di Francesco Domenico ATTISANO
ISO/IEC 42001:2023 AI Management System (AIMS) – Lo standard per un sistema di gestione responsabile ed etico dell’intelligenza artificiale.
L’Organizzazione Internazionale per la Standardizzazione (ISO) e la Commissione Elettronica Internazionale (IEC)hanno pubblicato a dicembre 2023, un nuovo standard sull’intelligenza artificiale: ISO/IEC 42001:2023 AI Management System (AIMS)(1).
Abstract
In sintesi l’ISO 42001, concentrandosi sulla gestione dei sistemi di intelligenza artificiale (AI) nelle organizzazioni definisce: requisiti e indirizzi operativi, con il fine di stabilire, implementare, mantenere e migliorare i sistemi di gestione AI, sottolineando l’importanza di considerazioni specifiche dell’AI, come l’apprendimento continuo e la potenziale mancanza di trasparenza ed etica. A ciò, strettamente correlati, lo standard affronta i temi della gestione dei rischi, della sicurezza, dell’equità, della qualità dei dati e della responsabilità, adattandosi alle diverse dimensioni e strutture organizzative e promuovendo un approccio basato sul rischio.
Secondo l’ISO non si tratta di mere linee guida ma di un framework completo, progettato per stabilire, implementare, mantenere e migliorare un sistema di gestione dell’intelligenza artificiale (AIMS) all’interno delle organizzazioni.
Il quadro di governance delineato dalla ISO 42001 prevede la definizione di ruoli e responsabilità dei responsabili del sistema di AI, nonché le regole, i processi e i controlli necessari per implementare i sistemi di intelligenza artificiale in modo più responsabile.
L’allineamento della ISO 42001 all’Artificial Intelligence Act
Lo standard ISO/IEC 42001:2023 è strettamente allineato ai requisiti normativi previsti dall’Artificial Intelligence Act (AI Act) dell’UE. L’adesione allo standard potrebbe potenzialmente facilitare le organizzazioni a conformarsi all’AI Act. La ISO 42001, difatti, è stata pubblicata in un momento fondamentale visto la recente normativa e regolamentazione. In Europa, l’articolo 6 della legge UE sull’AI impone ai fornitori di sistemi di IA ad alto rischio di sottoporsi a una valutazione di conformità per certificare se il sistema di IA soddisfa i requisiti legali delineati nel titolo 3, capitolo 2 della legge .
Scope dello standard ISO
Scopo del nuovo standard è:
- stabilire un quadro che consente alle organizzazioni di gestire i rischi e le opportunità legati all’IA in modo responsabile (RAI);
- promuovere l’affidabilità, la trasparenza e l’uso etico dell’intelligenza artificiale;
- facilitare l’innovazione e la crescita nel campo dell’AI garantendo al contempo uno sviluppo e un’implementazione responsabili.
Questo standard potrebbe diventare un must have per qualsiasi organizzazione intenda sviluppare e sfruttare l’AI in maniera affidabile, responsabile e sostenibile.
L’enfasi principale della norma ISO/IEC 42001 ruota attorno all‘integrazione dei sistemi di gestione dell’intelligenza artificiale all’interno delle strutture esistenti di un’organizzazione. Definisce un sistema di gestione come elementi interconnessi all’interno di un’organizzazione per stabilire politiche, obiettivi e processi per raggiungere tali obiettivi.
Pubblico target dello standard
La norma ISO/IEC 42001 è applicabile a organizzazioni di tutte le dimensioni in diversi settori, comprendendo sia il settore pubblico che quello privato. Si rivolge a entità impegnate nello sviluppo, nell’utilizzo o nell’offerta di prodotti o servizi basati sull’intelligenza artificiale.
Overview dello standard
1. Integrazione e gestione del rischio
Lo standard enfatizza l’integrazione della gestione dell’AI all’interno del sistema di gestione complessivo di un’organizzazione. Si allinea ai processi e agli obiettivi organizzativi, adattabile e scalabile per qualsiasi entità coinvolta nell’intelligenza artificiale. La gestione del rischio, specifica per i casi d’uso dell’AI, è un aspetto fondamentale.
2. Performance , efficacia e conformità
Viene evidenziata la misurazione delle performance, sulla base di risultati sia quantitativi che qualitativi. Per migliorare le performance è necessario un monitoraggio continuo. Lo standard riguarda la necessità che i sistemi di AI siano efficaci, raggiungendo i risultati attesi come pianificato. La conformità ai requisiti e gli audit sistematici sono parte integrante del sistema di controllo interno dell’organizzazione per garantire una gestione responsabile dell’AI.
3. Valutazione dell’impatto e documentazione
Viene data particolare importanza alla valutazione formale dell’impatto dell’AI sugli individui e sulla società, con una valutazione e una mitigazione approfondite da parte delle organizzazioni. Viene delineata la qualità dei dati, con il requisito che i dati nei sistemi di AI soddisfino le esigenze organizzative. È obbligatoria la documentazione di tutti i controlli necessari per i sistemi di AI .
4. Adattamento e responsabilità
Le organizzazioni devono adattare i sistemi di gestione per incorporare considerazioni specifiche dell’intelligenza artificiale come l’uso etico, la trasparenza e la responsabilità . Un approccio basato sul rischio è fondamentale per identificare, valutare e mitigare i rischi associati all’intelligenza artificiale. Sono necessari una valutazione e un miglioramento continui delle performance.
I requisiti chiave dello standard ISO 42001
I requisiti chiave dello standard sono :
- Contesto dell’organizzazione: comprensione dei fattori interni ed esterni, comprensione dei bisogni e delle aspettative delle parti interessate, determinazione degli obiettivi relativi all’AI e quindi dello scopo del management system dell’AI all’interno dell’organizzazione.
- Leadership: impegno, responsabilità e promozione di una cultura consapevole dell’AI da parte del board e del top management.
- Pianificazione: identificazione delle opportunità e dei rischi dell’AI (un AI risk assessment), definizione degli obiettivi e pianificazione delle azioni per la mitigazione dei rischi correlati all’AI e relativa risposta (il cd AI risk treatment).
- Supporto: fornire le risorse, le competenze, la consapevolezza e la comunicazione necessarie per una gestione responsabile dell’AI.
- Programmazione e controllo operativo dei processi correlati all’AI (Operations): implementazione di sistemi di AI, gestione dei dati, monitoraggio delle performance e gestione dei rischi (i cd risk assessment e treatment/ response).
- Valutazione delle performance (performance evaluation): monitoraggio e misurazione delle prestazioni dell’AI, valutazione rispetto agli obiettivi e conduzione di management review (sia in termini di input che di output)
- Miglioramento (Improvement): intraprendere azioni continue per migliorare i sistemi di intelligenza artificiale e l’AIMS stesso, sulla base della valutazione e del feedback, valutando le eventuali non conformità e definendo azioni preventive e correttive.
Fiducia e governance
Gli allegati alla norma ISO/IEC 42001 affrontano gli aspetti critici di un’AI affidabile, tra cui equità, trasparenza, spiegabilità, accessibilità, sicurezza e altri impatti sulla società e sull’ambiente. Lo standard impone la giustificazione per lo sviluppo del sistema di AI delineando le metriche per valutare la compatibilità delle prestazioni del sistema con gli obiettivi.
In pratica, gli allegati allo standard si concentrano anche sui processi di gestione dei dati, sottolineando la trasparenza, la spiegabilità e l’uso responsabile dell’IA. Forniscono indicazioni sulla preparazione dei dati, affrontano l’esplorazione statistica dei dati e la gestione responsabile dei dati di addestramento.
Integrazione con altri sistemi di gestione ISO
ISO/IEC 42001 è progettato per integrarsi con gli standard dei sistemi di gestione ISO esistenti come ISO 27001, ISO 27701 e ISO 9001. Questa integrazione facilita un approccio olistico alla governance dell’intelligenza artificiale, migliorando la sicurezza delle informazioni, la privacy, la qualità e la conformità.
Lo standard e i suoi riflessi sulla sostenibilità delle organizzazioni
Secondo ISO, il nuovo standard contribuirà al raggiungimento di sei Sustainable Development Goals (SDGs)dell’Agenda 2030 (5- gender equality; 7-affordable and clean energy; 8- decent work and economic growth; 9- industry, innovation and infrastructure; 10- reduced inequalities; 12- responsible consumption and production).
Opportunità per le Organizzazioni
- Sviluppo etico dell’intelligenza artificiale: la norma ISO/IEC 42001 affronta le sfide uniche poste dall’intelligenza artificiale, comprese considerazioni etiche, trasparenza e apprendimento continuo.
- Gestione strutturata del rischio: per le organizzazioni, offre un modo strutturato per gestire i rischi e le opportunità associati all’intelligenza artificiale, trovando un equilibrio tra innovazione e governance.
- Rilevanza globale: essendo il primo standard al mondo per i sistemi di gestione dell’AI, lo standard fornisce una guida preziosa per il settore tecnologico in rapida evoluzione.
Conclusioni
Lo standard ISO/IEC 42001:2023 fornisce alle organizzazioni un approccio proattivo per soddisfare i requisiti normativi, promuovere la fiducia e contribuire allo sviluppo e all’uso dell’IA che rispetti i diritti fondamentali e gli standard etici.
Se l’organizzazione / entità è coinvolta nell’utilizzo o sviluppo o nella ricerca sull’AI, la norma ISO/IEC 42001:2023 è altrettanto importante quanto lo è la norma ISO 27001 (Information security, cybersecurity and privacy protection – Information security management systems – Requirements)(2) per un’organizzazione che adotta la sicurezza informatica. Lo standard, quindi, focalizzato sulla gestione etica dell’AI e sulla governance dei dati, potrebbe aiutare le organizzazioni a identificare e bloccare le applicazioni vietate dell’intelligenza artificiale.
Indipendentemente dalle potenziali critiche o dubbi sull’utilità di uno standard volontario sulla gestione dell’AI , lo stesso è verificabile e può essere certificato da una terza parte.
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) ISO/IEC 42001:2023 – AI Management System (AIMS)
(2) ISO/IEC 27001:2022 – Information security, cybersecurity and privacy protection – Information security management systems – Requirements