Per l’Intelligenza Artificiale è arrivata l’ora della ISO

A Dicembre 2023 è stata varata la normativa ISO/IEC 42001:2003 (Information technology — Artificial intelligence — Management system), che indica quali sono le misure organizzative che un’azienda, che sviluppa sistemi di intelligenza artificiale, deve adottare per porsi correttamente sul mercato.

Nel preambolo della nuova ISO si legge che l’uso dell’intelligenza artificiale si sta diffondendo in ogni settore, che sarà uno dei motori dello sviluppo economico dei prossimi anni, e che per affrontare le sfide che ci attendono, sul piano economico e sociale, è necessario offrire delle linee guida che consentano alle imprese di sviluppare nuovi prodotti con maggiore consapevolezza e rispetto dei valori fondamentali.

Le criticità riscontrate sono soprattutto quelle dell’uso dell’AI – Artificial Intelligence – per l’assunzione di decisioni automatizzate, spesso in modo non trasparente e non comprensibile, l’analisi dei dati, il funzionamento del machine learning, e il fatto che i sistemi AI sono sottoposti a un apprendimento continuo e modificano il loro comportamento durante l’uso. Servono quindi procedure specifiche per garantire che mantengano un comportamento responsabile anche dopo i cambiamenti che intervengono nel tempo.

Le aziende dovranno concentrarsi sull’applicazione delle regole a quelle funzioni che sono tipiche dell’intelligenza artificiale. Alcune caratteristiche dell’AI, come la capacità di apprendere e migliorare continuamente o la mancanza di trasparenza o comprensione dei processi, possono giustificare diverse misure di protezione, se creano preoccupazioni ulteriori rispetto a come un certo lavoro sarebbe stato svolto in modo tradizionale.

L’adozione di un sistema di gestione dell’AI dovrebbe rappresentare una scelta strategica per ogni organizzazione, che dovrà tenere conto della propria struttura aziendale e delle applicazioni specifiche in cui viene utilizzata l’intelligenza artificiale, e trovare un equilibrio tra i nuovi meccanismi di governance e l’innovazione che non deve arrestarsi.

È prevista anche una sorta di implementazione delle procedure “by design” e “by default, ovvero implementandole fino dalla progettazione dei sistemi AI che dovrebbero tenere conto della determinazione degli obiettivi, della gestione dei rischi e delle opportunità, della sicurezza, equità e trasparenza, lungo tutto il ciclo di vita, oltre che della corretta gestione dei partner che forniscono o sviluppano sistemi di AI per conto dell’organizzazione.

Per quanto attiene le normative da tenere in considerazione, nel documento si fa riferimento alla normativa sulla sicurezza dei dati (ISO 27001), alla normativa sulla privacy (GDPR), alla norma ISO/IEC 22929:2022 che chiarisce i concetti e i termini legati all’Information technology e all’Intelligenza Artificiale.

La ISO si applica a qualsiasi organizzazione che fornisce o utilizza prodotti o servizi che utilizzano sistemi di AI, indipendentemente dalle dimensioni e dalla natura.

Non è una normativa obbligatoria, nel senso che le aziende possono scegliere di adottarla o meno, ma rappresenta comunque un parametro di riferimento fondamentale, per eventuali controlli o azioni di responsabilità, anche in ordine al rispetto dei requisiti sanciti dall’AI ACT.

Ovviamente, chi otterrà la ISO/IEC 42001:2003, potrà facilmente dimostrare di avere adottato tutte le misure necessarie per tutelare i cittadini e garantire il rispetto della normativa europea, chi non intenderà richiederla, dovrà dimostrare di avere adottato procedure adeguate in altro modo, ma indubbiamente anche in rapporto alle indicazioni previste nella ISO.

Non è difficile prevedere che, presto, l’adozione della ISO/IEC 42001:2003 potrebbe essere necessaria per la distribuzione di un sistema AI, non tanto quale obbligo di legge, quanto quale richiesta specifica nel mercato da parte dei partner che non vorranno rischiare a intraprendere relazioni commerciali sulla base di prodotti non certificati.

La normativa è molto articolata e non è liberamente consultabile ma deve essere acquistata, come per tutte le procedure ISO che sono norme tecniche proprietarie, alla pagina https://www.iso.org/standard/81230.html.

Le imprese che utilizzano o sviluppano sistemi di Intelligenza Artificiale, anche se non intendono richiedere la certificazione, devono senz’altro tenerne conto.

Laura Turini

Founder Turini Group | Studio Legale Turini
Avvocato IT&IP | Consulente Brevetti e Marchi

  • Categorie

    • Lo Studio Brevetti Turini s.r.l. dispone un Software specialistico nella gestione di portafogli brevetti, marchi, design e copyright. “Progetto Software Battista” - Progetto finanziato nel quadro del POR FESR Toscana 2014-2020

    PORCreO Regione Toscana