Regolamentare l’Intelligenza Artificiale: ISO ha già pubblicato la norma di gestione
ISO/IEC 42001:2023: un approccio etico per la governance della Intelligenza Artificiale
L’anno appena trascorso, il 2023, ha visto in tutti i settori una straordinaria attenzione all’Intelligenza Artificiale.
Il mondo dei media ha dimostrato un interesse senza eguali negli ultimi anni ed ormai non si parla altro che di Intelligenza Artificiale come un qualcosa di ormai assodato e di dominio generale.
ChatGPT di OpenAI è la chatbot di ultima generazione che ha riscosso il maggior successo contribuendo a creare un interesse sempre maggior verso le applicazioni di Intelligenza Artificiale.
Nelle Università si stanno sperimentando sempre nuove soluzioni e potrebbero diventare i centri di gravità per la ricerca in questo campo in continua evoluzione.
Sono nate centinaia di startup che stanno esplorando i modi più disparati per utilizzare l’Intelligenza Artificiale che consentono di accelerare i normali processi di ricerca come, ad esempio, si sta assistendo nel campo farmaceutico con l’accelerazione nella scoperta di farmaci e, persino, nella progettazione di tipi di farmaci precedentemente sconosciuti.
Molta enfasi è posta su questa nuova frontiera che promette importanti applicazioni ma che presenta anche una serie di interrogativi legati ai rischi dell’effettivo uso dell’Intelligenza Artificiale.
Il rischio principale è legato al modo in cui lavora una macchina. L’intelligenza Artificiale è un modo di progettare l’automazione per cui la macchina si adegua alle varie circostanze per ottenere il fine per cui è stata programmata e istruita. La macchina, quindi, adegua i mezzi ai fini e quindi per ottenerne una adeguata governance e non subire il fenomeno è necessario mettere in campo le migliori soluzioni che permettano un uso etico e responsabile per la scelta dei fini adeguati a evitare esiti indesiderati che potrebbero essere anche catastrofici.
Sicuramente l’uso dell’Intelligenza Artificiale può contribuire al conseguimento di risultati vantaggiosi dal punto di vista sociale e ambientale, nonché fornire vantaggi competitivi fondamentali alle imprese e all’economia europea ma nello stesso tempo può comportare nuovi rischi o conseguenze negative per le persone fisiche o la società nel suo complesso.
Ma dobbiamo chiederci: cosa si intende per intelligenza artificiale?
Le definizioni sono infinite e le più disparate ma, anche in questo caso, le norme ISO ci danno una mano a focalizzare l’argomento. La norma ISO/IEC 22989:2022 (Information technology -Artificial intelligence concepts and terminology) specifica che alla base della Ricerca e sviluppo di meccanismi e applicazioni di sistemi di IA esiste sempre un concetto fondamentale ovvero un processo.
Si parte da una serie di dati che devono essere di qualità elevata, si introducono degli algoritmi (scritti dall’uomo) che utilizzando tali dati e attraverso vari meccanismi (alla cui base esistono varie scienze: fisica, matematica, statistica, diritto, filosofia, etc.) quali il Machine Learning, producono un risultato che deve essere interpretato.
Ma, la grande quantità di dati necessari, la dipendenza da algoritmi e ” l’opacità” del processo decisionale dell’intelligenza artificiale rendono difficile prevedere il comportamento dei prodotti basati sull’intelligenza artificiale e comprendere le possibili cause di un danno.
Nella situazione attuale è decisamente fuorviante parlare di Intelligenza Artificiale, forse è decisamente più opportuno parlare di Intelligenza Differente. Alla natura sono occorsi milioni di anni per potersi evolvere e all’uomo migliaia di anni per arrivare alle conoscenze odierne.
Inoltre, proprio per le caratteristiche biologiche, l’uomo possiede delle potenzialità infinite come, ad esempio, l’intuizione o la percezione delle sensazioni e l’istinto. Quella componente atavica che ci permette di comprendere situazioni, persone o fatti attraverso sensazioni difficilmente spiegabili, come cita il filosofo H. Dreyfus:
Noi sappiamo più cose di quante ne riusciamo a spiegare.
Il cervello di un lombrico possiede circa 302 neuroni e di questo cervello noi non conosciamo nulla, come possiamo immaginare di poter conoscere il nostro che ne contiene 100 miliardi? E di conseguenza come possiamo pensare di replicare il nostro cervello in una macchina? Le macchine potranno svolgere compiti utili, precisi e veloci ma non potranno mai sostituire l’uomo.
Ad esempio, si possono creare algoritmi, come è stato fatto, che giocano a scacchi o a Go ma non potranno mai giocare ad una partita di briscola; tradurre frasi o parole, e ne abbiamo quotidianamente l’evidenza, che possono essere fuorvianti se non è chiaro il contesto…. e potremmo citare molti altri esempi dove è necessario “correggere” comportamenti difformi prodotti dall’Intelligenza Artificiale.
Per questo è necessaria una regola, una normazione che guidi le organizzazioni attraverso il labirinto dell’IA.
Il 2023 è stato anche l’anno che ha visto l’impegno per regolamentare un uso responsabile dell’Intelligenza Artificiale:
- a marzo 2023 è stato pubblicato, da parte del NIST, l’AI Risk Management FrameworK ;
- il 30 ottobre il Presidente USA Joe Biden ha emesso l’ Executive Order on Safe, Secure , and Trustworthy Artificial Intelligence;
- in dicembre il Consiglio dell’Unione europea e il Parlamento europeo hanno raggiunto un accordo sul Regolamento sull’Intelligenza Artificiale;
- lo scorso 18 dicembre 2023 la ISO ha pubblicato la ISO/IEC 42001:2023 Information technology Artificial intelligence Management system.
La norma ISO/IEC 42001 e motivazioni
In risposta all’avanzamento dell’Intelligenza Artificiale (IA) e alle sfide che essa crea, l’ISO e l’IEC hanno già da tempo pubblicato una serie di norme culminate con la creazione di apposito comitato l’SC 42 che ha elaborato e pubblicato la ISO/IEC 42001.
È una norma applicabile a tutti i tipi di aziende di qualsiasi settore, è l’unica certificabile sebbene esistano altre norme.
Questa nuova norma sancisce i requisiti per stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione dell’Intelligenza Artificiale.
Lo scopo della norma è garantire che i sistemi siano sviluppati e utilizzati in modo responsabile:
- promuovendo lo sviluppo e l’utilizzo di sistemi di Intelligenza Artificiali che siano affidabili, trasparenti e responsabili;
- evidenziando i principi e i valori etici nell’impiego dei sistemi di Intelligenza Artificiale, come l’equità, la non discriminazione e il rispetto della privacy;
- aiutando le organizzazioni a identificare e mitigare i rischi legati all’implementazione dell’Intelligenza Artificiale, garantendo l’adozione di misure di mitigazione adeguate;
- incoraggiando le organizzazioni a dare priorità al benessere umano, alla sicurezza e all’esperienza dell’utente nella progettazione e nell’implementazione dell’Intelligenza Artificiale;
- assistendo le organizzazioni nel rispetto delle leggi e dei regolamenti in materia di protezione dei dati o degli obblighi nei confronti delle parti interessate.
La norma è stata redatta rispettando il modello HLS (High Level Structure) che permette di facilitare l’integrazione con altre norme di sistemi di gestione già ampiamente consolidate, come: ISO/IEC 27001:2022, ISO 9001:2015 ecc., senza peraltro richiederne come prerequisito l’implementazione. Tale aspetto favorisce un approccio olistico tra i modelli organizzativi, fermo restando che ogni sistema persegue un obiettivo mirato. Analogamente alla ISO/IEC 27001:2022 e ad altre norme della famiglia ISO/IEC 27001, anche questa prevede un framework di requisiti, analisi dei rischi e controlli.
Quali sono i concetti chiave e la struttura della norma ISO/IEC 42001?
Similmente all’ISO/IEC 27001, la norma internazionale per la Gestione della Sicurezza delle Informazioni, la norma inizia introducendo gli obiettivi, fornendo termini e definizioni chiave e definendo l’ambito di applicabilità dello standard.
Ciascuno dei punti elencati di seguito rappresenta un capitolo della norma con i requisiti per l’implementazione di successo di un AIMS (Sistema di Gestione dell’Intelligenza Artificiale):
- Contesto dell’organizzazione: l’organizzazione dovrebbe capire perché ha bisogno dell’intelligenza artificiale e della governance di tali sistemi. Inoltre, dovrebbero essere registrate le aspettative delle parti interessate e la portata del Sistema di Gestione dell’Intelligenza Artificiale;
- Leadership: la leadership e l’implementazione degli obiettivi deve essere definiti. La politica sull’Intelligenza Artificiale in cui sono definiti i ruoli, le responsabilità e autorità deve essere pubblicata;
- Pianificazione: l’organizzazione deve comprendere le proprie azioni per affrontare i rischi e le opportunità dell’Intelligenza Artificiale: deve essere effettuata una valutazione e trattamento dei rischi nonché una valutazione di impatto. Devono essere stabiliti gli obiettivi dell’Intelligenza Artificiale e la pianificazione per raggiungerli. Devono essere inoltre implementata adeguate procedura di gestione del cambiamento;
- Supporto: l’organizzazione deve identificare e fornire risorse per competenza, consapevolezza, metodi di comunicazione e conservazione e controllo di informazioni documentate.
- Operatività: la pianificazione e il controllo operativi devono essere definiti utilizzando i quanto applicato nel capitolo Pianificazione: pertanto devono essere condotte valutazioni del rischio dell’IA, trattamenti del rischio dell’IA e valutazioni dell’impatto del sistema di IA.
- Valutazione delle prestazioni: devono essere condotti monitoraggio, misurazione, analisi e valutazione adeguati del rischio e del controllo del sistema di IA. Le aspettative dell’audit interno e del riesame della direzione devono essere ben definite ed elaborate sui risultati della valutazione.
- Miglioramento: devono essere creati metodi per sollecitare feedback sull’implementazione dell’AIMS e le opportunità di miglioramento devono essere riviste. Questo processo di miglioramento deve avvenire continuamente man mano che si verificano le valutazioni.
Deve essere stabilito un processo per valutare la non conformità e le azioni correttive.
Un ulteriore punto reso evidente nello standard è che l’implementazione di un Sistema di Gestione dell’Intelligenza Artificiale (AIMS) richiede una intensa collaborazione tra i membri della leadership, dell’ingegneria, dell’ufficio legale, della conformità e potenzialmente del personale di audit.
Sono inoltre presenti 4 allegati o Annex ad integrazione dell’applicazione della norma:
- Annex A – Obiettivi di controllo e controlli di riferimento;
- Annex B – Guida all’attuazione dei controlli dell’IA;
- Annex C – Potenziali obiettivi organizzativi legati all’IA e fonti di rischio;
- Annex D – Utilizzo del sistema di gestione dell’IA in ambiti o settori diversi.
I primi due allegati sono “normativi” quindi sono da considerare come requisiti mentre gli altri due allegati sono informativi.
L’Annex A riporta la struttura dei Controlli; che sono strutturati come Controlli e Obiettivi di controllo; in totale si tratta di 39 controlli che sono organizzati in aree:
A.2 Politiche relative all’ Intelligenza Artificiale (comprende anche allineamento alle altre politiche dell’organizzazione e la revisione delle politiche di AI);
A.3 Organizzazione interna (es. ruoli e responsabilità);
A.4 Risorse per i sistemi di Intelligenza Artificiale (es. dati, strumenti, risorse umane);
A.5 Analisi dell’impatto dei sistemi di Intelligenza Artificiale (es. su individui, gruppi e società e relativa documentazione);
A.6 Ciclo di vita del sistema di Intelligenza Artificiale;
A.7 Dati per i sistemi di Intelligenza Artificiale (es. acquisizione e preparazione dei dati);
A.8 Informazioni per le parti interessate ai sistemi di Intelligenza Artificiale (es. comunicazione di incidenti);
A.9 Utilizzo dei sistemi di Intelligenza Artificiale (es. uso responsabile ed uso previsto);
A.10 Rapporti con terze parti (ad esempio: fornitori, clienti).
Rispetto all’Annex A della ISO/IEC 27001 ha una struttura decisamente più semplice.
Come per la ISO/IEC 27001 non vi è l’obbligo di utilizzare i controlli definiti: essi sono destinati a fungere da riferimento, ed ogni organizzazione è libera di progettare e implementare un suo set di controlli, sulla base del proprio contesto, così come possono aggiungere ulteriori controlli;
L’Annex B fornisce le linee guida per l’implementazione dei controlli elencati nell’Annex A: è organizzato in modo molto similare alla linea guida ISO/IEC 27002;
L’Annex C affronta il tema degli obiettivi e delle fonti di rischio che devono essere considerate dalle organizzazioni. L’annex non è esaustivo e/o applicabile in ogni contesto, ma è molto utile, dato il suo carattere operativo; in capo ad ogni organizzazione resta comunque la determinazione degli obiettivi e delle fonti di rischio rilevanti;
L’Annex D approfondisce l’uso di un Sistema di Gestione dell’Intelligenza Artificiale in vari domini o settori (es.: salute, difesa, finanza) e tratta dell’integrazione di questo sistema con altri, con particolare riferimento alla ISO/IEC 27001, ISO 9001 …
Perché una organizzazione dovrebbe interessarsene?
La conoscenza della norma è il primo passo verso l’implementazione di un Sistema di Gestione di Intelligenza Artificiale ed è per questo che leadership aziendale dovrebbe iniziare a comprenderne i contenuti e le potenzialità anche dal punto di vista dei vantaggi competitivi che potrebbero derivare dalla sua adozione:
- reputazione del marchio: l’uso responsabile dell’intelligenza artificiale favorisce la fiducia e rafforza l’immagine del marchio. I consumatori e gli investitori apprezzano sempre più le organizzazioni impegnate in pratiche di intelligenza artificiale etiche e trasparenti;
- fiducia degli investitori: dimostrare una governance responsabile dell’Intelligenza Artificiale attrae investitori etici e aumenta la fiducia generale nel valore e nella sostenibilità a lungo termine dell’organizzazione;
- differenziazione del mercato: distinguersi dimostrando l’impegno verso una leadership responsabile nell’Intelligenza Artificiale. Ciò è in sintonia con clienti e partner che condividono valori simili;
- mitigazione del rischio:
- rischi legali ridotti: la gestione proattiva del rischio aiuta a stare al passo con l’evoluzione delle normative ed evitare costose battaglie legali o danni alla reputazione associati a sistemi di Intelligenza Artificiale distorti o discriminatori;
- maggiore sicurezza: implementare solide misure di sicurezza dei dati e mitigare le vulnerabilità per ridurre al minimo il rischio di attacchi informatici e violazioni dei dati che coinvolgono i sistemi di Intelligenza Artificiale;
- maggiore affidabilità del prodotto: affrontando potenziali pregiudizi e conseguenze indesiderate durante il processo di sviluppo dell’Intelligenza Artificiale, si garantisce che i prodotti di Intelligenza Artificiale siano affidabili, equi e forniscano risultati ottimali;
- vantaggi operativi:
- maggiore efficienza: processi di gestione dell’Intelligenza Artificiale semplificati e ruoli e responsabilità chiari portano a una migliore efficienza operativa e risparmi sui costi;
- innovazione potenziata: una cultura dell’Intelligenza Artificiale responsabile incoraggia la sperimentazione responsabile e promuove un ambiente sicuro per applicazioni innovative;
- maggiore coinvolgimento dei dipendenti: quando i dipendenti comprendono l’impegno nei confronti di un utilizzo etico dell’Intelligenza Artificiale, si promuove la fiducia e il coinvolgimento, aumentando la produttività e l’innovazione;
- Impatto sociale:
- correttezza ed equità: mitigando attivamente pregiudizi e discriminazioni nei sistemi di Intelligenza Artificiale, si contribuisce ad una società più equa e inclusiva;
- tecnologia affidabile: gli sforzi proattivi volti a creare fiducia nell’Intelligenza Artificiale promuovono un’adozione più ampia e vantaggi sociali di questa potente tecnologia;
- sviluppo sostenibile: lo sviluppo e la diffusione responsabili dell’Intelligenza Artificiale possono contribuire al raggiungimento degli obiettivi di sviluppo sostenibile affrontando sfide come il cambiamento climatico e la povertà.
Come iniziare con la ISO/IEC 42001?
Per avviare il processo per implementare la ISO/IEC 42001 nell’ organizzazione, si deve iniziare con un’autovalutazione dei sistemi di Intelligenza Artificiale di cui dispone/utilizza l’organizzazione e dell’attuale capacità di identificare e affrontare potenziali rischi. Questo processo può includere anche lo sviluppo di un modo appropriato per catalogare prodotti e servizi di Intelligenza artificiale. Identificare le principali parti interessate e programmare incontri preliminari con le diverse parti interessate per discutere la strategia e la rilevanza per l’organizzazione.
Successivamente, si redigono le politiche e le procedure, delineando le migliori pratiche per la governance dei dati, lo sviluppo di algoritmi e l’implementazione del modello.
Ciò che viene creato dovrebbe integrarsi con la governance dell’organizzazione e con la gestione del rischio aziendale già stabilito. Ciò aiuta a attivare un funzionamento regolare e una responsabilità coerente. Infine, vanno predisposte metriche robuste o KPI che permetteranno il miglioramento, evidenziando le aree in cui l’organizzazione emerge e le opportunità per aggiungere valore. Predisporre quindi gli obiettivi: processo che richiederà tempo per essere messo a punto correttamente e deve essere sviluppato man mano che l’Intelligenza Artificiale avanza.
Infine, dovrebbe essere identificato un responsabile del Sistema di Gestione dell’Intelligenza Artificiale che collaborerà con gli esperti che possano guidare l’implementazione, il mantenimento e il miglioramento del sistema. Questo supporto può provenire da esperti in materia, professionisti di terze parti o anche sessioni di formazione.
Ulteriore elemento importante è di prendere visione anche delle norme pubblicate (o in fase di pubblicazione) dall’ISO anche antecedenti alla ISO/IEC 42001 che sicuramente possono ulteriormente dare aiuto ed ulteriori spunti nella definizione del Sistema di Gestione della Intelligenza Artificiale:
- ISO/IEC 22989 – Artificial Intelligence Concepts and Terminology
- ISO/IEC 23053 – Framework for Artificial Intelligence (AI) Systems Using Machine Learning (ML)
- ISO/IEC 23894 – Artificial Intelligence Guidance on Risk Management
- ISO/IEC DIS 42005 – Information technology – Artificial intelligence – AI system impact assessment.
- ISO/IEC DIS 42006 – Information technology – Artificial intelligence – Requirements for bodies providing audit and certification of artificial intelligence management systems
È importante ricordare infine che esiste una differenza tra rispettare la norma ISO/IEC 42001 ed essere certificati ISO/IEC 42001. Il processo di certificazione prevede la richiesta a un organismo di certificazione accreditato e lo svolgimento di un audit in loco prima di ricevere la valutazione finale e quindi l’emissione del certificato.
Conclusioni
La norma ISO/IEC 42001 funge da guida per le organizzazioni che navigano nell’intricato panorama della gestione dell’Intelligenza Artificiale.
Comprendendo gli elementi chiave, riconoscendone il significato e implementando intuizioni pratiche, le organizzazioni possono non solo soddisfare i requisiti della norma, ma anche promuovere pratiche di Intelligenza Artificiale responsabili, etiche ed efficaci.
Mentre l’Intelligenza Artificiale continua a modellare il futuro delle industrie, la ISO/ IEC 42001 fornisce una tabella di marcia per le organizzazioni per sfruttare la potenza dell’Intelligenza Artificiale, garantendo un uso responsabile e sostenibile.
Articolo a cura di Attilio Rampazzo, Flavio De Pretto e Stefano Gorla