ISO/IEC 42001: il sistema di gestione per un’Intelligenza Artificiale Affidabile

Caratteristiche e struttura dello standard ISO/IEC 42001

Lo standard ISO/IEC 42001 facilita l’integrazione con altri framework di gestione standardizzati, quali:

• ISO/IEC 27001 (sicurezza delle informazioni),
• ISO/IEC 27701 (privacy),
• ISO/IEC 9001 (qualità).

Non richiede tuttavia l’implementazione o la certificazione di tali sistemi come prerequisito, né intende sostituire i sistemi di gestione esistenti per la qualità, la sicurezza, la privacy o altri ambiti. L’enfasi è posta sull’integrazione del sistema di gestione dell’IA con le strutture aziendali già in atto.

Lo standard presenta 38 controlli, 10 obiettivi e 4 allegati di riferimento:

1. L’Annex A fornisce un elenco strutturato di controlli volti a gestire i rischi associati alla progettazione e all’operatività dei sistemi di Intelligenza Artificiale. Le aziende possono scegliere di adattare questi controlli alle proprie esigenze, senza dover implementare l’intero insieme.
2. L’Annex B offre una guida dettagliata per l’implementazione di tali controlli. Sebbene sia preziosa, le aziende non sono obbligate a documentare l’inclusione o l’esclusione di questa guida nella loro dichiarazione di conformità.
3. L’Annex C funge da repository di obiettivi organizzativi e fonti di rischio relativi all’IA e sottolinea l’importanza della selezione discrezionale delle organizzazioni in base al loro contesto e obiettivi specifici.
4. L’Annex D illustra l’applicabilità del sistema di gestione dell’IA in vari settori, evidenziando la sua rilevanza trasversale e la necessità di considerare le specificità dell’IA nell’ecosistema più ampio di tecnologie e componenti che compongono il sistema di gestione dell’IA. Questo allegato sottolinea anche la natura olistica dello sviluppo e dell’utilizzo responsabile dell’IA.

La compatibilità con lo standard ISO/IEC 27001 si riflette negli Allegati A e B, che presentano caratteristiche simili tra i due standard.

Inoltre, ISO/IEC 42001 è allineata con i requisiti normativi previsti dall’AI Act dell’Unione Europea e potrebbe fungere da valutazione di conformità per certificare la compliance dei sistemi IA ad alto rischio secondo i requisiti del Titolo III, Capitolo 2 della legge (link esterno), ovvero i requisiti relativi a governance dei dati, documentazione e conservazione delle registrazioni, trasparenza e fornitura di informazioni agli utenti, sorveglianza umana, robustezza, accuratezza e sicurezza.

> Leggi anche: “Intelligenza Artificiale: il Parlamento Europeo approva la legge”

L’affidabilità dell’AI nello standard ISO/IEC 42001

Uno degli obiettivi primari dello standard ISO/IEC 42001 è promuovere l’affidabilità, la trasparenza e l’uso etico dell’intelligenza artificiale. In senso ampio, le organizzazioni dovrebbero sviluppare e utilizzare sistemi di IA che siano affidabili, ovvero sicuri, responsabili e attendibili. Tuttavia, la definizione di affidabilità per i sistemi di IA è complessa e comprende componenti etiche, tecniche e relative ai rischi.
L’affidabilità dell’IA è menzionata nell’Allegato A come parte della guida di gestione per lo sviluppo dei sistemi di IA. Nell’Allegato B, sono indicate ulteriori misure specifiche, ad esempio che la documentazione relativa ai dati deve includere il processo di etichettatura dei dati per l’apprendimento e il test.

Lo standard fa riferimento a molteplici aree di affidabilità, come equità, trasparenza, spiegabilità, accessibilità e sicurezza, ad esempio attraverso la documentazione delle scelte di progettazione e le specifiche del metodo di machine learning utilizzato. Vengono inoltre menzionate altre aree di impatto rilevanti, ad esempio gli effetti sull’ambiente, il potenziale per la disinformazione e possibili problemi di salute e sicurezza.

Una disposizione significativa riguarda la necessità di fornire una giustificazione per lo sviluppo di un sistema di IA, includendo una spiegazione di quando e perché il sistema verrà utilizzato, nonché un elenco di metriche per valutare la compatibilità delle prestazioni del sistema con gli obiettivi prefissati.

Infine, l’Allegato B si concentra sui processi di gestione dei dati, sottolineando la trasparenza, la spiegabilità e l’uso responsabile dell’IA. Fornisce indicazioni sulla preparazione dei dati, affronta l’esplorazione statistica dei dati e la gestione responsabile dei dati di addestramento, al fine di promuovere ulteriormente un’etica improntata sull’affidabilità dei sistemi di IA.

> Leggi anche: “Principi e sfide dell’etica applicata all’Intelligenza Artificiale”

Lo standard ISO/IEC 42001 rappresenta un passo significativo verso la regolamentazione e l’istituzione di linee guida globali per lo sviluppo e l’utilizzo responsabile dell’intelligenza artificiale.
Tuttavia, il movimento normativo sull’intelligenza artificiale è ancora in una fase iniziale e continuerà ad evolversi per tenere il passo con i rapidi progressi tecnologici e le nuove sfide emergenti. È probabile che vedremo ulteriori sforzi normativi e di standardizzazione a livello nazionale e internazionale, al fine di garantire uno sviluppo e un utilizzo dell’IA che sia sicuro, etico e allineato con i valori umani.
Inoltre, sarà fondamentale promuovere una maggiore collaborazione tra gli enti normativi, le organizzazioni di standardizzazione, le aziende e la comunità accademica per affrontare le sfide multidisciplinari poste dall’IA. Solo attraverso un approccio coordinato e inclusivo sarà possibile sfruttare appieno il potenziale dell’intelligenza artificiale, tutelando al contempo i diritti e la sicurezza delle persone e delle aziende.