E’ possibile una Governance e un Controllo dell’AI?

A cura di:Stefano Gorla Ore

La governance è una parola complicata e un po’ fumosa perché essa include tutti i processi di governo aziendali. È il modo in cui le regole o le azioni sono strutturate, mantenute e regolamentate compreso il modo in cui viene assegnata la responsabilità. La governance dell’AI implica che l’AI è spiegabile, trasparente ed etica. Queste tre parole significano cose diverse per organizzazioni diverse o funzioni all’interno delle stesse.

Una politica di governance deve esistere, essere comunicata e deve interagire con il mondo che la circonda con l’organizzazione ed il suo interno. La governance dell’AI deve adattarsi al quadro generale della governance aziendale.

In generale, la governance AI include tutti i processi di governance: il modo in cui le regole o le azioni sono strutturate, mantenute e regolamentate e come sia attribuita la relativa responsabilità.

Possiamo riassumere tre aspetti che sintetizzano gli aspetti di Governance

  • Le Misure: la capacità di misurare costi, valore, verificabilità e conformità.
  • I Software e i Dati: i dettagli sul codice software e sui singoli componenti dei dati.
  • Il Quadro Aziendale: la necessità di adattarsi al quadro generale di governo dell’organizzazione

Un aiuto sulla metodologia e sulla Governance AI ci viene dalla norma ISO 38507: Information technology — Governance of IT — Governance implications of the use of artificial intelligence by organizations, ad oggi in versione FDis

Infatti, scopo del documento è quello alle implicazioni per un’organizzazione dell’uso dell’AI. Come con qualsiasi strumento potente, l’uso dell’IA comporta nuovi rischi e responsabilità che dovrebbero essere affrontati dalle organizzazioni che la utilizzano. L’I non è intrinsecamente “buona” o “cattiva”, “giusta” o “parziale”, “etica” o “non etica”, sebbene il suo uso possa essere o possa sembrare tale.

Lo scopo dell’organizzazione, l’etica e altre linee guida si riflettono, formalmente o informalmente, nelle sue politiche. La norma esamina sia le politiche di governance che quelle organizzative e la loro applicazione e fornisce indicazioni per adattarle all’uso dell’AI. Il documento fa riferimento ad altri standard per i dettagli su argomenti correlati, tra cui la responsabilità sociale, l’affidabilità (come la gestione del rischio, la gestione dei pregiudizi e la qualità) e la gestione della conformità.

I capitoli principali riguardano:

  • Governance e sue implicazioni (governance e accountability);
  • Una visione dei Sistemi AI (tipi di tecnologie e ecosistema);
  • Le politiche per indirizzare l’uso dell’AI (cultura, valori, rischi, etc.).

La figura riporta il modello di Governance indicato dalla norma citata.

La figura seguente illustra la Governance delle implicazioni dell’uso dell’AI.

La Governance è parte integrale dei processi decisionali della Direzione aziendale e deve essere supportata da un sistema di gestione che ne garantisca l’applicazione e la conformità. Anche in questo caso, un supporto viene dalla norma ISO 42001 Information technology — Artificial intelligence -Management system, come anche riportato nell’articolo pubblicato a maggio 2022 del quale riportiamo il link: https://www.ictsecuritymagazine.com/articoli/la-governance-dellai-attraverso-le-norme-iso/ del quale riportiamo un’immagine riassuntiva.

Infatti, la figura sopra riportata richiama un sistema di gestione di un’organizzazione, che attraverso dei processi formali e documentati, guida l’organizzazione e la sua Direzione all’implementazione di un approccio strutturato per processi.

Ma l’implementazione e l’applicazione di un sistema di gestione non sono sufficienti se non intervengono processi di controllo che permettono all’azienda di avere una chiara visione dei risultati delle attività e del polso della situazione. Nella figura sopra viene citata la norma ISO 19011 relativa agli audit di sistema. Anche nell’ambito dell’AI è necessario individuare dei sistemi di controllo, sia degli input che degli output, del processo e della metodologia utilizzata.

Come ogni sistema di gestione certificabile, così sarà anche per la ISO 42001, è necessario che gli organismi di certificazione adottino un sistema di gestione della conformità. Ecco che è in fase di discussione la norma ISO 42006 Information technology — Artificial intelligence — Requirements for bodies providing audit and certification of artificial intelligence management systems.Norma che introduce ulteriori requisiti rispetto alla ISO 17021-1.

L’utilizzo di varie metodologie che possono andare dagli audit alle check list, che devono verificare il prima, ovverosia durante la progettazione e i modelli utilizzati che il dopo, cioè il risultato finale permette all’organizzazione di avere il controllo della conformità del progetto e del rispetto dei requisiti.

In particolare, gli aspetti da verificare, prima e dopo, possono essere riassunti nella figura seguente.

Attraverso magari tool dedicati, risulta quindi possibile ottenere la fotografia e i risultati pre e post, del modello di AI implementato. Molte volte il risultato atteso non è quello che viene prodotto attivando così una serie di controlli a ritroso per la verifica del processo e dei dati.

Un esempio è riportato nelle immagini seguenti dove con la linea azzurra si evidenzia la fase di verifica iniziale e con la linea rossa quella finale. Nelle prime immagini, a destra abbiamo un grafico che indica le due situazioni in ottica di miglioramento continuo, mentre in quello a fianco abbiamo l’evidenza che i risultati non sono conformi alle premesse dei requisiti.

Articolo a cura di Stefano Gorla

Profilo Autore
Stefano Gorla

Consulente e formatore in ambito governance AI, sicurezza e tutela dei dati e delle informazioni;
Membro commissione 533 UNINFO su AI; Comitato di Presidenza E.N.I.A.
Membro del Gruppo di Lavoro interassociativo sull’Intelligenza Artificiale di Assintel
Auditor certificato Aicq/Sicev ISO 42001, 27001, 9001, 22301, 20000-1, certificato ITILv4 e COBIT 5 ISACA, DPO Certificato Aicq/Sicev e FAC certifica, Certificato NIST Specialist FAC certifica,
Referente di schema Auditor ISO 42001 AicqSICEV.
Master EQFM. È autore di varie pubblicazioni sui temi di cui si occupa.
Relatore in numerosi convegni.

Altri Articoli
Condividi sui Social Network:

Articoli simili

COVERT CHANNEL – Canali segreti per comunicare in maniera non convenzionale

COVERT CHANNEL – Canali segreti per comunicare in maniera non convenzionale

A cura di:Francesco Arruzzoli Ore Pubblicato il

I covert channel sono un fenomeno in continua espansione che attirano l’interesse di attori diversi, spesso antagonisti: utenti, community, cyber criminali, intelligence governative, aziende e digital lobbies dei big data. Un covert channel (canale nascosto) è un qualsiasi metodo di comunicazione utilizzato per comunicare e/o trasferire informazioni in modalità occulta e furtiva. Lo scopo primario…

Spear Phishing: eliminare il veleno dai documenti infetti

Spear Phishing: eliminare il veleno dai documenti infetti

A cura di:Redazione Ore Pubblicato il

Cosa collega le massicce violazioni di dati compiute a danno di grandi retailer come Target e Neiman Marcus, del gigante delle assicurazioni sanitarie Anthem e di Sony Pictures? Hanno tutte avuto inizio con un attacco phishing costruito in modo ingegnoso, usando messaggi email con allegati infetti da malware, progettati per sembrare legittimi pren10dendo di mira…

Il Clustering come Strumento di Deanonimizzazione dei Wallet Bitcoin

Il Clustering come Strumento di Deanonimizzazione dei Wallet Bitcoin

A cura di:Paolo Dal Checco e Lorenzo Zen Ore Pubblicato il

Si sente sempre più spesso parlare di Bitcoin, in particolare durante gli attacchi tramite ransomware come durante le tristemente famose campagne di Wannacry e NotPetya. E’ noto ai più ormai che si tratta di una sorta di “moneta virtuale”, utilizzata anche (ma non solo) dai criminali per diversi motivi, tra i quali la possibilità di…

25 giugno 2018: ad un mese dal GDPR Start Day la PA è ancora ai blocchi di partenza?

25 giugno 2018: ad un mese dal GDPR Start Day la PA è ancora ai blocchi di partenza?

A cura di:Leonardo Scalera Ore Pubblicato il

E così dal fatidico GDPR START DAY (25 maggio 2018) è trascorso già un mese. Sia chiaro, si tratta di un lasso temporale troppo breve, anzi al limite del “ridicolo” per poter effettuare una qualsivoglia considerazione o valutazione sul “nuovo”, sui “cambiamenti”, sul “dopo” dall’entrata in vigore del nuovo Regolamento per la Protezione dei Dati…

La cybersecurity e l’autonomia europea

La cybersecurity e l’autonomia europea

A cura di:Francesco Maldera Ore Pubblicato il

L’autonomia dell’Europa nel mondo digitale “Solo un’Europa unita può affrontare le sfide della digitalizzazione. È per il nostro mercato unico – il più grande nel mondo – che noi dobbiamo definire standard per i big data, l’intelligenza artificiale, e l’automazione. E che, con questo, possiamo sostenere i valori, i diritti e l’identità degli Europei. Ma…

I consigli di un hacker su come proteggere le reti VPN collegandosi da remoto

I consigli di un hacker su come proteggere le reti VPN collegandosi da remoto

A cura di:Redazione Ore Pubblicato il

In questo momento di emergenza sanitaria, rispettare le normative è fondamentale ed un gran numero di aziende si è dovuto adattare sperimentando per i propri dipendenti la modalità di lavoro da casa. Mentre i responsabili delle risorse umane e quelli finanziari stanno avendo numerose difficoltà a capire come gestire la situazione dei vari dipendenti, tra…