Lo standard ISO/IEC 42001:2023 – AI Management System – (AIMS) del dicembre 2023 si pone come obiettivo la gestione responsabile ed etica dell’intelligenza artificiale, definendo requisiti e indirizzi operativi, per stabilire, implementare, mantenere e migliorare i sistemi di gestione AI, con particolare riferimento alle peculiarità dell’AI, come il machine learning (apprendimento continuo) e la potenziale mancanza di trasparenza ed etica dell’algoritmo.
La norma fornisce anche standard per la gestione dei rischi, della sicurezza, dell’equità, della qualità dei dati e della responsabilità, anche in base alle diverse dimensioni e strutture organizzative e promuovendo un approccio basato sul risk-based thinking, ossia sulla corretta gestione del rapporto rischi/opportunità.
L’ISO (International Standard Organization) ha impostato un framework completo, appositamente studiato per progettare, impostare, implementare, mantenere e migliorare un sistema di gestione dell’intelligenza artificiale (AIMS) all’interno delle organizzazioni.
Come negli altri standard ISO, la governance richiede la definizione chiara e precisa di ruoli, responsabilità, regole, processi e controlli necessari per implementare e gestire i sistemi di intelligenza artificiale nel modo più corretto possibile.
AI Act (Artificial Intelligence Act) e norma ISO/IEC 42001:2023
Lo standard 42001:2023 è stato progettato per essere compliant con l’Artificial Intelligence Act adottato dall’Unione europea.
Dato che ai fornitori di AI ad alto rischio viene imposta una valutazione di conformità per certificare se il sistema di soddisfa i requisiti legali, lo standard ISO può essere un ottimo modo di adeguarsi alla normativa più avanzata al mondo in materia di intelligenza artificiale.
Scopo del nuovo standard ISO/IEC 42001:2023 – AI Management System – (AIMS) – La sezione 1
La norma ISO si propone di stabilire uno standard affidabile per gestire i rischi e le opportunità legati all’IA in modo responsabile (RAI).
L’obiettivo, come in generale per ogni norma ISO, è promuovere affidabilità, trasparenza del sistema aziendale di riferimento-
Nello specifico, ovviamente, la norma si propone di promuovere l’uso etico dell’intelligenza artificiale, facilitando l’innovazione e la crescita del settore dell’AI garantendo al contempo uno sviluppo e un’implementazione responsabili.
Secondo la prima sezione della norma, “Il presente documento è applicabile a qualsiasi organizzazione, indipendentemente dalle dimensioni, dal tipo e dalla natura, che fornisce o
utilizza prodotti o servizi che utilizzano sistemi Al”.
La sezione 2: normative di riferimento
Come ogni standard ISO, la compliance normativa è presupposta e la finalità è implementare un sistema efficiente ed efficace.
L’unico riferimento specifico indicato dallo standard è, quindi, alla norma ISO/IEC 22989:2022, Tecnologia dell’informazione — Intelligenza artificiale — Concetti di intelligenza artificiale e terminologia.
La sezione 3: definizioni
Come consueto, la norma imposta un apparato definitorio finalizzato a generare chiarezza nel contesto dello standard, fornendo be 26 definizioni specifiche.
La sezione 4: contesto dell’organizzazione
La valutazione del contesto è un altro grande must delle norme ISO.
In questo caso, “L’organizzazione deve determinare le questioni esterne e interne che sono rilevanti per il suo scopo e quello influenzare la sua capacità di raggiungere i risultati attesi del suo sistema di gestione dell’Al. L’organizzazione deve determinare se il cambiamento climatico è una questione rilevante.
L’organizzazione deve considerare lo scopo previsto dei sistemi di Al che sono sviluppati, forniti o utilizzati dall’organizzazione. L’organizzazione determinerà i propri ruoli rispetto a questi sistemi di AI”.
La sezione 5: leadership e top management
Anche questa parte dello standard ricalca le strutture ordinarie di ogni normativa ISO, indicando con chiarezza quali siano le attribuzioni, i compiti ed i ruoli dell’alta direzione nel sistema di gestione; l’obbligo di informazione documentata è presente come in ogni altro standard.
Nello specifico:
“L’alta direzione deve dimostrare leadership e impegno rispetto al management dell’Al
sistema da:
— garantire che la politica sull’Al (vedi 5.2) e gli obiettivi sull’Al (vedi 6.2) siano stabiliti e siano compatibili con la direzione strategica dell’organizzazione;
— assicurare l’integrazione dei requisiti del sistema di gestione dell’Al in quelli dell’organizzazione processi di business;
— garantire la disponibilità delle risorse necessarie per il sistema di gestione dell’alluminio;
— comunicare l’importanza di una gestione efficace dell’Al e di conformarsi alla gestione dell’Al requisiti di sistema;
— garantire che il sistema di gestione dell’AI raggiunga i risultati attesi;
— indirizzare e supportare le persone affinché contribuiscano all’efficacia del sistema di gestione dell’Al;
— promuovere il miglioramento continuo;
— supportare altri ruoli rilevanti per dimostrare la loro leadership applicata alle loro aree di competenza responsabilità”.
La leadership ha anche l’importante funzione di adottare la politica della gestione dell’AI.
La sezione 6: pianificazione
Ogni standard ISO si basa sul modello Plan, Do, Check, Act:una volta quindi stabilite le coordinate (scopo, normativa di riferimento, contesto) ed i ruoli degli attori aziendali (leadership), si entra nella prima fase di gestione del processo, ossia la pianificazione.
Nella parte generale della pianificazione, lo standard indica cosa deve essere pianificato.
“Nel pianificare il sistema di gestione dell’Al, l’organizzazione deve considerare le questioni di cui al 4.1 e i requisiti di cui al punto 4.2 e determinare i rischi e le opportunità che devono essere indirizzato a:
— garantire che il sistema di gestione possa raggiungere i risultati attesi;
— prevenire o ridurre gli effetti indesiderati;
— ottenere un miglioramento continuo.
L’organizzazione deve stabilire e mantenere criteri di rischio che supportino:
— distinguere i rischi accettabili da quelli non accettabili;
— effettuare valutazioni del rischio Al;
— condurre il trattamento del rischio Al;
— valutare gli impatti del rischio Al.
Ovviamente la valutazione dei rischi deve essere effettuata avendo a mente la politica di gestione impostata dalla leadership.
La sezione 7: risorse
Politica e pianificazione impongono alle organizzazioni di individuare le risorse con cui conseguire i risultati e gli obiettivi stabiliti: “L’organizzazione deve determinare e fornire le risorse necessarie per l’istituzione, implementazione, mantenimento e miglioramento continuo del sistema di gestione dell’Al”.
Ciò implica che i soggetti coinvolti abbiano le competenze necessarie per svolgere i propri compiti, la consapevolezza del funzionamento sistema di gestione e della politica e che tutta la documentazione sia a disposizione dei soggetti coinvolti.
La sezione 8: la gestione del processo
I processi vanno messi “a terra” e controllati costantemente: siamo nella fase del “Do”, che però deve essere controllato anche mentre viene svolto.
“L’organizzazione deve pianificare, implementare e controllare i processi necessari per soddisfare i requisiti e per attuare le azioni determinate nella clausola 6, mediante:
— stabilire criteri per i processi;
— attuare il controllo dei processi secondo i criteri.
L’organizzazione deve implementare i controlli determinati secondo 6.1.3 che sono correlati a funzionamento del sistema di gestione dell’AI (ad esempio, sviluppo del sistema dell’AI e relativo ciclo di vita di utilizzo).
L’efficacia di questi controlli deve essere monitorata e devono essere prese in considerazione azioni correttive se i risultati attesi non vengono raggiunti. L’Allegato A elenca i controlli di riferimento e l’Allegato B fornisce guida all’implementazione per loro”.
In questa sezione troviamo anche l’AI risk assesment e la regolazione delle azioni correttive.
La sezione 9: valutazione della performance
Nella fase di “Check” successiva al “Do” si trovano i modelli di valutazione della performance, gli audit interni e la relativa pianificazione.
“L’organizzazione deve determinare:
— cosa deve essere monitorato e misurato;
— i metodi di monitoraggio, misurazione, analisi e valutazione, a seconda dei casi, per garantire la validità dei risultati;
— quando devono essere eseguiti il monitoraggio e la misurazione;
— quando i risultati del monitoraggio e della misurazione devono essere analizzati e valutati.
Le informazioni documentate devono essere disponibili come prova dei risultati.
L’organizzazione deve valutare le prestazioni e l’efficacia del sistema di gestione dell’Al”.
La sezione 10: miglioramento (improvement)
Il miglioramento continuo è un mantra della normativa ISO, per cui ogni sistema di gestione non deve limitarsi al mero mantenimento di ciò che già c’è, ma deve spingere l’organizzazione ad alzare sempre l’asticella.
In questa sezione troviamo anche le non conformità e le azioni correttive, come consueto negli standard ISO.
Specifiche della norma: valutazione dell’impatto e responsabilità
La valutazione formale dell’impatto dell’AI sugli individui e sulla società viene molto enfatizzata, così come la valutazione e la mitigazione dei rischi. La qualità dei dati è un presupposto importante per garantire sistemi efficienti ed efficaci, oltre che etici.
L’uso etico, la trasparenza e la responsabilità sono a loro volta enfatizzati ed incardinati nel modello del risk based thinking, fondamentale per identificare, valutare e mitigare i rischi associati all’intelligenza artificiale.
Conclusioni
Lo standard ISO/IEC 42001:2023 impone alle organizzazioni un approccio proattivo per soddisfare i requisiti impostati; come ogni standard ISO, la finalità dichiarata è promuovere la fiducia e contribuire allo sviluppo del sistema di riferimento.
Nel caso dell’uso dell’AI, l’obiettivo è creare un contesto in cui vengano rispettati i diritti fondamentali e gli standard etici impostati dalla ISO stessa.
Sfida ardua; ma la 42001:2023 è un buon inizio.
