salta al contenuto

18 domande e risposte per conoscere meglio la ISO/IEC 42001:2023

Quello che dobbiamo sapere sulla nuova norma ISO 42001 sull'Intelligenza Artificiale

Illustrazione: ISO 42001 domande e risposte
Pubblicato il 16 gennaio 2024

di

Cos'è la ISO/IEC 42001:2023?

La ISO/IEC 42001:2023 è la prima norma internazionale che definisce i requisiti per stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione dell'intelligenza artificiale (AI Management System - AIMS) all'interno di un'organizzazione.

Pubblicata nel dicembre 2023, questa norma fornisce un quadro di riferimento per gestire in modo responsabile e affidabile lo sviluppo, l'implementazione e l'uso di sistemi di intelligenza artificiale. è stata sviluppata dal comitato tecnico congiunto ISO/IEC JTC 1/SC 42 in risposta alla crescente necessità di standard per la governance dell'AI.

La norma si basa sulla struttura di alto livello (High-Level Structure - HLS) comune a molte altre norme ISO sui sistemi di gestione, come la ISO 9001 per la qualità e la ISO 27001 per la sicurezza delle informazioni, facilitando l'integrazione con altri sistemi di gestione esistenti.

Perché questa norma è importante?

La norma ISO/IEC 42001:2023 è importante per diverse ragioni fondamentali:

  • gestione responsabile dell'AI: fornisce un quadro strutturato per garantire che i sistemi di intelligenza artificiale siano sviluppati e utilizzati in modo etico, sicuro e conforme alle normative vigenti
  • mitigazione dei rischi: aiuta le organizzazioni a identificare e gestire i rischi specifici associati all'uso dell'AI, tra cui pregiudizi algoritmici, privacy dei dati, trasparenza e responsabilità
  • fiducia e trasparenza: implementare questa norma dimostra l'impegno dell'organizzazione verso pratiche AI responsabili, aumentando la fiducia di clienti, partner e autorità regolatorie
  • conformità normativa: con l'aumento delle regolamentazioni sull'AI a livello globale (come l'AI Act europeo), questa norma fornisce una base solida per conformarsi ai requisiti legali
  • vantaggio competitivo: la certificazione può differenziare un'organizzazione nel mercato, dimostrando leadership nell'adozione responsabile dell'AI
  • integrazione con altri sistemi: grazie alla struttura HLS, si integra facilmente con altri sistemi di gestione ISO già implementati

A chi si rivolge la norma ISO/IEC 42001:2023?

La norma ISO/IEC 42001:2023 è progettata per essere applicabile a organizzazioni di qualsiasi dimensione, tipo e natura che sviluppano, forniscono o utilizzano prodotti o servizi basati sull'intelligenza artificiale.

Più nello specifico, la norma si rivolge a:

  • sviluppatori di sistemi AI: aziende tecnologiche che creano algoritmi, modelli di machine learning e soluzioni AI
  • fornitori di servizi AI: organizzazioni che offrono servizi basati sull'intelligenza artificiale a terzi, come piattaforme di AI-as-a-Service
  • utenti aziendali di AI: imprese che implementano sistemi AI nei loro processi operativi, anche se non li sviluppano internamente
  • organizzazioni pubbliche: enti governativi e pubbliche amministrazioni che utilizzano AI per servizi ai cittadini
  • settori regolamentati: organizzazioni in settori critici come sanità, finanza, trasporti e sicurezza, dove l'uso dell'AI richiede particolare attenzione
  • PMI e grandi imprese: la norma è scalabile e può essere adattata alle risorse e alle esigenze specifiche di organizzazioni di diverse dimensioni

In sintesi, qualsiasi organizzazione che voglia garantire una gestione responsabile, etica e conforme dell'intelligenza artificiale può trarre beneficio dall'implementazione della ISO/IEC 42001:2023.

La norma è certificabile?

Sì, la ISO/IEC 42001:2023 è una norma certificabile. questo significa che un'organizzazione può sottoporsi a un audit di terza parte condotto da un ente di certificazione accreditato per verificare la conformità ai requisiti della norma e ottenere una certificazione ufficiale.

La certificazione ISO/IEC 42001 offre diversi vantaggi:

  • riconoscimento internazionale: la certificazione è riconosciuta a livello globale e dimostra che l'organizzazione gestisce l'AI secondo standard internazionali
  • validazione indipendente: un ente esterno verifica che i processi e i controlli implementati siano efficaci e conformi
  • credibilità e fiducia: aumenta la fiducia di clienti, partner, investitori e autorità regolatorie nell'approccio dell'organizzazione all'AI
  • vantaggio di mercato: può essere un differenziatore competitivo, specialmente in settori dove la governance dell'AI è critica

Il processo di certificazione tipicamente include:

  1. implementazione del sistema di gestione AI secondo i requisiti della norma
  2. audit documentale (stage 1) per verificare la documentazione del sistema
  3. audit in loco (stage 2) per valutare l'efficacia dell'implementazione
  4. rilascio della certificazione in caso di esito positivo
  5. audit di sorveglianza periodici per mantenere la certificazione

Quali sono i requisiti per implementare la norma?

L'implementazione della norma ISO/IEC 42001:2023 richiede che l'organizzazione stabilisca, implementi, mantenga e migliori continuamente un sistema di gestione dell'intelligenza artificiale (AIMS) in accordo con i requisiti della norma stessa.

I requisiti fondamentali includono:

  • impegno della direzione: la leadership dell'organizzazione deve dimostrare un impegno attivo verso il sistema di gestione AI, stabilendo una politica sull'AI e assicurando l'allocazione delle risorse necessarie
  • definizione del contesto: identificare i fattori interni ed esterni rilevanti per il sistema di gestione AI, comprendere le esigenze e aspettative delle parti interessate, e definire lo scopo e i confini del sistema
  • valutazione dei rischi: implementare un processo sistematico per identificare, analizzare e valutare i rischi associati ai sistemi AI, con particolare attenzione a bias, privacy, sicurezza e impatto sui diritti umani
  • gestione delle opportunità: identificare e sfruttare le opportunità per migliorare il sistema di gestione AI
  • competenze e consapevolezza: garantire che il personale abbia le competenze necessarie e sia consapevole della politica AI, dei propri ruoli e responsabilità
  • documentazione: mantenere informazioni documentate necessarie per l'efficacia del sistema di gestione AI
  • controlli operativi: implementare controlli per gestire i rischi identificati lungo tutto il ciclo di vita dei sistemi AI
  • monitoraggio e misurazione: stabilire processi per monitorare, misurare, analizzare e valutare le prestazioni del sistema di gestione AI
  • audit interni: condurre audit periodici per verificare la conformità e l'efficacia del sistema
  • riesame della direzione: la direzione deve riesaminare periodicamente il sistema di gestione AI per garantirne l'adeguatezza e l'efficacia continua
  • gestione delle non conformità: implementare processi per gestire le non conformità e intraprendere azioni correttive
  • miglioramento continuo: cercare costantemente opportunità per migliorare il sistema di gestione AI

Quali sono i principali requisiti della norma?

La norma ISO/IEC 42001:2023 si struttura in dieci sezioni principali che seguono la High-Level Structure (HLS) comune ad altre norme ISO sui sistemi di gestione. ecco i principali requisiti organizzati per sezione:

1. contesto dell'organizzazione (clausola 4)

  • comprensione dell'organizzazione e del suo contesto
  • comprensione delle esigenze e aspettative delle parti interessate
  • determinazione dello scopo del sistema di gestione AI

2. leadership (clausola 5)

  • leadership e impegno della direzione
  • politica sull'intelligenza artificiale
  • ruoli, responsabilità e autorità nell'organizzazione

3. pianificazione (clausola 6)

  • azioni per affrontare rischi e opportunità
  • obiettivi del sistema di gestione AI e pianificazione per raggiungerli

4. supporto (clausola 7)

  • risorse adeguate
  • competenze del personale
  • consapevolezza
  • comunicazione interna ed esterna
  • informazioni documentate

5. attività operative (clausola 8)

  • pianificazione e controllo operativi
  • gestione del ciclo di vita dei sistemi AI
  • valutazione d'impatto sull'AI
  • acquisizione, sviluppo e supply chain

6. valutazione delle prestazioni (clausola 9)

  • monitoraggio, misurazione, analisi e valutazione
  • audit interno
  • riesame della direzione

7. miglioramento (clausola 10)

  • non conformità e azioni correttive
  • miglioramento continuo

Ogni sezione contiene requisiti specifici che l'organizzazione deve soddisfare per essere conforme alla norma. l'allegato A della norma fornisce inoltre un elenco dettagliato di controlli specifici per l'AI che possono essere implementati in base ai rischi identificati.

Quali rischi specifici dell'AI devono essere gestiti?

La norma ISO/IEC 42001:2023 richiede che le organizzazioni identifichino e gestiscano una serie di rischi specifici associati all'uso dell'intelligenza artificiale. i principali rischi da considerare includono:

  • bias e discriminazione: i sistemi AI possono perpetuare o amplificare pregiudizi presenti nei dati di addestramento, portando a decisioni ingiuste o discriminatorie nei confronti di gruppi specifici
  • privacy e protezione dei dati: i sistemi AI spesso elaborano grandi quantità di dati personali, creando rischi per la privacy degli individui e la conformità con normative come il GDPR
  • trasparenza e spiegabilità: molti modelli AI, specialmente quelli di deep learning, operano come "scatole nere", rendendo difficile spiegare come vengono prese le decisioni
  • sicurezza informatica: i sistemi AI possono essere vulnerabili ad attacchi informatici, come il data poisoning o gli adversarial attacks che possono compromettere le prestazioni del modello
  • affidabilità e robustezza: i sistemi AI devono funzionare in modo affidabile anche in condizioni variabili e inattese, senza errori critici
  • responsabilità e accountability: è essenziale definire chiaramente chi è responsabile delle decisioni e delle azioni dei sistemi AI, specialmente quando causano danni
  • impatto sui diritti umani: l'uso dell'AI può influenzare diritti fondamentali come la libertà di espressione, il diritto al lavoro e la dignità umana
  • dipendenza e automazione: un eccessivo affidamento sui sistemi AI può ridurre la capacità umana di intervenire e prendere decisioni critiche
  • deriva del modello: le prestazioni dei sistemi AI possono degradarsi nel tempo a causa di cambiamenti nei dati o nel contesto operativo
  • conformità normativa: l'evoluzione rapida delle regolamentazioni sull'AI crea rischi di non conformità

La norma richiede che questi rischi siano sistematicamente identificati, valutati e mitigati attraverso controlli appropriati lungo tutto il ciclo di vita del sistema AI.

Come si integra con altre norme ISO?

La ISO/IEC 42001:2023 è stata progettata per integrarsi facilmente con altre norme ISO sui sistemi di gestione, grazie all'adozione della struttura di alto livello (High-Level Structure - HLS). questa struttura comune facilita l'implementazione simultanea e l'integrazione di più sistemi di gestione.

Le principali integrazioni con altre norme ISO includono:

ISO 9001 (gestione della qualità)

  • i requisiti per la gestione della qualità dei sistemi AI si allineano con i principi della ISO 9001
  • il ciclo PDCA (plan-do-check-act) è applicabile a entrambe le norme
  • i processi di monitoraggio e miglioramento continuo sono compatibili

ISO/IEC 27001 (gestione della sicurezza delle informazioni)

  • la sicurezza dei dati utilizzati dai sistemi AI è un requisito condiviso
  • i controlli sulla protezione delle informazioni possono essere applicati ai dataset AI
  • la gestione dei rischi di sicurezza informatica è complementare

ISO/IEC 27701 (privacy)

  • la protezione dei dati personali è essenziale per entrambe le norme
  • i requisiti GDPR possono essere soddisfatti attraverso l'implementazione integrata

ISO 31000 (gestione del rischio)

  • la metodologia di valutazione del rischio della ISO 31000 può essere applicata ai rischi specifici dell'AI

ISO/IEC 38500 (governance dell'IT)

  • i principi di governance IT si estendono alla governance dei sistemi AI

L'integrazione permette alle organizzazioni di evitare duplicazioni, ottimizzare le risorse e creare un sistema di gestione coerente che copre qualità, sicurezza, privacy e AI in modo armonioso.

Quali competenze deve avere il personale?

La norma ISO/IEC 42001:2023 richiede che l'organizzazione garantisca che il personale coinvolto nello sviluppo, nell'implementazione, nella gestione e nell'uso di sistemi di intelligenza artificiale possieda le competenze necessarie.

Le competenze richieste variano in base ai ruoli e alle responsabilità, ma generalmente includono:

competenze tecniche

  • conoscenza degli algoritmi di machine learning e deep learning
  • capacità di sviluppo e addestramento di modelli AI
  • comprensione dell'elaborazione dei dati, feature engineering e gestione dei dataset
  • conoscenza dei framework e degli strumenti AI (tensorflow, pytorch, scikit-learn, ecc.)
  • competenze in programmazione (python, r, java, ecc.)

competenze in gestione del rischio

  • capacità di identificare e valutare i rischi specifici dell'AI
  • conoscenza delle metodologie di risk assessment
  • comprensione dei rischi etici, di bias e di privacy

competenze normative e di conformità

  • conoscenza delle normative rilevanti (GDPR, AI Act, ecc.)
  • comprensione degli standard e delle best practice in materia di AI
  • familiarità con audit e processi di certificazione

competenze etiche

  • consapevolezza delle implicazioni etiche dell'AI
  • comprensione dei principi di AI responsabile (fairness, trasparenza, accountability)
  • capacità di valutare l'impatto sui diritti umani

competenze di comunicazione

  • capacità di spiegare in modo chiaro il funzionamento dei sistemi AI a stakeholder non tecnici
  • abilità di documentare processi e decisioni

La norma richiede che l'organizzazione:

  • determini le competenze necessarie per ciascun ruolo
  • assicuri che il personale abbia le competenze richieste attraverso formazione, esperienza o qualificazioni
  • fornisca formazione continua per mantenere e aggiornare le competenze
  • mantenga evidenze documentate delle competenze acquisite

Qual è il ciclo di vita di un sistema AI secondo questa norma?

La norma ISO/IEC 42001:2023 richiede che le organizzazioni gestiscano i sistemi di intelligenza artificiale lungo tutto il loro ciclo di vita. il ciclo di vita di un sistema AI comprende diverse fasi, ciascuna con specifici requisiti e controlli.

Le fasi principali del ciclo di vita AI sono:

1. pianificazione e progettazione

  • definizione degli obiettivi e dei requisiti del sistema AI
  • valutazione d'impatto sull'AI (AI impact assessment)
  • identificazione dei rischi e delle opportunità
  • progettazione dell'architettura del sistema
  • selezione degli algoritmi e delle tecniche appropriate

2. raccolta e preparazione dei dati

  • identificazione delle fonti di dati
  • raccolta dei dati nel rispetto della privacy e delle normative
  • pulizia e pre-elaborazione dei dati
  • valutazione della qualità e dell'adeguatezza dei dati
  • gestione dei bias nei dati

3. sviluppo e addestramento

  • sviluppo del modello AI
  • addestramento del modello con i dati preparati
  • tuning degli iperparametri
  • validazione e test del modello
  • valutazione delle prestazioni e dell'accuratezza

4. verifica e validazione

  • test approfonditi in scenari diversi
  • verifica della conformità ai requisiti
  • validazione dell'affidabilità e della robustezza
  • controllo dei bias e della fairness
  • test di sicurezza e resilienza

5. deployment (messa in produzione)

  • implementazione del sistema nell'ambiente operativo
  • configurazione dei controlli e delle misure di sicurezza
  • formazione degli utenti finali
  • documentazione del sistema

6. monitoraggio e manutenzione

  • monitoraggio continuo delle prestazioni del sistema
  • rilevamento della deriva del modello (model drift)
  • aggiornamenti periodici con nuovi dati
  • gestione degli incidenti e delle non conformità
  • manutenzione correttiva e preventiva

7. riesame e miglioramento

  • riesame periodico dell'efficacia del sistema
  • identificazione di opportunità di miglioramento
  • implementazione di aggiornamenti e ottimizzazioni

8. dismissione

  • pianificazione della dismissione del sistema
  • gestione sicura dei dati e dei modelli
  • documentazione delle lezioni apprese
  • archiviazione delle informazioni rilevanti

La norma richiede che ogni fase sia documentata, che i rischi siano gestiti in modo appropriato e che siano implementati controlli per garantire che il sistema AI sia sviluppato e utilizzato in modo responsabile, etico e conforme.

Come viene gestita la documentazione?

La norma ISO/IEC 42001:2023 richiede che le organizzazioni mantengano e controllino le informazioni documentate necessarie per l'efficacia del sistema di gestione dell'intelligenza artificiale.

La gestione della documentazione include:

documentazione obbligatoria

  • politica sull'AI: documento che definisce l'impegno dell'organizzazione verso una gestione responsabile dell'AI
  • scopo del sistema di gestione AI: definizione chiara dei confini e dell'applicabilità del sistema
  • valutazione dei rischi e delle opportunità: documentazione dei rischi identificati, delle loro valutazioni e dei trattamenti pianificati
  • obiettivi AI: documentazione degli obiettivi del sistema di gestione AI e dei piani per raggiungerli
  • competenze del personale: evidenze delle competenze, formazione e qualificazioni
  • informazioni operative: documentazione dei processi operativi, incluso il ciclo di vita dei sistemi AI
  • monitoraggio e misurazione: registrazioni delle attività di monitoraggio e dei risultati
  • risultati degli audit interni: rapporti degli audit e delle verifiche condotte
  • riesami della direzione: verbali e decisioni dei riesami periodici
  • non conformità e azioni correttive: documentazione degli incidenti, delle non conformità e delle azioni intraprese

documentazione tecnica dei sistemi AI

  • descrizione del sistema AI, della sua architettura e dei suoi componenti
  • documentazione dei dataset utilizzati (origine, caratteristiche, pulizia, gestione dei bias)
  • algoritmi e modelli utilizzati
  • parametri di addestramento e configurazione
  • risultati dei test e delle validazioni
  • valutazioni d'impatto sull'AI
  • procedure operative e istruzioni per l'uso

requisiti per il controllo delle informazioni documentate

  • identificazione: ogni documento deve essere univocamente identificabile (titolo, data, autore, versione, ecc.)
  • formato e supporto: i documenti possono essere in qualsiasi formato (cartaceo, elettronico) appropriato all'organizzazione
  • revisione e approvazione: i documenti devono essere revisionati e approvati prima dell'uso
  • disponibilità: i documenti devono essere disponibili e accessibili quando necessario
  • protezione: le informazioni devono essere protette da perdita di confidenzialità, uso improprio o perdita di integrità
  • controllo delle modifiche: le modifiche ai documenti devono essere controllate e documentate
  • conservazione: i documenti devono essere conservati per un periodo appropriato
  • obsolescenza: i documenti obsoleti devono essere identificati e rimossi dalla circolazione

La norma non prescrive un formato specifico per la documentazione, lasciando all'organizzazione la flessibilità di adattare la documentazione alle proprie esigenze, dimensioni e complessità dei sistemi AI.

Cosa prevede il monitoraggio delle prestazioni?

La norma ISO/IEC 42001:2023 richiede che le organizzazioni stabiliscano, implementino e mantengano processi per monitorare, misurare, analizzare e valutare le prestazioni del sistema di gestione dell'intelligenza artificiale e dei sistemi AI stessi.

Il monitoraggio delle prestazioni include:

cosa monitorare

  • prestazioni dei sistemi AI: accuratezza, precisione, recall, f1-score e altre metriche rilevanti
  • efficacia del sistema di gestione AI: grado di raggiungimento degli obiettivi stabiliti
  • conformità: rispetto dei requisiti normativi, contrattuali e interni
  • rischi: evoluzione e materializzazione dei rischi identificati
  • incidenti e non conformità: frequenza, gravità e tipologia degli incidenti
  • soddisfazione delle parti interessate: feedback da clienti, utenti e altre parti interessate
  • deriva del modello: cambiamenti nelle prestazioni nel tempo
  • bias e fairness: presenza di discriminazioni o pregiudizi nelle decisioni AI

come monitorare

  • metodi: definire i metodi di monitoraggio e misurazione appropriati per garantire risultati validi
  • quando: stabilire la frequenza del monitoraggio (continuo, periodico, ad-hoc)
  • chi: assegnare responsabilità chiare per le attività di monitoraggio
  • strumenti: utilizzare strumenti automatizzati quando possibile per il monitoraggio continuo

analisi e valutazione

  • analizzare i dati di monitoraggio per identificare trend, anomalie e aree di miglioramento
  • valutare l'efficacia delle misure di trattamento del rischio implementate
  • confrontare i risultati con gli obiettivi e i benchmark stabiliti
  • identificare cause radice di problemi o non conformità

reporting

  • i risultati del monitoraggio devono essere documentati e comunicati alle parti interessate rilevanti
  • reportistica periodica alla direzione con evidenze delle prestazioni
  • dashboard e visualizzazioni per facilitare la comprensione

azioni

  • sulla base dei risultati del monitoraggio, l'organizzazione deve intraprendere azioni appropriate
  • azioni correttive per affrontare non conformità o problemi
  • azioni preventive per mitigare rischi emergenti
  • iniziative di miglioramento continuo

Il monitoraggio efficace permette all'organizzazione di mantenere il controllo sui sistemi AI, garantire la loro affidabilità nel tempo e dimostrare la conformità ai requisiti della norma.

Cos'è il processo di audit interno?

La norma ISO/IEC 42001:2023 richiede che le organizzazioni conducano audit interni a intervalli pianificati per fornire informazioni sul fatto che il sistema di gestione dell'intelligenza artificiale sia conforme ai requisiti della norma e dell'organizzazione stessa, e sia efficacemente implementato e mantenuto.

Il processo di audit interno comprende:

pianificazione degli audit

  • programma di audit: stabilire un programma che definisca frequenza, metodi, responsabilità, pianificazione e reporting degli audit
  • frequenza: basata sull'importanza dei processi, sui risultati di audit precedenti e sui cambiamenti nell'organizzazione
  • scopo e criteri: definire chiaramente per ogni audit cosa sarà verificato e rispetto a quali criteri
  • selezione degli auditor: gli auditor devono essere obiettivi e imparziali, non devono auditare il proprio lavoro

conduzione degli audit

  • preparazione: gli auditor studiano la documentazione e preparano checklist e piani di audit
  • riunione di apertura: presentazione del team di audit, conferma dello scopo e del metodo
  • raccolta di evidenze: attraverso interviste, osservazioni, esame di documenti e registrazioni
  • verifica della conformità: confronto tra le pratiche osservate e i requisiti della norma
  • valutazione dell'efficacia: verifica che i processi raggiungano i risultati previsti
  • riunione di chiusura: presentazione dei risultati, discussione delle non conformità rilevate

rapporto di audit

  • documentazione dei risultati dell'audit, incluse le evidenze raccolte
  • identificazione delle non conformità, delle osservazioni e delle opportunità di miglioramento
  • conclusioni sull'efficacia complessiva del sistema di gestione AI

azioni successive

  • l'organizzazione deve intraprendere azioni correttive per affrontare le non conformità rilevate
  • verificare l'efficacia delle azioni correttive implementate
  • conservare le informazioni documentate come evidenza del programma di audit e dei risultati

competenze degli auditor

  • gli auditor devono avere competenze in:
    • tecniche di audit
    • requisiti della ISO/IEC 42001:2023
    • comprensione dei sistemi AI e dei loro rischi
    • processi e attività dell'organizzazione

Gli audit interni sono uno strumento fondamentale per verificare la conformità continua, identificare aree di miglioramento e dimostrare l'impegno dell'organizzazione verso una gestione responsabile dell'AI.

Come vanno gestite le non conformità?

La norma ISO/IEC 42001:2023 richiede che le organizzazioni stabiliscano processi per gestire le non conformità quando si verificano, intraprendendo azioni per controllarle, correggerle e affrontare le conseguenze.

Il processo di gestione delle non conformità include:

1. identificazione e registrazione

  • rilevare e documentare le non conformità quando si verificano
  • le non conformità possono emergere da:
    • audit interni o esterni
    • monitoraggio e misurazione delle prestazioni
    • reclami di clienti o parti interessate
    • incidenti o malfunzionamenti dei sistemi AI
    • riesami della direzione

2. reazione alla non conformità

  • azioni immediate: intraprendere azioni per controllare e correggere la non conformità
  • gestione delle conseguenze: affrontare gli impatti negativi, inclusi quelli sui clienti e sulle parti interessate
  • contenimento: limitare la diffusione o l'aggravamento del problema

3. analisi delle cause

  • valutare la necessità di azioni per eliminare le cause della non conformità
  • analizzare le cause radice utilizzando tecniche appropriate (es. 5 perché, diagramma di Ishikawa, analisi dei guasti)
  • determinare se esistono non conformità simili o se potrebbero verificarsi altrove

4. azioni correttive

  • pianificazione: pianificare e implementare azioni per eliminare le cause radice
  • proporzionalità: le azioni devono essere appropriate agli effetti della non conformità
  • tempestività: implementare le azioni in modo tempestivo
  • responsabilità: assegnare chiaramente le responsabilità per l'implementazione

5. verifica dell'efficacia

  • verificare che le azioni correttive implementate siano efficaci
  • monitorare che la non conformità non si ripresenti
  • valutare se sono necessarie ulteriori azioni

6. aggiornamento del sistema

  • se necessario, modificare il sistema di gestione AI alla luce delle azioni correttive
  • aggiornare la valutazione dei rischi e delle opportunità
  • rivedere politiche, procedure e controlli

7. documentazione

  • mantenere informazioni documentate che forniscano evidenza di:
    • natura delle non conformità e delle azioni intraprese
    • risultati delle azioni correttive
  • creare un registro delle non conformità per facilitare l'analisi dei trend

tipologie di non conformità specifiche per l'AI

  • bias o discriminazioni nelle decisioni AI
  • violazioni della privacy o della protezione dei dati
  • degradazione delle prestazioni del modello (drift)
  • mancanza di trasparenza o spiegabilità
  • incidenti di sicurezza informatica
  • non conformità a normative (GDPR, AI Act, ecc.)
  • mancanza di documentazione adeguata

La gestione efficace delle non conformità è essenziale per il miglioramento continuo del sistema di gestione AI e per garantire che i sistemi AI operino in modo responsabile, etico e conforme.

Cosa prevede il miglioramento continuo?

La norma ISO/IEC 42001:2023 richiede che l'organizzazione migliori continuamente l'adeguatezza, l'appropriatezza e l'efficacia del sistema di gestione dell'intelligenza artificiale.

Il miglioramento continuo include:

principi del miglioramento continuo

  • approccio sistematico: il miglioramento deve essere un processo continuo e pianificato, non sporadico
  • coinvolgimento: tutti i livelli dell'organizzazione devono essere coinvolti nel processo di miglioramento
  • orientamento ai dati: le decisioni di miglioramento devono basarsi sull'analisi di dati e informazioni
  • ciclo PDCA: utilizzare il ciclo plan-do-check-act per guidare i miglioramenti

fonti per identificare opportunità di miglioramento

  • risultati del monitoraggio: analisi delle prestazioni dei sistemi AI e del sistema di gestione
  • audit interni: osservazioni e raccomandazioni degli auditor
  • riesami della direzione: decisioni e direttive della leadership
  • non conformità e azioni correttive: lezioni apprese dalla gestione dei problemi
  • feedback delle parti interessate: input da clienti, utenti, dipendenti e altre parti interessate
  • analisi dei rischi: identificazione di nuovi rischi o cambiamenti nei rischi esistenti
  • innovazione tecnologica: nuove tecniche, algoritmi o strumenti disponibili
  • benchmarking: confronto con le migliori pratiche del settore
  • cambiamenti normativi: aggiornamenti nelle leggi e regolamenti sull'AI

attività di miglioramento

  • ottimizzazione dei processi: rendere i processi del ciclo di vita AI più efficienti ed efficaci
  • aggiornamento dei modelli AI: migliorare le prestazioni, l'accuratezza e la robustezza dei sistemi AI
  • rafforzamento dei controlli: implementare controlli più efficaci per gestire i rischi
  • formazione e sviluppo: migliorare le competenze del personale
  • aggiornamento della documentazione: rendere la documentazione più chiara, completa e utile
  • miglioramento della governance: rafforzare i ruoli, le responsabilità e i processi decisionali
  • adozione di nuove tecnologie: implementare strumenti e tecniche più avanzate

pianificazione e implementazione

  • definire obiettivi di miglioramento specifici, misurabili e raggiungibili
  • pianificare le azioni necessarie, le risorse e le tempistiche
  • assegnare responsabilità chiare
  • implementare le azioni di miglioramento
  • monitorare i progressi

valutazione dei risultati

  • misurare l'efficacia delle azioni di miglioramento
  • confrontare i risultati con gli obiettivi prefissati
  • documentare le lezioni apprese
  • standardizzare i miglioramenti che hanno avuto successo

integrazione nel sistema

  • i miglioramenti efficaci devono essere integrati nel sistema di gestione AI
  • aggiornare politiche, procedure, processi e controlli
  • comunicare i cambiamenti a tutte le parti interessate
  • fornire formazione quando necessario

Il miglioramento continuo è essenziale per garantire che il sistema di gestione AI rimanga adeguato, appropriato ed efficace nel tempo, e che l'organizzazione si mantenga all'avanguardia nella gestione responsabile dell'intelligenza artificiale.

Come vanno gestite le parti interessate?

La norma ISO/IEC 42001:2023 richiede che l'organizzazione identifichi le parti interessate rilevanti per il sistema di gestione dell'intelligenza artificiale e comprenda le loro esigenze e aspettative.

La gestione delle parti interessate include:

identificazione delle parti interessate

Le parti interessate possono includere:

  • parti interessate interne:
    • direzione e leadership
    • dipendenti e collaboratori
    • team di sviluppo AI
    • responsabili della qualità, sicurezza e conformità
    • comitato etico (se esistente)
  • parti interessate esterne:
    • clienti e utenti finali
    • fornitori e partner tecnologici
    • autorità regolatorie e di vigilanza
    • enti di certificazione
    • comunità e società civile
    • gruppi di advocacy per i diritti umani e la privacy
    • accademia e comunità di ricerca
    • media
    • investitori e azionisti

comprensione delle esigenze e aspettative

Per ciascuna parte interessata rilevante, l'organizzazione deve determinare:

  • esigenze: cosa si aspettano dal sistema di gestione AI e dai sistemi AI
  • aspettative: quali standard di qualità, etica, sicurezza e trasparenza richiedono
  • requisiti: obblighi legali, contrattuali o normativi da soddisfare
  • preoccupazioni: timori o rischi percepiti in relazione all'uso dell'AI
  • impatti: come i sistemi AI possono influenzarli positivamente o negativamente

metodi per comprendere le parti interessate

  • interviste e sondaggi
  • focus group e workshop
  • analisi dei feedback e dei reclami
  • consultazioni pubbliche
  • monitoraggio dei media e delle tendenze sociali
  • valutazioni d'impatto su specifiche parti interessate (es. valutazione d'impatto sulla privacy)

gestione delle aspettative

  • comunicazione: informare le parti interessate su come l'organizzazione gestisce l'AI
  • trasparenza: essere aperti sulle capacità, i limiti e i rischi dei sistemi AI
  • coinvolgimento: coinvolgere le parti interessate nei processi decisionali quando appropriato
  • risposta: rispondere tempestivamente a domande, preoccupazioni e reclami
  • accountability: dimostrare responsabilità e disponibilità a rimediare in caso di problemi

equilibrio tra interessi

  • le esigenze e aspettative delle diverse parti interessate possono essere conflittuali
  • l'organizzazione deve trovare un equilibrio, dando priorità a:
    • diritti umani fondamentali
    • conformità legale e normativa
    • sicurezza e benessere delle persone
    • obiettivi strategici dell'organizzazione

documentazione

  • mantenere un registro delle parti interessate identificate
  • documentare le loro esigenze e aspettative
  • registrare le interazioni e le decisioni prese in merito alle loro richieste

riesame periodico

  • le parti interessate e le loro esigenze possono cambiare nel tempo
  • l'organizzazione deve riesaminare periodicamente l'analisi delle parti interessate
  • aggiornare la gestione in base ai cambiamenti nel contesto interno ed esterno

ruoli e responsabilità specifici nel ciclo di vita del sistema AI

La norma richiede particolare attenzione all'assegnazione delle responsabilità nel ciclo di vita del sistema AI:

  • assegnazione delle responsabilità nel ciclo di vita del sistema: assicurare che le responsabilità nel ciclo di vita del sistema AI siano allocate tra l'organizzazione, i suoi partner, i fornitori, i clienti e terze parti. documentare tutte le parti intervenute nel ciclo di vita del sistema AI e i loro ruoli, determinando le loro responsabilità

Quali sono gli aspetti da considerare per un riesame efficace?

Per un riesame efficace della gestione dell'Intelligenza Artificiale secondo la norma ISO/IEC 42001:2023, è fondamentale considerare i seguenti aspetti: la direzione aziendale dovrebbe riesaminare il sistema di gestione dell'AI a intervalli pianificati per garantire che sia continuamente adeguato, appropriato ed efficace.

Tra gli elementi da includere nel riesame abbiamo:

  • lo stato delle azioni derivanti dai precedenti riesami
  • eventuali cambiamenti nei fattori interni ed esterni ritenuti rilevanti per il sistema di gestione dell'intelligenza artificiale
  • modifiche nelle esigenze e nelle aspettative delle parti interessate che sono rilevanti per il sistema di gestione dell'AI
  • informazioni sulle prestazioni del sistema, incluso il monitoraggio dei trend in termini di non conformità, azioni correttive, risultati del monitoraggio e delle misurazioni e risultati degli audit
  • identificazione di opportunità per il miglioramento continuo

I risultati del riesame dovrebbero includere le decisioni relative alle opportunità di miglioramento continuo e qualsiasi necessità di modifiche al sistema di gestione dell'AI. è importante che ci siano informazioni documentate disponibili come prova dei risultati dei riesami.

Come dovrebbe essere gestita la comunicazione interna ed esterna?

In conformità con la norma ISO/IEC 42001:2023, la gestione della comunicazione interna ed esterna riguardo all'implementazione e all'uso dell'intelligenza artificiale dovrebbe essere attentamente pianificata e strutturata.

Le organizzazioni devono determinare:

  • cosa comunicare: identificare le informazioni rilevanti da comunicare in relazione al sistema di gestione AI
  • quando comunicare: stabilire il momento più appropriato per la comunicazione di queste informazioni
  • con chi comunicare: definire i destinatari della comunicazione, sia interni che esterni
  • come comunicare: decidere le modalità e quali canali di comunicazione utilizzare

PER SAPERNE DI PIÙ:

Tutti gli articoli sulla ISO 42001 Tutti gli articoli sulla quality 4.0 Tutti gli articoli sulla ISO 9001