Vai al contenuto

Standard

Pagina dedicata agli standard tecnici che operano sull'intelligenza artificiale e che intersecano il perimetro dell'AI Act. La sezione raccoglie le principali pubblicazioni internazionali (ISO/IEC) e nazionali (NIST) di riferimento per la governance, la gestione del rischio, il ciclo di vita e i sistemi di gestione dei sistemi di IA.

Gli standard non sono fonti normative vincolanti, ma rappresentano il terreno comune di buone pratiche richiamato nei codici di condotta, nelle valutazioni di conformità e dagli operatori del settore. L'AI Act incoraggia esplicitamente il ricorso a standard armonizzati (artt. 40 e 41) come strumento di presunzione di conformità per i sistemi ad alto rischio.

Accesso ai documenti

I documenti NIST sono di norma liberamente disponibili (governo USA). Gli standard ISO/IEC sono pubblicazioni a pagamento, acquistabili presso il sito ufficiale iso.org.

NIST AI RMF 1.0

Titolo completo: Artificial Intelligence Risk Management Framework (AI RMF 1.0) (NIST AI 100-1) Emittente: National Institute of Standards and Technology (NIST), Stati Uniti Pubblicazione: 26 gennaio 2023 Stato: vigente Tipo: framework volontario per la gestione del rischio AI

Sintesi

Framework strutturato per identificare, valutare e gestire i rischi dei sistemi di intelligenza artificiale lungo il loro ciclo di vita. Si articola in quattro funzioni principali — Govern, Map, Measure, Manage — applicate in modo iterativo durante design, sviluppo, distribuzione e monitoraggio. Il framework promuove la trustworthy AI attraverso sette attributi: validità e affidabilità, sicurezza, privacy, equità, trasparenza e accountability, explainability, robustezza alla sicurezza informatica.

Nel luglio 2024 NIST ha pubblicato il Generative AI Profile (NIST AI 600-1), profilo cross-settoriale del framework dedicato alle peculiarità dell'AI generativa.

Cross-reference con l'AI Act

  • Art. 9 (Risk management system) — il framework AI RMF è strutturalmente affine al sistema di gestione del rischio richiesto per i sistemi ad alto rischio
  • Art. 15 (Accuracy, robustness, cybersecurity) — i sette attributi trustworthy dell'AI RMF coprono molte delle proprietà richieste
  • Art. 17 (Quality management system) — il framework supporta gli operatori nella strutturazione di un quality management
  • L'AI RMF è esplicitamente citato come riferimento internazionale dalla letteratura di compliance AI Act

Documento ufficiale

ISO/IEC 42001:2023

Titolo completo: Information technology — Artificial intelligence — Management system Emittente: ISO/IEC (International Organization for Standardization / International Electrotechnical Commission) Pubblicazione: 18 dicembre 2023 Stato: vigente, prima edizione Tipo: standard certificabile per sistemi di gestione dell'IA (AIMS)

Sintesi

Primo standard internazionale certificabile per i sistemi di gestione dell'intelligenza artificiale (AIMS — AI Management System). Specifica i requisiti per stabilire, attuare, mantenere e migliorare con continuità un sistema di gestione dedicato allo sviluppo, fornitura o utilizzo responsabile di sistemi di IA.

Adotta la struttura High-Level Structure condivisa con altri standard di gestione (ISO/IEC 27001, ISO 9001, ISO 14001), facilitando l'integrazione con i sistemi di gestione esistenti. Affronta in modo sistematico governance, ruoli e responsabilità, valutazione del rischio, controlli operativi, indicatori di performance, miglioramento continuo.

Cross-reference con l'AI Act

  • Art. 17 (Quality management system) — l'AIMS di ISO/IEC 42001 fornisce un'implementazione concreta del quality management system richiesto per i fornitori di sistemi ad alto rischio
  • Artt. 8-15 (Requisiti per sistemi ad alto rischio) — molti controlli previsti dall'Annex A di ISO/IEC 42001 sono allineati ai requisiti AI Act
  • Art. 26 (Obblighi dei deployer) — la certificazione AIMS può supportare la dimostrazione di un uso responsabile da parte degli utilizzatori

Documento ufficiale

ISO/IEC 23894:2023

Titolo completo: Information technology — Artificial intelligence — Guidance on risk management Emittente: ISO/IEC Pubblicazione: febbraio 2023 Stato: vigente, prima edizione Tipo: linee guida per la gestione del rischio nei sistemi di IA

Sintesi

Linee guida specifiche per la gestione del rischio nei sistemi di intelligenza artificiale. Estende e adatta i principi di ISO 31000 (gestione del rischio generale) alle peculiarità dell'IA: opacità di alcuni modelli, dipendenza dai dati di addestramento, dinamiche di apprendimento, bias, deriva dei modelli (model drift) e altri rischi specifici dell'IA.

Fornisce indicazioni operative su come identificare, analizzare, valutare e trattare i rischi associati allo sviluppo, all'utilizzo e alla manutenzione dei sistemi di IA, in modo applicabile a qualsiasi settore.

Cross-reference con l'AI Act

  • Art. 9 (Risk management system) — ISO/IEC 23894 è il riferimento internazionale principale per l'implementazione del sistema di gestione del rischio richiesto dall'art. 9
  • Complementare a ISO/IEC 42001, di cui costituisce uno dei pilastri operativi sul versante rischio

Documento ufficiale

ISO/IEC 5338:2023

Titolo completo: Information technology — Artificial intelligence — AI system life cycle processes Emittente: ISO/IEC Pubblicazione: settembre 2023 Stato: vigente, prima edizione Tipo: standard sui processi del ciclo di vita

Sintesi

Definisce i processi del ciclo di vita specifici per i sistemi di intelligenza artificiale, integrando la struttura generale di ISO/IEC/IEEE 12207 (Software life cycle processes) con elementi tipici dell'IA: gestione dei dati, addestramento, validazione, monitoraggio post-deployment, riaddestramento.

Copre l'intero arco di vita del sistema dall'ideazione alla dismissione, definendo attività, obiettivi e outcome per ciascuna fase. Riferimento operativo per organizzazioni che vogliono strutturare in modo formale il proprio ciclo di sviluppo IA.

Cross-reference con l'AI Act

  • Art. 11 (Technical documentation) — i processi di ciclo di vita di ISO/IEC 5338 supportano la produzione della documentazione tecnica richiesta
  • Art. 12 (Record-keeping) — il monitoraggio del ciclo di vita previsto dallo standard alimenta i log richiesti per i sistemi ad alto rischio
  • Art. 72 (Post-market monitoring) — la fase di monitoring post-deployment dello standard è funzionale al monitoraggio post-mercato richiesto dal regolamento

Documento ufficiale

ISO/IEC 38507:2022

Titolo completo: Information technology — Governance of IT — Governance implications of the use of artificial intelligence by organizations Emittente: ISO/IEC Pubblicazione: aprile 2022 Stato: vigente, prima edizione Tipo: linee guida sulla governance dell'IA per gli organi di vertice

Sintesi

Linee guida indirizzate agli organi di governance delle organizzazioni (consiglio di amministrazione, senior management) sulle implicazioni dell'utilizzo dell'IA. Fornisce un quadro per la presa di decisioni informate sull'adozione di sistemi di IA, includendo aspetti di responsabilità, etica, trasparenza, gestione del rischio e compliance normativa.

Si differenzia dagli altri standard del comparto perché non si rivolge agli sviluppatori o ai risk manager, ma all'alta direzione: fornisce gli strumenti concettuali per interpretare le decisioni strategiche connesse all'introduzione dell'IA in azienda.

Cross-reference con l'AI Act

  • Considerando 27 (cultura della governance dell'IA) e art. 4 (alfabetizzazione AI) — ISO/IEC 38507 fornisce l'inquadramento di vertice utile a strutturare le politiche aziendali coerenti con questi principi
  • Complementare a ISO/IEC 42001 sul versante governance: dove 42001 stabilisce il sistema di gestione, 38507 indirizza le decisioni strategiche di vertice

Documento ufficiale

Standard armonizzati AI Act

L'AI Act prevede l'adozione di standard armonizzati specifici (artt. 40-41), il cui rispetto fornisce presunzione di conformità ai requisiti del regolamento per i sistemi ad alto rischio. La Commissione Europea ha incaricato CEN-CENELEC (con il Joint Technical Committee JTC 21) di sviluppare la famiglia di standard armonizzati, in larga parte basati sull'adozione/adattamento degli standard ISO/IEC sopra elencati.

Lo sviluppo degli standard armonizzati è in corso: la pagina sarà aggiornata con i riferimenti definitivi man mano che i documenti vengono pubblicati.