Il punto di vista di Cyber Academy
La governance dell'IA è la disciplina che consiste nel gestire i sistemi di IA sotto controllo: rischio, trasparenza, bias, validazione, sicurezza ed esposizione normativa. Il sistema di gestione di riferimento è ISO/IEC 42001, pubblicato a dicembre 2023, l'equivalente per l'IA dell'ISMS di ISO 27001. Il panorama delle credenziali si divide in due: ISO 42001 (PECB) per il livello del sistema di gestione, e le certificazioni ISACA Advanced in AI (AAIA per l'audit, AAIR per il rischio, AAISM per la sicurezza) per il livello della disciplina professionale. Entrambi si mappano sull'EU AI Act e sul NIST AI RMF.
TL;DR
- 1ISO/IEC 42001 è lo standard di sistema di gestione per l'IA (un sistema di gestione dell'IA, o AIMS), pubblicato a dicembre 2023. È l'equivalente AIMS dell'ISMS di ISO 27001. PECB rilascia il percorso Foundation, Lead Implementer e Lead Auditor.
- 2Il percorso ISACA Advanced in AI è il livello della disciplina professionale: AAIA (audit), AAIR (rischio), AAISM (sicurezza). Ciascuno presuppone una certificazione ISACA esistente (CISA, CRISC, CISM).
- 3L'EU AI Act dice cosa dimostrare per un sistema ad alto rischio. ISO 42001 dice come organizzare la prova. Il NIST AI RMF è il metodo operativo di gestione del rischio che lo popola.
- 4Scegli in base al ruolo: costruire il sistema, ISO 42001 Lead Implementer. Auditare l'IA, AAIA. Gestire il rischio IA, AAIR o PECB AI Risk Manager. Mettere in sicurezza i modelli, AAISM. Guidare la delivery dell'IA, CAIP.
- 5Non esiste un'unica 'certificazione di governance dell'IA'. Un professionista senior abbina la credenziale di sistema di gestione ISO 42001 a una credenziale di disciplina.
Chiedi a cinque fornitori della certificazione di governance dell'IA e ottieni cinque risposte diverse, perché il mercato non si è ancora consolidato. Non esiste un unico certificato di governance dell'IA come esiste un'unica CISM o un'unica CISA. Esistono due livelli distinti, rilasciati da due organismi diversi, che rispondono a due domande diverse: come governi l'IA come organizzazione, e come la auditi, ne valuti il rischio o la metti in sicurezza come professionista.
Questa pagina mappa i due livelli sullo standard (ISO/IEC 42001), sulla regolamentazione (l'EU AI Act) e sul framework statunitense (NIST AI RMF), poi indica quale credenziale si adatta a quale ruolo e come formare un team senza mandare tutti allo stesso corso di cinque giorni. È scritta per il CISO, il responsabile GRC o l'auditor che deve prendere la decisione.
I due livelli delle credenziali di governance dell'IA
Ogni credenziale di governance dell'IA presente sul mercato si colloca in uno di due livelli.
- Il livello del sistema di gestione risponde alla domanda "come governa l'organizzazione la propria IA?". Il riferimento è ISO/IEC 42001, lo standard internazionale di sistema di gestione dell'IA. PECB rilascia un percorso Foundation, Lead Implementer e Lead Auditor su di esso, esattamente come fa per ISO 27001.
- Il livello della disciplina professionale risponde alla domanda "cosa fa questo professionista con l'IA?". Il riferimento è il percorso ISACA Advanced in AI: AAIA per gli auditor, AAIR per i risk manager, AAISM per i security manager. Ciascuno è di livello avanzato e presuppone che tu possieda già la corrispondente certificazione ISACA.
I due livelli sono complementari. Una funzione di governance dell'IA matura possiede entrambi: una credenziale di sistema di gestione ISO 42001 per costruire e gestire il sistema, e una credenziale di disciplina ISACA per ogni funzione che opera al suo interno.
ISO/IEC 42001: il sistema di gestione dell'IA
ISO/IEC 42001:2023, pubblicato a dicembre 2023, è il primo standard internazionale per un sistema di gestione dell'IA (AIMS). È l'equivalente per l'IA dell'ISMS di ISO 27001: una politica, ruoli definiti, un processo di valutazione del rischio IA, controlli sul ciclo di vita del sistema di IA, un Annex A di controlli specifici per l'IA e un ciclo di riesame della direzione che mantiene il tutto coerente.
Il percorso di certificazione PECB su di esso rispecchia ISO 27001:
- ISO 42001 Foundation (2 giorni) fornisce il vocabolario e il modello di sistema di gestione. È il prerequisito per le credenziali senior.
- ISO 42001 Lead Implementer (5 giorni) ti insegna a costruire l'AIMS: scope, valutazione del rischio IA, lo Statement of Applicability, i controlli, il ciclo operativo. È la credenziale per chi è responsabile della governance dell'IA.
- ISO 42001 Lead Auditor (5 giorni) ti insegna ad auditare un AIMS: evidenze, campionamento, tecnica di intervista, rilievi. È la credenziale per l'internal audit e per gli auditor degli organismi di certificazione.
Il percorso ISACA Advanced in AI: AAIA, AAIR, AAISM
Le credenziali ISACA Advanced in AI sono il livello della disciplina professionale. Sono avanzate per concezione: ciascuna presuppone che tu possieda già la certificazione ISACA di base per quella disciplina, e ciascuna è mappata su ISO 42001 e sugli obblighi ad alto rischio dell'EU AI Act anziché insegnata nel vuoto.
| Credenziale | Disciplina | Presuppone | Concepita per |
|---|---|---|---|
| AAIA — Advanced in AI Audit | Auditare sistemi di IA, modelli e governance | CISA | Auditor IT senior, responsabili compliance |
| AAIR — Advanced in AI Risk | Valutazione del rischio IA, quantificazione, trattamento, monitoraggio | CRISC | Risk manager IT, CRO |
| AAISM — Advanced in AI Security Management | Modellazione delle minacce IA, ciclo di vita sicuro dei modelli, operazioni di sicurezza dell'IA | CISM | CISO, security architect |
I tre corsi di Cyber Academy sono AAIA, AAIR e AAISM. Scegli in base a ciò che fai, non a quale sia il più recente.
Dove si collocano PECB AI Risk Manager e CAIP
Altre due credenziali PECB si affiancano al percorso ISO 42001. AI Risk Manager è una credenziale di rischio mirata per i professionisti che gestiscono programmi di rischio specifici per l'IA, rischio di modello, bias, drift, rischio di modelli di terze parti, senza il pieno scope di sistema di gestione di Lead Implementer. Certified Artificial Intelligence Professional (CAIP) è la credenziale di professionista più ampia, per chi costruisce e implementa l'IA in modo responsabile lungo il ciclo di vita, utile per i lead tecnici che hanno bisogno del vocabolario di governance senza essere responsabili dell'AIMS.
Se gestisci già un programma di rischio ISO 27001 e vuoi estenderlo all'IA, AI Risk Manager è il ponte più breve. Se guidi la delivery dell'IA e ti serve l'alfabetizzazione di governance che l'AI Act ora ti richiede, CAIP è la scelta migliore.
Come le credenziali si mappano sull'AI Act e sul NIST AI RMF
Nessuna di queste credenziali esiste isolatamente. Sono insegnate a fronte della regolamentazione e dei framework che una funzione di governance dell'IA deve effettivamente soddisfare.
| Strumento | Cos'è | Certificabile? | Ruolo nel tuo programma |
|---|---|---|---|
| EU AI Act | Regulation (EU) 2024/1689 | No — valutazione di conformità, non certificazione | Cosa dimostrare per un sistema ad alto rischio |
| ISO/IEC 42001 | Standard di sistema di gestione dell'IA | Sì — certificazione AIMS + credenziali PECB | Come organizzare la prova |
| NIST AI RMF | Framework volontario di rischio statunitense (Govern, Map, Measure, Manage) | No | Metodo operativo di rischio che popola il sistema |
| ISO/IEC 23894 | Guida alla gestione del rischio IA | No | Metodologia di rischio, allineata a ISO, all'interno dell'AIMS |
Il percorso canonico per un'organizzazione europea: costruire l'AIMS con ISO 42001 Lead Implementer, mappare gli obblighi ad alto rischio dell'AI Act sui controlli dell'AIMS e usare il NIST AI RMF o ISO 23894 come metodologia di rischio. La credenziale ISACA Advanced equipaggia poi qualunque funzione, audit, rischio o sicurezza, debba operare all'interno di quel sistema.
Come formare un team sulla governance dell'IA
L'errore è mandare tutti allo stesso corso. La governance dell'IA è trasversale alle funzioni, e le funzioni hanno bisogno di profondità diverse.
- Inizia con una base condivisa. ISO 42001 Foundation, o un briefing di alfabetizzazione sull'AI Act che soddisfi l'obbligo di alfabetizzazione sull'IA dell'Articolo 4 dell'Act, dà a tutti lo stesso vocabolario prima che si specializzino.
- Invia i responsabili di governance e compliance a ISO 42001 Lead Implementer. Costruiscono e gestiscono l'AIMS.
- Invia l'internal audit ad AAIA, la funzione di rischio ad AAIR e la funzione di sicurezza ad AAISM. Ciascuna opera all'interno dell'AIMS dalla propria angolazione.
- Aggiungi ISO 42001 Lead Auditor solo se gestisci un programma di internal audit a fronte dell'AIMS o fai parte di un organismo di certificazione.
La decisione, in una riga
Costruire il sistema: ISO 42001 Lead Implementer. Auditare l'IA: AAIA. Gestire il rischio IA: AAIR o PECB AI Risk Manager. Mettere in sicurezza i modelli: AAISM. Guidare la delivery dell'IA e avere bisogno di alfabetizzazione di governance: CAIP. Non esiste un unico certificato di governance dell'IA, e chiunque te ne venda uno ti sta vendendo una fetta.
Frequently asked questions
01Esiste una certificazione di governance dell'IA, e quale dovrei conseguire?
Non esiste un'unica certificazione di governance dell'IA. Lo spazio si divide in due livelli. Il livello del sistema di gestione è ISO/IEC 42001: PECB rilascia Foundation (2 giorni), Lead Implementer (5 giorni, costruire l'AIMS) e Lead Auditor (5 giorni, auditarne uno). Il livello della disciplina professionale è il percorso ISACA Advanced in AI: AAIA per auditare l'IA, AAIR per il rischio IA, AAISM per la gestione della sicurezza dell'IA.
Per chi governa l'IA a livello organizzativo, ISO 42001 Lead Implementer è la pietra angolare. Per chi audita, valuta il rischio o mette in sicurezza l'IA all'interno di un ruolo GRC esistente, la corrispondente credenziale ISACA Advanced è il segnale più forte. La maggior parte dei professionisti senior possiede una credenziale di ciascun tipo.
02Cos'è ISO/IEC 42001 e come si relaziona con l'EU AI Act?
ISO/IEC 42001:2023 è lo standard internazionale per i sistemi di gestione dell'IA, pubblicato a dicembre 2023. Definisce come un'organizzazione stabilisce, opera e migliora la governance dei propri sistemi di IA: politica, ruoli, valutazione del rischio IA, il ciclo di vita del sistema di IA, un Annex A di controlli specifici per l'IA e il ciclo di riesame della direzione. È l'equivalente AIMS dell'ISMS di ISO 27001.
Lo standard non soddisfa l'EU AI Act da solo: l'Act ha requisiti tecnici specifici per prodotto per i sistemi ad alto rischio. Ma ISO 42001 fornisce la base di sistema di gestione che auditor e organismi notificati riconoscono. Il percorso canonico è ISO 42001 per costruire l'AIMS, poi mappare gli obblighi ad alto rischio dell'AI Act sui controlli dell'AIMS.
03AAIA vs AAIR vs AAISM: quale certificazione ISACA AI?
Tre prospettive sull'IA, tutte presupponendo una credenziale ISACA esistente. AAIA (Advanced in AI Audit) è per gli auditor: auditare sistemi di IA, modelli e governance, mappato su ISO 42001 e sull'AI Act. Tipicamente posseduta insieme a CISA.
AAIR (Advanced in AI Risk) è per i professionisti del rischio: valutazione del rischio IA, quantificazione, trattamento e monitoraggio. Tipicamente posseduta insieme a CRISC. AAISM (Advanced in AI Security Management) è per i leader della sicurezza: modellazione delle minacce IA, ciclo di vita sicuro dei modelli e operazioni di sicurezza dell'IA. Tipicamente posseduta insieme a CISM.
04Come formo un intero team sulla governance dell'IA?
Sequenziala per funzione. Inizia con una base condivisa (ISO 42001 Foundation o un briefing di alfabetizzazione sull'AI Act che soddisfi l'Articolo 4). Invia i responsabili di governance e compliance a ISO 42001 Lead Implementer; l'internal audit ad AAIA; la funzione di rischio ad AAIR; la funzione di sicurezza ad AAISM.
Per un rollout su più team, una coorte interna è prezzata per coorte e mappa gli esercizi sul tuo parco IA. La call di discovery definisce quali ruoli necessitano per primi di quale credenziale: la maggior parte dei team acquista troppe iscrizioni a Lead Implementer e troppo poche alle credenziali di disciplina.
05Dove si colloca il NIST AI RMF rispetto a ISO 42001?
Il NIST AI Risk Management Framework (AI RMF 1.0, gennaio 2023) è il framework volontario statunitense strutturato attorno a Govern, Map, Measure e Manage. Non è certificabile né è uno standard di sistema di gestione: è un playbook per la funzione di rischio.
ISO 42001 e il NIST AI RMF sono complementari. ISO 42001 fornisce il sistema di gestione certificabile; il NIST AI RMF fornisce il metodo operativo di gestione del rischio che lo popola. Le organizzazioni esposte sia al contesto UE sia a quello statunitense gestiscono un AIMS ISO 42001 con il NIST AI RMF, e la relativa guida ISO/IEC 23894, come metodologia di rischio al suo interno.
