aa75ed71a1.0006.02/DOC_1&format=PDF
Coordinating Standards for AI Governance. (s.d.). ISO/IEC 42001 Trustworthy AI. https://aistandardshub.org/iso-iec-42001-trustworthy-ai
PECB. (s.d.). A Comprehensive Guide to Understanding the Role of ISO/IEC 42001. https://pecb.com/article/a-comprehensive-guide-to-understanding-the-role-of-isoiec-42001
Risk & Compliance Platform. (2023, 16 febbraio). ISO 42001: lo standard per un sistema di gestione responsabile ed etico dell’Intelligenza Artificiale. https://www.riskcompliance.it/news/iso-42001-lo-standard-per-un-sistema-di-gestione-responsabile-ed-etico-dell-intelligenza-artificiale/
Thiers-Harned, L., Pattavina, P., & Ortiz-Calzadilla, A. (2024, 2 aprile). ISO 42001 Certification of Healthcare AI Management Systems [Paper presentation]. arXiv. https://arxiv.org/pdf/2402.08466.pdf