La diffusione massiva dell’intelligenza artificiale ha aperto un serio dibattito su temi legati a raccolta e trattamento dei dati, etica, bias di genere e categorizzazione dei soggetti.

L’AI Act è stata una prima risposta “di rigore” della Comunità Europea per cercare di porre delle regole ferme, soprattutto da punto di vista etico, che fossero al tempo stesso non troppo stringenti per non vincolare eccessivamente le aziende nell’utilizzo di questo potente strumento.

Altre soluzioni normative sono tuttora allo studio per limitare e contrastare l’uso dell’AI per scopi criminali o per creare fake news sui social e media.

Successivamente, è stata pubblicata la ISO 42001:2023 Sistema di Gestione dell’Intelligenza Artificiale (AIMS – Artificial Intelligence Management System) come strumento di implementazione volontario (certificabile), rivolto alle organizzazione che vogliono utilizzare l’AI per i propri processi interni e per migliorare i propri prodotti e servizi verso Clienti esterni.

Questa norma, costruita prendendo spunto dai requisiti ISO 9001-ISO22301 e ISO27001, pur non essendo citata nel AI Act (cosa abbastanza usuale nelle Direttive e Regolamenti Europei che tendono a non vincolare le Organizzazioni nella scelta degli strumenti di certificazione e controllo), si presenta oggi come un efficace strumento di governance dei processi – basato sull’adozione di un sistema di gestione –, con un’attenzione anche alla componente tecnologica applicata.

Integrazione e sicurezza AI: in requisiti di “security by design” della ISO 42001

L’introduzione della ISO 42001 si è resa inoltre necessaria per gestire gli aspetti di Information e cyber security correlati all’AI. La norma mira infatti a sensibilizzare le organizzazione ad una maggiore attenzione nell’adozione di un approccio “security by design” (quindi l’integrazione dei concetti di cyber security già dalla fase di progettazione dei sistemi), in linea anche con le prescrizioni della Direttiva NIS 2 e del Cyber Security Act.

La ISO 42001 è una norma che potremmo dire “ibrida” e che presenta due anime. Da un lato vi è un’anima di sistema, simile alla ISO/IEC 27001 (Sicurezza delle Informazioni), che stabilisce un complesso documentale di governance (AIMS – AI Management System) per tutti i processi e i controlli attinenti all’AI.

Dall’altro lato, ha un’anima di prodotto/servizio, focalizzata sul/sui modello/i di AI implementati, con l’obiettivo di migliorarne l’efficienza e l’efficacia nell’erogazione di prodotti (ad esempio, nell’OT – Tecnologia Operativa) e servizi.

Dal modello opensource all’opzione on-premise: il controllo essenziale per la ISO 42001

Relativamente alla “parte di prodotto” esiste solo una macro regola importante: l’organizzazione deve dimostrare di avere il controllo su tutto il ciclo di vista dell’AI (codice sorgente – protezione e conservazione dei dati), altrimenti il modello utilizzato attorno al quale è stato costruito il sistema di gestione, con queste gravi carenze di security e privacy by design, non è elegibile per la certificazione.

Questo aspetto è fondamentale perché la maggiore parte delle aziende, in fase di sperimentazione AI, tende ad utilizzare anche modelli Opensource presenti sul mercato, personalizzandoli e customizzandoli in base alle proprie esigenze. L’utilizzo di questi modelli, spesso dovuta a budget ridotti che vincolano la sperimentazione, impedisce all’organizzazione di avere controllo sul codice, sulla parte di training del modello e sulla protezione delle informazioni.

Per massimizzare la sicurezza, l’opzione preferibile è l’utilizzo di un modello on premise su propri server con possibilità di controllo su codice, training AI e gestione dati in modalità sicura, con i relativi impatti dal punto di vista economico.

Molti si chiedono quale evoluzione potrà avere la ISO 42001 in Italia ed in altri Paesi Europei ed extra Europei. Molte aziende, dal momento che la ISO 42001 non è contemplata dall’AI Act, vireranno sul Codice di Condotta per l’AI Act, strumento volontario pubblicato dall’Unione Europea per aiutare i fornitori di modelli di intelligenza artificiale (IA) ad uso generale a conformarsi all’AI Act.

Il Codice di Condotta per l’AI Act si concentra su trasparenza, tutela del diritto d’autore e sicurezza e include misure operative per mitigare i rischi, in particolare per i sistemi con rischio sistemico. Aderendo volontariamente al codice, le aziende possono dimostrare la conformità e ridurre gli oneri amministrativi.

Dagli appalti all’audit: come Fastweb ha ottenuto la certificazione ISO 42001

In Italia questa adesione potrebbe non essere sufficiente e le stazioni appaltanti o i committenti privati potrebbero richiedere la certificazione ISO 42001 per superare l’autoreferenzialità.

Fastweb è stata una delle prime aziende e la prima nel settore delle Telecomunicazioni a credere nella ISO 42001 e alle potenzialità e ai benefici della sua implementazione.

L’azienda ha investito notevoli risorse tecnologiche per far sì che il modello di AI alla base del sistema di gestione fosse elegibile – e soprattutto sicuro per i clienti finali –, forte anche della sua esperienza in molte altre certificazioni (IT e non) ottenute in passato.

Il sistema di gestione e i relativi controlli tecnici, inclusa l’importante componente infrastrutturale, sono stati verificati e valutati conformi ai requisiti della ISO 42001 da un team di auditor tecnici di Bureau Veritas Italia.

Le future evoluzioni e il miglioramento del sistema di gestione saranno sottoposti a valutazioni successive da parte di BV, in ottemperanza al principio di miglioramento continuo richiesto dagli standard ISO.