Il processo di rapida evoluzione dei modelli e dei sistemi di intelligenza artificiale (IA) e dei prodotti e servizi che si basano su di essi ha rapidamente portato in luce l’esigenza di fornire una guida riconosciuta, come gli standard tecnici (d’ora in avanti anche solo gli “standard”), che consenta alle organizzazioni di conoscere lo stato dell’arte e adeguarvisi, anche al fine di mantenere un elevato livello di fiducia nell’adozione di soluzioni algoritmiche e farne un uso responsabile.
Al contempo l’esigenza di guidare e regolare quegli sviluppi ha indirizzato i policy maker a cercare sempre negli standard uno strumento di regolazione che potesse dare concretezza agli obblighi di compliance, anche a fronte del rischio che la loro complessità impedisca l’innovazione, la competitività e la crescita.
Lo scopo degi standard
Storicamente uno degli scopi principali per lo sviluppo di standard è quello di facilitare il commercio internazionale e di ridurre le barriere di ingresso sui mercati.
A tal fine è stato sottoscritto nell’ambito del WTO l’Agreement on Technical Barriers to Trade, in vigore dal 1995, che stabilisce per la predisposizione degli standard i principi di coerenza, trasparenza, apertura, consenso, applicazione volontaria, indipendenza da interessi particolari ed efficienza. La medesima logica si ritrova anche nella recente disciplina europea dell’IA.
L’AI Act e la regolazione dei sistemi ad alto rischio
Come noto, l’AI Act va a regolare in maniera specifica, in particolare al capo III, l’utilizzo dell’IA per i casi definiti “ad alto rischio” (come ad esempio nel campo dell’educazione, delle infrastrutture critiche, dell’impiego, dei servizi pubblici essenziali, della giustizia etc…). Si prevedono inoltre, all’art. 50, specifici obblighi di trasparenza per i sistemi destinati ad interagire con le persone fisiche, quelli che producono o manipolano contenuti, come l’AI generativa, per i sistemi di riconoscimento delle emozioni e categorizzazione biometrica.
Sfide di conformità con la legge e agli standard armonizzati
Anche se i relativi obblighi saranno vincolanti fra circa due anni, per le organizzazioni pubbliche e private che vogliano fornire o usare questo tipo di sistemi algoritmici, si apre sin da ora la sfida della conformità con la legge: questione specialmente ardua per una tecnologia in così rapido sviluppo e complessa adozione come quella dell’IA.
Secondo l’art. 40 dell’AI Act la conformità agli standard armonizzati approvati e pubblicati dalla Commissione conferirà agli operatori una presunzione di conformità agli obblighi previsti per i sistemi classificati ad alto rischio ed agli obblighi di trasparenza appena richiamati. Ciò nella misura in cui gli standard coprano specificamente i requisiti o gli obblighi previsti dall’AI Act.
La complessità dello sviluppo di standartd per l’IA
L’IA è una tecnologia socio-tecnica – nel senso che è impossibile separare la componente umana da quella puramente algoritmica – e ciò rende lo sviluppo di standard più complicato rispetto ad una tecnologia puramente tecnica.
Nello sviluppo degli standard è quindi fondamentale tenere presente questa dualità. Inoltre, l’AI Act pone esplicitamente come obiettivo la realizzazione di sistemi di AI affidabili e umanocentrici e la tutela non solo della salute e della sicurezza ma anche dei diritti fondamentali della Carta di Nizza e dei valori dell’Unione Europea, nonché la protezione dell’ambiente. Inoltre, il rinvio della tutela dei diritti e delle libertà fondamentali a meccanismi inseriti in norme tecniche elaborate dagli organismi di standardizzazione, che fanno primario riferimento a stakeholder di mercato, ha suscitato non poche polemiche[1].
Richiesta di standardizzazione della Commissione europea
La Commissione UE già a maggio 2023[2] ha emesso la richiesta agli organismi europei di standardizzazione (CEN, CENELEC ed ETSI) di procedere all’elaborazione degli standard necessari focalizzando 10 temi che riprendono gli obblighi contenuti nell’AI Act:
- Sistemi di gestione del rischio
- Governance e qualità dei dataset
- Tenuta dei registri e logging
- Trasparenza e informazioni per gli utenti
- Supervisione umana
- Specifiche di accuratezza
- Specifiche di robustezza
- Specifiche di cybersecurity
- Sistemi di gestione della qualità per i fornitori di sistemi di IA, compresi i processi di monitoraggio post-vendita.
- Verifica di conformità
Sinergie con gli standard internazionali
Tanto l’AI Act quanto la decisione di implementazione della Commissione UE invitano gli organismi europei di standardizzazione a trovare – nell’elaborazione degli standard armonizzati – sinergie con le controparti internazionali, in primo luogo ISO e IEC, adottando ove possibile come standard comuni quelli già elaborati a livello internazionale, facendo leva sugli accordi internazionali[3] finalizzati a unificare o coordinare i processi di redazione.
Nel panorama internazionale il processo di standardizzazione solitamente converge su norme comuni innanzitutto per ragioni di semplificazione del commercio internazionale e della produzione. Nel caso specifico dell’AI Act, questo meccanismo potrebbe produrre un effetto virtuoso di innalzamento delle tutele anche in giurisdizioni meno propense alla regolamentazione.
D’altra parte anche il governo federale statunitense richiede ai propri organi ed agenzie di implementare al proprio interno e richiedere ai loro fornitori l’adozione di best practice di gestione del rischio e valutazione d’impatto nell’adozione di sistemi basati sull’intelligenza artificiale[4].
Lo standard ISO/IEC 42001: contenuto e applicazione
Lo standard ISO/IEC 42001 è il primo che affronta in maniera organica e trasversale il sistema di gestione per l’implementazione dell’intelligenza artificiale in organizzazioni che forniscono o usano prodotti o servizi che impiegano sistemi algoritmici.
Il suo contenuto interseca alcune delle richieste di standardizzazione della Commissione UE, in particolare quella sul sistema di gestione della qualità e, per inevitabili implicazioni di processo ma con minore efficacia, quelle sulla trasparenza delle informazioni, sulla tenuta dei registri e sul sistema di gestione del rischio. Proprio per tale ragione tale norma tecnica è presa in considerazione dal processo di elaborazione dei relativi standard armonizzati in sede europea[5]. La sua lettura offre quindi una prima chiave applicativa del sistema di gestione della qualità, che necessiterà comunque di essere tarata sulle esigenze di compliance con la normativa europea[6] per chi voglia utilizzarla a tal fine. Va segnalato in proposito che in parallelo al processo di elaborazione degli standard armonizzati gli enti di standardizzazione italiani UNI e CEI hanno avviato il processo di adozione dello standard ISO/IEC 42001 in ambito nazionale[7].
La norma tecnica descrive un sistema di gestione in termini di processo, secondo l’usuale struttura dei Management System Standards ISO. La sua impostazione è pensata per essere applicabile a qualsiasi organizzazione – indipendentemente da
dimensioni, tipo e natura – che fornisca o utilizzi prodotti o servizi che utilizzano sistemi di IA, aiutandola a sviluppare o utilizzare in modo responsabile tali sistemi.
Elementi di rilevanza per la compliance: differenze tra standard ISO e AI Act
Elementi di particolare rilevanza per l’impostazione di un processo di compliance con l’AI Act si trovano, oltre che nel testo principale, negli Annex ed in particolare nell’Annex A, che in forma di tabella formula una lista di riferimento dei controlli per assicurare il raggiungimento degli obiettivi e la gestione dei rischi, e nell’Annex B dove viene fornita una guida per la loro implementazione.
Ovviamente la norma ISO affronta i controlli con un livello di flessibilità e adattamento alla visione della singola organizzazione certamente più generoso di quello consentito dall’AI Act. Nel contesto europeo, infatti, il sistema di gestione andrà ad inserirsi in un quadro normativo precettivo sia in termini di processo sia in termini di risultato e in particolare dovrà rispondere agli obblighi posti dagli artt. 8-15 dell’AI Act.
Conformità agli obblighi dell’AI Act
Pur con tale premessa, si può affermare che lo standard indirizzi gran parte degli aspetti del sistema di gestione della qualità richiesto dall’art. 17 dell’AI Act.
Quanto al contenuto dei controlli proposti dall’Annex B, è da notare che gli impact assessment sono solo menzionati al par. 6.1.4 dello standard e nell’Annex B al par. B.5 come uno dei vari controlli da adottare, mentre hanno un ruolo prominente nella normativa europea. Non solo l’art. 27 dell’ AI Act, che prevede la valutazione dell’impatto per i sistemi ad altro rischio tramite i Fundamental Rights Impact Assessments (FRIA), ma anche l’art. 34 del Digital Service Act che obbliga grandi i motori di ricerca e le grandi piattaforme online a condurre valutazioni del rischio nell’ambito della valutazione di rischi sistemici. Visto che il DSA è ormai interamente efficace, i primi di impact assessments sono stati presentati alla Commissione lo scorso agosto.
Profili di risk management
Quanto ai profili di risk management, richiesti dall’AI Act e affrontati ai parr. 6.1 e 8 dello standard ed all’Annex C, segnaliamo, tra gli standard internazionali, l’ISO/IEC 23894, pubblicato nel 2023, il cui focus è specificatamente di risk management per l’IA. C’è però una differenza importante nella definizione di rischio tra come è inteso dalla Commissione e come è definito in ISO/IEC 23894: mentre per ISO il rischio ha una connotazione neutra (inteso a quantificare la probabilità di un evento e il suo impatto positivo o negativo che sia), nell’AI Act è definito come impatto negativo per la persona, l’ambiente o i diritti fondamentali. E tale differenza potrebbe rendere inconciliabile l’applicazione di tali standard come conformità all’AI Act. Tale distinzione non è più presente nella bozza del prossimo standard ISO/IEC 42005 – ancora in fase di elaborazione – il quale è focalizzato principalmente sui vari impact assessment dell’IA. Tale standard potrebbe pertanto essere un ottimo candidato sia per il risk assessment sia per la citata valutazione di impatto sui diritti fondamentali di cui all’art. 27 dell’AI Act.
Risultano inoltre poco o per nulla elaborate le indicazioni per l’effettuazione dei test e delle validazioni, che sono rimesse alla singola organizzazione e che sono invece specificamente richieste dall’art. 17, par. 1, lett. d), dell’AI Act.
Conclusioni
In conclusione, all’interno di un panorama di standard tecnici e modelli per il governo dell’intelligenza artificiale in rapida evoluzione, l’ISO/IEC 42001 offre un primo strumento integrato di approccio al sistema di gestione che può aiutare le aziende a misurarsi con i futuri obblighi di compliance e, nel mentre, ad avviare (o proseguire) l’implementazione dei sistemi algoritmici in maniera strutturata e responsabile.
Note
[1] Si vedano ad esempio N. Azsódi, EU’s AI Act fails to set gold standard for human rights – AlgorithmWatch [https://algorithmwatch.org/en/ai-act-fails-to-set-gold-standard-for-human-rights/]; AccessNow, The EU AI Act: a failure for human rights, a victory for industry and law enforcement [https://www.accessnow.org/press-release/ai-act-failure-for-human-rights-victory-for-industry-and-law-enforcement/]; Article 19, EU: AI Act passed in Parliament fails to ban harmful biometric technologies [https://www.article19.org/resources/eu-ai-act-passed-in-parliament-fails-to-ban-harmful-biometric-technologies/] – per una risposta si veda L. Caroli, Will the EU AI Act work? Lessons learned from past legislative initiatives, future challenges [https://iapp.org/news/a/will-the-eu-ai-act-work-lessons-learned-from-past-legislative-initiatives-future-challenges/]
[2] Commission implementing decision of 22.5.2023 on a standardisation request to the European Committee for Standardisation and the European Committee for Electrotechnical Standardisation in support of Union policy on artificial intelligence, C(2023) 3215 final.
[3] In particolare, IEC – CENELEC Agreement on Common planning of new work and parallel voting, Frankfurt, 17 October 2016; Agreement on technical co-operation between ISO and CEN, Vienna, 27 June 1991.
[4] EO OMB, Memorandum on Advancing Governance, Innovation, and Risk Management for Agency Use of Artificial Intelligence, par. 5.
[5] Per un’analisi sul rapporto fra gli standards ISO/IEC e l’elaborazione degli standard armonizzati europei si vedano Soler Garrido, J., Fano Yela, D., Panigutti, C., Junklewitz, H., Hamon, R., Evas, T., André, A. and Scalzo, S, Analysis of the preliminary AI standardisation work plan in support of the AI Act, Publications Office of the European Union, Luxembourg, 2023, doi:10.2760/5847, JRC132833, e D. Squillace, Normiamo l’AI | Workshop AgID | 18/10/2023 [https://www.agid.gov.it/sites/default/files/repository_files/presentazione_squillace_2023-10-18.pdf].
[6] In chiave critica, Hadrien Pouget, Ranj Zuhdi, AI and Product Safety Standards Under the EU AI Act [https://carnegieendowment.org/2024/03/05/ai-and-product-safety-standards-under-eu-ai-act-pub-91870]
[7] che nel momento in cui leggete questo articolo dovrebbe essere ormai pubblicato come UNI/CEI ISO/IEC 42001:2023 (cfr. https://www.uni.com/partecipare/inchieste/preliminari/dettaglio/?sku=PRJ_UNI1613606_201331_IPP).
