Con l’avvento dell’AI Act dell’Unione Europea, l’implementazione di sistemi di gestione dell’intelligenza artificiale (AIMS) diventa un attività fondamentale per garantire conformità alle nuove normative e favorire lo sviluppo di IA affidabili e sicure.
L’approvazione dell’AI Act ha posto l’accento su un uso responsabile dell’IA in vari settori, richiedendo alle organizzazioni di adottare misure rigorose per proteggere i diritti fondamentali e assicurare che i sistemi di IA rispettino elevati standard di sicurezza e trasparenza.
In questo contesto, lo standard ISO/IEC 42001:2023 rappresenta una risorsa preziosa per le organizzazioni che desiderano allinearsi ai requisiti dell’AI Act, in quanto fornisce linee guida dettagliate per la creazione, gestione e miglioramento continuo di un sistema di gestione dell’IA, aiutando le aziende a mitigare i rischi legati all’IA, promuovendo, infine, un’innovazione responsabile.
Indice degli argomenti
ISO 42001 come approccio corretto alle tecnologie AI
Lo standard ISO/IEC 42001:2023 s’inquadra nel contesto della cosiddetta soft law, ossia delle pratiche volontarie di adozione dei sistemi di gestione e di qualità certificabili da enti terzi accreditati che mirano a consolidare la conformità normativa da parte di chi se ne dota[1].
L’adozione di modelli attuativi extra legislativi che si fondano su misure incentivanti e in grado d’innescare processi virtuosi da parte dell’organizzazione e delle imprese, sono complessivamente favoriti e incoraggiati dalle politiche e norme comunitarie.
La normativa tecnica del sistema certificabile da soggetti accreditati attribuisce valori nella gestione della qualità e dei rischi prefissati. Fissando preventivamente obiettivi e indicatori di performance che consentono un monitoraggio oggettivo nel tempo sul corretto sviluppo dei comportamenti attesi, nonché le verifiche affidate ad organismi tecnici e di audit.
Gli elementi di flessibilità e le pratiche connesse allo Standard, la sua adattabilità e l’impatto delle verifiche nel corso del tempo, convergono in un approccio alle tecnologie AI che concretamente offre riferimenti utili e favorevoli per poter comprendere la direzione in cui tali tecnologie si stanno si stanno muovendo.
Il quadro normativo introdotto dal AI Act bilancia la promozione dell’innovazione tecnologica con la protezione dei cittadini e stabilisce l’adozione dell‘approccio basato sul rischio, prevedendo requisiti minimi per affrontare i rischi senza ostacolare lo sviluppo tecnologico.
La normativa stabilisce cioè, dal suo canto, delle regole specifiche per garantire che i sistemi di IA siano sicuri e rispettino i diritti umani fondamentali, con un’attenzione particolare ai sistemi di IA ad alto rischio. Sistemi che trovano applicazione in ambiti critici come la sanità, l’istruzione e le infrastrutture, dove gli errori o l’uso improprio dell’IA possono avere conseguenze significative.
La ISO 42001 per la gestione del rischio legato all’AI
Lo standard ISO/IEC 42001:2023 offre un quadro per la gestione del rischio legato all’intelligenza artificiale, fornendo una serie di controlli e obiettivi, intesi come presidi dell’equità, della sicurezza, della trasparenza, della privacy e della robustezza. Lo standard guida, in tal senso, le organizzazioni nell’adozione delle pratiche responsabili, rispecchiando, dunque, molte delle disposizioni dell’AI Act.
Ad esempio, sia lo standard IsSO che l’AI Act richiedono valutazioni regolari dei rischi associati ai sistemi di IA, audit frequenti, una gestione continua della qualità e dei rischi. L’ISO/IEC nello specifico enfatizza l’importanza del supporto da parte della leadership aziendale e l’assegnazione delle responsabilità nella gestione del rischio IA, in linea con le richieste dell’AI Act.
Vantaggi strategici per le aziende
Adottare un sistema di gestione conforme all’ISO/IEC 42001:2023 offre molteplici vantaggi, poiché, innanzitutto, garantisce come dicevamo una gestione rigorosa e continua dei rischi associati all’IA, aumentando la fiducia di clienti e stakeholder nei sistemi IA implementati.
La conformità allo standard ISO/IEC 42001:2023 conferisce poi un vantaggio competitivo, dimostrando un impegno verso pratiche etiche e la sicurezza, elementi chiave in un panorama normativo in rapida evoluzione. Resta inteso che le organizzazioni, specie le più piccole, potrebbero incontrare inattese difficoltà nel destinare le risorse sufficienti e reperire le conoscenze adeguate a sostenere la conformità normativa, dunque, costi e complessità connesse alla creazione di tali pratiche.
Ciononostante, l’adozione dello standard ISO/IEC 42001:2023, facilita la conformità all’AI Act dell’UE e promuove la cultura di miglioramento continuo e responsabilità nell’ambito dell’intelligenza artificiale.
Le aziende che implementano con successo un sistema di gestione dell’IA secondo i requisiti di questo standard saranno ben posizionate per affrontare le sfide normative future e per sfruttare le opportunità offerte dall’innovazione tecnologica in modo etico e sicuro.
In un mondo in cui l’intelligenza artificiale gioca un ruolo sempre più centrale, questo standard rappresenta un pilastro fondamentale per costruire fiducia e garantire lo sviluppo di soluzioni IA che rispettino i più alti standard di sicurezza e trasparenza.
Gestione e qualità dei dati nei sistemi di AI
Un sistema di intelligenza artificiale (IA) si compone da vari elementi che lavorano insieme per permettere alle macchine di eseguire compiti tipicamente associati all’intelligenza umana, come l’apprendimento, il riconoscimento di schemi e la risoluzione di problemi.
Tipicamente costituiscono un sistema di IA una serie di componenti tra questi, l’algoritmo di apprendimento, l’hardware o l’infrastruttura ed il software impiegati, il dataset.
Ci soffermiamo proprio su quest’ultimo elemento, constando che il successo dell’Intelligenza Artificiale (IA), divenuta una componente essenziale in molte industrie, sia stato in buona parte favorito dall’ampia disponibilità dei dati utilizzati a tali scopi.
Il dataset può includere testi, immagini, video, audio e molto altro. Tali dati vengono utilizzati per addestrare i modelli e insegnare loro a fare previsioni o prendere decisioni. Essi sono alla base di ogni sistema IA e sono cruciali per la riuscita del sistema stesso.
Lo standard ISO pone, infatti, un’enfasi particolare proprio sulla gestione e la qualità dei dati lungo l’intero ciclo di vita del sistema di IA. Fornisce linee guida dettagliate per garantire che i dati utilizzati siano adeguati, affidabili e sicuri.
Qualità dei dati durante il ciclo di vita
L’allegato B della norma, nello specifico include una serie di Controlli sulla qualità dei dati durante l’intero ciclo di vita del sistema di IA.
Dalla fase di raccolta dei dati fino alla produzione è essenziale garantire che il sistema si basi su dati accurati, rilevanti e aggiornati.
Questo include l’approvvigionamento dei dati del sistema e, dunque, la verifica della provenienza dei dati, assicurando che siano stati sottoposti a opportune validazioni, o siano sottoposti a misure correttive in caso di problemi di qualità.
La qualità dei dati influisce direttamente sulla funzionalità e sull’affidabilità del sistema di IA, e per questo motivo lo standard ne richiede un monitoraggio costante.
Controllo della qualità
La norma si concentra, inoltre, sulla gestione delle risorse di dati richiedendo all’organizzazione di documentare in modo dettagliato tutte le risorse di dati utilizzate, includendo informazioni sulla provenienza, la data dell’ultimo aggiornamento, le categorie di dati utilizzate (formazione, test, produzione) e il processo di etichettatura dei dati.
Questi dettagli sono fondamentali per garantire la tracciabilità e la qualità dei dati, permettendo all’organizzazione di valutarne l’idoneità per il caso d’uso specifico. Inoltre, richiede di definire e documentare i requisiti di qualità dei dati utilizzati per sviluppare e gestire i sistemi di IA poiché essi hanno un impatto significativo sulla validità dei risultati ottenuti.
È importante, cioè, che i dati siano adatti allo scopo e che siano monitorati per evitare distorsioni che possano compromettere le prestazioni e l’equità del sistema. La norma nello specifico richiama gli standard aggiuntivi, come la serie ISO/IEC 5259, che offre ulteriori linee guida per garantire una qualità dei dati adatta al machine learning e all’analisi.
Provenienza e verifica
Questo è un aspetto critico per garantire la trasparenza e la tracciabilità che le organizzazioni devono definire e documentare.
Più nello specifico, riguarda i processi stabiliti della verifica e della registrazione della provenienza dei dati utilizzati nei sistemi di IA durante tutto il ciclo di vita; che deve includere la registrazione delle modifiche apportate ai dati, la loro validazione e il trasferimento del controllo dei dati.
Formazione e test
L’allegato C riguarda i rischi, trattando l’importanza della disponibilità e qualità dei dati di formazione e di test per i sistemi di IA basati sul machine learning (ML). I dati di formazione e di test devono essere sufficientemente diversificati e di alta qualità per garantire che il sistema di IA funzioni correttamente nel contesto operativo previsto.
Negli esempi che tratteremo di seguito, dimostrano come l’inadeguata qualità dei dati influisca negativamente sugli obiettivi chiave di equità, sicurezza e robustezza del sistema.
Dati di bassa qualità, soprattutto quando sono sbilanciati o non rappresentativi, possono portare a bias nei modelli di AI, ossia comportamenti che favoriscono o sfavoriscono determinati gruppi.
Se il dataset utilizzato per addestrare un sistema AI contiene pregiudizi (ad esempio, è maggiormente composto da dati relativi a un gruppo demografico specifico), il modello potrebbe produrre decisioni discriminatorie contro gruppi sottorappresentati.
Dunque, determinano bias e discriminazioni che minano l’equità del sistema. Un caso noto è quello del software di reclutamento di Amazon, che favoriva i candidati maschi rispetto alle donne perché era stato addestrato su dati storici di curriculum prevalentemente maschili, riflettendo così le dinamiche storiche discriminatorie del settore tecnologico.
Dati inadeguati possono minare la capacità di un sistema AI di prendere decisioni sicure e accurate. Quando un sistema di AI viene addestrato su dati incompleti, rumorosi (nel significato di “noise data”) o poco accurati, può fare errori gravi come falsi positivi (segnalare un problema dove non ce n’è uno) o falsi negativi (non rilevare un problema reale).
Tali errori possono avere conseguenze di sicurezza, specialmente in settori critici come la sanità o la guida autonoma.
Nella diagnostica medica, un sistema di AI che analizza immagini per rilevare tumori può fare errori se addestrato su immagini di bassa qualità o dataset non rappresentativi. Questo può portare a diagnosi errate, con potenziali rischi per la vita dei pazienti.
Quando i dati di addestramento non sono abbastanza variegati o rappresentativi di tutti gli scenari possibili, l’AI potrebbe non essere in grado di gestire situazioni nuove o non previste, rendendolo meno robusto.
La robustezza si riferisce, infatti, alla capacità di un sistema AI di mantenere prestazioni elevate anche in condizioni diverse da quelle presenti nei dati di addestramento. Il sistema non robusto non fornice le prestazioni attese in condizioni variabili, risutando vulnerabile agli errori o agli attacchi che sfruttano le sue debolezze.
I sistemi di riconoscimento facciale, se addestrati principalmente su immagini di persone di pelle chiara, possono avere gravi difficoltà a riconoscere correttamente volti di persone con tonalità di pelle più scura. Tali casi vengono menzionati nel report NIST che segnala prestazioni negative dell’algoritmo, dimostrando che la mancanza di dati rappresentativi influenza negativamente la robustezza del sistema[2].
Monitorare la qualità dei dati e gli errori del sistema
L’organizzazione deve, dunque, sovraintendere la qualità dei dati ed ai possibili errori del sistema influendo su di esso nel suo complesso.
Per alcuni studi di settore l’errore può riguardare l’elaborazione algoritmica, la quale riesce in certi contesti ad identificare meglio individui appartenenti alla propria etnia. Nel campo delle tecnologie del riconoscimento facciale, ad esempio, alcuni algoritmi elaborati da programmatori si sono mostrati più performanti nell’identificare persone di origine asiatica.
In conseguenza di questo, emerge l’ipotesi di integrare i team di sviluppatori con esperti provenienti da diverse aree geografiche. In ogni caso, si dovranno tenere in considerazione diversi elementi allo scopo di garantire il pluralismo atteso, mitigando gli effetti discriminatori del riconoscimento, sicurezza e robustezza.
Mitigare i rischi mediante strategie d’uso dei dati
Molti dei problemi sopra menzionati possono essere mitigati proprio attraverso strategie nell’suo dei dati, affinchè siano più bilanciati e rappresentativi del modello, siano sottoposti a verifica verifica continua rispetti agli scenari differenti, all’applicazione di tecniche di debiasing o miglioramento della robustezza.
Lo standard richiede di affrontare i rischi e le opportunità nella qualità dei dati, quindi le organizzazioni devono identificare, valutare e mitigare questi rischi attraverso un controllo rigoroso dei dati e processi di miglioramento continuo.
Una qualità insufficiente può portare a risultati distorti e influire negativamente sulle prestazioni generali del sistema.
Essendo la qualità dei dati una fonte di rischio significativa nei sistemi di IA basati sul machine learning, viene specificato nel dettaglio nell’Allegato B della ISO.
Ma il tema della qualità dei dati deve tener conto delle specifiche competenze degli addetti alla loro scelta e al loro mantenimento.
Le competenze sono un pilastro fondamentale su cui poggia lo standard, poiché la gestione dei sistemi di intelligenza artificiale richiede un approccio multidisciplinare capace di integrare competenze tecniche, etiche e di dominio specifico.
Competenze in materia di AI
Le organizzazioni devono assicurarsi di avere a disposizione un team diversificato di professionisti che spazia dagli scienziati dei dati agli esperti di sicurezza e privacy, dai ricercatori in IA agli specialisti del settore di applicazione.
Questa varietà di competenze è essenziale per affrontare la complesse fasi di sviluppo, implementazione e supervisione del sistema stesso.
È fondamentale che il personale coinvolto abbia non solo le competenze tecniche necessarie, ma anche una comprensione approfondita delle implicazioni etiche e sociali dell’IA.
La valutazione delle prestazioni dei sistemi di IA richiede lo sviluppo di metodologie rigorose basate su criteri, metriche e valori ben definiti, che devono essere applicate da personale qualificato. La competenza in materia di IA va, infatti, oltre la mera conoscenza tecnica. Include la capacità di valutare criticamente i sistemi, comprenderne i limiti e le potenziali implicazioni, e saper interpretare correttamente i risultati.
La gestione efficace dei sistemi di IA richiede un approccio olistico che combina expertise tecnica, consapevolezza etica, e una profonda comprensione del contesto di applicazione. Le organizzazioni devono riconoscere l’importanza di costruire e mantenere un ecosistema di competenze diversificato e in continua evoluzione per affrontare le sfide presenti e future dell’IA.
Tutto questo richiede risorse finanziarie e tecnologiche, ma anche lo sviluppo di procedure adeguate, la creazione di una cultura organizzativa che valorizza l’innovazione responsabile, e l’investimento continuo nella formazione e nello sviluppo delle competenze del personale.
Conclusioni
La norma ISO/IEC 42001 fornisce un quadro dettagliato per la gestione dei dati nei sistemi di IA, sottolineando l’importanza della qualità e della tracciabilità dei dati durante tutto il ciclo di vita del sistema.
Seguendo queste linee guida, le organizzazioni possono ridurre i rischi associati all’uso dell’AI, migliorare le prestazioni dei loro sistemi e garantire che i risultati siano equi, sicuri e conformi agli obiettivi aziendali.
Implementare misure efficaci per garantire la qualità dei dati non è solo una necessità tecnica, ma una componente strategica per il successo a lungo termine nell’uso responsabile dell’AI.
[1] A livello globale International Electrotechnical Commission (IEC); a livello europeo vi è lo European Committee for Standardization (CEN) e lo European Committee for Electrotechnical Standardization (CENELEC); in Italia si ricordi Ente nazionale italiano di unificazione (UNI).
[2] Face Recognition Vendor Test (FRVT) contiene una serie di valutazioni corso condotte dal National Institute of Standards and Technology (NIST) per misurare le prestazioni degli algoritmi di riconoscimento facciale.
