Le raccomandazioni

NIST AI Risk Management Framework (RMF): come garantire l’affidabilità dell’IA secondo gli Usa

La seconda bozza dell’AI Risk Management Framework fornisce raccomandazioni non vincolanti su come garantire l’affidabilità dei sistemi di AI nelle fasi di progettazione, di sviluppo, di distribuzione e di utilizzo. La versione finale attesa per gennaio 2023. I dettagli

15 Set 2022
Federica Maria Rita Livelli

Business Continuity & Risk Management Consultant

intelliegenza_artificiale1

Il NIST (National Institute of Standards and Technology), agenzia del governo degli Stati Uniti, sta sviluppando un framework per gestire meglio i rischi associati all’intelligenza artificiale (AI) per individui, organizzazioni e società, il cosiddetto NIST – Artificial Intelligence Risk Management Framework (AI RMF).

È doveroso ricordare che lo scorso marzo è stata pubblicata una prima bozza dell’AI RMF per la condivisione pubblica e la raccolta di commenti che sono stati propedeutici alla stesura di una seconda versione che è stata rilasciata lo scorso 19 agosto. Il NIST, anche in quest’occasione, si auspica di raccogliere commenti – entro il 29 settembre – e successivamente pubblicare la versione finale dell‘AI RMF entro gennaio 2023.

The danger of AI is weirder than you think | Janelle Shane

I commenti alla prima bozza dell’NIST AI RMF

Le raccomandazioni chiave pervenute alla prima bozza del NIST AI RMF si sono principalmente focalizzate su:

  • Rischi Catastrofici per la Società/Rischi a bassa probabilità e ad alto impatto – L’AI RMF non pone abbastanza enfasi sui rischi a bassa probabilità e ad alto impatto derivanti dall’IA, in particolare, i rischi catastrofici per la società. I vari attori istituzionali pubblici e politici ed i ricercatori scientifici hanno più volte evidenziato che i sistemi di IA potrebbero comportare rischi catastrofici per la società. Pertanto, si ritiene che, nonostante la probabilità di eventi catastrofici sia alquanto bassa, il loro potenziale impatto sia degno di essere considerato con attenzione.
  • Creazione di una nuova caratteristica “Socio-Tecnica” in termini di “Uso Improprio/Abuso” – La tassonomia del rischio del AI RMF non pone sufficiente enfasi sui danni causati da un uso improprio o abuso dei sistemi di AI. Pertanto, le organizzazioni dovrebbero cercare di anticipare azioni dannose di terze parti e, se possibile, adottare misure per prevenirle creando, quindi, una nuova caratteristica “Socio-Tecnica” in termini di “Uso Improprio/Abuso” nella tassonomia del rischio.
  • Creazione di un nuovo Principio Guida in termini di “Allineamento con i Valori e le azioni Umane” – L’AI RMF non prende in considerazione l’allineamento dei sistemi di AI con i valori e le azioni umane. Pertanto, sarebbe opportuno inserire tale principio all’interno dei Principi Guida per lo sviluppo e l’implementazione di sistemi di AI.
  • Istituzione di una funzione specifica di AI Audit interno – Le organizzazioni dovrebbero istituire una funzione di AI Audit interno, in modo tale da valutare l’implementazione efficace ed efficiente del AI RMF.
  • Frequenza di revisione e di aggiornamento dell’AI RMF – L’AI RMF e i vari documenti correlati – i.e. come la Guida pratica e i profili – dovranno essere continuamente rivisti e aggiornati, considerando che lo scenario dei rischi è in rapida e continua evoluzione. Pertanto, si suggerisce di stabilire una frequenza degli aggiornamenti e delle revisioni (ad es. ogni 1-2 anni o ogni qualvolta si rendesse necessario).

NIST AI RMF, la seconda Bozza

Lo scorso 19 agosto è stata pubblicata una seconda bozza dell’AI RMF, unitamente ad un nuovo Playbook. La nuova versione dell’AI RMF è una calibrata sintesi dei commenti precedentemente raccolti. Essa fornisce raccomandazioni agli utenti del framework su come garantire l’affidabilità dei sistemi di AI nelle fasi di progettazione, di sviluppo, di distribuzione e di utilizzo.

WHITEPAPER
La guida per scegliere il miglior antivirus gratuito per il tuo PC
Personal Computing
Cybersecurity

È doveroso ricordare che il progetto AI RMF è composto da due parti.

  • Parte 1 – È dedicata alla spiegazione di un’IA affidabile e responsabile, nonché alla definizione delle sfide, dei rischi e degli impatti della tecnologia.
  • Parte 2 – Si concentra sui componenti principali del framework, delineando le seguenti quattro funzioni necessarie per la gestione del rischio AI e, precisamente:
  • Mappatura
  • Misurazione
  • Gestione
  • Governance

Il Playbook è una risorsa complementare e fornisce informazioni supplementari e suggerimenti sulle fasi di Governance, Mappatura, Misurazione e Gestione dei sistemi di AI nel tentativo di rendere l’IA RMF più facilmente implementabile. Al momento, esso fornisce solo indicazioni su come “Mappare” e “Governare” il rischio AI, e precisamente:

Governance

  • Le politiche, i processi e le pratiche relative alla gestione dell’IA devono essere presenti in tutta l’organizzazione e debitamente implementati.
  • La istituzione di Funzioni – preposte a verificare che gli utenti finali siano debitamente formati per gestire il rischio dell’IA e che si assumano la responsabilità dell’utilizzo dei sistemi di AI – deve essere garantita.
  • I processi di diversità, equità, inclusione e accessibilità della forza lavoro devono essere recepiti come fattori prioritari nella gestione dell’IA.
  • I team organizzativi devono garantire la diffusione di una cultura del rischio dell’IA.
  • I vari stakeholder devono essere ampiamente coinvolti.
  • Le politiche e le procedure per affrontare il rischio dell’IA devono essere redatte con sufficiente chiarezza in modo da affrontare il rischio dell’IA derivante da software, da dati di terze parti e da altre catene di approvvigionamento.

Mappatura

  • Stabilire e comprendere il contesto.
  • Eseguire la classificazione del sistema AI.
  • Comprendere le capacità, l’utilizzo, gli obiettivi e i costi/benefici dell’IA.
  • Mappare i rischi ed i vantaggi in termini di software e dati di terze parti.
  • Valutare gli impatti su individui, gruppi, comunità, organizzazioni, ecc.

I principali cambiamenti rispetto alla prima bozza

La Prima Bozza forniva una tassonomia dei rischi dell’AI basata su tre classi – i.e., “caratteristiche tecniche”, “caratteristiche socio-tecniche” e “principi guida”. Nella seconda bozza si introduce il concetto d’”AI Affidabile” declinata in base a sette caratteristiche. E, precisamente:

  • Valida e affidabile – La validità è definita come la calibrata sintesi di precisione e robustezza, ovvero, la capacità di un sistema di AI di mantenere il proprio livello di prestazioni in distinte circostanze. L’affidabilità è, invece, descritta come la capacità di un sistema di AI di funzionare come richiesto e per un determinato intervallo di tempo e in determinate condizioni.
  • Sicura – I sistemi di AI non dovrebbero – in determinate condizioni – causare danni fisici o psicologici o mettere a repentaglio la vita umana, la salute, la proprietà o l’ambiente.
  • Equa – L’equità dell’AI è descritta in termini di pari uguaglianza ed equità. Il NIST ha, inoltre, incorporato i risultati scaturiti dalla sua ricerca riferita all’identificazione e mitigazione dei pregiudizi dell’AI. Ovvero, si devono considerare e gestire tre principali categorie di pregiudizi dell’IA, i.e. sistemica, computazionale e umana.
  • Sicura e resiliente – Si tratta di assicurare sistemi di AI resilienti in grado di resistere ad adversial attack o, più in generale, ai cambiamenti imprevisti nel loro ambiente/utilizzo o a mantenere le loro funzioni e strutture a fronte a cambiamenti interni ed esterni. Inoltre, devono essere garantiti i protocolli – mediante meccanismi di protezione ed accesso autorizzato – che evitano e proteggono i sistemi di AI dagli attacchi e che ne garantiscano la riservatezza, l’integrità e la disponibilità.
  • Trasparente e responsabile – Ovvero, in un sistema di AI, le informazioni devono essere facilmente disponibili e trasparenti alle parti interessate. Pertanto, è fondamentale assicurare l’equità ed eliminare i pregiudizi. Inoltre, è altresì necessario stabilire le responsabilità nell’ambito dell’AI in riferimento alle aspettative della parte interessata nel caso in cui ci si trovi a gestire situazioni rischiose.
  • Spiegabile e interpretabile – Si tratta di spiegare i meccanismi alla base del funzionamento di un algoritmo e di poter interpretare la correttezza dell’output dei sistemi di AI rispetto allo scopo funzionale progettato.
  • Migliore Privacy – La progettazione e lo sviluppo e la distribuzione dei sistemi AI dovrebbero incorporare i valori della privacy in termini di anonimato, di riservatezza e di controllo, dato che l’obiettivo è evitare “intrusioni” e limitare la sorveglianza degli individui, oltre che la divulgazione o il controllo di aspetti correlati alla loro identità (i.e. caratteristiche fisiche, dati, reputazione, ecc..).

Inoltre, la seconda bozza evidenzia l’importanza della Governance nella gestione del rischio AI, ponendola al centro del processo rispetto alla Prima Bozza, come si evince dalla figura sotto riportata.

Ancora, la seconda bozza specifica i destinatari dell’AI RMF fornendo spiegazioni anche in termini di ruoli e responsabilità dele figure coinvolte nel processo di risk management, come si può evincere dalla figura di seguito riportata.

La figura 1 dell’Appendice A è una rielaborazione del “Framework for the Classification of AI Systems” dell’OECD, rispetto alla quale il NIST ha posto maggior enfasi sull’importanza – durante tutto il ciclo di vita dei sistemi AI, a partire dalla pianificazione, progettazione e contesto di applicazione – delle attività di Test, Evaluation, Verification and Validation (TEVV) nella gestione del rischio AI. Sempre in quest’ottica il NIST sottolinea che gli esperti nelle attività di TEVV dovrebbero essere integrati nelle varie fasi del processo di gestione del rischio di AI.

Conclusioni

I commenti alla seconda bozza raccolti entro il 29 settembre 2022 saranno propedeutici alla stesura finale del AI RMF e del Playbook la cui pubblicazione è prevista per gennaio 2023. È doveroso ricordare che, come esplicitamente sottolineato dal NIST, l’AI RMF non è un quadro normativo obbligatorio – pur essendo destinato a influenzare gli standard del settore – così come è stato per le NIST Cybersecurity Framework Guidelines.

Lo scopo del AI RMF del NIST è di stimolare ulteriori discussioni e raccogliere una varietà di punti di vista su ciò che costituisce il rischio e l’affidabilità dell’AI. Oggigiorno, in un contesto sempre più caratterizzato dall’utilizzo dell’AI, è quanto mai necessario trovare risposte alle preoccupazioni e recepire i suggerimenti in termini di diritti e libertà civili ed equità in modo da massimizzare l’efficacia del framework ed accelerare ulteriormente l’adozione della gestione del rischio dell’AI comprendendone, altresì, i potenziali danni individuali e sociali.

Come afferma Luciano Floridi – professore ordinario di Filosofia ed Etica dell’Informazione IT all’Università di Oxford – è sempre più cruciale comprendere le trasformazioni tecnologiche in atto per disegnarle e gestirle nel migliore dei modi, soprattutto quando si parla di AI. Si tratta di tener ben presente la natura e le sfide etiche che essa comporta e tutta l’intelligenza umana necessaria per mettere tale tecnologia al servizio di un futuro migliore.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4