Guida per l’adozione volontaria e responsabile dell’Intelligenza Artificiale

ISO/IEC 42001:2023: the Ultimate Guide

Possiamo tutti essere felici che il numero della ISO per i sistemi di gestione dell’AI inizi con 42?

Guida Galattica per Autostoppisti o ISO42001?

Che cos’è la ISO 42001? Pubblicata a dicembre 2023 questa norma offre un framework internazionale per la gestione dei sistemi di IA, con lo scopo di supportare le organizzazioni nell’adozione, nello sviluppo e nell’uso responsabile dell’IA. Non preoccupatevi, per ora è ad adozione volontaria, però rappresenta un segnale forte sul livello di maturità delle tecnologie AI-driven, ed è una risorsa preziosa per aziende che vogliono implementare l’IA in modo sicuro e trasparente.

ISO/IEC 42001 is an international standard that specifies requirements for establishing, implementing, maintaining, and continually improving an Artificial Intelligence Management System (AIMS) within organizations. It is designed for entities providing or utilizing AI-based products or services, ensuring responsible development and use of AI systems.

https://www.iso.org

La costellazione di norme disponibili

Di nuovo in base a quanto condiviso dal suo sito, l’ISO dispone già di una serie di standard che aiutano a mitigare i rischi e massimizzare i benefici dell’IA:

  • ISO/IEC 22989:2022Concetti e terminologia dell’intelligenza artificiale: Questo standard stabilisce la terminologia e descrive i concetti fondamentali nel campo dell’intelligenza artificiale, creando una base comune di comprensione per chi lavora nel settore IA.
  • ISO/IEC 23894:2023Linee guida per la gestione del rischio: Fornisce indicazioni alle organizzazioni su come identificare, valutare e gestire i rischi associati ai sistemi di intelligenza artificiale, supportando una gestione responsabile e sicura dell’IA.
  • ISO/IEC TR 24368:2022Panoramica sulle preoccupazioni etiche e sociali: Questo rapporto tecnico offre una panoramica sui problemi etici e sociali legati all’uso dell’intelligenza artificiale, come l’equità, la trasparenza e l’impatto sui diritti umani.
  • ISO/IEC 38507:2022Implicazioni di governance per l’uso dell’intelligenza artificiale nelle organizzazioni: Esplora le implicazioni di governance per le organizzazioni che utilizzano l’intelligenza artificiale, offrendo linee guida per garantire una gestione responsabile, trasparente e sicura dei sistemi IA.
  • ISO/IEC DIS 42006Requisiti per gli organismi che forniscono audit e certificazione dei sistemi di gestione dell’intelligenza artificiale: Definisce i requisiti per gli enti che conducono audit e certificazioni dei sistemi di gestione IA, assicurando che questi organismi possano valutare in modo accurato ed equo la conformità delle organizzazioni agli standard IA.
Gli ultimi anni sono stati molto fervidi nella generazione di nuovi standard legati all’AI.

Queste ISO sono principalmente concentrate sulla tecnologia dell’AI o sulla sua valutazione, e non considerano il contesto di utilizzo se non a livello di mappatura dei rischi.

Invece, l’ISO/IEC 42001 è uno standard per i sistemi di gestione (MSS). Implementare questo standard significa mettere in atto politiche e procedure per una solida governance di un’organizzazione in relazione all’IA, utilizzando la metodologia Plan‐Do‐Check‐Act. Invece che concentrarsi sui dettagli delle singole applicazioni IA, questa norma fornisce un approccio pratico per gestire i rischi e le opportunità legate all’IA a livello aziendale.

Artificial Intelligence Management System

La norma nasce dalla necessità di costruire sistemi a supporto del business che siano trasparenti, affidabili e integrati, definendo anche i perimetri di responsabilità delle azioni derivate da questi sistemi. A partire da questa esigenza, questa ISO mappa i principali step per predisporre predisporre un AIMS (AI management system), che ha l’obiettivo proprio di definire come costruire questi sistemi mitigandone i rischi e massimizzandone il potenziale.

In base alle FAQ della pagina dedicata, un sistema di gestione dell’IA ISO/IEC 42001 compliant è un insieme di elementi interconnessi o interattivi di un’organizzazione destinati a stabilire politiche e obiettivi, nonché processi per raggiungere tali obiettivi, in relazione allo sviluppo, alla fornitura o all’uso responsabile dei sistemi di IA. La ISO/IEC 42001 specifica i requisiti e fornisce linee guida per stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione dell’IA nel contesto di un’organizzazione.

AIMS: do it yourself

Il percorso per costruire un AI management system segue l’approccio PDCA (Plan – Do – Check – Act), e ricorda molto gli altri sistemi di gestione come quella ambientale o dell’energia.

Nella fase Plan, l’azienda è chiamata a identificare i ruoli e le responsabilità, valutare il contesto e capire perimetro e obiettivi. Inoltre, una volta identificati gli use case è necessario definire i rischi e le azioni per mitigarli. Nella fase Do, i sistemi vengono implementati e dimensionati dal punto di vista dell’impatto. Questi sistemi devono essere integrati in modo coerente con le procedure in essere, in modo da rendere l’impatto tangibile. In questa fase vengono anche predisposti i vari controlli per facilitare il monitoraggio delle performance dei modelli e dei sistemi. Come in tutti i sistemi di gestione, è inoltre richiesta una parte di formazione, ingaggio e consapevolezza per le persone coinvolte. Nella fase Check si procede con il monitoraggio e il dimensionamento dei KPI di controllo identificati, e il sistema può essere verificato per valutarne l’efficiacia. Infine, nella fase Act si identificano i miglioramenti da mettere in campo per fare meglio la prossima volta e gestire in maniera sempre più efficiente i sistemi di AI.

Chi fa, chi controlla, chi coordina

In un’azienda che adotta l’AI come strumento di riferimento per ottimizzare processi e procedure interne, la figura del Chief AI Officer (CAIO) è la figura che ha competenze e responsabilità sufficienti per coordinare al meglio i vari steps richiesti per la predisposizione di un AI management system. Tuttavia, non si muove in solitaria, ma viene aiutato e supportato da tutte le funzioni aziendali per raggiungere l’obiettivo.

I ruoli mappati non sono inseriti nella ISO, ma sono un suggerimento ragionato in base a quanto già standard in altri sistemi di gestione e in base ai contenuti di ogni step.

  • Analisi del contesto
    • Responsabile: Business Management, CAIO, CTO
      Questa fase coinvolge l’alta dirigenza e i leader dell’IA nel valutare il contesto esterno (norme, mercati, rischi) e interno (capacità organizzative, infrastrutture tecnologiche). Questo aiuta a comprendere l’impatto dell’IA sull’organizzazione e a pianificare la sua adozione.
  • Definizione dell’organizzazione, ruoli e responsabilità
    • Responsabile: CAIO, CTO, HR
      Il CAIO e il CTO, con il supporto del team delle risorse umane, devono stabilire una chiara struttura organizzativa, assegnare ruoli e responsabilità per la governance dell’IA e definire chi supervisionerà i vari aspetti della gestione del sistema IA.
  • Definizione della politica e degli obiettivi dell’IA
    • Responsabile: CAIO, Business Management
      Il CAIO, insieme alla direzione aziendale, è responsabile della creazione delle politiche aziendali relative all’IA e della definizione di obiettivi chiari che guidino lo sviluppo e l’uso dell’IA in linea con la strategia aziendale complessiva.
  • Valutazione del rischio dell’IA
    • Responsabile: CAIO, Risk Management, Team Data Science
      La valutazione dei rischi richiede una stretta collaborazione tra il CAIO, il team di gestione del rischio e il team di data science, che dovranno identificare e quantificare i rischi associati allo sviluppo e all’uso dell’IA.
  • Piano di trattamento del rischio dell’IA
    • Responsabile: CAIO, Risk Management, Legal
      Il CAIO, insieme ai responsabili della gestione dei rischi e al team legale, è incaricato di sviluppare un piano per mitigare i rischi, comprese le misure tecniche, legali ed etiche da implementare per ridurre gli impatti negativi.
  • Valutazione dell’impatto del sistema di IA
    • Responsabile: CAIO, CTO, Team Data Science, Legal
      Questa fase richiede una valutazione approfondita da parte del CAIO e del team tecnico per comprendere come il sistema di IA possa influenzare utenti, società e normative, con il supporto del team legale per gestire le implicazioni normative.
  • Implementazione dei controlli
    • Responsabile: CTO, CAIO, Team Data Science, IT
      Il CTO, insieme al team IT e al team di data science, implementa le misure tecniche e organizzative necessarie per garantire che il sistema di IA segua le politiche stabilite e operi in modo sicuro e conforme.
  • Formazione, consapevolezza e comunicazione
    • Responsabile: HR, CAIO, Compliance Officer
      Il team delle risorse umane e il responsabile della compliance, in collaborazione con il CAIO, devono garantire che tutto il personale coinvolto sia adeguatamente formato e consapevole delle proprie responsabilità nella gestione dell’IA. La comunicazione interna è cruciale per diffondere le informazioni relative all’IA.
  • Monitoraggio delle prestazioni
    • Responsabile: CTO, CAIO, Team Data Science
      Il monitoraggio continuo delle prestazioni dell’IA è una responsabilità chiave del CTO e del team di data science, che devono verificare regolarmente se il sistema di IA raggiunge gli obiettivi prefissati e se i rischi sono sotto controllo.
  • Audit interni e revisione della gestione
    • Responsabile: Internal Audit, CAIO, Business Management
      Il team di audit interno, in collaborazione con il CAIO, deve condurre verifiche periodiche del sistema di gestione dell’IA per valutare l’efficacia dei controlli e suggerire miglioramenti. La direzione aziendale esamina i risultati e implementa le necessarie azioni correttive.
  • Miglioramento
    • Responsabile: Business Management, CAIO, CTO
      La fase di miglioramento continuo è guidata dalla direzione aziendale, dal CAIO e dal CTO. Basandosi sui risultati degli audit e delle revisioni, devono essere apportate modifiche per migliorare il sistema di IA e allinearlo alle nuove esigenze.
  • Certificazione (opzionale)
    • Responsabile: Compliance Officer, CAIO
      Se l’organizzazione decide di ottenere la certificazione, il responsabile della conformità e il CAIO lavorano insieme per preparare l’organizzazione al processo di certificazione, dimostrando la conformità agli standard ISO/IEC e migliorando la credibilità aziendale.

Sono un’azienda, perché mi interessa la ISO/IEC 42001?

Come tutti i sistemi di gestione, anche questo sembra più uno spreco di tempo che un vantaggio. E INVECE, come tutti i sistemi di gestione, se approcciato con il giusto mindset anche l’AIMS può essere un asset importante per aumentare l’efficienza dei processi.

Gestione Responsabile dell’IA
Adottare l’IA significa prendersi la responsabilità delle decisioni che i sistemi automatici prendono o influenzano. Lo standard richiede alle organizzazioni di garantire che i sistemi di IA siano trasparenti, equi e privi di bias, facilitando il processo di presa di responsabilità grazie ad una maggior fiducia (trustworthiness) di questi sistemi.

Valutazione dei Rischi
L’IA introduce rischi specifici, come problemi di trasparenza, sicurezza e privacy. L’ISO/IEC 42001 invita le aziende a eseguire valutazioni continue del rischio e a sviluppare piani di trattamento per mitigarli. Ciò aiuta a prevenire errori gravi, specialmente in contesti critici come il settore sanitario o finanziario.

Integrazione con Sistemi Esistenti
Una delle caratteristiche principali dello standard è la sua capacità di integrarsi con altri sistemi di gestione aziendali, come quelli per la qualità (ISO 9001) o la sicurezza delle informazioni (ISO/IEC 27001). Questo consente un approccio coordinato per garantire che l’IA si allinei agli obiettivi complessivi dell’organizzazione, migliorando l’efficienza e riducendo i rischi.

Benefici per la Reputazione e la Competitività
Le aziende che adottano ISO/IEC 42001 possono migliorare la loro reputazione, dimostrando trasparenza e affidabilità. Questo offre un vantaggio competitivo, soprattutto nelle gare di appalto pubblico, e può attrarre partner e investitori grazie alla conformità con standard di sicurezza e gestione avanzati.


Vantaggi per i Data Scientist e gli Ingegneri AI

Bene, utile per le aziende. Ma per i team che sviluppano? Beh, anche per loro avere un AIMS rende la vita più facile. Per i team di data science, data engineering e AI infatti la 42001 fornisce linee guida precise per gestire le complessità legate allo sviluppo e alla manutenzione dei sistemi IA. Cose che prima venivano delegate a competenze e sensibilità dei data scientist ora vengono condivise a livello aziendale e inserite in procedure più trasparenti e trasversali tra le varie implementazioni. Alcuni punti chiave includono:

Qualità e Governance dei Dati
La qualità dei dati è fondamentale per il corretto funzionamento dei sistemi IA. L’azienda deve garantire che i dati utilizzati siano accurati e privi di bias, implementando politiche di governance dei dati che permettano un uso coerente e sicuro a cui i data engineers possono aderire.

Valutazione dell’Impatto dell’IA
Lo standard sottolinea l’importanza di eseguire valutazioni regolari dell’impatto dei sistemi IA sulle persone e sulla società, assicurandosi che non violino i diritti umani o i regolamenti sulla privacy. A seconda del settore in cui sono applicati, l’azienda può definire KPI specifici e rilevanti per il business, senza che i team di data science debbano investire tempo e ragionamento in ogni sviluppo.

Monitoraggio e Miglioramento Continuo
ISO/IEC 42001 richiede un monitoraggio continuo dei sistemi IA per garantire che continuino a funzionare in modo corretto e sicuro. Questo processo include audit regolari e revisioni delle prestazioni per adattare il sistema a eventuali cambiamenti nei dati o negli obiettivi aziendali. Avere una procedura e degli strumenti riconosciuti e integrati nel sistema di gestione alleggerisce il team di data science in quanto le strategie di monitoraggio sono condivise e selezionate in via preliminare.


E l’AI Act?

L’ISO/IEC 42001 si allinea con altre normative emergenti, come l’AI Act dell’Unione Europea, che rappresenta il primo quadro normativo vincolante per l’uso e la fornitura di sistemi di AI nell’UE. Entrambi i framework adottano un approccio basato sul rischio, imponendo regole più rigorose ai sistemi considerati ad alto rischio, come quelli utilizzati nella sanità, nell’istruzione o nell’applicazione della legge.

Quanto è fastidiosa la scritta Chatbots in un font diverso? Colpa della Fonte

Tuttavia, mentre l’AI Act è obbligatorio per le aziende che operano in Europa, ISO/IEC 42001 resta una norma volontaria, fornendo un approccio complementare e flessibile per le organizzazioni che desiderano un livello più elevato di governance e trasparenza.

Quindi, se sei un’azienda che opera in Europa, anche se decidi di non aderire alla ISO 42001, sei comunque obbligato a seguire le indicazioni dell’AI Act.


Esempi di Sistemi IA Conformi all’ISO/IEC 42001

Io e ChatGPT abbiamo definito alcuni use case nell’ambito industriale e aziendale, cercando di immaginare come si potrebbero strutturare soluzioni compliant con la 42001.

Industria, AI e sistemi di gestione fatti per bene. Quale sarà il rischio di chiedere a ChatGPT supporto per scrivere questa parte?

Ottimizzazione dei Piani di Produzione AI-driven

  • Caso d’uso: Un’azienda manifatturiera implementa un sistema IA per ottimizzare i piani di produzione, tenendo conto di variabili come disponibilità delle risorse, scorte di materiali, orari dei turni, e domanda di mercato.
  • Conformità ISO 42001:
    • Valutazione del Rischio: L’azienda conduce una valutazione del rischio per identificare potenziali interruzioni della produzione causate da errori dell’IA, come la mancata sincronizzazione tra domanda e capacità produttiva. Vengono definiti scenari di rischio che coprono i cambiamenti imprevisti della domanda e la disponibilità delle risorse.
    • Gestione del Rischio: L’azienda esegue simulazioni regolari per verificare che l’IA non generi piani di produzione che causino inefficienze (es. sovraccarico di macchinari o mancanza di materie prime). Implementa piani di emergenza basati su scenari simulati e definisce regole per l’intervento umano in caso di errori del sistema.
    • Controllo Operativo: L’IA viene integrata con il software ERP (Enterprise Resource Planning) dell’azienda per sincronizzare i dati in tempo reale riguardanti la disponibilità dei materiali e le risorse produttive. Il team operativo effettua controlli giornalieri per verificare che il piano di produzione generato sia allineato con i requisiti di domanda e i vincoli aziendali.
    • Valutazione dell’Impatto: Ogni trimestre, l’azienda valuta come l’IA ha influito sui tempi di produzione, sull’efficienza delle risorse e sui costi operativi, monitorando metriche chiave come la riduzione degli scarti e i tempi di inattività delle macchine rispetto alla situazione ex-ante. Si esegue anche un confronto con i piani di produzione manuali precedenti per misurare i miglioramenti.
    • Miglioramento Continuo: L’azienda aggiorna regolarmente i modelli IA in base ai feedback operativi e ai nuovi dati raccolti. Viene implementato un ciclo di miglioramento basato su dati storici per affinare costantemente la precisione delle previsioni di produzione.
    • Formazione: Gli operatori e i responsabili della produzione partecipano a corsi di formazione specifici per comprendere come utilizzare e intervenire sul sistema IA di ottimizzazione della produzione. La formazione include scenari di gestione delle emergenze, in cui gli operatori devono modificare manualmente i piani di produzione generati dall’IA, oltre che un’introduzione per comprendere la tecnologia.

Gen AI per la Knowledge Base Aziendale

  • Caso d’uso: Un’industria implementa un sistema di IA generativa per creare e gestire una knowledge base aziendale, che fornisce risposte automatiche agli operatori su procedure, problemi tecnici e soluzioni basate su dati storici e documentazione tecnica.
  • Conformità ISO 42001:
    • Valutazione del Rischio: L’azienda valuta il rischio che l’IA generi risposte fuorvianti o errate, che potrebbero portare a scelte operative sbagliate. I rischi vengono classificati in base alla criticità delle informazioni errate e alle loro potenziali conseguenze sui processi aziendali.
    • Gestione del Rischio: L’azienda introduce revisioni umane dei contenuti generati dall’IA prima di renderli accessibili agli utenti, in modo da prevenire errori tecnici o inesattezze. Viene inoltre implementato un sistema di feedback, permettendo agli utenti di segnalare informazioni errate o non pertinenti, con revisioni periodiche per migliorare l’affidabilità.
    • Controllo Operativo: Il sistema IA viene collegato ai repository di dati aziendali, tra cui documentazione tecnica e manuali operativi, con controlli periodici per garantire che vengano utilizzate solo fonti autorizzate. Gli amministratori monitorano costantemente le query degli utenti per assicurarsi che le risposte generate dall’IA siano pertinenti e conformi agli standard aziendali, integrando feedback diretti sulla bontà della risposta.
    • Valutazione dell’Impatto: Vengono condotte valutazioni mensili per verificare l’efficacia del sistema generativo, analizzando metriche come il tempo medio impiegato dagli operatori per trovare risposte e il numero di interventi correttivi richiesti. L’azienda tiene traccia della riduzione del tempo di inattività degli operatori dovuta alla rapida risoluzione dei problemi grazie alla knowledge base.
    • Miglioramento Continuo: I modelli IA vengono continuamente raffinati sulla base di nuovi input dagli utenti e di nuove documentazioni tecniche. Vengono inoltre condotti audit regolari per rimuovere informazioni obsolete dalla knowledge base.
    • Formazione: I dipendenti che utilizzano la knowledge base generativa ricevono una formazione continua su come interpretare correttamente le risposte generate dall’IA e su come segnalare eventuali anomalie o informazioni errate. Viene anche fornita formazione specifica per il team di revisione responsabile della verifica e correzione delle risposte.

Manutenzione Predittiva data-driven

  • Caso d’uso: Un’azienda industriale utilizza un sistema IA per la manutenzione predittiva delle macchine, con l’obiettivo di prevedere i guasti e ottimizzare i tempi di manutenzione.
  • Conformità ISO 42001:
    • Valutazione del Rischio: L’azienda identifica i rischi di previsioni di guasti errate o non rilevate in tempo. Vengono stabilite soglie di criticità che definiscono il grado di rischio accettabile per la manutenzione non prevista e si sviluppano protocolli per reagire a false previsioni di guasti.
    • Gestione del Rischio: L’azienda identifica le possibili conseguenze di guasti non previsti o di previsioni errate (es. fermo macchina non necessario). Implementa un sistema di notifica che avvisa gli operatori quando la probabilità di guasto rilevata dall’IA supera una soglia critica, permettendo una risposta rapida e mirata.
    • Controllo Operativo: Il sistema IA per la manutenzione predittiva è integrato con i sensori IoT installati sulle macchine. Il team tecnico supervisiona i dati provenienti dai sensori per confermare la coerenza delle previsioni dell’IA con le condizioni reali dei macchinari, organizzando interventi di manutenzione basati su queste previsioni.
    • Valutazione dell’Impatto: L’azienda esegue valutazioni trimestrali per misurare i tempi di fermo macchina evitati grazie all’IA predittiva e la riduzione dei costi di manutenzione rispetto ai programmi di manutenzione preventiva tradizionali. Si valutano anche gli impatti sulla produttività e sulla longevità delle attrezzature.
    • Miglioramento Continuo: I modelli IA vengono aggiornati periodicamente con nuovi dati di guasti e riparazioni raccolti in tempo reale. Ogni aggiornamento del sistema viene preceduto da test simulati per garantire che le nuove versioni siano più accurate rispetto alle precedenti.
    • Formazione: Il team di manutenzione partecipa a sessioni di formazione per comprendere i modelli predittivi utilizzati dall’IA e imparare a interpretare i segnali di rischio provenienti dal sistema. La formazione include anche esercitazioni pratiche su come intervenire in caso di previsioni errate o mancanti e su come integrare i dati predittivi nel flusso di lavoro quotidiano, approfondendo tramite analisi mirate i risultati dei modelli.

Reportistica Automatica per Sistemi di Gestione

  • Caso d’uso: Un’azienda implementa un sistema IA per la creazione automatica di report su KPI operativi e produttivi, analizzando grandi volumi di dati in tempo reale e fornendo approfondimenti ai manager.
  • Conformità ISO 42001:
    • Valutazione del Rischio: L’azienda analizza il rischio di report incompleti o inaccurati generati dall’IA, che potrebbero portare a decisioni strategiche errate.
    • Gestione del Rischio: L’azienda implementa controlli sui dati per assicurarsi che i KPI generati siano basati su dati accurati e privi di errori. Viene creato un sistema di revisione automatica che segnala anomalie nei report e chiede una revisione manuale da parte del management prima della distribuzione finale.
    • Controllo Operativo: L’IA viene integrata con i sistemi ERP e CRM aziendali per raccogliere i dati necessari alla creazione dei report. Il team IT monitora regolarmente l’integrità del flusso di dati per garantire che non vi siano perdite o corruzioni di dati durante l’aggregazione per la reportistica.
    • Valutazione dell’Impatto: Ogni mese, i responsabili aziendali valutano l’accuratezza e la tempestività dei report generati automaticamente, confrontandoli con i report manuali precedenti per misurare la riduzione del tempo di elaborazione e l’incremento dell’efficacia decisionale.
    • Miglioramento Continuo: I modelli IA per la reportistica vengono aggiornati regolarmente per includere nuovi KPI e adattarsi alle evoluzioni delle metriche aziendali. Viene utilizzato il feedback del management per affinare il formato e la presentazione dei report, rendendoli più utili per le decisioni aziendali.
    • Formazione: I manager e gli utenti finali del sistema di reportistica ricevono una formazione su come interpretare correttamente i report generati dall’IA, compresi i limiti del sistema e le eventuali anomalie che potrebbero richiedere un’ulteriore verifica manuale. Il personale IT riceve una formazione tecnica su come gestire e ottimizzare i flussi di dati utilizzati dall’IA per la reportistica.

Don’t panic!

L’ISO/IEC 42001:2023 rappresenta una guida completa per l’adozione responsabile dell’Intelligenza Artificiale nelle organizzazioni, fornendo un approccio strutturato e flessibile alla gestione dei rischi, alla governance e alla trasparenza. Sebbene sia una norma volontaria, l’adozione dello standard può fornire un vantaggio competitivo, migliorare la reputazione aziendale e garantire una conformità più agevole con normative più stringenti, come l’AI Act dell’Unione Europea.

La norma non prevede nulla di nuovo rispetto a quanto già noto nel settore, ma coinvolge tutta l’azienda con un approccio condiviso e consapevole supportando il CAIO e i team di sviluppo nella creazione di sistemi affidabili e in grado di generare valore.

E poi, ha un numero perfetto.