Perché il viaggio dell'AI ha bisogno di una governance strutturata

Per quasi tutte le aziende, l'intelligenza artificiale (AI) è un tema di grande attualità e la maggior parte di esse è desiderosa di esplorarne i vantaggi. Tuttavia, esistono sfide e rischi potenziali legati all'AI che devono essere gestiti per uno sviluppo, un'applicazione e un utilizzo sicuri, responsabili, affidabili ed etici. È qui che lo standard ISO/IEC 42001 per i sistemi di gestione dell'intelligenza artificiale entra in gioco come pilastro riconosciuto per guidare lo sviluppo e fornire soluzioni di AI affidabili.

Nonostante sia in circolazione da qualche tempo, l'AI non è stata accolta con entusiasmo fino a poco tempo fa. Una recente indagine di ViewPoint condotta da DNV ha rilevato che una parte significativa delle aziende (58%) non ha ancora implementato le tecnologie AI e che oltre il 70% si trova in una fase iniziale del percorso di implementazione dell'AI. I dati evidenziano inoltre che l'AI non è ancora una priorità strategica per la maggior parte delle aziende. 

Molte aziende che hanno risposto al sondaggio potrebbero essere alle prime armi con l'AI, ma non sono startup o ignare dei benefici e dell'importanza della governance. Hanno già implementato un sistema di gestione conforme ad almeno uno standard ISO, come ISO 9001 (qualità), ISO 14001 (ambiente) o ISO/IEC 27001 (information security).  Tuttavia, in particolare chi è agli inizi tende a non riconoscere ancora l'importanza di adottare lo stesso metodo nel proprio percorso di intelligenza artificiale. 

La crescente necessità di governance 

Le aziende che potremmo definire "starting" si concentrano principalmente sull'utilizzo dell'AI per aumentare l'efficienza e migliorare i processi interni. Si tratta di un primo passo comune grazie alla natura e implementazione relativamente semplice di soluzioni come Copilot e ChatGPT.  Man mano che le aziende maturano, tuttavia, si tende a passare a iniziative di AI esterne e più avanzate, finalizzate alla generazione di ricavi e all'esplorazione di nuove opportunità di business. Con il progresso aumenta la necessità di una governance strutturata per controllare al meglio i rischi e garantire uno sviluppo, un'implementazione e un utilizzo dell'AI sicuri, affidabili ed etici.  

La normativa sull'AI è in crescita e le aziende dovranno dimostrarne la conformità. Inoltre, c'è uno scetticismo intrinseco da parte degli utenti che, come conseguenza, crea un gap di fiducia che deve essere colmato. Per potersi fidare di una tecnologia e sfruttarla al meglio, dobbiamo capire come funziona ed essere in grado di valutarne la sicurezza, l'affidabilità e la trasparenza.  Questo problema è evidenziato in un report di marzo 2024 dell'AI Assurance Club intitolato AI Governance and Assurance Global Trends 2023-24. Il report descrive in dettaglio le tendenze globali e gli sviluppi legislativi in tutto il mondo. Sul tema della fiducia, il report afferma: "Al centro del puzzle della governance dell'AI c'è la questione della fiducia. Man mano che i sistemi di AI diventano sempre più integrati nelle nostre vite - nelle infrastrutture, nei processi aziendali, nei servizi pubblici o nei beni di consumo - gli utenti devono avere la certezza che i sistemi funzioneranno costantemente come previsto, senza causare danni".

Colmare il divario 

Il gap di fiducia si riferisce alla potenziale mancanza di fiducia e trasparenza nei confronti dei prodotti e/o servizi abilitati all'AI di un'organizzazione. Ad esempio, se un ospedale utilizza una diagnostica abilitata all'AI, posso io come paziente fidarmi che sia altrettanto buona o addirittura migliore della valutazione effettuata dal solo medico?  Per colmare il divario di fiducia prima che i sistemi di AI diventino troppo complessi e autonomi è necessaria una forte governance. 

La creazione di fiducia è una caratteristica centrale di tutti gli standard dei sistemi di gestione ISO, quindi non dovrebbe essere una sorpresa che lo stesso approccio possa essere applicato quando si tratta di AI. L'indagine di ViewPoint ha rivelato che la maggior parte delle aziende all'avanguardia nello sviluppo e nell'implementazione dell'AI sta già considerando l'adozione di un sistema di gestione dell'AI per garantire una governance adeguata. In aggiunta, queste stesse aziende conoscono già lo standard ISO/IEC 42001.  

Esistono già diversi standard complementari e framework sull'AI, tra cui: il NIST AI Risk Management Framework, l'ISO/IEC 23894 AI guidance on risk management, l'ISO/IEC 5338 AI system life cycle process e l'ISO/IEC TS 25058. Nel dicembre 2023, l'ISO ha lanciato lo standard ISO/IEC 42001 per i sistemi di gestione dell'AI (AIMS). Si tratta del primo standard AIMS certificabile che fornisce un approccio solido alla gestione delle numerose opportunità e dei rischi legati all’AI in un'organizzazione. Questo standard aiuta le aziende a fare un passo avanti nel colmare il gap di fiducia, poiché la conformità si traduce in un certificato emesso da un ente di certificazione indipendente come DNV.  Inoltre, poiché si basa sulla High Level Structure di ISO (HLS), può essere facilmente integrato con altri sistemi di gestione.   
 
Lo standard ISO/IEC 42001 è modellato sulla stessa struttura di alto livello di altri standard di gestione ISO e sarà quindi familiare alle aziende che dispongono di un altro sistema di gestione ISO.  Seguendo la metodologia "Plan-Do-Check-Act", l’ ISO/IEC 42001 specifica i requisiti e si concentra sulla creazione, l'implementazione, il mantenimento e il miglioramento continuo di un sistema di gestione dell'AI. Tutti gli intervistati nel sondaggio ViewPoint hanno indicato la cybersecurity come una delle principali minacce all'implementazione dell'AI: questo indica che può essere estremamente vantaggioso integrarla con un sistema di gestione di information security conforme alla norma ISO/IEC 27001.

Costruire la fiducia  

Lo standard ISO/IEC 42001 assumerà senza dubbio un'importanza ancora maggiore man mano che un numero sempre maggiore di Paesi introdurrà normative sull'AI. Negli Stati Uniti e in Cina esistono già regolamenti e politiche. In Europa è recentemente entrata in vigore la prima legge completa sull'AI al mondo, l'EU AI ACT. La legge mira a promuovere e garantire lo sviluppo sicuro, protetto, affidabile ed etico dei sistemi di AI. L'istituzione di una governance aziendale dell'AI emerge come un aspetto fondamentale per garantire la conformità normativa e creare fiducia.  

Per garantire la governance dell'AI, è fondamentale creare una funzione chiave centralizzata rispetto ai diversi team che identifichi e comprenda le tecnologie, i casi d'uso e i fornitori di AI. Inoltre, a causa della continua evoluzione del campo dell'AI e del suo mutevole ambiente normativo, sarà necessario che stakeholder e un comitato di governance identificato rivedano e aggiornino il programma di governance dell'AI su base continuativa. Ecco un altro vantaggio dell'implementazione di un sistema di gestione conforme alla norma ISO/IEC 42001 e della sua certificazione. 

L'adozione di un approccio strutturato alla governance e all'uso responsabile dell'AI può rappresentare un vantaggio competitivo e aiutare qualsiasi azienda a dimostrare agli stakeholder interni ed esterni che l'azienda ha adottato un approccio solido per salvaguardare gli utenti e per il miglioramento continuo. Un sistema di gestione certificato dimostra l'impegno dell'azienda e le azioni intraprese per garantire uno sviluppo, un'implementazione e un utilizzo sicuri, affidabili ed etici dell'AI nei suoi processi e nelle sue offerte di prodotti e servizi.