compliance

Normazione tecnica e AI Act: la strada verso la conformità dei sistemi IA

Home Sicurezza digitale
Indirizzo copiato

L’AI Act europeo introduce un approccio basato sul rischio per i sistemi di intelligenza artificiale. La normazione tecnica attraverso CEN e CENELEC diventa fondamentale per la certificazione di conformità, con scadenze operative previste dal 2025

Pubblicato il 9 apr 2025
Francesco Saraniti

cybersecurity manager presso Innonation S.r.l.

intelligenza artificiale in azienda

La Commissione Europea con la pubblicazione del Regolamento (UE) 2024/1189 ha voluto garantire la sicurezza e i diritti dei cittadini senza limitare lo sviluppo tecnologico, ponendo come obiettivo quello di regolamentare l’uso dell’intelligenza artificiale in diversi settori [1].

AI Act, corsa alla conformità: l’urgenza di standard armonizzati

AI Act: approccio e definizione dei sistemi di intelligenza artificiale

Lo schema normativo che viene adottato dal Regolamento è quello relativo alla sicurezza dei prodotti, per cui il fornitore del sistema di intelligenza artificiale è considerato alla stregua di un fabbricante, secondo il principio di equivalenza funzionale, dove non si differenziano le regole a seconda che il sistema di IA sia utilizzato come prodotto o come servizio, ma considerando qualsiasi sistema come un prodotto[2].

La lettura congiunta di art. 3 n. 1 e considerando 12 offrono una definizione di sistema di IA, essa è frutto di un ampio dibattitto, in quanto la prima definizione, da più voci era considerata troppo restrittiva, non includendo tecniche esistenti e non permetteva di far ricadere sotto il regolamento tecniche future, per cui si è operata una scelta più ad alto livello, cioè l’attuale che definisce un sistema di intelligenza artificiale come: “un sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall’input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali”.

Inoltre, tale sistema deve essere caratterizzato da capacità inferenziale, cioè il processo di ottenimento degli output, quali previsioni, contenuti, raccomandazioni o decisioni, che possono influenzare gli ambienti fisici e virtuali e alla capacità dei sistemi di IA di ricavare modelli o algoritmi, o entrambi, da input o dati.

I sistemi di IA possono essere utilizzati come elementi indipendenti (stand-alone) o come componenti di un prodotto, a prescindere dal fatto che il sistema sia fisicamente incorporato nel prodotto (integrato) o assista la funzionalità del prodotto senza esservi incorporato (non integrato).

Valutazione del rischio nell’AI Act

Il Regolamento sposa l’approccio basato sul rischio[3], introducendo un insieme proporzionato ed efficace di regole vincolanti per i sistemi di IA, questo approccio – secondo il Legislatore europeo – dovrebbe adattare la tipologia e il contenuto di dette regole all’intensità e alla portata dei rischi che possono essere generati dai sistemi di IA. Devono essere, in particolare:

  • vietate determinate pratiche di IA inaccettabili:
    • sistemi di IA che presentano un rischio inaccettabile: in contrasto con i fondamenti dell’Unione (tecniche subliminali e sfruttamento di vulnerabilità, social scoring, giustizia predittiva, creazione di banche dati per riconoscimento facciale, influenza di emozioni, classificazioni biometriche, sorveglianza biometrica in tempo reale per motivi di sicurezza)[4].
  • Stabiliti requisiti per i sistemi di IA ad alto rischio:
    • sistemi che si caratterizzano per avere un impatto significativo sui diritti fondamentali o la sicurezza degli utenti (utilizzati per la selezione e il reclutamento del personale, l’erogazione di servizi sociali essenziali come la sanità, per l’ammissione all’istruzione, la sorveglianza biometrica a distanza, non in tempo reale, lo svolgimento di funzioni giudiziarie e di polizia, o per la gestione della sicurezza critica delle infrastrutture)[5].
  • Stabiliti obblighi per gli operatori pertinenti:
    • gli sviluppatori devono garantire, a titolo esemplificativo, che le informazioni fornite siano chiare, comprensibili e accessibili per gli utenti dei sistemi di IA.
  • Stabiliti obblighi di trasparenza per determinati sistemi di IA:
    • sistemi di IA che presentano un rischio limitato, sistemi di IA utilizzati per generare o manipolare contenuti audiovisivi (si pensi ad esempio i deepfake), o per fornire suggerimenti personalizzati (come le chatbot), sono sottoposti a requisiti di trasparenza che hanno la funzione di consentire agli utenti di essere consapevoli del fatto che stanno interagendo con un sistema di IA e di comprenderne le caratteristiche e le limitazioni.

Infine, sistemi che presentano un rischio minimo o nullo, in quanto non hanno alcun impatto diretto sui diritti fondamentali o sulla sicurezza delle persone e che offrono ampi margini di scelta e controllo agli utenti. Rientrano in questa categoria i sistemi di IA utilizzati per scopi ludici (come i videogame) o per scopi puramente estetici (si pensi ai filtri fotografici).

Normazione tecnica per la conformità ai requisiti dell’AI Act

Ora, a fronte di questa introduzione definitoria, necessaria, quali processi dovranno essere stabiliti per garantire l’accreditamento e la certificazione dei sistemi di IA.

Le norme sviluppate da CEN (Comitato Europeo di Normazione) e CENELEC (Comitato Europeo di Normazione Elettrotecnica)[6] sono fondamentali per garantire la presunzione di conformità ai requisiti dell’AI Act con l’obiettivo di coprire differenti aspetti, in particolare:

  • la gestione del rischio
  • la qualità dei dati
  • la trasparenza
  • la robustezza
  • la sicurezza dei sistemi di IA

L’obiettivo primario della normazione tecnica nel campo dei sistemi di intelligenza artificiale[7] consiste nella definizione di specifiche tecniche e/o qualitative a cui i prodotti, già sul mercato o di futura introduzione, basati sull’IA possono, su base volontaria, conformarsi con il proposito di garantire – in modo armonizzato – la sicurezza e l’affidabilità di tali sistemi oltre che la compatibilità e l’interoperabilità con altri prodotti o sistemi.

Attraverso queste norme tecniche le organizzazioni possono assicurare che i loro sistemi di IA siano conformi alle normative europee con la semplificazione del processo di verifica e certificazione.

Il Regolamento prevede tre modalità di valutazione della conformità:

  • la valutazione di conformità effettuata da terze parti
  • la certificazione sulla base degli standard armonizzati a livello europeo[8]
  • la procedura basata sul controllo interno.

La certificazione sulla base di norme tecniche armonizzate, differentemente dalle altre modalità, garantisce la presunzione di conformità con il Regolamento, invertendo “l’onere delle prova” semplificando quindi il meccanismo di controllo e alleggerendo il carico amministrativo[9].

Requisiti di conformità tecnica per i sistemi di intelligenza artificiale

La Commissione Europea ha pubblicato la Standardization Request[10], in data 22 maggio 2023, rivolgendola ai Comitati Europei di Normazione (CEN, CENELEC o ETSI), essa ha fissato i requisiti ad alto livello (i c.d. item standardization request) che la normativa tecnica dovrà garantire attraverso le proprie indicazioni operative.

In particolare, i requisiti considerati sono in numero totale di dieci (10):

  • sistemi di gestione del rischio per i sistemi di IA
  • governance e qualità dei data set utilizzati per sviluppare sistemi di IA
  • tracciamento e il monitoraggio delle attività dei sistemi di IA
  • obblighi di trasparenza e le informazioni per gli utenti di sistemi di IA
  • requisiti di supervisione umana nei sistemi d’IA
  • accuratezza nei sistemi d’IA
  • specifiche di robustezza nei sistemi d’IA
  • requisiti in tema di cybersicurezza nei sistemi di IA
  • gestione del monitoraggio della qualità nei sistemi di IA incluso il monitoraggio post commercializzazione
  • valutazione della conformità per i sistemi d’IA.

Le indicazioni operative che saranno prodotte dall’attività normativa del CEN/CENELEC risponderanno a una pressante esigenza di concretezza derivante da problematiche derivanti dai diversi ambiti di applicazione possibili.

La scadenza per i risultati della SR C (2023) 3215 è fissata per il 30 aprile 2025, mentre, a partire dal 2026 entreranno in vigore i requisiti per i sistemi di IA ad Alto Rischio.

Uno degli aspetti chiave del AI Act è la classificazione dei sistemi di IA basata sui rischi, dove la valutazione dell’Alto Rischio non è delegata alle aziende, ma è il medesimo regolamento che prevede alcuni casi d’uso, diversamente dagli approcci prevalentemente volontari come quello statunitense, che si basano sull’autoregolamentazione guidata da principi del Risk Management Framework[11] del NIST, l’UE impone requisiti legali specifici, e sanzioni di forte impatto nel caso in cui questi requisiti non vengano rispettati.

Standard ISO/IEC 42001:2023 per la conformità tecnica dei sistemi AI

Uno strumento utile a dimostrare e verificare le modalità di attuazione della normativa tecnica nella implementazione di nuovi dispositivi normativi come può essere l’AI Act è la c.d. proof of concept (PoC), che viene assunta da Enti di Accreditamento, come Accredia, come un ponte tra la teoria normativa e la pratica applicativa, offrendo una piattaforma per testare, in ambiente controllato, l’efficacia e la conformità dei sistemi di IA rispetto agli standard, essenziali per comprendere i processi di accreditamento, ispezione e certificazione di tali tecnologie.

In questo senso l’adozione di una norma tecnica, quale la ISO/IEC 42001:2023 – Quality Management per i sistemi di IA – nel contesto di una PoC sviluppata con INAIL[12], è servita a illustrare concretamente come i sistemi di IA possano essere progettati e valutati per assicurare che i bias siano minimizzati e che la gestione della qualità sia mantenuta a livelli ottimali.

Lo standard è stato sviluppato per assistere le organizzazioni di qualsiasi dimensione e settore nell’integrazione efficace dei sistemi di IA nelle loro operazioni ordinarie, garantendo che siano utilizzate in modo etico e sostenibile.

Essa ha un approccio olistico della gestione dell’IA, coprendo aspetti come la leadership, la pianificazione, il supporto, l’operazione, la valutazione delle prestazioni e il miglioramento continuo.

La struttura della norma è quella tipica degli standard ISO/IEC, mentre le appendici, che in questo standard sono quattro, offrono orientamenti implementativi e dettagli informativi:

  • Appendice A, di tipo normativo: fornisce obiettivi di controllo e controlli di riferimento che le organizzazioni possono utilizzare per soddisfare gli obiettivi organizzativi e affrontare i rischi legati alla progettazione e all’operatività dei sistemi di IA.
  • Appendice B, di tipo normativo: offre una guida all’implementazione dei controlli elencati nell’Appendice A.
  • Appendice C, di tipo informativo: fornisce esempi di obiettivi organizzativi relativi all’IA che possono essere utili per determinare gli obiettivi per l’uso dei sistemi di IA.
  • Appendice D, di tipo informativo: fornisce una panoramica flessibile e adattabile all’uso dei sistemi di IA, attraverso diversi domini o settori.

Il futuro della conformità tecnica nell’ai act

Il regolamento europeo (UE) 2024/1689 si qualifica senza dubbio come uno strumento regolatorio che vuole risolvere una molteplicità di problematiche di non facile componimento.

Esse da un lato sono dipendenti da ambito di applicazione, tecnologia e obiettivi legati ai sistemi di IA, dall’altro richiedono un impianto regolatorio ampio che possa essere strutturato come base per una attività di normazione tecnica utile alla definizione di regole conformi ai requisiti del Regolamento.

Ne consegue che il ruolo della normazione tecnica, della valutazione di conformità alle norme e dell’accreditamento sia necessario per lo sviluppo e la diffusione dei sistemi di IA.

Note

[1] Considerando 4, Reg. (UE) 2024/1689.

[2] Policy Paper: Il Regolamento UE 2024/1689 – AI ACT. I contenuti e i nuovi obblighi per le imprese, Febbraio 2025, Anitec Assinform

[3] Considerando 26, Regolamento (UE) 2024/1689.

[4] Art. 5, Reg. (UE) 2024/1689.

[5] Capo III, Reg. (UE) 2024/1689.

[6] Attualmente sono gli unici ad essere direttamente coinvolti nella creazione delle norme europee inerenti ai sistemi di IA. Sono Enti indipendenti dalle Istituzioni dell’UE, che sviluppano norme armonizzate all’interno del territorio dell’UE.

[7] In attuazione della nuova normativa di compliance, come indicato dalla Commissione Europea nella Implementing Decisions del 2023.

[8] New Legislative Framework.

[9] Norme tecniche e valutazione della conformità accreditata per lo sviluppo dei sistemi di Intelligenza Artificiale, Osservatorio Accredia, 2024.

[10] SR C (2023) 3215.

[11] Il NIST ha approvato il 26 gennaio 2023, la prima versione del “documento di orientamento per l’uso volontario da parte delle organizzazioni che progettano, sviluppano, implementano o utilizzano sistemi di IA per aiutare a gestire i rischi delle tecnologie”, c.d. RMF, accompagnato ad un secondo documento il “playbook” che “fornisce azioni suggerite per raggiungere i risultati stabiliti nel Core dell’AI RMF (Risk Management Framework). I suggerimenti sono allineati a ciascuna sottocategoria delle quattro funzioni dell’AI RMF (Governare, Mappare, Misurare, Gestire)”.

[12] La norma ISO/IEC 42001:2023 è stata applicata sul caso di un sistema antifrode basato su sistemi di IA.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

S
Francesco Saraniti
cybersecurity manager presso Innonation S.r.l.
Seguimi su

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
L'ANALISI
INIZIATIVE
PODCAST
Video&podcast
Analisi
VIDEO&PODCAST
Video & Podcast
Social
Iniziative
INNOVAZIONE
EU Stories | Dalla produzione industriale a fucina di innovazione: come il Polo universitario della Federico II a San Giovanni a Teduccio ha acceso il futuro
L'INIZIATIVA
DNSH e Climate proofing: da adempimento ad opportunità. Spunti e proposte dal FORUM PA CAMP Campania
INNOVAZIONE
EU Stories, il podcast | Laboratori Aperti: riqualificazione e innovazione in 10 città dell’Emilia-Romagna
Da OpenCoesione 3.0 a Cap4City: ecco i progetti finanziati dal CapCoe.  Il podcast “CapCoe. La coesione riparte dalle persone”
Capacità amministrativa e coesione: il binomio vincente per lo sviluppo dei territori
FORUM PA PLAY: come unire sostenibilità e investimenti pubblici. Speciale FORUM PA CAMP Campania
Scenari
Il quadro economico del Sud: tra segnali di crescita e nuove sfide
Sostenibilità
Lioni Borgo 4.0: un passo verso la città del futuro tra innovazione e sostenibilità
Podcast
Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
Podcast
EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
Opinioni
La comunicazione dei fondi europei da obbligo ad opportunità
eBook
L'analisi della S3 in Italia
Norme UE
European Accessibility Act: passi avanti verso un’Europa inclusiva
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
INNOVAZIONE
EU Stories | Dalla produzione industriale a fucina di innovazione: come il Polo universitario della Federico II a San Giovanni a Teduccio ha acceso il futuro
L'INIZIATIVA
DNSH e Climate proofing: da adempimento ad opportunità. Spunti e proposte dal FORUM PA CAMP Campania
INNOVAZIONE
EU Stories, il podcast | Laboratori Aperti: riqualificazione e innovazione in 10 città dell’Emilia-Romagna
Da OpenCoesione 3.0 a Cap4City: ecco i progetti finanziati dal CapCoe.  Il podcast “CapCoe. La coesione riparte dalle persone”
Capacità amministrativa e coesione: il binomio vincente per lo sviluppo dei territori
FORUM PA PLAY: come unire sostenibilità e investimenti pubblici. Speciale FORUM PA CAMP Campania
Scenari
Il quadro economico del Sud: tra segnali di crescita e nuove sfide
Sostenibilità
Lioni Borgo 4.0: un passo verso la città del futuro tra innovazione e sostenibilità
Podcast
Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
Podcast
EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
Opinioni
La comunicazione dei fondi europei da obbligo ad opportunità
eBook
L'analisi della S3 in Italia
Norme UE
European Accessibility Act: passi avanti verso un’Europa inclusiva
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • Progetto CUEIM: cultura e formazione per un futuro sostenibile

  • Sostenibilità e Formazione

    Progetto CUEIM: cultura e formazione per un futuro sostenibile

    07 Giu 2024

    di Valentina Oliviero

    Condividi
  • La rivincita dei contenuti utili: perché è meglio scrivere per gli umani e non per le macchine

  • oltre la seo

    La rivincita dei contenuti utili: perché è meglio scrivere per gli umani e non per le macchine

    12 Nov 2024

    di Gabriele Gobbo

    Condividi
  • Data center: la seconda vita dell'edge computing nell'era dell'IoT

  • sostenibilità

    Data center: la seconda vita dell'edge computing nell'era dell'IoT

    17 Feb 2025

    di Chris Coward

    Condividi

Articolo 1 di 4