Cerca
Close this search box.

Certificazione ISO 42001: AI Management System

certificazione-iso-42001

È stato pubblicato il primo standard internazionale per la gestione dell’Intelligenza Artificiale AI.

L’ISO 42001 è il nuovo standard internazionale appositamente pensato e progettato per aiutare tutte le aziende ed Organizzazioni che intendono adottare uno strumento efficace per implementare ed utilizzare in modo responsabile l’intelligenza artificiale AI nel proprio business.

L’Intelligenza Artificiale (AI) è una delle tendenze tecnologiche più forti che traina l’evoluzione tecnologica e lo sviluppo aziendale e nel prossimo futuro sarà ovunque nella nostra quotidianità, ecco perché è importante iniziare ad esplorare gli impatti dell’AI sui vari aspetti della società in generale e includere quindi l’analisi degli impatti economici, sociali e culturali dell’adozione di tecnologie basate sull’AI, per non lasciarsi travolgere.

Questo standard internazionale ISO 42001 specifica i requisiti e fornisce linee guida per costruire, stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione dell’Intelligenza Artificiale all’interno delle Organizzazioni e per poter richiedere, successivamente, la certificazione ISO 42001.

Rilasciato nel dicembre 2023, affronta la gestione delle particolari sfide dell’AI, tra cui la trasparenza dei sistemi, i dati di addestramento, l’impatto sui diritti, il miglioramento continuo, etc

A chi è destinata la normativa?

Questo standard è destinato all’uso da parte di tutte le Organizzazioni, di qualsiasi dimensione, tipo e natura, che forniscono o utilizzano prodotti o servizi che impiegano sistemi di AI.

Se sei una Organizzazione che dà importanza alla sicurezza informatica, all’equità e alla trasparenza, e se attenta alla gestione dei rischi associati all’AI, allora questa norma fa per te!

I vantaggi della Certificazione ISO 42001

Va premesso che l’adozione di questo standard non offre la garanzia assoluta che in un’azienda non si possano verificare utilizzi non responsabili ed etici dell’intelligenza artificiale. Allo stesso modo, l’azienda che si certifica ISO 42001 non può sentirsi definitivamente al riparo da contestazioni rispetto a possibili usi negativi di sistemi basati sull’intelligenza artificiale.

Tuttavia, i vantaggi procurati da questo nuovo standard sono considerevoli e riguardano essenzialmente:

  • la brand reputation e la brand awareness: l’istituzione di una governance dell’AI, seguendo regole etiche, nel rispetto della sicurezza e della privacy, rafforza la fiducia degli stakeholders e nei possibili fruitori di prodotto o servizi.

Immaginiamo una banca che implementi un sistema basato sull’intelligenza artificiale e tale sistema sia contestato ad esempio dall’Autorità Garante Privacy in quanto non rispettoso dei diritti degli interessati. La banca, oltre che essere sanzionata, potrebbe subire una perdita di reputazione e magari anche un crollo del proprio valore in borsa. Se invece la stessa banca, mediante un sistema di gestione dell’Intelligenza Artificiale ISO 42001 ha preventivamente analizzato rischi, modalità di funzionamento e ha definito una politica responsabile, l’introduzione di un sistema basato sull’intelligenza artificiale correttamente funzionante potrebbe altresì accrescerne il valore.

Immaginiamo ora invece un’organizzazione che ha adottato un sistema di intelligenza artificiale, senza implementare il sistema di gestione previsto dalla norma ISO 42001, e successivamente emerge che tale sistema presenta in output dei risultati affetti da discriminazioni di genere. Oltre che probabilmente essere di fronte ad una violazione di legge, in quanto ad esempio la normativa italiana vieta discriminazioni di genere nell’ambito del rapporto di lavoro, l’azienda subirebbe un danno di immagine decisamente rilevante, nel caso in cui ciò diventasse di dominio pubblico.

  • miglior controllo dei dati: l’adozione dello standard della norma ISO 42001 contribuisce a mitigare i rischi di violazioni normative e rafforzare l’impegno verso lo sviluppo etico dell’AI, mediante processi di corretto utilizzo dei dati anche di addestramento. Caratteri essenziali diventerebbero esplicabilità, la tracciabilità e la trasparenza del funzionamento dei sistemi, con un sistema di controllo e preparazione dei dati in input e un accurato controllo dell’output dei sistemi, anche nei casi di apprendimento automatico;
  • la competitività: se l’azienda opera nel campo dello sviluppo e fornitura di sistemi basati sull’intelligenza artificiale (es. software), la certificazione ISO 42001 potrebbe essere molto importante per proporsi verso i clienti e garantire di fornire un sistema che è stato sviluppato considerando un utilizzo responsabile dell’intelligenza artificiale in tutte le fasi. Stabilire infatti la fiducia con i clienti e partner è un elemento differenziatore cruciale, perchè questi desiderano assicurazioni che i loro fornitori stiano facendo tutto il possibile per fornire un prodotto adeguato, ad esempio per evitare un trattamento illecito di dati o evitare di mettere a rischio dati riservati.

Non è da escludere che in futuro l’accesso a gare e albi fornitori richiederanno obbligatoriamente tale requisito oppure riconosceranno in modo decisamente premiale tale requisito.

Cosa richiede lo standard ISO 42001?

Prevede un approccio sistematico per le aziende per bilanciare l’innovazione e la governance gestendo contemporaneamente i rischi e le opportunità legate all’intelligenza artificiale.

Come per altri standard ISO, come ad esempio la norma ISO 27001 sulla sicurezza delle informazioni, ha disposizioni specifiche e un allegato che elenca i controlli per assistere le Organizzazioni nella gestione dei rischi legati allo sviluppo e all’uso dei sistemi di AI. Anche la ISO 42001 richiede che un’azienda implementi, in modo ragionevole e proporzionato, una serie di misure e di controlli definiti dalla norma che aiutino, a prevenire, rilevare e combattere usi scorretti dell’intelligenza artificiale.

A quali altre normative o standard è collegata?

L’Organizzazione Internazionale per la Standardizzazione ha sviluppato l’ISO 42001:2023 in modo flessibile, di modo che qualsiasi organizzazione o azienda possa adottarlo. Inoltre, questo standard può essere facilmente integrato con altri sistemi di gestione già eventualmente adottati (come l’ISO 9001 o la ISO 27001).

Infatti, molte aziende che già dispongono di una certificazioine ISO 9001 relativa al sistema di gestione per la qualità, hanno implementato o vorranno implementare nei propri processi aziendali sistemi basati sull’intelligenza artificiale. Alcuni esempi potrebbero essere:

  • chatbot per la gestione dell’assistenza ai clienti;
  • applicativi per la creazione di contenuti testuali, immagini, etc;
  • applicativi per la gestione della ricerca e selezione delle risorse umane.

E’ evidente che l’adozione di sistemi basati sull’intelligenza artificiale influenza fortemente i processi di erogazione dei servizi e prodotti di un’azienda certificata ISO 9001, che è chiamata ad adattare il proprio sistema di gestione considerando l’ingresso dell’intelligenza artificiale. In questo caso, la contestuale adozione della norma ISO 42001 potrebbe creare un aiuto concreto per la gestione responsabile dei sistemi basati sull’intelligenza artificiale.

Perché richiedere il supporto di una consulenza ISO 42001?

Per costruire un sistema di gestione dell’intelligenza artificiale conforme alle richieste della norma ISO 42001, e per definire tutte le procedure e la modulistica necessarie per sottoporsi alla verifica di un ente accreditato per rilasciarne la certificazione, è buona norma avvalersi dell’assistenza di una consulenza realmente capace di supportare un’azienda lungo tutto questo tragitto.

A tal proposito, è importante sottolineare che, rispetto ad altri sistemi di gestione, la norma ISO 42001 Artificial Intelligence Management System richiede l’effettivo possesso di una competenza trasversale capace di integrare delle competenze sia di tipo giuridico, sia di tipo sistemico, sia di tipo tecnologico e nell’ambito del risk management.

Da questo punto di vista, la parola chiave per ricevere una seria consulenza ISO 42001 è, senza ombra di dubbio, “multidisciplinarietà”: sicurezza delle informazioni, privacy, cybersecurity, compliance, etica sono aspetti che si intersecano strettamente fra loro.

I livelli di sviluppo del sistema di gestione dell’intelligenza artificiale sono, infatti, differenti ed è di fondamentale importanza avere il supporto di un team di consulenti che integrino le diverse competenze sopra richiamate.

Il metodo: le fasi della consulenza

La consulenza offerta da Gruppo RES si basa sui seguenti servizi:

Risk Assessment e Gap Analysis

finalizzate all’individuazione delle situazioni di utilizzo dell’intelligenza artificiale più esposte ai rischi.

Implementazione Sistema di Gestione ISO 42001

affiancamento in tutte le fasi del percorso di certificazione ISO 42001: dalla verifica iniziale circa i requisiti previsti dallo standard, all’analisi ed engineering dei processi; dall’elaborazione della documentazione di sistema e all’implementazione dello stesso, fino all’individuazione e gestione dei contatti con l’Ente di Certificazione.

Monitoraggio e Mantenimento

mediante audit interni periodici, aggiornamento della documentazione, help desk, aggiornamento legislativo, riesame della direzione assistito.

Il team multidisciplinare di Gruppo RES è formato da:

  • Auditor Qualificati sui Sistemi di Gestione
  • Esperti certificati nel campo della Cybersecurity
  • Competenze in ambito sistemico e giuridico

Per ulteriori informazioni, conoscere le tempistiche e i costi

Facebook
Twitter
LinkedIn