Consulenza ISO 42001: un sistema di gestione per l’intelligenza artificiale
Consulenza ISO 42001: la norma che promuove in tutto il ciclo di vita di un sistema IA l’uso etico, trasparente, affidabile e sicuro dell’Intelligenza Artificiale nei processi aziendali.
La norma è stata redatta in modo tale da facilitare l’integrazione con altri standard di sistemi di gestione già ampiamente consolidati, come: ISO/IEC 27001:2022, ISO/IEC 27701:2019, ISO 9001:2015.
Tale aspetto è volto per agevolare un approccio olistico tra i modelli organizzativi, fermo restando che ogni sistema persegue un obiettivo mirato. Analogamente alla ISO/IEC 27001:2022 e ad altre norme della famiglia ISO/IEC 27000, anche la ISO/IEC 42001 prevede un framework di requisiti, analisi dei rischi e controlli.
La ISO/IEC ha l’obiettivo di supportare le organizzazioni che vogliono ricoprire responsabilmente il proprio ruolo rispetto a prodotti o servizi che utilizzano sistemi di intelligenza artificiale, considerando tutte le fasi quali: sviluppo, fornitura, uso e monitoraggio.
Lo standard ISO/IEC 42001 può aiutare le organizzazioni a implementare misure di salvaguardia che potrebbero essere richieste dalla presenza di alcune funzionalità di AI.
Infatti, la componente di AI nei prodotti e servizi comporta rischi aggiuntivi all’interno di un sistema, rispetto a come il medesimo opererebbe senza il ricorso a tale tecnologia.
L’intelligenza artificiale solleva alcune considerazioni specifiche:
- processo decisionale automatico: se effettuato in modo non trasparente e non comprensibile, può richiedere un’amministrazione e una supervisione che vanno oltre quelle dei sistemi IT tradizionali;
- analisi dei dati, della conoscenza e del machine learning: se utilizzati in sostituzione della logica codificata dall’uomo per progettare i sistemi, cambia il modo in cui tali sistemi vengono sviluppati, valutati e distribuiti;
- apprendimento continuo: i sistemi di intelligenza artificiale che eseguono l’apprendimento continuo (machine learning) modificano il loro comportamento durante l’uso e richiedono un’attenzione speciale per garantire che il loro utilizzo responsabile continui anche in presenza di costanti cambiamenti dei comportamenti.
Lo standard richiede che venga applicato il livello di controllo appropriato in tutto il “ciclo di vita” della fornitura di prodotti o servizi; tali controlli devono essere rivisti costantemente, data la caratteristica dinamica di AI, i cui esiti sono potenzialmente imprevedibili se non presidiati.
I controlli della ISO/IEC 42001
L’Annex A della ISO/IEC 42001 riporta la struttura dei Controlli; questi sono strutturati come Controlli e Obiettivi di controlli; in totale si tratta di 39 controlli che sono organizzati nelle seguenti clausole:
- Politiche relative all’AI (comprende anche allineamento alle altre politiche dell’organizzazione e la revisione delle politiche di AI).
- Organizzazione interna individuando ruoli e responsabilità.
- Risorse per i sistemi di AI: dati, strumenti, risorse tecnologiche e risorse umane.
- Analisi dell’impatto dei sistemi di AI sugli individui, gruppi e società e relativa documentazione.
- Ciclo di vita del sistema AI.
- Dati per i sistemi di AI: acquisizione, preparazione e smaltimento dei dati.
- Informazioni per le parti interessate ai sistemi di AI come la comunicazione degli incidenti.
- Utilizzo dei sistemi di AI garantendone un uso responsabile ed un uso previsto.
- Rapporti con gli stakeholder.
Analogamente alla ISO/IEC 27001 non vi è l’obbligo di utilizzare i controlli definiti; essi sono destinati a fungere da riferimento, ed ogni organizzazione è libera di progettare e implementare un suo set di controlli, sulla base del proprio contesto, così come possono aggiungere ulteriori controlli.