Consulenza legale per ecommerce con un Team di avvocati esperti in privacy e diritto digitale, dal 2011.

Riepilogo carrello

Il tuo carrello è vuoto

Prodotti nel carrello: 0
Totale prodotti: € 0,00

Prosegui al carrello

Intelligenza Artificiale e Norme ISO

01/01/2024

Intelligenza Artificiale e Norme ISO

 

Continua la nostra serie di articoli dedicata ai temi dell'intelligenza artificiale. Oggi trattiamo un tema molto importante dal punto di vista legale.

Infatti, in data 18 dicembre 2023 è stata rilasciata la norma tecnica ISO/IEC 42001:2023, intitolata “Information technology Artificial intelligence - Management system” (AIMS). Questo standard rappresenta un passo significativo nel mondo della tecnologia dell'informazione, in particolare per il settore dell'intelligenza artificiale.


Vediamo di cosa si tratta e come impatterà sull'utilizzo di queste nuove tecnologie.


SOMMARIO


Obiettivi e applicabilità dello standard
Rilevanza della norma ISO
Gestione del rischio e approccio sistemico
Caratteristiche dello standard
Struttura e requisiti
Allineamento con il Regolamento della AI
Allegati e obiettivi
Conclusioni

 

Obiettivi e applicabilità dello standard alla Intelligenza Artificiale


 

Lo standard stabilisce i requisiti e fornisce linee guida per creare, implementare, mantenere e migliorare un sistema di gestione dell'AI all'interno delle organizzazioni che utilizzano prodotti o servizi basati su sistemi di intelligenza artificiale.

L'obiettivo principale è aiutare le organizzazioni a sviluppare o utilizzare i sistemi di AI in modo responsabile, al fine di raggiungere i propri obiettivi aziendali nel rispetto delle normative, degli obblighi verso le parti interessate e delle aspettative. La norma è applicabile a qualsiasi tipo di organizzazione, indipendentemente dalle sue dimensioni o dal settore di appartenenza.

 

Rilevanza legale della ISO/IEC 42001:2023



Data l'importanza crescente dell'AI, molti enti governativi hanno iniziato a regolamentare questo campo, anche se con difficoltà. La ISO/IEC 42001:2023 emerge come uno strumento significativo in questo contesto, offrendo un quadro riconosciuto a livello mondiale per la gestione dei rischi e dei controlli nell'AI e fornendo linee guida per la governance.

 

Gestione del rischio e approccio sistemico 



Il documento affronta la gestione del rischio identificando minacce e vulnerabilità, e proponendo un approccio sistematico per le sfide principali dell'AI, come la protezione dei dati, i pregiudizi, la responsabilità e la trasparenza.

 

norma ISO e intelligenza artificiale



 Caratteristiche dello standard


 

Lo standard ISO si distingue per la sua flessibilità, permettendo l'integrazione con altri sistemi di gestione, e svolge un ruolo cruciale nella governance dell'AI, soprattutto per le organizzazioni che operano su mercati diversi con normative specifiche.

 

Struttura e requisiti



La ISO/IEC 42001:2023 si integra nelle strutture organizzative basandosi sull'Annex SL e presenta requisiti generali adattabili a diversi tipi di organizzazioni. È compatibile con standard come la ISO/IEC 27001:2022 e offre una vasta bibliografia per l'implementazione e la comprensione del contesto dell'AI.

 

Allineamento con l'Artificial Intelligence Act (AI Act) dell'UE



Il documento è allineato ai requisiti normativi dell'AI Act dell'UE, favorendo le organizzazioni che mirano alla conformità con tale regolamento.

 

Allegati e obiettivi di controllo dello standard



La norma include quattro allegati che trattano controlli, linee guida per l'applicazione, obiettivi organizzativi e settori applicabili. Gli obiettivi di controllo sono suddivisi in nove sezioni, coprendo aspetti come le politiche relative all'AI, l'organizzazione interna e l'utilizzo dei sistemi di AI.

La struttura degli allegati della ISO/IEC 42001:2023 è articolata per offrire un quadro chiaro e completo:

 

  • Allegato A: Stabilisce i controlli, ovvero le azioni preventive o correttive per la gestione dei rischi, simili a quelli presenti nell'allegato A della ISO/IEC 27001:2022.
  • Allegato B: Fornisce le linee guida per implementare i controlli descritti nell'Allegato A, in modo simile alla ISO/IEC 27002:2022, ma senza la componente attributi.
  • Allegato C: Descrive gli obiettivi organizzativi, le possibili fonti di rischio e vari aspetti che devono essere considerati nella gestione dei rischi associati all'uso dell'IA.
  • Allegato D: Si concentra sui vari ambiti e settori in cui può essere impiegato un sistema di gestione AI (AIMS).



Il fulcro dello standard sono i controlli (anche legali) e gli obiettivi di controllo, che si suddividono in nove aree tematiche:

 

  1. Politiche relative all'AI
  2. Organizzazione interna
  3. Risorse per i sistemi di AI
  4. Analisi dell'impatto dei sistemi di AI
  5. Ciclo di vita del sistema AI
  6. Dati per i sistemi di AI
  7. Informazioni per le parti interessate ai sistemi di AI
  8. Utilizzo dei sistemi di AI
  9. Rapporti con terze parti



Importante sottolineare che non tutti gli obiettivi di controllo elencati devono essere necessariamente impiegati; le organizzazioni possono personalizzare e sviluppare i propri controlli, come indicato anche nel requisito 6.1.3 riguardante il trattamento del rischio AI.


Le fonti di rischio identificate nell'Allegato C, e da monitorare attraverso i controlli, includono:

 

  • La complessità ambientale
  • La mancanza di trasparenza e condivisione
  • Il livello di automazione
  • La componente di machine learning
  • Problemi hardware del sistema
  • Il ciclo di vita del sistema
  • Il grado di maturità della tecnologia



La criticità principale dello standard risiede nella necessità di una revisione legale costante del contesto di rischio e dei controlli implementati. La continua evoluzione tecnologica, le caratteristiche del machine learning e l'ampia gamma di applicazioni dell'IA richiedono soluzioni su misura, soggette a frequenti aggiornamenti, sia nel contesto dell'AIMS sia nei singoli progetti.


 

intelligenza artificiale e consulenza legale

 

Conclusioni



In sintesi, la ISO/IEC 42001:2023 è una norma innovativa che fornisce un framework specialistico essenziale per controllare le potenzialità dell'AI.
Richiede un approfondimento verticale su ciascuna implicazione, ma la sua natura generale e flessibile costituisce un punto di forza cruciale per le organizzazioni che operano nel campo dell'intelligenza artificiale.

Anche per questo motivo i nostri avvocati stanno seguendo molto da vicino le dinamiche legali connesse all'utilizzo della intelligenza artificiale.

Avv. Susanna Bianchi - Team LegalBlink