Sistema di gestione dell’intelligenza artificiale: promuoverne l’attendibilità con la ISO 42001
2024-1-10 19:46:39 Author: www.cybersecurity360.it(查看原文) 阅读量:4 收藏

LA NORMA

Un sistema di gestione dell’intelligenza artificiale dovrebbe essere integrato con i processi dell’organizzazione e, più in generale, nella sua gestione. Lo standard ISO/IEC 42001:2023 va considerato in quest’ottica. Ecco quali sono i giusti obiettivi di un sistema di gestione dell’IA

Pubblicato il 10 Gen 2024

L’intelligenza artificiale è sicuramente il tema di frontiera con il quale istituzioni, aziende e privati si confronteranno nel futuro. Ora siamo agli albori, ma con tempismo la ISO ha iniziato a pubblicare standard sul tema. L’ultimo documento è stato pubblicato il 18 dicembre 2023: è la ISO/IEC 42001:2023 – Information Technology – Artificial Intelligence – Management System.

La finalità dello standard è quello di “specificare i requisiti per stabilire, implementare, mantenere e migliorare continuamente il sistema di gestione dell’intelligenza artificiale (AIMS) dell’organizzazione. Il sistema è sviluppato per soggetti che forniscono o utilizzano prodotti o servizi basati sull’AI assicurando uno sviluppo ed uso responsabile di tali sistemi”.

A luglio 2022 è stata pubblicata la ISO/IEC 22989 “Information technology — Artificial intelligence — Artificial intelligence concepts and terminology”; tra i contenuti del documento vi è anche un ricco vocabolario, che riporta anche la definizione “3.5.16 Trustworthiness”, definita come: “capacità di soddisfare le aspettative degli stakeholder in modo verificabile”; essa è corredata dalle seguenti note:

  1. a seconda del contesto o del settore, ma anche del prodotto o servizio specifico, dei dati e della tecnologia utilizzati, si applicano caratteristiche diverse e necessitano di verifica per garantire che le aspettative delle parti interessate siano soddisfatte;
  2. le caratteristiche di “trustworthiness” includono, ad esempio, affidabilità, disponibilità, resilienza, sicurezza, privacy, protezione, responsabilità, trasparenza, integrità, autenticità, qualità e usabilità;
  3. l’affidabilità è un attributo che può essere applicato a servizi, prodotti, tecnologia, dati e informazioni, nonché, nel contesto della governance, alle organizzazioni.

Il termine “trustworthiness” è utilizzato nell’introduzione dello standard laddove specifica: “Il sistema di gestione dell’IA dovrebbe essere integrato con i processi dell’organizzazione e più in generale nella sua gestione”.

Le questioni specifiche relative all’IA dovrebbero essere prese in considerazione nella progettazione dei: processi, sistemi informativi e controlli. Esempi cruciali di tali processi di gestione sono:

  1. determinazione degli obiettivi organizzativi, coinvolgimento delle parti interessate e politica;
  2. gestione dei rischi e delle opportunità;
  3. processi per la gestione delle criticità relative all’“trustworthiness” dei sistemi di IA come sicurezza, protezione, equità, trasparenza, qualità dei dati e qualità dei sistemi di IA durante tutto il loro ciclo di vita;
  4. processi per la gestione di fornitori, partner e terze parti che forniscono o sviluppano AI sistemi per conto dell’l’organizzazione.

La IOS/IEC 42001:202xx definisce il sistema di gestione affinché si possano ottenere tali assicurazioni.

Prima di proseguire è comunque importante notare che il termine “trustworthiness” è comunemente tradotto con “affidabile”, ma nel contesto in esame risulta più appropriato il termine “attendibile”: una dichiarazione è “affidabile” se non verificata, in quanto formulata da un soggetto noto per la sua credibilità; è “attendibile” se è verificata da altri (si resta in “attesa” della verifica).

ISO/IEC 42001:2023, lo standard per il sistema di gestione dell’intelligenza artificiale: le finalità

Gli obiettivi di un sistema di gestione dell’AI

Un AIMS deve poter assicurare che i sistemi di AI, sia in fase iniziale che ad intervalli regolari, e comunque quando necessario, siano valutati e rivalutati rispetto agli obiettivi organizzativi individuati tra quelli delineati nell’allegato C dello standard “Potenziali obiettivi organizzativi legati all’intelligenza artificiale e fonti di rischio”.

Password e sicurezza: come creare parole-chiave inviolabili ma facili da ricordare

Identity & Access Management

Gli obiettivi, che impattano in modo sostanziale alle caratteristiche di “trustworthiness”, sono ricondotti ai seguenti temi:

  1. equità;
  2. sicurezza;
  3. privacy;
  4. robustezza;
  5. trasparenza e comprensione;
  6. responsabilità;
  7. disponibilità;
  8. manutenibilità;
  9. disponibilità e qualità dei dati di addestramento;
  10. competenza nell’IA.

Le relative fonti di rischio indentificate comprendono:

  1. livello di automazione;
  2. mancanza di trasparenza e comprensione;
  3. complessità dell’ambiente IT;
  4. problemi relativi al ciclo di vita del sistema;
  5. problemi hardware del sistema;
  6. preparazione tecnologica;
  7. rischi legati al riciclaggio.

Il tema è ulteriormente approfondito nella ISO/IEC 23894:2023 Information technology – Artificial intelligence Guidance on risk management.

Il ruolo di un’organizzazione nel contesto AI

Di interesse è il ruolo (o i ruoli) che l’organizzazione a cui si applica AIMS può assumere. A seconda di tale ruolo/ruoli i requisiti, ma in particolare i controlli, possono assumere valenza differente.

I ruoli comprendono, ma ovviamente non sono limitati a:

  1. fornitori– piattaforme, prodotti o servizi di AI;
  2. produttori– sviluppatori, progettisti, operatori, soggetti incaricati dei test, dei controlli e delle valutazioni anche sull’impatto umano, esperti di settore, committenti, supervisori dell’AI;
  3. clienti, compresi gli utenti e gli utilizzatori dell’AI;
  4. partner, compresi integratori di sistemi AI e fornitori di dati;
  5. altri soggetti coinvolti o impattati dal sistema di AI, compresi gli interessati;
  6. autorità competenti, comprese quelle mandatorie e regolatorie.

Una descrizione dettagliata di questi ruoli è fornita dalla ISO/IEC 22989; si veda anche il framework di gestione del rischio dell’AI del NIST in cui sono decritti i tipi di ruoli di tali soggetti e la loro relazione con il ciclo di vita di un sistema di AI.

Conclusioni

In uno scenario in cui profitto e sicurezza rischiano di collidere con situazioni impreviste ed imprevedibili, si evidenzia la necessità di una regolamentazione che preveda componenti legislative e volontarie, senza con ciò sacrificare la componente di innovazione.

Lo standard ISO/IEC 42001:2023 va considerato in quest’ottica; gli elementi che la connotano, comunque, sono ancora tutti da esplorare ed approfondire nelle loro implicazioni.

Solo le prime applicazioni di un AIMS potranno fornire un riscontro della valenza e del valore dello standard.

 

NOTE

Laddove in questo articolo sono riportate parti della norma, esse sono tradotte dall’autrice; la norma è acquistabile nel sito ISO o UNI.

AI Generativa: strategie per non perdere il treno dell’automazione intelligente

@RIPRODUZIONE RISERVATA


文章来源: https://www.cybersecurity360.it/legal/sistema-di-gestione-dellintelligenza-artificiale-promuoverne-lattendibilita-con-la-iso-42001/
如有侵权请联系:admin#unsafe.sh