ISO/IEC 42001: un sistema di gestione dell’intelligenza artificiale

A cura di:Francesco Capparelli e Lara Maugeri Ore

In un contesto di rapida evoluzione tecnologica, l’Intelligenza Artificiale (IA) si è affermata come una forza trainante nei più diversi settori industriali e operativi.

Nel contesto delineato, lo standard ISO/IEC 42001:2023 assume un’importanza cruciale, offrendo un quadro normativo chiaro e strutturato per l’integrazione responsabile dell’Intelligenza Artificiale all’interno delle organizzazioni. Tale norma stabilisce i requisiti per l’implementazione, la manutenzione e il miglioramento continuo di un sistema di gestione dell’IA, mirando a guidare le organizzazioni nello sviluppo, nell’utilizzo e nel monitoraggio dei sistemi IA in maniera responsabile.

Partendo dalla premessa che l’IA può comportare specifiche considerazioni, come l’utilizzo per la presa di decisioni automatiche talvolta in modo non trasparente o non spiegabile, ISO/IEC 42001 enfatizza la necessità di una gestione specifica che superi quella dei sistemi IT tradizionali. A questo si aggiunge la peculiarità dei sistemi IA che, apprendendo continuamente, modificano il loro comportamento durante l’utilizzo, richiedendo particolare attenzione per assicurare che l’uso responsabile persista nonostante le evoluzioni comportamentali.

Incorporando tali sistemi all’interno delle strutture gestionali esistenti, l’adozione di un sistema di gestione dell’IA secondo lo standard ISO/IEC 42001 rappresenta una decisione strategica per ogni organizzazione, che deve tener conto delle proprie esigenze e obiettivi, delle dimensioni e della struttura, oltre che delle aspettative delle parti interessate; pertanto, attraverso l’applicazione di questo standard, le organizzazioni possono non solo rispondere efficacemente ai rischi associati all’IA ma anche sfruttare le sue potenzialità per innovare e migliorare continuamente le proprie operazioni in modo etico e sostenibile.

L’ISO/IEC 42001 si configura come uno strumento di inestimabile valore per assicurare che l’implementazione dei sistemi di intelligenza artificiale avvenga nel rispetto dei principi di sicurezza, eticità e trasparenza, cruciali soprattutto nei settori più sensibili. In particolare, lo standard delinea specifiche linee guida per la valutazione dei rischi associati all’IA, trattando in modo approfondito i rischi e le opportunità che devono essere considerati per garantire che il sistema di gestione dell’IA possa raggiungere i risultati previsti, prevenire o ridurre effetti indesiderati e perseguire il miglioramento continuo.

Esso inoltre impone che le organizzazioni stabiliscano criteri di rischio AI, supportino valutazioni di rischio coerenti, validi e comparabili e gestiscano il trattamento dei rischi con soluzioni adeguate, evidenziando l’importanza di documentare tutte le azioni intraprese in questo contesto. Fondamentalmente, lo standard richiede che le organizzazioni mantengano una dichiarazione di applicabilità che dettagli i controlli necessari, giustificando le inclusioni e le esclusioni.

La portata dell’ISO/IEC 42001 si estende quindi oltre la mera integrazione tecnologica, offrendo una base per la gestione olistica dell’IA che include la formulazione di politiche AI, la definizione di obiettivi e la pianificazione strategica allineata con la direzione strategica dell’organizzazione. Ciò assicura che l’adozione dell’IA non solo rispetti i requisiti normativi e legali ma si armonizzi anche con gli obiettivi etici e di business dell’entità, promuovendo un ambiente in cui l’innovazione tecnologica proceda di pari passo con la responsabilità sociale e la conformità normativa.

L’armonizzazione dello standard ISO/IEC 42001 con altri standard di gestione internazionali permette un’integrazione fluida e coerente delle pratiche di gestione dell’IA nelle strutture esistenti delle organizzazioni, promuovendo una sinergia tra vari aspetti della gestione aziendale, come la qualità, la sicurezza, la sicurezza informatica e la privacy. Questo approccio non solo facilita l’adozione dello standard stesso da parte delle organizzazioni che già implementano altri sistemi di gestione conformi alle norme ISO, ma rafforza anche l’efficacia delle politiche e delle procedure di gestione dell’IA, assicurando che esse siano allineate con le migliori pratiche e i requisiti legali internazionali.

Lo standard è strutturato per essere applicabile a un’ampia varietà di organizzazioni, indipendentemente dalle loro dimensioni o dal settore di operatività. Esso prevede specifici requisiti per la documentazione, la pianificazione e la valutazione delle performance del sistema di gestione dell’IA, assicurando che ogni aspetto, dal rischio alla conformità e all’innovazione, sia adeguatamente monitorato e gestito.

Implementando l’ISO/IEC 42001, le organizzazioni possono dimostrare concretamente il loro impegno verso una gestione responsabile dell’IA, potenziando la fiducia tra i clienti, i regolatori e le parti interessate, mentre simultaneamente si adattano a un ambiente regolamentato in continua evoluzione. Inoltre, tale standard aiuta le organizzazioni a identificare e sfruttare le opportunità legate all’IA, minimizzando i rischi associati e garantendo che le tecnologie siano usate in modo etico e sostenibile.

L’ISO/IEC 42001 si erge dunque come uno strumento complementare all’AI Act, puntando a fornire un metodo strutturato e standardizzato per l’integrazione delle migliori pratiche di gestione dei rischi e conformità nel settore dell’IA. Questa sinergia tra normativa e standardizzazione facilita le organizzazioni nell’attuazione di soluzioni di intelligenza artificiale che non solo rispettano i requisiti legislativi ma superano le aspettative etiche e di responsabilità sociale.

Il framework offerto dall’ISO/IEC 42001 permette alle organizzazioni di classificare i rischi associati ai sistemi di IA in categorie ben definite, consentendo loro di implementare controlli proporzionati al livello di rischio identificato. In questo modo, le organizzazioni possono garantire che i sistemi di IA siano non solo efficaci e efficienti, ma anche sicuri, trasparenti e giusti, in linea con i principi fondamentali dell’AI Act.

Questa norma aiuta quindi le organizzazioni a:

  1. Identificare e valutare i rischi specifici dell’IA: attraverso processi dettagliati di valutazione del rischio e gestione del trattamento del rischio, come prescritto nello standard.
  2. Implementare controlli efficaci: basati sui requisiti di rischio e i controlli di riferimento forniti nell’annesso della norma.
  3. Monitorare e rivedere continuamente l’efficacia del sistema di gestione dell’IA: assicurando che i sistemi di IA siano soggetti a miglioramenti continui e adattati alle mutevoli esigenze legislative e operative.

Inoltre, l’approccio basato sul rischio promosso dall’ISO/IEC 42001 assicura che le misure adottate siano proporzionate alla natura e alla gravità dei rischi associati alle specifiche applicazioni di IA, facilitando così un equilibrio tra innovazione tecnologica e obblighi normativi. Questo non solo ottimizza le risorse ma rafforza anche la fiducia del pubblico e dei regolatori nelle capacità di gestione del rischio dell’organizzazione.

Lo standard ISO/IEC 42001 pone un accento decisivo sulla trasparenza e “spiegabilità”, elementi fondamentali per garantire che le decisioni adottate o assistite dai sistemi di IA siano comprensibili agli utenti finali. Questo aspetto è essenziale per costruire fiducia e per permettere un controllo efficace delle decisioni automatiche, particolarmente in contesti in cui le implicazioni possono essere significative, come nella sanità o nella gestione finanziaria.

Incoraggiando un utilizzo etico dell’IA, lo standard mira anche a rispettare i diritti umani e ad adempiere alle normative vigenti, rafforzando la necessità di integrare considerazioni etiche fin dalle fasi iniziali della progettazione e dello sviluppo dei sistemi di IA. Questo approccio proattivo aiuta a prevenire problemi legati alla privacy e alla sicurezza dei dati, garantendo che i sistemi di IA operino in modo sicuro e rispettoso della privacy degli individui.

ISO/IEC 42001 fornisce quindi una guida chiara su come le organizzazioni possono strutturare i loro sistemi di gestione dell’IA per affrontare e minimizzare i rischi, promuovendo al contempo un’innovazione responsabile. Questo standard non solo migliora la sicurezza e la fiducia nei sistemi di IA ma contribuisce anche a stabilire una base solida per la crescita sostenibile e etica delle tecnologie emergenti.

L’impegno verso lo standard ISO/IEC 42001 riflette una maturità organizzativa che riconosce l’importanza di integrare principi di responsabilità e sicurezza nell’uso dell’intelligenza artificiale. La guida metodologica offerta dallo standard fornisce un percorso chiaro per le organizzazioni che desiderano assicurare che il loro utilizzo dell’IA sia non solo innovativo ma anche in linea con i valori etici e le normative vigenti.

Il processo di allineamento a questo standard non è solo una misura precauzionale; è un investimento strategico che può differenziare un’organizzazione sul mercato, migliorare la fiducia del cliente e della società civile, e ridurre il rischio legale e operativo. Inoltre, l’approccio strutturato per la gestione dei rischi e la compliance, nonché per il monitoraggio e il miglioramento continuo delle pratiche di IA, si traduce in un ciclo di gestione che perpetua l’innovazione e la crescita sostenibile.

L’integrazione di un modello di governance come quello promosso dall’ISO/IEC 42001 può anche catalizzare ulteriori innovazioni all’interno delle organizzazioni, stimolando lo sviluppo di nuove soluzioni di IA che non solo rispettano i più alti standard di sicurezza e eticità, ma che sono anche progettate per superare le aspettative di tutte le parti interessate, dal cliente finale ai regolatori.

In conclusione, l’adozione di ISO/IEC 42001 rappresenta un passo fondamentale per le organizzazioni che aspirano a posizionarsi come leader nel campo dell’IA responsabile e sostenibile, proiettandole verso un futuro in cui tecnologia e etica si fondono in un unico, armonioso percorso di progresso tecnologico.

Articolo a cura di Francesco Capparelli e Lara Maugeri

Profilo Autore
Francesco Capparelli

Avvocato, Certified Ethical Hacker, Auditor di diversi schemi di certificazione (ISO/IEC 27001, ISO 22301, ISO 37001, ISO/IEC 20000-1, ISO 9001) e Project Manager. Chief Cybersecurity Advisor di ICT Cyber Consulting, Quality and Information Security Manager di ICTLC S.p.A., Of Counsel di ICT Legal Consulting, membro del CdA dell'Istituto Italiano per la Privacy e la Valorizzazione dei Dati e Senior Fellow Researcher nel framework Horizon Europe.
Autore di manuali, pubblicazioni e articoli scientifici sui temi relativi alla data protection e alla sicurezza informatica.

Profilo Autore
Lara Maugeri

Cyber Security Specialist - ICT Cyber Consulting

Laurea Magistrale in Scienze Filosofiche all’Università di Catania. Certificazioni CISCO: IT Support, Cyber Security & Networking. Auditor ISO/IEC 27001:2022.

Altri Articoli
Condividi sui Social Network:

Articoli simili

Rilevanti aspetti tecnici nella memoria del Garante Privacy sulla continuità operativa del “sistema di allerta COVID-19”

Rilevanti aspetti tecnici nella memoria del Garante Privacy sulla continuità operativa del “sistema di allerta COVID-19”

A cura di:Sergio Guida Ore Pubblicato il

Nella Memoria alla Commissione I del Senato italiano (Affari costituzionali) di ottobre il Presidente dell’Autorità Garante[1] inizia col ringraziare per la possibilità di evidenziare alcuni profili di particolare interesse nel “tracciamento dei contatti” (contact tracing)[2] attuato attraverso il sistema di allerta nazionale di cui al Decreto- Legge n. 28/2020 emanata con modificazioni dalla legge n.70/2020[3]….

Security Key: i tuoi specialisti nella sicurezza

Security Key: i tuoi specialisti nella sicurezza

A cura di:Redazione Ore Pubblicato il

  Azienda giovane ma con esperienza trentennale del suo fondatore, si è subito imposta nel mercato dei sistemi per il controllo degli accessi. In particolare nei sistemi per la gestione delle chiavi e dispositivi ad uso personale. Guardiamo sempre avanti, sempre alla ricerca di innovazioni e nuove applicazioni nel mondo della gestione della sicurezza, sia…

Alfonso Lamberti – Intervista al Cyber Crime Conference 2018

Alfonso Lamberti – Intervista al Cyber Crime Conference 2018

A cura di:Redazione Ore Pubblicato il

[video_embed video=”265878930″ parameters=”” mp4=”” ogv=”” placeholder=”” width=”900″ height=”460″] Alfonso Lamberti Solution Sales Specialist, Boole Server BooleBox è una piattaforma di security a 360° che va incontro alle necessità delle aziende di difendere e condividere le informazioni sensibili. Offriamo una piattaforma completa che racchiude in sé tutte le principali caratteristiche tecniche di diverse soluzioni tecnologiche nell’ambito…

Che cos’è l’Incident Response (IR) e l’Incident Response Plan (IRP)

Che cos’è l’Incident Response (IR) e l’Incident Response Plan (IRP)

A cura di:Redazione Ore Pubblicato il

Che cos’è Incident Response (IR) secondo il Framework NIST Il compito dell’Incident Response Framework è quello di fornire uno strumento efficace al management (incident response teams (CSIRTs), system and network administrators, chief information security officers (CISOs), chief information officers (CIOs), security staff etc..) alla gestione e mitigazione dell’incidente di sicurezza informatico, capace di garantire la…

Sviluppare capacità di risposta agli incidenti SaaS

Sviluppare capacità di risposta agli incidenti SaaS

A cura di:James Robinson Ore Pubblicato il

Ogni team di sicurezza ha un piano di risposta agli incidenti. Una strategia e una preparazione avanzate sono assolutamente indispensabili per garantire una risposta rapida a data breach, ransomware e numerose altre sfide, ma la maggior parte delle aziende ha sviluppato un piano di risposta agli incidenti anni fa, se non decenni fa, e lo…

Cos’è la OT Security e come si relaziona con la sicurezza IT

Cos’è la OT Security e come si relaziona con la sicurezza IT

A cura di:Redazione Ore Pubblicato il

La sicurezza OT (Operational Technology) si occupa solitamente della protezione dei sistemi Industriali: sistemi di controllo distribuito (DCS, Distributed Control System), sistemi di controllo industriale (ICS, Industrial Control System), reti di controllo supervisione e acquisizione dati (SCADA, Supervisory Control And Data Acquisition), controllo dei processi (PLC, Programmable Logic Controller), l’internet delle cose industriale (IIoT, Industrial…