Sicurezza e affidabilità dei sistemi di IA: il ruolo dell’accreditamento
L’Osservatorio Accredia sull’Intelligenza Artificiale inquadra il tema della regolamentazione europea dell’AI Act e fornisce indicazioni sui processi che dovranno essere stabiliti per garantire l’accreditamento e la certificazione dei sistemi di IA.
Negli ultimi decenni, l’Europa ha subito un rallentamento della crescita economica, con un aumento del divario di produttività rispetto agli Stati Uniti. Questo fenomeno può essere in gran parte attribuito a un’insufficiente innovazione tecnologica e al mancato sfruttamento economico delle nuove tecnologie, come evidenziato dal rapporto The Future of European Competitiveness dello scorso settembre.
L’Europa, nonostante un eccellente sistema di ricerca accademica per numero e rilevanza di contributi scientifici, il più delle volte non è riuscita a capitalizzarne il valore. Inoltre, rispetto alle imprese statunitensi, ma anche a quelle cinesi, le imprese europee investono molto meno in ricerca e sviluppo e questo ha ridotto la capacità del continente di competere nei settori tecnologici avanzati.
Infine, un deciso ritardo infrastrutturale sembrerebbe condizionare, anche in termini prospettici, il posizionamento dell’Europa nell’ambito tecnologico globale.
L’AI Act e gli obiettivi regolatori dell’UE
In questo contesto, la regolamentazione diventa uno strumento rilevante di posizionamento nelle dinamiche evolutive globali dell’innovazione tecnologica – intesa in senso esteso rispetto a tutte quelle tecnologie che hanno rivoluzionato economia e società negli ultimi anni.
Tuttavia, un approccio “rights-driven” risente inevitabilmente della complessità degli ambiti di applicazione delle nuove tecnologie e delle inevitabili interazioni sistemiche. È inoltre evidente l’esigenza di un vocabolario comune che consenta di portare a convergenza competenze giuridiche, specializzazioni informatico-tecnologiche e visione sistemica, di politica industriale.
Inoltre, va considerato il ritardo fisiologico di una regolamentazione che rincorre le veloci dinamiche delle tecnologie digitali, ritardo figlio di un necessario consenso politico e di un altrettanto necessaria interlocuzione collaborativa tra professionisti del digitale, giuristi e principali fabbricanti di nuove tecnologie. In questi casi, una regolamentazione a volte frammentaria e “in ritardo” rispetto alle esigenze di chiarezza e tutela affioranti, ha contribuito ad alimentare un clima di incertezza fortemente dannoso per investimenti e sviluppo.
Non sorprende, allora, l’obiettivo regolatorio della Commissione europea con la pubblicazione del Regolamento UE 2024/1689 sull’Intelligenza Artificiale, l’AI Act: regolare l’uso dell’IA in diversi settori, garantendo la sicurezza e i diritti dei cittadini, senza limitare lo sviluppo tecnologico.
La certificazione accreditata dei sistemi di IA
L’Intelligenza Artificiale (IA) rappresenta una delle maggiori opportunità di innovazione economica del nostro tempo, soprattutto in termini di possibili integrazioni verticali nei settori industriali e dei servizi. Perché ciò avvenga è però necessario un quadro di regole chiare. La normativa tecnica, la valutazione di conformità e l’accreditamento avranno un ruolo significativo nell’applicazione di tali regole, da qui la loro importanza.
Le analisi condotte nell’Osservatorio Accredia “Norme tecniche e valutazione della conformità accreditata per lo sviluppo dei sistemi di Intelligenza Artificiale”, presentato lo scorso 16 ottobre alla Sapienza Università di Roma, inquadrano il tema della regolamentazione europea approfondendo il ruolo di Accredia, in qualità di Ente Unico di accreditamento, nel garantire la corretta applicazione della normativa tecnica, rendendo le procedure necessarie all’adeguamento al regolamento europeo più chiare ed efficaci possibili.
Lo studio fornisce indicazioni sui processi che dovranno essere stabiliti per garantire l’accreditamento e la certificazione dei sistemi di IA. Il Regolamento prevede tre modalità di valutazione della conformità:
- la valutazione di conformità effettuata da terze parti
- la certificazione sulla base degli standard armonizzati a livello europeo
- la procedura basata sul controllo interno.
La certificazione sulla base di norme tecniche armonizzate, differentemente dalle altre modalità, garantisce la presunzione di conformità con il Regolamento, invertendo “l’onere delle prova” semplificando quindi il meccanismo di controllo e alleggerendo il carico amministrativo.
L’approccio risk based e i sistemi di IA ad Alto rischio
Il Regolamento ruota interamente attorno a un approccio basato sul rischio, prevedendo una classificazione dei sistemi di IA in classi di rischio e differenti livelli di controllo e monitoraggio. Nel valutare il rischio, la Commissione tiene conto di diversi criteri, tra i quali, ad esempio, la finalità prevista dal sistema di IA, la misura in cui è usato o verrà impiegato, la portata dell’eventuale impatto negativo (danno) e il numero delle persone che potrebbero essere coinvolte, o l’eventuale previsione di legge di contromisure efficaci volte anche a prevenire o ridurre sostanzialmente i rischi.
Nei sistemi di IA ad Alto Rischio, in alcuni casi specifici, è richiesta l’attività di verifica di un organismo notificato. In particolare, per i sistemi afferenti alla biometrica, l’art. 43 del Regolamento prevede l’obbligo di ricorso a un organismo notificato nei casi in cui:
- non esistono le norme armonizzate di cui all’art. 40 e non sono disponibili le specifiche comuni di cui all’art. 41
- il fornitore non ha applicato la norma armonizzata o ne ha applicato solo una parte
- esistono le specifiche comuni di cui alla lettera a), ma il fornitore non le ha applicate
- una o più norme armonizzate di cui alla lettera a) sono state pubblicate con una limitazione e soltanto sulla parte della norma che è oggetto di limitazione
Inoltre, per i sistemi normati da altri atti dell’UE elencanti nell’allegato I sez. A del Regolamento (si tratta di 12 atti normativi che riguardano, ad esempio, ascensori, giocattoli, dispositivi medici, direttiva macchine, ecc.) il fornitore dovrà seguire la procedura di verifica della conformità già prevista in tali atti, ovvero ricorrere a un organismo notificato.
Attraverso la garanzia di trasparenza, competenza e imparzialità degli organismi notificati, l’accreditamento potrà contribuire a rimuovere le barriere regolatorie che potrebbero impattare negativamente sulla competitività industriale italiana nel campo dell’IA. L’accreditamento potrebbe configurandosi come il migliore strumento amministrativo possibile per garantire l’efficacia di funzionamento del Regolamento e la conformità allo stesso delle imprese.
La Standardization Request della Commissione europea
L’Osservatorio Accredia, inoltre, analizza il rapporto tra i requisiti dell’AI Act e il processo di normazione tecnica, sviluppato nel Comitato europeo di standardizzazione (CEN-CENELEC), sulla base di una richiesta di normazione tecnica (Standardization Request) formulata dalla Commissione europea.
In particolare la Standardization Request ha fissato i requisiti (items) ad alto livello che la normativa tecnica dovrà garantire attraverso le proprie indicazioni operative. In particolare gli items considerati sono:
- sistemi di gestione del rischio per i sistemi di IA
- governance e qualità dei data set utilizzati per sviluppare sistemi di IA
- tracciamento e il monitoraggio delle attività dei sistemi di IA
- obblighi di trasparenza e le informazioni per gli utenti di sistemi di IA
- requisiti di supervisione umana nei sistemi d’IA
- accuratezza nei sistemi d’IA
- specifiche di robustezza nei sistemi d’IA
- requisiti in tema di cybersicurezza nei sistemi di IA
- gestione del monitoraggio della qualità nei sistemi di IA incluso il monitoraggio post commercializzazione
- valutazione della conformità per i sistemi d’IA.
Le indicazioni operative che saranno prodotte dall’attività normativa del CEN/CENELEC risponderanno a una pressante esigenza di concretezza derivante da problematiche derivanti dai diversi ambiti di applicazione possibili.
I Proof of Concept dell’Osservatorio
L’esigenza di definire pratiche operative è evidente anche nelle attività di valutazione della conformità. Per questo una parte centrale nello sviluppo delle analisi contenute nell’Osservatorio Accredia ha riguardato i PoC (Proof of Concept). Ponte tra la teoria normativa e la pratica applicativa, i PoC offrono una piattaforma per testare, in ambiente controllato, l’efficacia e la conformità dei sistemi di IA rispetto alle norme tecniche e consentono di evidenziare un ruolo potenziale per l’accreditamento.
L’adozione di linee guida e norme tecniche, come la ISO/IEC TR 24027:2021 e la ISO 42001:2023 nel contesto dei PoC è servita a illustrare concretamente come i sistemi di IA possano essere progettati e valutati per assicurare che i bias siano minimizzati e che la gestione della qualità sia mantenuta a livelli ottimali.
I PoC possono facilitare l’elaborazione di linee guida dettagliate per le ispezioni, essendo capaci di identificare specifiche aree di rischio e di efficacia, che gli ispettori possono poi monitorare e valutare. Attraverso i PoC, possono quindi essere sviluppate procedure di verifica più mirate ed efficaci, che si traducono in processi di certificazione più affidabili e trasparenti.
L’Osservatorio Accredia sull’Intelligenza Artificiale è stato un primo approfondimento sul ruolo delle valutazioni di conformità accreditate nel supportare fabbricanti e utilizzatori dei sistemi di IA. La chiara consapevolezza maturata con la realizzazione dello studio è che si tratta dell’inizio di un percorso. Un “cantiere aperto” che richiederà elevata competenza tecnica e rapidità di intervento per garantire alle imprese europee un ruolo strategico nel contesto globale.