La nuova regolamentazione dell’AI (“AI Act”), approvata dal Parlamento europeo in seduta plenaria il 13 marzo 2024, stabilisce il primo quadro normativo globale sull’intelligenza artificiale in Europa. Ad oggi, l’AI Act deve essere sottoposto alla verifica finale dei giuristi-linguisti e formalmente approvata dal Consiglio.
Questo regolamento avrà un forte impatto sulle organizzazioni e prevede una serie di adempimenti che tengono conto della tipologia di sistema, del rischio connesso al sistema di intelligenza artificiale nonché del ruolo che l’organizzazione assume (es. fornitore, utilizzatore, importatore, distributore).
In linea generale, è importante ricordare che esistono già, in altri ambiti che richiedono l’adempimento a normative complesse, degli standard internazionali a supporto alle organizzazioni che consentono di rendere omogeneo il governo della compliance e prevedono l’adozione di sistemi di gestione come, ad esempio, la 27001:2023 in tema di sicurezza delle informazioni oppure la ISO 45001:2023 afferente alla salute e sicurezza sul lavoro. Da segnalare, inoltre, la ISO/IEC 23894 AI – Guidance on risk management e la ISO/IEC 23053 Framework for AI Systems Using ML.
La grande novità in tema di intelligenza artificiale è la pubblicazione della ISO/IEC 42001:2023 che rappresenta il primo standard al mondo per i sistemi di gestione dell’intelligenza artificiale e fornisce una guida di grande valore per questo settore in rapida evoluzione, consentendo di affrontare le sfide uniche poste dall’intelligenza artificiale quali, ad esempio, l’etica, la trasparenza e l’apprendimento continuo.
Lo standard ISO/IEC 42001:2023
Lo standard ISO/IEC 42001:2023 specifica i requisiti per stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione dell’intelligenza artificiale (AIMS) all’interno delle organizzazioni ed è destinata a tutte quelle organizzazioni, indipendentemente dalle dimensioni, dal tipo e dalla natura che forniscono o utilizzano prodotti o servizi che si basano su sistemi di intelligenza artificiale.
La norma si pone lo scopo di aiutare le organizzazioni a sviluppare, fornire o utilizzare tali sistemi in modo responsabile nel perseguire i propri obiettivi aziendali e soddisfare i requisiti applicabili, gli obblighi relativi alle parti interessate e le aspettative nei loro confronti.
La ISO/IEC 42001:2023 affronta principalmente i seguenti aspetti:
- contesto dell’organizzazione: l’organizzazione deve analizzare i fattori di contesto interno ( come il management, i processi, le risorse e le infrastrutture ) ed esterno ( competitor, utenza, ambiti regolatori) per determinare il perimetro del proprio modello di intelligenza artificiale, le misure da adottare per conformarsi allo standard e per attuare le azioni di miglioramento da implementare per colmare i gap organizzativi, gestionali e strutturali e soddisfare le esigenze e le aspettative delle parti interessate;
- leadership: nell’ambito dell’organizzazione interna, il top management ha un ruolo fondamentale in quanto ha il compito di dirigere l’organizzazione, instaurare relazioni con il gruppo al fine di raggiungere gli obiettivi fi miglioramento continuo;
- pianificazione: include, tra le altre, le azioni per affrontare i rischi e la valutazione del rischio;
- risorse umane: si fa riferimento alla competenza delle risorse interne all’organizzazione per gestire il modello di presidio dell’intelligenza artificiale;
- controllo operativo: comprende la pianificazione del controllo operativo, l’analisi e trattamento dei rischi correlati al presidio del modello di intelligenza artificiale adottato;
- valutazione delle prestazioni: comprende, ad esempio, il monitoraggio, misurazione, analisi e valutazione degli indicatori di performance;
- miglioramento continuo: rilevazione di non conformità per determinare le azioni correttive.
Standard ISO/IEC 42001:2023, gli allegati
Hanno un ruolo di grande importanza anche gli allegati dello standard poiché forniscono alcune importanti indicazioni.
In particolare, l’Allegato A delinea gli obiettivi di controllo e i relativi controlli di riferimento. Questi ultimi forniscono all’organizzazione un riferimento per raggiungere gli obiettivi organizzativi e affrontare i rischi legati alla progettazione e al funzionamento dei sistemi di intelligenza artificiale. Nella norma in oggetto è altresì specificato che non tutti gli obiettivi e i controlli elencati devono essere applicati obbligatoriamente e l’organizzazione può progettare e implementare i propri.
I controlli sono suddivisi per categorie e per ogni categoria è stabilito un obiettivo; ad esempio, per quanto riguarda le politiche relative all’intelligenza artificiale, l’obiettivo è quello di fornire direzione e supporto a tali sistemi in base ai requisiti aziendali; per quanto concerne l’organizzazione interna, l’obiettivo è quello di stabilire la responsabilità all’interno dell’organizzazione per sostenere il suo approccio responsabile per l’implementazione, il funzionamento e la gestione dei sistemi di intelligenza artificiale.
Le aree di interesse dello standard ISO
Cruciale, come anticipato, è il concetto di organizzazione intesa come gruppo di persone a cui sono assegnate specifiche responsabilità. Il top management deve assegnare la responsabilità per garantire che il sistema di gestione sia conforme ai requisiti della norma e che tali responsabilità siano comunicate in modo chiaro all’interno dell’organizzazione nonché riferire ai vertici aziendali in merito alle prestazioni del sistema di gestione dell’intelligenza artificiale, dimostrando leadership e impegno. È molto importante determinare la competenza necessaria dei collaboratori coinvolti per consentire di svolgere le proprie mansioni nonché garantire che tali soggetti siano competenti sulla base di un’istruzione, una formazione o un’esperienza adeguata e, se del caso, intraprendere azioni per far acquisire la competenza necessaria e valutare l’efficacia delle azioni intraprese.
Esempi di aree che possono richiedere ruoli e responsabilità definiti sono: gestione del rischio; valutazioni d’impatto del sistema di intelligenza artificiale; gestione degli asset e delle risorse; sicurezza; privacy; sviluppo dei sistemi di AI; prestazioni; sorveglianza umana; rapporti con i fornitori; gestione della qualità dei dati (durante l’intero ciclo di vita).
I compiti del management
Tra i compiti assegnati al top management vi è quello di implementare e documentare una politica sull’intelligenza artificiale necessaria per guidare lo sviluppo, l’acquisto, il funzionamento e l’uso dei relativi sistemi. Tale politica deve essere: appropriata allo scopo dell’organizzazione, fornire un quadro di riferimento per la definizione degli obiettivi, includere l’impegno a soddisfare i requisiti applicabili e consentire un impegno continuo al miglioramento del sistema di gestione. I soggetti a cui sono state assegnate responsabilità devono essere consapevoli di questa politica, del loro contributo all’efficacia del sistema di gestione, compresi i benefici derivanti dal miglioramento delle prestazioni dell’intelligenza artificiale nonché le implicazioni della mancata conformità ai requisiti del sistema di gestione. Lo standard in oggetto richiede inoltre che tale politica sia omogenea alla strategia aziendale; ai valori e alla cultura dell’organizzazione, all’approccio manageriale al rischio; al rispetto dei requisiti legali.
ISO 42001:2023 e rischio
Per quanto riguarda il rischio, la ISO/IEC 42001:2023 richiede di distinguere i rischi accettabili da quelli non accettabili; eseguire la valutazione del rischio tenendo in considerazioni le potenziali conseguenze per l’organizzazione, gli individui e la società; condurre il trattamento del rischio e valutare l’impatto del rischio dell’intelligenza artificiale. La norma richiede all’organizzazione, ad esempio, di pianificare azioni per affrontare i rischi e opportunità integrando e implementando le azioni nei processi del proprio sistema di gestione, conservare e documentare le informazioni sulle azioni intraprese per identificare e affrontare i rischi e le opportunità dell’intelligenza artificiale; definire e stabilire un processo di valutazione del rischio che sarà informato e allineato alla politica sull’intelligenza artificiale e ai suoi obiettivi al fine di produrre risultati coerenti, validi e comparabili, identificando i rischi che favoriscono o impediscono il raggiungimento degli obiettivi prefissati.
L’allegato B, invece, rappresenta una guida all’implementazione dei controlli da adottare a presidio del modello di AI.
Conclusioni
La ISO/IEC 42001:2023 rappresenta quindi una grande opportunità per le organizzazioni che consente di strutturare in modo coerente un sistema di gestione dell’intelligenza artificiale e le opportunità associati all’intelligenza artificiale, bilanciando innovazione e governance. Le organizzazioni che decideranno di adottare questo standard saranno in grado di svolgere consapevolmente il proprio ruolo nei confronti dei sistemi Al (ad esempio, utilizzare, sviluppare, monitorare o fornire prodotti o servizi che si basano sull’Al).
