ISO/IEC 42001.

ISO 42001 è il primo standard internazionale per i sistemi di gestione dell'intelligenza artificiale, pubblicato a fine 2023. L'equivalente AIMS di ciò che ISO 27001 rappresenta per l'ISMS. Pensato per le organizzazioni che devono governare la progettazione, il deployment e l'operatività dell'AI: rischio, accountability, trasparenza, miglioramento continuo. Si allinea in modo diretto agli obblighi dell'AI Act per i sistemi ad alto rischio.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyAI governanceAll entries

Il punto di vista di Cyber Academy

ISO 42001 è il primo standard internazionale per i sistemi di gestione dell'intelligenza artificiale, pubblicato a fine 2023. L'equivalente AIMS di ciò che ISO 27001 rappresenta per l'ISMS. Pensato per le organizzazioni che devono governare la progettazione, il deployment e l'operatività dell'AI: rischio, accountability, trasparenza, miglioramento continuo. Si allinea in modo diretto agli obblighi dell'AI Act per i sistemi ad alto rischio.

Che cosa disciplina realmente la norma ISO/IEC 42001

ISO/IEC 42001 è la prima norma di sistema di gestione certificabile dedicata all'intelligenza artificiale. Non indica quale modello addestrare né come mettere a punto una rete neurale. Definisce invece un sistema di gestione dell'IA (AIMS): le politiche, i ruoli, i processi e i controlli che un'organizzazione predispone per sviluppare, fornire o utilizzare l'IA in modo responsabile. Se già conosci ISO 27001, il modello mentale si trasferisce direttamente. Laddove l'SGSI protegge le informazioni, l'AIMS governa il ciclo di vita dei sistemi di IA, dalla finalità prevista e dall'approvvigionamento dei dati fino alla messa in esercizio, al monitoraggio e alla dismissione.

La norma segue la stessa struttura di alto livello (High-Level Structure) di ISO 27001 e ISO 9001: contesto dell'organizzazione, leadership, pianificazione, supporto, attività operative, valutazione delle prestazioni e miglioramento. Questa ossatura condivisa è deliberata. Consente di innestare l'AIMS su un sistema di gestione integrato esistente anziché gestire un silo di governance parallelo. La sostanza specifica dell'IA risiede negli allegati, che definiscono controlli di riferimento e linee guida di attuazione su temi quali la responsabilità, la qualità dei dati, la trasparenza verso gli utenti, la sorveglianza umana e la valutazione d'impatto.

In che cosa differisce da ISO 27001 e da una politica di rischio generica

I professionisti provenienti dalla sicurezza spesso presumono che un SGSI copra già l'IA. Non è così. ISO 27001 è costruita attorno a riservatezza, integrità e disponibilità delle informazioni. ISO 42001 aggiunge preoccupazioni che non trovano una collocazione naturale in un framework di sicurezza: se un sistema si comporta in modo equo, se i suoi output sono spiegabili, se un essere umano può intervenire in modo significativo e se l'IA è utilizzata solo per la finalità dichiarata. Anche il ragionamento sul rischio è più ampio. Una valutazione del rischio secondo 42001 pondera gli impatti sulle persone e sulla società, non soltanto sull'organizzazione, ed è per questo che una valutazione d'impatto dell'IA costituisce un'attività distinta e denominata all'interno della norma.

Perché è importante per il Regolamento europeo sull'IA (EU AI Act)

ISO 42001 si allinea con precisione alle aspettative dell'AI Act per i sistemi ad alto rischio. Il regolamento impone ai fornitori di IA ad alto rischio di gestire un sistema di gestione dei rischi, mantenere una governance dei dati, conservare la documentazione tecnica, garantire la sorveglianza umana e condurre un monitoraggio successivo all'immissione sul mercato. Sono esattamente le discipline che un AIMS istituzionalizza.

Un sistema di gestione certificato non sostituisce la conformità giuridica e la certificazione di per sé non rende conforme un sistema. Ciò che offre è una struttura verificabile e ripetibile che dimostra la dovuta diligenza e fa del rispetto degli obblighi dell'AI Act una questione di gestione di un sistema esistente anziché di improvvisazione sotto la pressione delle scadenze.

Come si presenta l'attuazione nella pratica

I team che adottano 42001 percorrono in genere una sequenza riconoscibile:

  1. Definire il campo di applicazione: quali sistemi di IA, usati da chi, per quale finalità prevista e dove si colloca l'organizzazione nella catena di fornitura (sviluppatore, fornitore, deployer).
  2. Condurre la valutazione del rischio dell'IA e la valutazione d'impatto, individuando i rischi per le persone e l'organizzazione e selezionando i controlli per trattarli.
  3. Assegnare una chiara responsabilità affinché un titolare designato risponda di ciascun sistema di IA lungo tutto il suo ciclo di vita.
  4. Stabilire una governance dei dati, meccanismi di trasparenza e una sorveglianza umana adeguati al livello di rischio.
  5. Monitorare i sistemi in esercizio, raccogliere incidenti e riscontri e reimmetterli nel miglioramento continuo.

La certificazione è facoltativa ma sempre più richiesta da acquirenti enterprise e team di approvvigionamento che desiderano una garanzia di terza parte sul fatto che un fornitore di IA governi i propri sistemi anziché consegnarli alla cieca.

Frequently asked questions

01ISO 42001 è obbligatoria?

No. ISO 42001 è una norma volontaria. Non è una legge e la certificazione non è legalmente obbligatoria in alcun luogo. È tuttavia sempre più utilizzata come modo strutturato per dimostrare una governance responsabile dell'IA e per prepararsi a obblighi normativi come l'EU AI Act.

02Abbiamo bisogno di ISO 27001 prima di ISO 42001?

No, ISO 27001 non è un prerequisito. Le due norme sono indipendenti. Detto questo, condividono la stessa struttura di sistema di gestione, per cui le organizzazioni che già gestiscono un SGSI trovano l'adozione di un AIMS notevolmente più rapida, perché i processi di leadership, audit e miglioramento sono già in atto.

03La certificazione ISO 42001 significa che siamo conformi all'AI Act?

Non da sola. La certificazione dimostra che gestisci un sistema di gestione dell'IA credibile, il che sostiene fortemente molti requisiti dell'AI Act per i sistemi ad alto rischio, ma la conformità giuridica è valutata rispetto al regolamento stesso. Considera 42001 come l'ossatura operativa che rende raggiungibile la conformità, non come un certificato di conformità.

04Chi, nell'organizzazione, è responsabile di ISO 42001?

È trasversale. La responsabilità ricade di solito sull'alta direzione, mentre il coordinamento quotidiano è spesso guidato da una funzione di rischio, conformità o governance che lavora a fianco dei team di data science e ingegneria. La norma richiede esplicitamente l'impegno della direzione e ruoli chiaramente assegnati.

Hai bisogno di più di una definizione?

Prenota una chiamata di discovery gratuita di 20 minuti. Mappiamo la coorte che trasforma questo termine in una pratica pronta per l'audit.