LA ISO/IEC 42001:2023

Tutto quello che dovete sapere sulla nuova norma ISO 42001 sull'Intelligenza Artificiale

iso iec 42001 intelligenza artificiale

"L'intelligenza artificiale e l'apprendimento automatico, come disciplina dominante nell'IA, sono strumenti straordinari. Di per sé, non sono né buoni né cattivi. Non sono una soluzione magica. Non sono il nucleo dei problemi del mondo"
(Vivienne Ming)

"Nel nostro settore, parliamo di tecnologie emergenti e del loro impatto sulla società. Non abbiamo mai visto una tecnologia muoversi così velocemente come l'IA per influenzare la società e la tecnologia. Questa è di gran lunga la tecnologia in più rapido movimento che abbiamo mai monitorato in termini di impatto e stiamo solo iniziando"
(Paul Daugherty)

"Non c'è una sola cosa che definisce l'IA. È più come un arazzo di tecnologie intelligenti moderne intrecciate insieme in modo strategico che possono creare una base di conoscenza automatizzata da cui è possibile estrapolare risultati"
(John Frémont)

Introduzione

L'intelligenza artificiale (IA) si sta rapidamente evolvendo, passando nell'immaginario popolare dai film di fantascienza a una realtà tangibile nel panorama aziendale e sociale. Già oggi sta aiutando l’innovazione in settori come quello della sanità, dell’agricoltura e del turismo ed è destinata a dare un notevole impulso all’economia globale visto che il mercato che la riguarda è stato valutato nel 2022 in 136,55 miliardi di dollari e si prevede varrà 15,7 trilioni di dollari entro il 2030. Questa trasformazione richiede una nuova prospettiva nella governance ed è qui che entra in gioco la nuova norma ISO/IEC 42001:2023 "Information technology - Artificial intelligence Management system" che è stata pubblicata il 18 dicembre del 2023 e che diventerà una pietra miliare nella governance dell'IA. Questo standard, infatti, rappresenta un passo fondamentale verso una gestione responsabile dell'intelligenza artificiale perché fornisce alle organizzazioni un modello per navigare in questo settore relativamente nuovo.

"Questo documento specifica i requisiti e fornisce le linee guida per stabilire, implementare, mantenere e migliorare su base continua un sistema di gestione dell'IA (intelligenza artificiale) nel contesto di un'organizzazione.
E' destinato all'uso da parte di organizzazioni che forniscono o utilizzano prodotti o servizi che sfruttano sistemi di IA e intende aiutare le aziende a sviluppare, fornire o utilizzare sistemi di IA in modo responsabile per ciò che riguarda perseguire i propri obiettivi, soddisfare i requisiti applicabili e gli obblighi e le aspettative relativi alle parti interessate.
Il documento è applicabile a qualsiasi organizzazione, indipendentemente dalle dimensioni, dalla tipologia e dalla natura
"
(Fonte: ISO)

.

Definizione e importanza dell'IA nel contesto aziendale e sociale

La definizione di "intelligenza artificiale" è, a volte, poco chiara perché varia moltissimo in base al contesto, al significato specifico che le si dà e all'applicazione. L'IA si riferisce a sistemi o macchine che simulano l'intelligenza umana per eseguire compiti e che possono migliorare con continuità, basandosi sulle informazioni raccolte. Questi sistemi sono progettati per eseguire operazioni che normalmente richiederebbero l'intelligenza umana, come il riconoscimento di pattern, l'apprendimento da esperienze precedenti, il ragionamento, la comprensione del linguaggio, la soluzione di problemi, e l'adattamento a nuovi contesti.
L'ISO ricorda che, secondo la ISO/IEC 22989:2020, l'intelligenza artificiale è la capacità di acquisire, elaborare, creare e applicare conoscenza, conservata sotto forma di modello, per svolgere uno o più compiti determinati.

Ci sono diverse forme e applicazioni di intelligenza artificiale che spaziano da un'IA progettata e addestrata per una specifica attività, come la comprensione del linguaggio naturale o del gioco degli scacchi, fino a quella che mira a simulare la consapevolezza e il ragionamento umano.

La tecnologia IA impiega varie tecniche per raggiungere i suoi obiettivi come le reti neurali, l'apprendimento automatico (machine learning), l'elaborazione del linguaggio naturale e la robotica e queste tecnologie stanno già rivoluzionando settori come il servizio clienti e la supply chain perché non si limitano ad automatizzare i compiti ripetitivi ma forniscono anche intuizioni preziose per migliorare l'efficienza e l'efficacia aziendali.

L'intelligenza artificiale è vista come una tecnologia senza pari che, potenzialmente, potrà guidare su larga scala cambiamenti economici e sociali. Per sfruttare appieno il suo potenziale, è estremamente importante instaurare fiducia nei suoi confronti sia da parte dei consumatori che delle imprese. Questa fiducia, ovviamente, non può che basarsi sulla certezza che l'IA venga utilizzata in modo etico e responsabile.

La legislazione dell'Unione Europea sull'IA e i modelli già esistenti

A Singapore nel 2020 venne pubblicato il Model AI Governance Framework che contiene le pratiche che, a livello etico, possono essere utilizzate per sviluppare sistemi di intelligenza artificiale.

Sempre nello stesso periodo, l'Australia pubblicò l'AI Ethics Framework con lo scopo di guidare governoi e organizzazioni nello sviluppo e nell'implementazione etica dei sistemi di IA.

Un'università finlandese, quella di Turku, presentò nel 2022 il modello Artificial Intelligence Governance and Auditing (AIGA) per spiegare un ciclo di vita della governance dell'intelligenza artificiale.

Nel gennaio del 2023, il NIST pubblicò l'AI Risk Management Framework di cui parleremo più avanti e, nell'ottobre del 2023, sempre negli Stati Uniti, ci fu il Biden Executive Order del Presidente Biden che fornì strategie per sfruttare il potenziale dell’intelligenza artificiale e gestire, nello stesso tempo, i rischi ad essa associati.

Il primo novembre 2023 venne firmata da 28 paesi del mondo (tra gli altri, Regno Unito, Stati Uniti, Cina, Unione Europea, paesi dell'Africa, del Medio Oriente e dell'Asia) la Dichiarazione di Bletchley sull’IA che spiegava la necessità di comprendere e gestire collettivamente i potenziali rischi attraverso uno sforzo globale congiunto.

E' in questo panorama articolato che si inquadra il lavoro dell'Unione Europea che ha raggiunto qualche tempo fa una decisione provvisoria sulla prima legislazione globale completa sull'IA. Dopo 36 ore di discussioni, sono state concordate delle regole relative all'intelligenza artificiale in sistemi basati sull'architettura GPT (Generative Pre-trained Transformer) e per ciò che riguatrda il riconoscimento facciale.
Il Parlamento Europeo voterà su queste proposte storiche dell'EU AI Act all'inizio del 2024, ma la legislazione correlata non entrerà in vigore prima del 2025. Ovviamente, si prevede a breve che anche Stati Uniti, Regno Unito e Cina pubblicheranno le loro linee guida sull'IA per cercare di trovare un equlibrio tra governance e innovazione e garantire che siano in atto tutte le garanzie pertinenti.

Ruolo centrale degli standard e ISO/IEC 42001

In tutto questo discorso della governance dell'intelligenza artificiale, gli standard giocheranno un ruolo centrale perché, consultando esperti di tutto il mondo, aiutano a costruire un consenso su cosa sia una buona governance in questo settore. La complessità e il rapido sviluppo dell'IA, d'altronde, richiedono standard che guidino la sua applicazione e uno standard ISO fornisce un modello riconosciuto a livello internazionale per gestire i rischi associati a queste tecnologie e garantire un'applicazione efficace, sicura ed etica dell'intelligenza artificiale.

In un mondo dove l'IA può influenzare decisioni critiche e comportare rischi significativi, la nuova norma ISO/IEC 42001 diventa indispensabile perché mira proprio a fornire alle aziende e alle organizzazioni un solido modello di governance per l'intelligenza artificiale che includa l'integrazione dei concetti di rischio, sistema e governance e abbia come riferimenti norme come la ISO 31000:2018 "Gestione del rischio - Linee guida", Il Cybersecurity Framework del National Institute of Standards and Technology, la ISO/IEC 27005:2022 "Information security, cybersecurity and privacy protection - Guidance on managing information security risks" e la ISO 22301:2019 "Sicurezza e resilienza - Sistemi di gestione per la continuità operativa - Requisiti". Che questo standard sia importante lo capiamo semplicemente pensando ad alcune funzionalità dell'IA che sollevano rischi aggiuntivi all'interno di un particolare processo o sistema rispetto a come la stessa attività verrebbe tradizionalmente eseguita senza l'intelligenza artificiale. Esempi possono essere il processo decisionale automatico che, se effettuato in modo non trasparente, può richiedere una supervisione specifica che va oltre quella dei sistemi IT tradizionali, l'analisi dei dati e il machine learning che, se utilizzati al posto della logica codificata dall'uomo per progettare i sistemi, cambiano il modo in cui tali sistemi vengono sviluppati in modi che potrebbero richiedere una salvaguardia differente. Lo stesso apprendimento continuo richiede considerazioni speciali per garantire un uso responsabile.

La ISO/IEC 42001, che è la prima normativa internazionale di sistema di gestione per lo sviluppo e l'implementazione sicuri e affidabili dell'IA, nasce in risposta alla crescente adozione di questa tecnologia e alla relativa diffidenza nei suoi confronti ed è rivolta a qualsiasi organizzazione o professionista che intenda implementare l'IA in modo sicuro, visto che il suo utilizzo richiede un approccio multidisciplinare che può includere aspetti legali, aspetti legati alla privacy, alla gestione della qualità, alla produzione, al marketing, alla ricerca e sviluppo, alle attività commerciali, alla gestione delle risorse umane, all'IT e alla gestione del rischio. La norma, in sostanza, fornisce un framework che consente lo sviluppo di prodotti e sistemi IA all'interno di un ecosistema controllato. Tutto questo è pensato per aiutare le organizzazioni a dimostrare che l'introduzione dell'intelligenza artificiale è una decisione strategica che ha obiettivi chiari e massimizzare i benefici dell'IA per la società e le aziende, assicurando al tempo stesso uno sviluppo responsabile e sicuro dei sistemi.
L’intento della ISO/IEC 42001 è anche quello di aiutare le organizzazioni a svolgere in modo responsabile il proprio ruolo nell’uso, nello sviluppo, nel monitoraggio o nella fornitura di prodotti o servizi che utilizzino l’intelligenza artificiale, in modo da proteggere la tecnologia.

La nuova norma fa parte di un portafoglio di standard sviluppati dall'ISO/IEC JTC 1/SC 42 "Artificial intelligence" che ha come compito la standardizzazione nel campo dell’intelligenza artificiale. Al comitato tecnico congiunto dell'ISO e di IEC hanno partecipato esperti provenienti da diversi settori industriali e istituti di ricerca e questo garantisce che lo standard sia applicabile in diversi contesti.

Un sistema di gestione progettato e implementato secondo la ISO/IEC 42001 può essere certificato per permettere alle organizzazioni di massimizzare i benefici dell'intelligenza artificiale, garantendo al tempo stesso la gestione responsabile del sistema. In questo modo, le aziende possono dimostrare il loro impegno verso un uso etico e sicuro dell'IA.
Simile agli standard ISO 9001 e ISO/IEC 27001, la ISO/IEC 42001 offre una serie di best practice, regole, definizioni e linee guida per la gestione dei rischi e degli aspetti operativi dell'IA. Gli obiettivi includono lo sviluppo e l'utilizzo di sistemi di intelligenza artificiale affidabili, trasparenti e responsabili, con un'enfasi particolare sui principi etici, l'identificazione e la mitigazione dei rischi, la conformità normativa e la creazione di fiducia in tutte le parti interessate. Ovviamente, proprio come le altre norme che già conosciamo, anche la ISO/IEC 42001 adotta un approccio circolare, enfatizzando l'importanza di stabilire, implementare, mantenere e migliorare continuamente i sistemi di IA e questo approccio riflette il ritmo dinamico e l'evoluzione costante dell'intelligenza artificiale, permettendo alle organizzazioni di adattarsi e rispondere efficacemente alle nuove sfide e opportunità. E proprio come le altre norme che ci sono familiari, la ISO/IEC 42001 adotta la struttura comune a tutte le norme ISO certificabili che include elementi come il contesto dell'organizzazione, la leadership, la pianificazione, il supporto, le attività operative, la valutazione delle prestazioni e il miglioramento, offrendo un modello integrabile nei sistemi di gestione già esistenti. Del resto, una norma come questa deve per forza interfacciarsi con la ISO 27001 (sicurezza delle informazioni), la ISO 27701 (privacy) e con la ISO 9001 (qualità), dato che i problemi e i rischi che circondano l’intelligenza artificiale in aree quali la sicurezza informatica, la privacy e la qualità, tra gli altri, non dovrebbero essere gestiti separatamente per l’intelligenza artificiale ma in modo olistico.

I temi trattati nella norma sono, tra gli altri:

  • dal capitolo 1 al capitolo 10, quelli che già conosciamo grazie alla ISO 9001:2015 (Scopo e campo di applicazione, Riferimenti normativi, Termini e definizioni, Contesto dell'organizzazione, Leadership, Pianificazione, Supporto, Attività operative, Valutazione delle prestazioni e Miglioramento)
  • abbiamo poi tre "Annex":
    • Annex A sui controlli
    • Annex B che offre una guida all'implementazione dei controlli per l'IA e prende in considerazione argomenti quali le politiche legate all’IA, gli obiettivi, l'organizzazione interna (ad esempio, ruoli e responsabilità, segnalazione di problematiche, ecc.), le risorse per i sistemi di intelligenza artificiale (ad esempio dati, strumenti, risorse umane, ecc.), l'analisi dell'impatto dei sistemi di intelligenza artificiale su individui, gruppi e società, il ciclo di vita del sistema IA, i dati per i sistemi di intelligenza artificiale, le informazioni per le parti interessate ai sistemi di IA, l'utilizzo dei sistemi di intelligenza artificiale (ad esempio, uso responsabile/previsto, obiettivi), i rapporti con terze parti (ad esempio fornitori, clienti)
    • Annex C che informa relativamente agli obiettivi e alle fonti di rischio potenziali legati all'intelligenza artificiale
    • Annex D che spiega l'integrazione tra questo standard e le altre norme e la possibilità di utilizzarlo in diversi settori

(L'articolo continua sotto al box in cui ti segnaliamo che alla collana di libri QualitiAmo si è aggiunto un nuovo titolo).

LA COLLANA DEI LIBRI DI QUALITIAMO

"La nuova ISO 9001:2015 per riorganizzare, finalmente, l'azienda per processi" - Si aggiunge alla collana dei libri di QualitiAmo il primo testo che svela i segreti della futura norma.
Dalla teoria alla pratica: il secondo lavoro di Stefania Cordiani e Paolo Ruffatti spiega come migliorare la vostra organizzazione applicando la nuova norma attraverso i suggerimenti del loro primo libro
(Vai all'articolo che descrive il nuovo libro)

"Organizzazione per processi e pensiero snello - Le PMI alla conquista del mercato" - Da una collaborazione nata sulle nostre pagine, un libro per far uscire le PMI dalla crisi.
L’ideatrice di QualitiAmo e una delle sue firme storiche spiegano come usare con efficacia la Qualità.
(Vai all'articolo che descrive il primo libro)

(Vuoi restare aggiornato gratuitamente sulla ISO 9001:2015? Visita ogni giorno la pagina che ti abbiamo linkato. Riporteremo quotidianamente tutti i nostri articoli sulla norma)

Gli obiettivi di sviluppo sostenibile

In conclusione, è importante sottolineare anche che la norma ISO/IEC 42001 entra a pieno titolo nel supporto all’Agenda 2030 per lo Sviluppo Sostenibile dell'ONU che è un programma d’azione per le persone, il pianeta e la prosperità sottoscritto nel 2015 dai governi dei 193 Paesi che si sono impegnati a raggiungere gli obiettivi per lo sviluppo sostenibile entro il 2030. In particolare, l'ISO spiega che questa norma contribuisce agli obiettivi 5 (parità di genere), 7 (energia pulita e accessibile), 8 (lavoro dignitoso e crescita economica), 9 (industria, innovazione e infrastrutture), 10 (riduzione delle diseguaglianze), 12 (consumo e produzione responsabile) e 14 (vita acquatica).

Vi lasciamo con le parole di Kamala Harris, sperando che si vada davvero, tutti quanti, in questa direzione: "La storia ha dimostrato che, in assenza di regolamentazione e di una forte supervisione da parte del governo, alcune aziende tecnologiche scelgono di dare priorità al profitto piuttosto che al benessere dei propri clienti, alla sicurezza delle nostre comunità e alla stabilità delle nostre democrazie… Un modo per affrontare queste sfide – oltre al lavoro che abbiamo già svolto – è la legislazione. Una legislazione che rafforzi la sicurezza dell’IA senza soffocare l’innovazione".

Approfondimenti

Elenco degli standard ISO che hanno come tema l'intelligenza artificiale e che sono stati pubblicati

Elenco degli standard ISO che hanno come tema l'intelligenza artificiale e che sono in via di sviluppo

Singapore’s Approach to AI Governance

Australia’s Artificial Intelligence Ethics Framework

Artificial Intelligence Governance and Auditing (AIGA)

Cybersecurity Framework NIST

The Bletchley Declaration

Proposta di Regolamento Del Parlamento Europeo E Del Consiglio Che Stabilisce Regole Armonizzate Sull’intelligenza Artificiale (Legge Sull’intelligenza Artificiale) E Modifica Alcuni Atti Legislativi Dell’unione

Comparison and Analysis of 3 Key AI Documents: EU’s Proposed AI Act, Assessment List for Trustworthy AI (ALTAI), and ISO/IEC 42001 AI Management System

United Nations, 17 Goals to Transform Our World

PER SAPERNE DI PIU':
Tutti gli articoli sulla ISO/IEC 42001
Tutti gli articoli sulla quality 4.0
Tutti gli articoli sulla ISO 9001
ISO 9001
La ISO 9001:2015