Valutazione della Conformità dell'IA

Pensi che i sistemi di IA dovrebbero essere soggetti a una rigorosa valutazione della conformità? La Legge sull’IA dell’UE ne fa un pilastro del suo quadro normativo, in particolare per le applicazioni considerate a rischio significativo. Questo articolo riassume le principali intuizioni del webinar dell’AI Standards Hub della scorsa settimana - è stata una sessione molto informativa!

Cos’è la valutazione della conformità?

La valutazione della conformità consiste nel verificare (e dimostrare) che qualcosa soddisfi una serie di standard predefiniti. Non è un concetto nuovo, è stato ampiamente utilizzato in vari settori per garantire qualità, sicurezza e conformità. Ma con l’ascesa dell’IA, specialmente in applicazioni ad alto rischio come i dispositivi medici, la necessità di una solida valutazione della conformità è diventata ancora più critica, e gli organismi di valutazione della conformità stanno ora svolgendo un ruolo chiave in questo processo, poiché devono adattarsi alle sfide uniche poste dai sistemi di IA.

Come viene solitamente eseguita?

La valutazione della conformità comprende una serie di attività volte a verificare che un prodotto, servizio, processo, sistema o organizzazione soddisfi requisiti, standard o regolamenti specifici. Ecco un’elaborazione di ciascuno dei metodi comuni:

1. Test: Il test comporta il sottoporre un prodotto, sistema o componente a procedure specifiche per determinarne le caratteristiche o le prestazioni rispetto a criteri predefiniti. Per i sistemi di IA, il test potrebbe includere test delle prestazioni, test di bias e correttezza, o test di sicurezza. L’obiettivo è generare dati oggettivi sugli attributi e il comportamento del sistema di IA, dimostrando che soddisfa le specifiche tecniche e i requisiti funzionali.

2. Ispezione: L’ispezione è l’esame di un prodotto, processo, servizio o installazione per determinarne la conformità a requisiti specifici. A differenza del test, che spesso comporta una manipolazione attiva o un input, l’ispezione implica spesso un controllo più visivo e sistematico di caratteristiche, documentazione o procedure. Per i prodotti e i processi di IA, l’ispezione potrebbe includere la revisione della documentazione o il controllo del processo/ciclo di vita.

3. Certificazione: È un’attestazione di terze parti relativa a prodotti, processi, sistemi o persone. Un organismo di certificazione indipendente, dopo aver condotto una valutazione (che può includere test e ispezione), emette un certificato che attesta che l’oggetto della valutazione della conformità soddisfa i requisiti specificati.

4. Dichiarazione di Conformità del Fornitore (SDoC): Questa è una valutazione della conformità di prima parte in cui il fornitore (produttore, importatore o parte responsabile) dichiara che il proprio prodotto, processo o servizio è conforme ai requisiti specificati.

5. Valutazione del sistema di gestione (come ISO 42001 per i sistemi di gestione dell’IA): Questo tipo di valutazione si concentra sul sistema di gestione di un’organizzazione piuttosto che su un prodotto specifico. Verifica che un’organizzazione abbia messo in atto un approccio sistematico (un “sistema di gestione”) per raggiungere determinati obiettivi, come la qualità, le prestazioni ambientali o, nel nostro caso, lo sviluppo e l’implementazione responsabili dell’IA. Per l’IA, ciò comporterebbe principalmente l’audit rispetto a ISO/IEC 42001:2023 - Sistema di Gestione dell’Intelligenza Artificiale (AIMS): un revisore indipendente valuta i processi dell’organizzazione relativi al ciclo di vita del sistema di IA, inclusa la governance dei dati, la gestione dei rischi, le considerazioni etiche, la trasparenza, la supervisione umana e la responsabilità, e verifica la presenza di meccanismi che garantiscano il miglioramento continuo dell’AIMS.

6. Accreditamento:

   L’accreditamento è il riconoscimento formale da parte di un organismo indipendente e autorevole (un “organismo di accreditamento”) che un organismo di valutazione della conformità (come un laboratorio di prova, un organismo di ispezione o un organismo di certificazione) è competente, imparziale e opera in modo coerente secondo gli standard internazionali (ad es. ISO/IEC 17025 per i laboratori di prova, ISO/IEC 17020 per gli organismi di ispezione, ISO/IEC 17021 per gli organismi di certificazione). Un organismo di accreditamento (ad es. ENAC in Spagna, UKAS nel Regno Unito) valuta approfonditamente la competenza tecnica, i sistemi di gestione, l’imparzialità e il funzionamento coerente di un organismo di valutazione della conformità. L’accreditamento fornisce un ulteriore livello di fiducia e credibilità all’intero sistema di valutazione della conformità. Quando un prodotto è certificato da un organismo di certificazione accreditato, o testato da un laboratorio accreditato, significa che l’organismo che esegue la valutazione è stato a sua volta rigorosamente valutato e ritenuto competente.

Perché la valutazione della conformità dell’IA è importante?

La Legge sull’IA dell’UE impone la valutazione della conformità per i sistemi di IA ad alto rischio prima che vengano immessi sul mercato o messi in servizio. Questo processo garantisce che tali sistemi soddisfino i severi requisiti della legge.

Per la maggior parte dei sistemi di IA ad alto rischio (elencati nell’Allegato III), i fornitori possono generalmente eseguire una valutazione interna della conformità (autovalutazione), a condizione che applichino gli standard armonizzati pertinenti. Tuttavia, per alcuni sistemi di IA ad alto rischio critici (ad es. sistemi biometrici utilizzati nelle forze dell’ordine, o dove non vengono utilizzati standard armonizzati), è obbligatoria una valutazione della conformità di terze parti da parte di un “Organismo Notificato” designato.

Il processo di valutazione della conformità ai sensi della Legge sull’IA comporta la dimostrazione della conformità a requisiti quali:

• Sistema di gestione dei rischi
• Governance dei dati (qualità dei dati, mitigazione dei bias)
• Documentazione tecnica
• Tenuta dei registri (registrazione degli eventi)
• Trasparenza e fornitura di informazioni agli utilizzatori
• Supervisione umana
• Accuratezza, robustezza e cybersecurity

Al completamento con successo della valutazione della conformità, il fornitore emette una Dichiarazione di Conformità UE e, per i sistemi ad alto rischio, è tenuto ad apporre la marcatura CE.

Naturalmente, la valutazione della conformità è importante non solo per la conformità normativa: garantisce la sicurezza, mitiga i rischi, costruisce la fiducia, promuove una maggiore responsabilità, favorisce una cultura di miglioramento continuo e facilita persino il commercio internazionale attraverso la creazione di standard e schemi di valutazione della conformità riconosciuti a livello globale.

Qual è il ruolo del Comitato dell’Organizzazione Mondiale del Commercio sugli Ostacoli Tecnici al Commercio (TBT)?

Il Comitato dell’Organizzazione Mondiale del Commercio sugli Ostacoli Tecnici al Commercio (TBT) è quello che mantiene il flusso del commercio internazionale proteggendo al contempo obiettivi legittimi come la salute o la sicurezza umana, la vita o la salute animale o vegetale, l’ambiente e i requisiti di sicurezza nazionale. Lo fanno assicurando che i regolamenti tecnici, gli standard e le procedure di valutazione della conformità non creino ostacoli inutili al commercio. Ad esempio, gli argomenti su cui lavorano includono le valutazioni di impatto normativo, la regolamentazione dei dispositivi medici, le tecnologie emergenti critiche, come i biocarburanti, la generazione e lo stoccaggio di energia pulita, i semiconduttori e, naturalmente, l’IA. Nel 2024, il Comitato TBT ha adottato delle linee guida (G/TBT/54) per supportare i regolatori nella scelta e nella progettazione delle procedure di valutazione della conformità per garantire che le misure per verificare la conformità ai regolamenti tecnici e agli standard non creino ostacoli inutili al commercio internazionale.

E i regolatori nazionali?

I regolatori nazionali nei paesi membri dell’OMC sviluppano e promulgano regolamenti, progettano e implementano procedure di valutazione della conformità ed effettuano la sorveglianza del mercato. In Lussemburgo, ad esempio, abbiamo l’Istituto Lussemburghese di Standardizzazione, Accreditamento, Sicurezza e Qualità dei Prodotti e Servizi (ILNAS), ma anche l’Agenzia Lussemburghese per i Medicinali e i Prodotti Sanitari (ALMPS) (che regola i dispositivi medici) e la Commissione Nazionale per la Protezione dei Dati (CNPD) (sistemi di IA e conformità alla Legge sull’IA). L’Australia, a sua volta, ha un modello di responsabilità condivisa per la regolamentazione della sicurezza dei prodotti, che coinvolge i governi federale, statale e territoriale: la Commissione Australiana per la Concorrenza e i Consumatori (ACCC) sovrintende alla sicurezza generale dei prodotti di consumo, mentre il Dipartimento delle Infrastrutture, dei Trasporti, dello Sviluppo Regionale, delle Comunicazioni e delle Arti è responsabile della sicurezza dei veicoli - e l’Autorità Australiana per le Comunicazioni e i Media (ACMA). Tali regolatori utilizzano le linee guida TBT dell’OMC per garantire che i loro regolamenti e le procedure di valutazione della conformità siano efficaci e facilitino il commercio proteggendo al contempo gli interessi pubblici.

Cos’è il toolbox ISO per la Valutazione della Conformità (CASCO)?

È una raccolta completa di standard e guide internazionali sviluppata dal Comitato ISO per la Valutazione della Conformità (CASCO). Può essere utilizzata dagli organismi di valutazione e accreditamento, nonché dalle aziende, per capire come conformarsi ai requisiti, selezionare fornitori competenti di valutazione della conformità e persino implementare i propri processi di valutazione interna.

Cosa sono gli schemi di valutazione della conformità?

Il Comitato ISO per la valutazione della conformità esiste da molto tempo, ma ora ha un nuovo compito: sviluppare schemi di valutazione della conformità, ovvero insiemi di requisiti e procedure che aiutano gli organismi di valutazione della conformità a certificare un sistema o un prodotto rispetto a uno standard specifico. Vediamo tali schemi applicati quotidianamente: basta guardare l’imballaggio di un elettrodomestico o di un dispositivo elettrico che possiedi: ci sarà il logo di qualche schema di certificazione, il che significa che ha superato alcuni test per garantire che sia sicuro e funzioni come previsto. In altre parole, questo nuovo comitato svilupperà tali schemi di certificazione per controllare i prodotti e i sistemi di IA e consentire ai loro fornitori di etichettarli come “certificati” (cioè sicuri e adatti all’uso previsto).

Sviluppare tali schemi di valutazione della conformità per l’IA è impegnativo per una serie di motivi:

• Un sistema di IA come prodotto può avere componenti diversi, e ogni componente come prodotto implica un approccio basato sul rischio. Sono costituiti da dati, software, modelli e infrastrutture, non così tangibili e prevedibili nel loro comportamento come, ad esempio, un bollitore. Nell’IA, i rischi possono derivare dai dati di addestramento, dalla progettazione dell’algoritmo e persino dall’interfaccia utente. Pertanto, è necessaria una valutazione del rischio più integrata e olistica per andare oltre la valutazione a livello di componente.
• Necessità di una valutazione in tempo reale. Molti sistemi di IA operano in tempo reale (ad es. veicoli autonomi, rilevamento di frodi). Poiché l’ambiente cambia costantemente, una valutazione istantanea standard non sarà sufficiente: abbiamo bisogno di un monitoraggio continuo, di una registrazione efficiente e di metodi di valutazione della conformità in qualche modo adattivi.
• Controllo delle versioni e aggiornamenti. I modelli di IA vengono frequentemente aggiornati, riaddestrati, perfezionati e aggiornamenti come questi possono modificare in modo imprevedibile il comportamento del modello. Qui abbiamo bisogno di un robusto sistema di gestione delle modifiche!
• Una dichiarazione di conformità può garantire la sicurezza del sistema? Ancora una volta, la natura dinamica dell’IA rende difficile una dichiarazione definitiva e richiede un monitoraggio post-commercializzazione continuo delle prestazioni del sistema, della qualità dei dati e dell’aderenza ai principi etici.

Tutto ciò necessita dello sviluppo di nuovi metodi e quadri di valutazione della conformità più dinamici e adattivi. Questo è ciò che il WG sta attualmente facendo. L’obiettivo è pubblicare gli schemi a maggio 2027, quindi c’è molto tempo per gli esperti per essere coinvolti nella stesura.

Ci sarà più supporto per gli organismi di certificazione e gli auditor?

Sì! Un nuovo documento, attualmente in fase di pubblicazione, fornirà presto maggiore supporto agli organismi di certificazione e agli auditor: si tratta di ISO/IEC 42006 - “IT — IA — Requisiti per gli organismi che forniscono audit e certificazione dei sistemi di gestione dell’IA”. Il nuovo standard garantirà che gli organismi di certificazione operino con la competenza e il rigore necessari per valutare le organizzazioni che sviluppano, implementano o offrono sistemi di IA. I sistemi di IA presentano sfide uniche in aree come l’etica, la qualità dei dati, il rischio e la trasparenza. Per certificare che un’organizzazione gestisca responsabilmente queste sfide, gli auditor stessi necessitano di conoscenze specializzate e di regole chiare per condurre le valutazioni.

Sapevi che esiste un intero ecosistema di standard ISO relativi all’IA?

• ISO/IEC 38507:2022 si applica a tutte le organizzazioni che sviluppano o utilizzano sistemi e soluzioni basati sull’IA, indipendentemente dal settore, dalle dimensioni o dalla capacità tecnica. Verifica se l’organizzazione dispone di adeguati sistemi di governance dell’IA e di gestione dei rischi dell’IA, concentrandosi specificamente sul livello di governance, garantendo che il processo decisionale relativo all’IA sia in linea con gli obiettivi dell’organizzazione, nonché con le normative, le aspettative etiche e i valori della società.
• ISO/IEC 23894:2023 IT-AI - Guida alla gestione dei rischi fornisce indicazioni su come le organizzazioni che sviluppano, producono, implementano o utilizzano prodotti, sistemi e servizi che utilizzano l’IA possono gestire i rischi specificamente correlati all’IA.
• ISO/IEC 42005:2025 - Valutazione dell’impatto del sistema di IA - fornisce una guida per le organizzazioni che conducono valutazioni dell’impatto del sistema di IA. Può essere utilizzata da qualsiasi organizzazione che sviluppa, fornisce o utilizza sistemi di IA che desidera valutare e gestire i potenziali impatti dei propri sistemi di IA sulle persone e sulla società.
• ISO/IEC 42001:2023 specifica i requisiti per stabilire, implementare, mantenere e migliorare continuamente un Sistema di Gestione dell’Intelligenza Artificiale (AIMS) all’interno delle organizzazioni. È progettato per le entità che forniscono o utilizzano prodotti o servizi basati sull’IA, garantendo lo sviluppo e l’uso responsabili dei sistemi di IA.

---

La valutazione della conformità non è semplicemente un ostacolo burocratico, ma un pilastro fondamentale per lo sviluppo e l’implementazione responsabili e affidabili dell’IA, specialmente per applicazioni ad alto rischio come i dispositivi medici abilitati all’IA. Fornisce i meccanismi essenziali per verificare che i sistemi di IA soddisfino standard predefiniti di sicurezza, prestazioni, etica e conformità normativa.

Come partecipare allo sviluppo di standard relativi all’IA?

Unisciti al tuo organismo nazionale di standardizzazione: https://www.iso.org/about/members

---

Immagine: Kittens and Cats; a Book of Tales, di Eulalie Osgood Grover; 1911; Boston, Houghton Mifflin. — Fonte.