Sembra incredibile eppure ogni servizio o dispositivo, dotato di intelligenza artificiale ad alto rischio, è oggi privo di una specifica certificazione europea. E per rischio si intendono tutti gli ambiti dove ci possono essere implicazioni per la salute umana, o comunque per i diritti dell’individuo. In pratica il Comitato europeo di normazione (Cen) non ha ancora pubblicato le norme di riferimento per l’AI, e oggi l’unica via di uscita è quella di rifarsi ai generici standard internazionali dell’Iso. La speranza, ovviamente, è che venga rispettata la scadenza imposta da Bruxelles sull’AI: i regolamenti dovranno essere pronti entro agosto 2026.
Non è un tema da sottovalutare perché l’alto rischio si manifesta – per esempio – in un’apparecchiatura medicale come la Tac, i cui ultimi modelli hanno dimostrato di essere in grado di proporre diagnosi grazie all’AI. Ma vale anche per i sistemi intelligenti che gestiscono reti idriche, i robot autonomi, gli algoritmi che condizionano l’erogazione di mutui e polizze assicurative.
L’AI nel perimetro della sicurezza dei prodotti
Quanto l’AI riguarda la sicurezza dei prodotti deve passare al vaglio degli esperti che assicurano la conformità alle normative. Da ricordare, peraltro, che l’intelligenza artificiale non sfiora solo gli ambiti della sicurezza ma anche la data protection, la trasparenza e l’etica. In tal senso l’Unione europea ha stabilito un processo specifico all’interno dell’AI Act e almeno su questo fronte non incide più di tanto l’attuale stallo del ddl italiano sull’intelligenza artificiale, arenato in Senato da diversi mesi.
Il tema di fondo è che i prodotti con intelligenza artificiale ad alto rischio richiederanno un sistema simile alla marcatura CE, e quindi un’attestazione della conformità, che può essere assicurata solo da un organismo notificato, accreditato dall’ente unico di accreditamento nazionale. In Italia quest’ultimo si chiama Accredia e di fatto è il certificatore delle realtà che certificano. Il suo compito è attestare la competenza dei laboratori e degli organismi che verificano la conformità di prodotti, servizi e professionisti agli standard di riferimento, facilitandone la circolazione, anche a livello internazionale. Vale anche per l’intelligenza artificiale.
“L’AI Act ha posto un perimetro, ma che cosa noi faremo all’interno è ancora da decidere. Un po’ come se fosse stato deciso un principio in attesa di stabilire le regole attuative. Le norme tecniche, in pratica, stabiliranno in che modo ci si debba adeguare ai vari requisiti dell’AI Act, specificando processi e metodologie che le organizzazioni dovranno implementare per rendere i loro sistemi di AI sicuri”, spiega Piercosma Bisconti, ricercatore del Cini, il Consorzio Interuniversitario nazionale per l’informatica. Praticamente non sono ancora stati stabiliti i requisiti tecnici, volti a minimizzare il rischio, tra le quali misure di cybersicurezza, qualità del data set, sorveglianza umana.
Vietate le pratiche a rischio con l’AI Act
“Dal 2 febbraio in Europa sono vietati tutti i sistemi con livello di rischio inaccettabile, ovvero quelli che colpiscono i diritti fondamentali delle persone come il social scoring che in Cina attua una valutazione dei cittadini sulla base di comportamenti per concedere o meno un visto” spiega a Wired Angelo Del Giudice, del dipartimento certificazione e ispezioni di Accredia. Del Giudice precisa come le norme continentali pongano un argine in grado di tenere i cittadini al riparo dagli eccessi asiatici. “Da noi non c’è nulla di simile. E neanche potrà esserci in futuro” sottolinea.
ARTICOLI PIÙ LETTI
- CULTURALa storia vera del disastro aereo di Lockerbie, ora al centro di una nuova serie tvDI PAOLO ARMELLI
- CULTURACi sono i personaggi e gli interpreti della serie Il Conte di Montecristosu Rai 1DI PAOLO ARMELLI
- ECONOMIALa meme coin di Trump è solo l’ultima delle sue truffeDI JOEL KHALILI
Questa è una fase di transizione, poiché se da una parte l’AI Act ha stabilito un quadro normativo e giuridico comune, d’altra parte mancano ancora riflessioni tecniche e contributi per l’applicazione delle norme. Ed ecco spiegata la collaborazione tra Accredia e il Cini per valutare come potrebbe cambiare lo stato di conformità in relazione ai requisiti indicati da Bruxelles. Ad ogni modo la maggior parte delle norme della legge sull’IA inizierà ad applicarsi il 2 agosto 2026. In questo periodo transitorio vale il patto per l’AI, ovvero un sistema di obblighi volontari a cui possono aderire le aziende e gli addetti ai lavori.
Case study su sicurezza, medicina e Inail
Nello spettro dell’indagine Accredia-Cini dedicata all’AI è stato creato un osservatorio che si è occupato di diversi casi di studio. I due enti sono partiti due anni fa con l’impatto della certificazione accreditata per la sicurezza delle informazioni secondo la norma Iso/Iec 27001- attualmente la più adeguata ai prodotti con AI sebbene su base volontaria.
Lo studio ha dimostrato come i sistemi di certificazione, ma anche i laboratori di prova per i vulnerability assesment e i professionisti certificati per la sicurezza delle informazioni, possano offrire garanzie di sicurezza a istituzioni, imprese, consumatori. Sul medio e lungo periodo si assiste a “un miglioramento profondo dei processi aziendali e una crescita della cultura della sicurezza, con benefici duraturi e non limitati alla migliore gestione del rischio informatico”.
Recentemente il focus si è spostato sull’ambito medico. Nello specifico, sono stati analizzati i casi della detection del melanoma e della stratificazione dei pazienti con sclerosi multipla simulando una verifica della conformità alla linea guida Iso/Iec Tr 24027:2021 per la gestione dei bias – i “pregiudizi” dell’intelligenza artificiale. “La simulazione dei controlli di conformità nello sviluppo dei sistemi di AI e prima del loro rilascio, ha evidenziato l’importanza di un approccio sistematico e tecnico volto a minimizzare il rischio di pregiudizi nei dati con un impatto sull’efficacia dei sistemi di AI”, conferma l’osservatorio.
Non meno importante il caso che ha riguardato l’Inail, in relazione al quality management per i sistemi di AI. In sintesi, nel rispetto della norma Iso 42001:2023, “assicura che ogni processo decisionale automatizzato sia sottoposto a controlli rigorosi prima di essere implementato, approccio particolarmente pertinente nell’ottica dell’AI Act, che pone in risalto l’importanza di una gestione adeguata del rischio e della qualità nell’intelligenza artificiale”.
Riproduzione, Wired.it
