Siamo agli albori della regolamentazione per un uso responsabile dell’intelligenza artificiale. A marzo 2023 è stato pubblicato, da parte del NIST, l’AI Risk Management Framework e il 30 ottobre il Presidente Biden ha emesso l’Executive Order on Safe, Secure, and Trustworthy Artificial Intelligence; nel frattempo, il Consiglio dell’Unione europea e il Parlamento europeo hanno raggiunto un accordo sul Regolamento sull’Intelligenza Artificiale.
Infine, lo scorso 18 dicembre 2023 la ISO ha pubblicato la ISO/IEC 42001 – Information Technology – Artificial Intelligence – Management System.
Tali strumenti, cogenti o volontari, hanno un obiettivo comune, per quanto declinato con modalità differenti: fornire strategie e misure per supportare lo sfruttamento dell’intelligenza artificiale ai fini di ricerca, servizi alla persona e profitto, gestendo i rischi associati con l’obiettivo di garantire sicurezza e diritti fondamentali.
Indice degli argomenti
La ISO/IEC 42001:2023 per la gestione dell’intelligenza artificiale
La finalità della ISO/IEC 42001:2023, come di altri documenti, aventi come oggetto l’AI, che saranno oggetto di pubblicazione nei prossimi mesi da parte della ISO (es. ISO/IEC DIS 42005 “Information technology — Artificial intelligence — AI system impact assessment”) o che sono già stati pubblicati, è quello di fornire strumenti per proteggere, nel corso di tutto il “ciclo di vita” di un sistema di intelligenza artificiale, aspetti quali: sicurezza, tutela, equità, trasparenza, qualità dei dati e qualità dei sistemi, al fine di creare un sistema di gestione dell’intelligenza artificiale (AIMS).
Lo standard è stato redatto in modo tale da facilitare l’integrazione con altre norme di sistemi di gestione già ampiamente consolidate, come: ISO/IEC 27001:2022, ISO/IEC 27701:2019, ISO 9001:2015 ecc., senza peraltro richiederne come prerequisito l’implementazione.
Tale aspetto è volto piuttosto favorendo un approccio olistico tra i modelli organizzativi, fermo restando che ogni sistema persegue un obiettivo mirato. Analogamente alla ISO/IEC 27001:2022 e ad altre norme della famiglia ISO/IEC 2001, anche questa prevede un framework di requisiti, analisi dei rischi e controlli.
La finalità della ISO/IEC 42001:2023
La norma ha l’obiettivo di supportare le organizzazioni che vogliono ricoprire responsabilmente il proprio ruolo rispetto a prodotti o servizi che utilizzano sistemi di intelligenza artificiale, considerando tutte le fasi quali: sviluppo, fornitura, uso e monitoraggio.
Il framework ISO/IEC 42001:2023 può aiutare le organizzazioni a implementare misure di salvaguardia che potrebbero essere richieste dalla presenza di alcune funzionalità di AI.
Infatti, la componente di AI nei prodotti e servizi comporta rischi aggiuntivi all’interno di un sistema, rispetto a come il medesimo opererebbe senza il ricorso a tale tecnologia.
L’intelligenza artificiale sollecita alcune considerazioni specifiche:
- processo decisionale automatico: se effettuato in modo non trasparente e non comprensibile, può richiedere un’amministrazione e una supervisione che vanno oltre quelle dei sistemi IT tradizionali;
- analisi dei dati, della conoscenza e del machine learning: se utilizzati in sostituzione della logica codificata dall’uomo per progettare i sistemi, cambia il modo in cui tali sistemi vengono sviluppati, valutati e distribuiti;
- apprendimento continuo: i sistemi di intelligenza artificiale che eseguono l’apprendimento continuo modificano il loro comportamento durante l’uso e richiedono un’attenzione speciale per garantire che il loro utilizzo responsabile continui anche in presenza di costanti cambiamenti dei comportamenti.
Lo standard richiede che venga applicato il livello di controllo appropriato in tutto il “ciclo di vita” della fornitura di prodotti o servizi; tali controlli devono essere rivisti costantemente, data la caratteristica dinamica di AI, i cui esiti sono potenzialmente imprevedibili se non presidiati.
La struttura della ISO/IEC 42001
Lo standard è strutturato sulla base dell’Annex SL; per quanto riguarda la terminologia fa riferimento alla ISO/IEC 22989:2022 – Information Technology – Artificial Intelligence – Artificial Intelligence concepts and terminology che stabilisce la terminologia e descrive i concetti nel perimetro della AI ed è considerata uno strumento di sviluppo e di supporto per altri standard.
Oltre alla terminologia di cui alla ISO/IEC 22898:2022, lo standard riporta una serie di termini più direttamente afferenti ai sistemi di gestione.
Nello specifico la norma prevede:
- Requisiti dal capitolo 4° al 10°;
- Allegato A: riporta l’elenco di 39 controlli che supportano le organizzazioni a:
- raggiungere gli obiettivi in relazione all’uso dell’AI;
- affrontare le minacce individuate nel processo di valutazione del rischio relativo alla progettazione, sviluppo e funzionamento dei sistemi di AI;
- L’ Annex C affronta il tema degli obiettivi e delle fonti di rischio che devono essere considerate dalle organizzazioni. L’allegato non è esaustivo e/o applicabile in ogni contesto, ma è molto utile, dato il suo carattere operativo; in capo ad ogni organizzazione resta comunque la determinazione degli obiettivi e delle fonti di rischio rilevanti;
- L’Annex D, infine, esplora l’uso di un Sistema di gestione dell’AI in vari domini o settori (es.: salute, difesa, finanza) e tratta dell’integrazione di questo sistema con altri, con particolare riferimento alla ISO/IEC 27001, ISO/IEC 27701 e ISO 9001.
I requisiti della ISO/IEC 42001
I requisiti, come tutte le norme sui sistemi di gestione, sono strutturati nei capitoli dal 4° al 10°, secondo lo schema ormai ampiamente noto. Molto interessante è la componente delle note, particolarmente ricca, il che permette di ben comprendere, avendo quasi valenza di linee guida a supporto della comprensione dei singoli requisiti.
Il capitolo 6 prevede, al paragrafo 6.1: Actions to address risks and opportunities, i seguenti sottoparagrafi:
- 6.1.1 General
- 6.1.2 AI risk assessment
- 6.1.3 AI risk treatment – qui è richiesta, analogamente a quanto previsto dalla ISO/IEC 27001, la SOA
- 6.1.4 AI system impact assessment
Il capitolo 8 relativo alle Operation prevede i seguenti paragrafi:
- 8.1 Operational planning and control
- 8.2 AI risk assessment
- 8.3 AI risk treatment
- 8.4 AI system impact assessment
Questa struttura, tranne che per i requisiti 6.1.4 e 8.4, è impostata in modo analogo a quella definita nella ISO/IEC 27001:2022.
Gli altri capitoli della norma non presentano aspetti significativi per chi ha già familiarità con i sistemi di gestione.
I controlli della ISO/IEC 42001
L’Annex A riporta la struttura dei Controlli; questi sono strutturati come Controlli e Obiettivi di controlli; in totale si tratta di 39 controlli che sono organizzati nelle seguenti clausole:
- Politiche relative all’AI (comprende anche allineamento alle altre politiche dell’organizzazione e la revisione delle politiche di AI).
- Organizzazione interna (es. ruoli e responsabilità).
- Risorse per i sistemi di AI (es. dati, strumenti, risorse umane).
- Analisi dell’impatto dei sistemi di AI (es. su individui, gruppi e società e relativa documentazione).
- Ciclo di vita del sistema AI.
- Dati per i sistemi di AI (es. acquisizione e preparazione dei dati).
- Informazioni per le parti interessate ai sistemi di AI (es. comunicazione di incidenti).
- Utilizzo dei sistemi di AI (es. uso responsabile ed uso previsto).
- Rapporti con terze parti (ad esempio: fornitori, clienti).
Analogamente alla ISO/IEC 27001 non vi è l’obbligo di utilizzare i controlli definiti; essi sono destinati a fungere da riferimento, ed ogni organizzazione è libera di progettare e implementare un suo set di controlli, sulla base del proprio contesto, così come possono aggiungere ulteriori controlli.
L’Annex B fornisce le linee guida per l’implementazione dei controlli elencati nell’Allegato A; è strutturato in modo molto simile alla linea guida ISO/IEC 27002; rispetto invece all’Allegato A della ISO/IEC 27001 ha una struttura decisamente più semplice.
NOTE
Laddove in questo articolo sono riportate parti della norma, esse sono tradotte dall’autrice; la norma è acquistabile nel sito ISO o UNI.
