Costruire un modello normativo basato su principi etici, diritti fondamentali e gestione del rischio. È questo l’approccio formalizzato dall’entrata in vigore dall’AI Act, il primo regolamento al mondo interamente dedicato all’intelligenza artificiale, che propone un modello chiaro e gerarchico dove gli obblighi sono proporzionati al livello di rischio a cui gli individui, le collettività e la società sono esposti per l’uso di sistemi di IA.
Come noto, uno dei pilastri fondamentali dell’AI Act è proprio l’adozione di un approccio basato sul rischio, grazie al quale è possibile evitare un onere sproporzionato per soluzioni di IA a basso impatto e concentrando l’attenzione regolatoria sulle aree più critiche.
Indice degli argomenti
ISO 42001 come supporto operativo per la conformità normativa
Ma se da un lato l’AI Act definisce chiaramente il vincolo normativo, dall’altro, per sua stessa origine, manca della possibilità di stabilire cosa sia necessario fare, per trasformare il perimetro di conformità in un’opportunità strategica.
Da questo punto di vista lo standard ISO/IEC 42001, da poco meno di un anno normato anche nella sua versione italiana (UNI CEI ISO/IEC 42001:2024), rappresenta un ottimo supporto su cosa organizzare per poter gestire questo perimetro in modo efficace e continuo, trasformandolo in un vero e proprio vantaggio competitivo, etico e operativo.
Quattro pilastri dell’integrazione tra norma e standard
La possibile interazione e integrazione tra norma e standard, poggia su quattro pilastri fondamentali come mappatura dei requisiti, governance sistemica, auditabilità e miglioramento continuo.
Mappatura dei requisiti per una compliance strutturata
La mappatura dei requisiti è di fatto il primo passo verso una compliance integrata e sostenibile, in grado di stabilire adempimenti formali ed efficaci e uno dei vantaggi più evidenti dell’adozione della ISO/IEC 42001 è la possibilità di dimostrare la conformità all’AI Act in modo strutturato e con presunzione di conformità per determinati obblighi (soprattutto per i sistemi ad alto rischio).
La ISO/IEC 42001 infatti, presenta una forte sovrapposizione concettuale con gli articoli del regolamento e mappare i requisiti dell’AI Act con le clausole corrispondenti della norma ISO, come accountability, gestione del rischio o trasparenza, consente all’organizzazione di allineare i propri processi ai riferimenti legali, evitare lacune interpretative e fornire evidenze tangibili in fase di audit o ispezione.
Governance sistemica e definizione di ruoli e responsabilità
Dal punto di vista della Governance, l’AI Act definisce obblighi specifici per fornitori, utilizzatori, distributori e importatori, ma lascia libertà nel modo in cui questi obblighi vengono gestiti internamente.
La ISO/IEC 42001 colma questo vuoto, specificando la necessità di assegnare ruoli e responsabilità con autorità ben definite, documentare gli obiettivi le decisioni e i controlli su ogni fase del ciclo di vita del sistema IA, istituire comitati interdisciplinari o referenti per la supervisione etica, la gestione del rischio e la trasparenza.
Auditabilità e sistema documentale per la tracciabilità
Nel contesto dell’auditabilità, l’AI Act stabilisce, soprattutto per i sistemi ad alto rischio, che le autorità possano richiedere documentazione tecnica esaustiva, tracciabilità delle decisioni, prove di gestione del rischio, evidenza di supervisione e intervento umano.
La ISO/IEC 42001 prevede un sistema documentato che includa tra gli altri, valutazioni di impatto etico, check di conformità interni, registrazione delle attività decisionali e dei cambiamenti di configurazione, audit interni e riesami periodici del sistema.
In sintesi, mentre l’AI Act chiede che tutto sia giustificabile e verificabile, la standard ISO ci fornisce indicazioni precise su cosa sia necessario fare per organizzare e gestire questa tracciabilità in modo efficace e continuo.
Miglioramento continuo nel ciclo di vita dei sistemi IA
A tale proposito, il concetto di miglioramento continuo è di fatto il requisito strategico per garantire robustezza, resilienza, adattabilità nel tempo e ovviamente conformità normativa. Da questo punto di vista, l’AI Act impone la sorveglianza post-market e la necessità di aggiornare le misure di supervisione nel tempo, mentre la ISO/IEC 42001 affronta questa complessità richiedendo un controllo completo delle sette fasi del ciclo di vita del sistema IA (progettazione, sviluppo, test e validazione, distribuzione, uso operativo, aggiornamento e dismissione) per garantirne al massimo la comprensibilità, la controllabilità e l’affidabilità del sistema che di fatto sottendono ai tre requisiti centrali per la legittimità sociale di un “buon” sistema di IA: fiducia, spiegabilità e trasparenza.
Costruire la fiducia con pratiche operative trasparenti
Costruire “fiducia” in un sistema di IA, significa definire, mantenere e migliorare nel tempo
pratiche operative, governance trasparente e processi documentabili che permettano di rendere visibili e verificabili le misure adottate per garantire equità, sicurezza e responsabilità.
Spiegabilità e comprensibilità dei sistemi ad alto rischio
La spiegabilità è una delle richieste più urgenti e sfidanti nel campo dell’IA e secondo l’AI Act, tutti i sistemi ad alto rischio devono essere “comprensibili per gli esseri umani”, in modo tale che un operatore o un utente possano ricostruire la logica decisionale del sistema, capire perché un certo output sia stato generato, valutare se la decisione sia corretta, contestabile o correggibile. La ISO/IEC 42001rafforza questo principio, imponendo l’obbligo di documentare le decisioni progettuali relative alla spiegabilità, la definizione di soglie minime di comprensibilità, la creazione di interfacce che facilitino l’interazione tra umani e IA (Human-AI Interface) e la verifica che gli utenti finali abbiano le competenze per interpretare gli output del sistema.
Trasparenza come fondamento di fiducia e spiegabilità
La trasparenza infine è ciò che permette alla fiducia e alla spiegabilità di esistere. Un sistema trasparente è un sistema che comunica i suoi limiti, rende note le sue fonti dati, spiega i suoi meccanismi di apprendimento e decisione, dichiara quando un contenuto è stato generato da una macchina e permette la tracciabilità delle versioni e dei cambiamenti applicati nel tempo. Da questo punto di vista, l’AI Act impone precisi obblighi di trasparenza sia per i sistemi che interagiscono con gli esseri umani (es. chatbot, avatar vocali), che per l’intelligenza generativa (testo, immagini, audio) che, soprattutto, per i sistemi ad alto rischio che producono raccomandazioni o decisioni automatizzate.
La ISO/IEC 42001 traduce questi obblighi in azioni concrete, chiedendo alle organizzazioni di definire una “politica della trasparenza”, stabilire chi ha accesso a quali dati, documenti e funzioni, produrre report periodici interni ed esterni sui sistemi AI in uso, prevedere meccanismi di revisione etica e comunicazione agli stakeholder.
Verso una governance strategica dell’intelligenza artificiale
In estrema sintesi, credo sia a questo punto chiaro che l’integrazione tra AI Act e ISO/IEC 42001 costituisca un approccio strategico alla governance dell’intelligenza artificiale, capace di coniugare conformità normativa, robustezza operativa e allineamento valoriale.
Non si tratta solo di un incontro per rispondere a obblighi regolatori, ma di adottare una visione sistemica e un vantaggio competitivo fondato sul concetto di “trust by design” piuttosto che sul modello “move fast and break things” tanto caro nella Silicon Valley, in cui trasparenza, accountability e gestione del rischio sono leve di legittimità tecnologica, fiducia istituzionale e competitività sostenibile.
