Le raccomandazioni

NIST AI Risk Management Framework (RMF): come garantire l’affidabilità dell’IA secondo gli Usa

La seconda bozza dell’AI Risk Management Framework fornisce raccomandazioni non vincolanti su come garantire l’affidabilità dei sistemi di AI nelle fasi di progettazione, di sviluppo, di distribuzione e di utilizzo. La versione finale attesa per gennaio 2023. I dettagli

Pubblicato il 15 Set 2022

Federica Maria Rita Livelli

Business Continuity & Risk Management Consultant, BCI Cyber Resilience Group, Clusit, ENIA

intelliegenza_artificiale1

Il NIST (National Institute of Standards and Technology), agenzia del governo degli Stati Uniti, sta sviluppando un framework per gestire meglio i rischi associati all’intelligenza artificiale (AI) per individui, organizzazioni e società, il cosiddetto NIST – Artificial Intelligence Risk Management Framework (AI RMF).

È doveroso ricordare che lo scorso marzo è stata pubblicata una prima bozza dell’AI RMF per la condivisione pubblica e la raccolta di commenti che sono stati propedeutici alla stesura di una seconda versione che è stata rilasciata lo scorso 19 agosto. Il NIST, anche in quest’occasione, si auspica di raccogliere commenti – entro il 29 settembre – e successivamente pubblicare la versione finale dell‘AI RMF entro gennaio 2023.

The danger of AI is weirder than you think | Janelle Shane

The danger of AI is weirder than you think | Janelle Shane

Guarda questo video su YouTube

I commenti alla prima bozza dell’NIST AI RMF

Le raccomandazioni chiave pervenute alla prima bozza del NIST AI RMF si sono principalmente focalizzate su:

  • Rischi Catastrofici per la Società/Rischi a bassa probabilità e ad alto impatto – L’AI RMF non pone abbastanza enfasi sui rischi a bassa probabilità e ad alto impatto derivanti dall’IA, in particolare, i rischi catastrofici per la società. I vari attori istituzionali pubblici e politici ed i ricercatori scientifici hanno più volte evidenziato che i sistemi di IA potrebbero comportare rischi catastrofici per la società. Pertanto, si ritiene che, nonostante la probabilità di eventi catastrofici sia alquanto bassa, il loro potenziale impatto sia degno di essere considerato con attenzione.
  • Creazione di una nuova caratteristica “Socio-Tecnica” in termini di “Uso Improprio/Abuso” – La tassonomia del rischio del AI RMF non pone sufficiente enfasi sui danni causati da un uso improprio o abuso dei sistemi di AI. Pertanto, le organizzazioni dovrebbero cercare di anticipare azioni dannose di terze parti e, se possibile, adottare misure per prevenirle creando, quindi, una nuova caratteristica “Socio-Tecnica” in termini di “Uso Improprio/Abuso” nella tassonomia del rischio.
  • Creazione di un nuovo Principio Guida in termini di “Allineamento con i Valori e le azioni Umane” – L’AI RMF non prende in considerazione l’allineamento dei sistemi di AI con i valori e le azioni umane. Pertanto, sarebbe opportuno inserire tale principio all’interno dei Principi Guida per lo sviluppo e l’implementazione di sistemi di AI.
  • Istituzione di una funzione specifica di AI Audit interno – Le organizzazioni dovrebbero istituire una funzione di AI Audit interno, in modo tale da valutare l’implementazione efficace ed efficiente del AI RMF.
  • Frequenza di revisione e di aggiornamento dell’AI RMF – L’AI RMF e i vari documenti correlati – i.e. come la Guida pratica e i profili – dovranno essere continuamente rivisti e aggiornati, considerando che lo scenario dei rischi è in rapida e continua evoluzione. Pertanto, si suggerisce di stabilire una frequenza degli aggiornamenti e delle revisioni (ad es. ogni 1-2 anni o ogni qualvolta si rendesse necessario).

NIST AI RMF, la seconda Bozza

Lo scorso 19 agosto è stata pubblicata una seconda bozza dell’AI RMF, unitamente ad un nuovo Playbook. La nuova versione dell’AI RMF è una calibrata sintesi dei commenti precedentemente raccolti. Essa fornisce raccomandazioni agli utenti del framework su come garantire l’affidabilità dei sistemi di AI nelle fasi di progettazione, di sviluppo, di distribuzione e di utilizzo.

È doveroso ricordare che il progetto AI RMF è composto da due parti.

  • Parte 1 – È dedicata alla spiegazione di un’IA affidabile e responsabile, nonché alla definizione delle sfide, dei rischi e degli impatti della tecnologia.
  • Parte 2 – Si concentra sui componenti principali del framework, delineando le seguenti quattro funzioni necessarie per la gestione del rischio AI e, precisamente:
  • Mappatura
  • Misurazione
  • Gestione
  • Governance

Il Playbook è una risorsa complementare e fornisce informazioni supplementari e suggerimenti sulle fasi di Governance, Mappatura, Misurazione e Gestione dei sistemi di AI nel tentativo di rendere l’IA RMF più facilmente implementabile. Al momento, esso fornisce solo indicazioni su come “Mappare” e “Governare” il rischio AI, e precisamente:

Governance

  • Le politiche, i processi e le pratiche relative alla gestione dell’IA devono essere presenti in tutta l’organizzazione e debitamente implementati.
  • La istituzione di Funzioni – preposte a verificare che gli utenti finali siano debitamente formati per gestire il rischio dell’IA e che si assumano la responsabilità dell’utilizzo dei sistemi di AI – deve essere garantita.
  • I processi di diversità, equità, inclusione e accessibilità della forza lavoro devono essere recepiti come fattori prioritari nella gestione dell’IA.
  • I team organizzativi devono garantire la diffusione di una cultura del rischio dell’IA.
  • I vari stakeholder devono essere ampiamente coinvolti.
  • Le politiche e le procedure per affrontare il rischio dell’IA devono essere redatte con sufficiente chiarezza in modo da affrontare il rischio dell’IA derivante da software, da dati di terze parti e da altre catene di approvvigionamento.

Mappatura

  • Stabilire e comprendere il contesto.
  • Eseguire la classificazione del sistema AI.
  • Comprendere le capacità, l’utilizzo, gli obiettivi e i costi/benefici dell’IA.
  • Mappare i rischi ed i vantaggi in termini di software e dati di terze parti.
  • Valutare gli impatti su individui, gruppi, comunità, organizzazioni, ecc.

I principali cambiamenti rispetto alla prima bozza

La Prima Bozza forniva una tassonomia dei rischi dell’AI basata su tre classi – i.e., “caratteristiche tecniche”, “caratteristiche socio-tecniche” e “principi guida”. Nella seconda bozza si introduce il concetto d’”AI Affidabile” declinata in base a sette caratteristiche. E, precisamente:

  • Valida e affidabile – La validità è definita come la calibrata sintesi di precisione e robustezza, ovvero, la capacità di un sistema di AI di mantenere il proprio livello di prestazioni in distinte circostanze. L’affidabilità è, invece, descritta come la capacità di un sistema di AI di funzionare come richiesto e per un determinato intervallo di tempo e in determinate condizioni.
  • Sicura – I sistemi di AI non dovrebbero – in determinate condizioni – causare danni fisici o psicologici o mettere a repentaglio la vita umana, la salute, la proprietà o l’ambiente.
  • Equa – L’equità dell’AI è descritta in termini di pari uguaglianza ed equità. Il NIST ha, inoltre, incorporato i risultati scaturiti dalla sua ricerca riferita all’identificazione e mitigazione dei pregiudizi dell’AI. Ovvero, si devono considerare e gestire tre principali categorie di pregiudizi dell’IA, i.e. sistemica, computazionale e umana.
  • Sicura e resiliente – Si tratta di assicurare sistemi di AI resilienti in grado di resistere ad adversial attack o, più in generale, ai cambiamenti imprevisti nel loro ambiente/utilizzo o a mantenere le loro funzioni e strutture a fronte a cambiamenti interni ed esterni. Inoltre, devono essere garantiti i protocolli – mediante meccanismi di protezione ed accesso autorizzato – che evitano e proteggono i sistemi di AI dagli attacchi e che ne garantiscano la riservatezza, l’integrità e la disponibilità.
  • Trasparente e responsabile – Ovvero, in un sistema di AI, le informazioni devono essere facilmente disponibili e trasparenti alle parti interessate. Pertanto, è fondamentale assicurare l’equità ed eliminare i pregiudizi. Inoltre, è altresì necessario stabilire le responsabilità nell’ambito dell’AI in riferimento alle aspettative della parte interessata nel caso in cui ci si trovi a gestire situazioni rischiose.
  • Spiegabile e interpretabile – Si tratta di spiegare i meccanismi alla base del funzionamento di un algoritmo e di poter interpretare la correttezza dell’output dei sistemi di AI rispetto allo scopo funzionale progettato.
  • Migliore Privacy – La progettazione e lo sviluppo e la distribuzione dei sistemi AI dovrebbero incorporare i valori della privacy in termini di anonimato, di riservatezza e di controllo, dato che l’obiettivo è evitare “intrusioni” e limitare la sorveglianza degli individui, oltre che la divulgazione o il controllo di aspetti correlati alla loro identità (i.e. caratteristiche fisiche, dati, reputazione, ecc..).

Inoltre, la seconda bozza evidenzia l’importanza della Governance nella gestione del rischio AI, ponendola al centro del processo rispetto alla Prima Bozza, come si evince dalla figura sotto riportata.

Ancora, la seconda bozza specifica i destinatari dell’AI RMF fornendo spiegazioni anche in termini di ruoli e responsabilità dele figure coinvolte nel processo di risk management, come si può evincere dalla figura di seguito riportata.

La figura 1 dell’Appendice A è una rielaborazione del “Framework for the Classification of AI Systems” dell’OECD, rispetto alla quale il NIST ha posto maggior enfasi sull’importanza – durante tutto il ciclo di vita dei sistemi AI, a partire dalla pianificazione, progettazione e contesto di applicazione – delle attività di Test, Evaluation, Verification and Validation (TEVV) nella gestione del rischio AI. Sempre in quest’ottica il NIST sottolinea che gli esperti nelle attività di TEVV dovrebbero essere integrati nelle varie fasi del processo di gestione del rischio di AI.

Conclusioni

I commenti alla seconda bozza raccolti entro il 29 settembre 2022 saranno propedeutici alla stesura finale del AI RMF e del Playbook la cui pubblicazione è prevista per gennaio 2023. È doveroso ricordare che, come esplicitamente sottolineato dal NIST, l’AI RMF non è un quadro normativo obbligatorio – pur essendo destinato a influenzare gli standard del settore – così come è stato per le NIST Cybersecurity Framework Guidelines.

Lo scopo del AI RMF del NIST è di stimolare ulteriori discussioni e raccogliere una varietà di punti di vista su ciò che costituisce il rischio e l’affidabilità dell’AI. Oggigiorno, in un contesto sempre più caratterizzato dall’utilizzo dell’AI, è quanto mai necessario trovare risposte alle preoccupazioni e recepire i suggerimenti in termini di diritti e libertà civili ed equità in modo da massimizzare l’efficacia del framework ed accelerare ulteriormente l’adozione della gestione del rischio dell’AI comprendendone, altresì, i potenziali danni individuali e sociali.

Come afferma Luciano Floridi – professore ordinario di Filosofia ed Etica dell’Informazione IT all’Università di Oxford – è sempre più cruciale comprendere le trasformazioni tecnologiche in atto per disegnarle e gestirle nel migliore dei modi, soprattutto quando si parla di AI. Si tratta di tener ben presente la natura e le sfide etiche che essa comporta e tutta l’intelligenza umana necessaria per mettere tale tecnologia al servizio di un futuro migliore.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Prossimo

AI e machine learning nel cloud, come potenziano analisi e automazione