Il 2 agosto 2024 è entrato in vigore il Regolamento UE AI Act, introducendo una nuova era per la regolamentazione in Europa dell’Intelligenza Artificiale (IA). Il quadro normativo suddivide i sistemi IA in base alla classe di rischio, distinguendo tra rischio inaccettabile, alto rischio, rischio di non trasparenza e minimo rischio, con l’obiettivo di garantire la sicurezza e il rispetto di valori europei nell’uso delle nuove tecnologie.
La normativa prevede che dal 2025 i sistemi proibiti “vengano spenti” e che solo i sistemi IA conformi ai requisiti essenziali possano essere commercializzati. A supporto di questo quadro legislativo, gli enti di normazione come UNI, a livello nazionale, e CEN/CENELEC, a livello europeo, sono incaricati di sviluppare norme tecniche armonizzate, con lo scopo di facilitare l’adozione dell’AI Act con standard conformi da parte delle imprese.
Domenico Squillace, presidente della Commissione UNI/CT 533, sottolinea come questo regolamento rappresenti un punto di svolta per la standardizzazione tecnologica in Europa. Attraverso la mappatura tra il regolamento e gli standard tecnici, le imprese potranno allinearsi alle nuove normative, promuovendo un uso responsabile e sicuro dell’IA. Anche Domenico Natale, esperto di standardizzazione a livello internazionale, evidenzia come questa mappatura contribuisca a creare un ecosistema giuridico e tecnico armonizzato, capace di supportare l’innovazione mantenendo un forte controllo sui rischi connessi all’IA. Inoltre la mappatura evidenzia la possibile complementarietà degli standard non ancora armonizzati che rimangono con una valenza volontaria di supporto alla qualità produttiva.
Il ruolo della formazione e delle competenze tecniche sarà cruciale per il successo di questo quadro, garantendo che gli sviluppatori e fornitori di IA siano in grado di operare conformemente alle nuove normative e promuovendo al contempo un’IA affidabile e centrata sull’uomo.
Di seguito l’articolo Economy
Dall’AI Act a standard armonizzati in Europa per l’applicazione dell’intelligenza artificiale
Un approfondimento con Domenico Squillace, presidente Uninfo e della commissione tecnica UNI 533 sull’IA, e Domenico Natale, esperto di standardizzazione
Il nuovo quadro normativo europeo dedicato all’Intelligenza Artificiale (IA o in inglese AI), denominato Regolamento AI Act, è entrato ufficialmente in vigore nell’agosto di quest’anno ed introduce differenti adempimenti secondo la classe di rischio a cui appartiene il sistema di IA. Le classi di rischio definite nell’AI Act distinguono i sistemi in:
rischio inaccettabile, ove ricadono i sistemi proibiti;
alto rischio, esempio dispositivi medici;
rischio di trasparenza, esempio notizie false;
minimo rischio o nessun rischio.
L’AI Act è strutturato in 113 Articoli, completato da 180 “Considerando” e 13 Allegati. Gli articoli costituiscono un riferimento per porre in corrispondenza gli standard esistenti, secondo il loro contenuto e i termini definiti. L’analisi della distanza (gap analysis) tra i contenuti dell’AI Act e gli standard esistenti (o esterni) rende evidenti apposite richieste di standardizzazione da parte della CE, Commissione Europea, conformi al regolamento. Le richieste avviano attività di standard armonizzati da parte delle commissioni tecniche preposte e condivisi da tutti i Paesi dell’Unione.
Su queste tematiche abbiamo richiesto, in due successive interviste qui pubblicate entrambe, un approfondimento a Domenico Squillace, e a Domenico Natale.
AI Act: dalle regole agli standard armonizzati per le imprese che devono adeguarsi
Risponde Domenico SQUILLACE, Technical Relation Leader IBM Italia, Presidente della Commissione UNI/CT 533 “Artificial Intelligence” e della Commissione UNI/CT 535 “Quantum Technologies”.
Presidente, può fornirci un quadro di quanto sta avvenendo nel campo legislativo e tecnico della Intelligenza Artificiale?
Nel campo legislativo nel luglio 2024 è stato pubblicato nella Gazzetta Ufficiale Europea il Regolamento UE n. 1689 meglio noto come AI Act, dopo varie fasi procedurali iniziate nel 2021. L’AI Act è ufficialmente in vigore dal 2 Agosto 2024 e, come primo adempimento, dal 2 febbraio 2025 i sistemi AI definiti “proibiti” dovranno essere spenti.
L’AI Act si presenta come un Regolamento innovativo in quanto ha un approccio basato sul rischio e segue il “New Legislative Framework” estendendo al mondo dell’immateriale le regole già in uso per la sicurezza prodotto: potranno infatti essere immessi sul mercato solo i Sistemi AI conformi ai suoi requisiti essenziali (cfr. Art.40).
In estrema sintesi, il New Legislative Framework (NLF) prevede che la legislazione definisca i requisiti essenziali che la tecnologia deve soddisfare, mentre le norme armonizzate, sviluppate dagli Enti di Normazione europei su richiesta della Commissione Europea, rendono operativi questi requisiti. Sono in via di approfondimento le modalità con cui il “fornitore” potrà far certificare i propri prodotti o servizi se sono stati sviluppati seguendo tali norme armonizzate o se potrà usufruire di standard esistenti complementari.
La normazione tecnica dell’intelligenza artificiale è svolta da due comitati: uno a livello internazionale ISO/IEC JTC 1 SC 42, l’altro a livello europeo CEN/CENELEC JTC 21. All’interno di quest’ultimo, in particolare, sono oggetto di sviluppo le norme armonizzate necessarie a rendere operativo l’AI Act.
A livello nazionale questi due comitati sono gestiti da UNI – l’Ente italiano di Normazione tramite la Commissione UNI/CT 533 istituita presso UNINFO, l’Ente Federato di UNI che ha la delega sulla normazione tecnica dell’Information Technology. Per promuovere l’adozione dell’intelligenza artificiale e facilitare la gestione dei sistemi di AI a livello nazionale, la commissione UNI/CT 533 ha deciso di adottare lo standard ISO/IEC 42001:2023 come norma italiana e di curarne la traduzione in italiano, che sarà presto disponibile nel catalogo UNI. Inoltre, in collaborazione con la Commissione UNI/CT 526 “Attività professionali non regolamentate per l’ICT”, si stanno definendo i profili professionali relativi all’AI, che potranno supportare la definizione di piani di formazione e il miglioramento delle competenze nel settore, contribuendo così allo sviluppo di skills adeguati ad affrontare le sfide dell’intelligenza artificiale.
Di fronte ad uno scenario così vasto e connesso pensa che sarà utile una accelerazione delle capacità operative dei computer, non solo per gli aspetti organizzativi ma soprattutto per l’innumerevole quantità di dati e algoritmi che in futuro saranno sviluppati?
L’accelerazione delle capacità operative dei computer, guidata dai progressi del quantum omputing, non è solo una necessità pratica, ma sarà cruciale per sbloccare il potenziale delle tecnologie emergenti. Questa evoluzione permetterà di affrontare le sfide future legate alla gestione di dati, all’ottimizzazione dei processi e all’interoperabilità dei sistemi, mantenendo al contempo un equilibrio tra innovazione tecnologica e conformità legale ed etica.
Può accennare gli argomenti trattati dai Working Group del CEN/CENELEC JTC 21 ai quali partecipano gli esperti italiani?
I working group del CEN/CENELEC JTC 21 sono attualmente cinque:
WG 1 – “Strategic Advisory Group” (attivo sulla supervisione generale delle attività, sulla definizione della strategia e su task group specifici come quello sull’inclusiveness, che mira a facilitare la partecipazione delle parti interessate dell’IA, in particolare distribuendo informazioni aggiornate sulla standardizzazione dell’IA e sulle attività correlate);
WG 2 – “Operational Aspects” (sul tema del Conformity assessment e del Risk managemen);
WG 3 – “Engineering Aspects” (per gli aspetti della Governance, Qualità dei dati, Dataset, Bias);
WG 4 – “Foundational & Societal Aspects” (che fornisce il quadro della Trustworthiness);
WG 5 – “Cybersecurity” (che estende i concetti della sicurezza alle reti, ai dispositivi, ecc.).
Desidero cogliere questa occasione per esprimere la mia più sincera gratitudine a tutti gli esperti italiani che collaborano attivamente con UNINFO in queste attività, con legami con ISO, CEN e UNI, e che contribuiscono in modo determinante allo sviluppo della standardizzazione a livello nazionale, europeo e internazionale. La loro dedizione e competenza sono essenziali per promuovere un’economia nazionale competitiva e sostenibile, in piena conformità con i principi legislativi e della responsabilità sociale.
In particolare, nell’ambito della Commissione UNI/CT 533, un ringraziamento particolare per il loro contributo a livello internazionale, europeo e nazionale va a Riccardo Mariani per la sua leadership nella definizione delle norme ISO/IEC su “Functional Safety”, a Renaud Difrancesco e a Piercosma Bisconti per il loro ruolo di project editor rispettivamente delle norme sul Risk Management e sulla Trustworthiness e, last but not least, a Valentina Grazia Sapuppo che sta guidando il team che si occupa della ISO/IEC 42001 sui Sistemi di Intelligenza Artificiale e sua traduzione in italiano (che non è una cosa così banale come potrebbe sembrare).
Un ringraziamento speciale va poi a Domenico Natale per aver ideato il tema della qualità dei dati e aver contribuito a farne una norma internazionale ISO anticipando l’importanza dei dati come il “petrolio” del nuovo millennio e come base di riferimento di misurazioni valide anche per l’IA.
Risponde Domenico NATALE, esperto di standardizzazione nell’ambito ISO/IEC JTC1 SC 7 e SC 42, membro CEN-CENELEC JTC 21 per l’IA e Presidente della Commissione UNI/CT 504 “Ingegneria del software”.
Dott. Natale, dal Suo punto di vista, essendo l’IA sempre più pervasiva in vari settori economico-sociali, in che modo gli standard adottati dalle imprese possono supportare l’AI Act?
Per quanto riguarda la pervasività, già dai primi articoli dell’impianto normativo dell’AI Act si intravvede uno spazio enorme di ricaduta per gli aspetti fondamentali trattati: la diffusione di una IA affidabile e innovativa centrata sull’uomo, la protezione della salute, della sicurezza, dei diritti fondamentali dell’UE, della democrazia e dello Stato di diritto, della protezione dell’ambiente contro gli effetti nocivi dei sistemi di IA nell’Unione (art. 1). Tra i primi articoli dell’AI Act si definiscono anche una serie di indicazioni con oltre sessanta definizioni (art. 3) la cui attuazione comporta un grande impegno legato alla standardizzazione e all’adozione di presidi differenziati per i diversi settori e contesti di intervento.
Nel complesso, l’AI Act offre un quadro giuridico uniforme e strutturato che permette ai tecnici esperti di standard europei e internazionali di fornire sia nuovi requisiti armonizzati da sviluppare sia nello stesso tempo di offrire al mercato un quadro interconnesso, composto da standard già esistenti in ambito ISO o analoghi enti di standardizzazione.
Per questo motivo è stata avviata all’interno della Commissione UNI CT 533, l’attività di mapping tra AI Act e Standard, ideata e implementata a supporto di elementi tecnici di inquadramento per la concreta messa a terra dell’impianto del Regolamento. Tale attività, presentata per la prima volta in Europa nel giugno 2024 durante la plenaria CEN CENELEC JTC 21 presso l’Università di Bath (UK), è ora al centro dell’attenzione anche a livello internazionale e mira, a indirizzare verso un allineamento dei termini e delle definizioni utilizzate nell’articolato normativo del Regolamento con l’ausilio degli standard tecnici, unendo la disciplina legale e le norme tecniche. Al momento sono forniti oltre 350 termini con più di 60 standard, abbinati agli Articoli, ai “Considerando” e agli Allegati dell’AI Act.
L’attività di mapping tra AI Act e Standard è stata accolta dall’associazione italiana non-profit AI Open Mind che è attiva nell’hosting e sviluppo del progetto grazie alle competenze di Antonio Cappella, con contributi documentali di Nicola Fabiano e Alessandro Stazi, e supportata, con patrocinio gratuito da realtà nazionali, internazionali e europee.
Nell’IA vede più rischi o più vantaggi?
Prima di poter dare una risposta, occorre distinguere diversi aspetti dell’IA:
• I vincoli che condizionano i sistemi secondo principi etici, rispetto dei diritti umani, modelli di qualità, classi di rischio;
• le metodologie di sviluppo: algoritmi, addestramento delle macchine con dati di qualità, mitigazione dei rischi, evoluzioni del testing, adozione obbligatoria di standard armonizzati europei conformi alle leggi e al regolamento, tenendo conto dell’utilizzo di standard volontari complementari e di ausilio;
• le tecnologie operative: reti neurali, modelli generativi, chatbot, interpretazioni dei linguaggi, machine learning, robotica, ecc.
Nel complesso sono ottimista e intravvedo più vantaggi che rischi.
Tra i vantaggi la velocizzazione di servizi ripetitivi, della elaborazione e rappresentatività dei dati in continuo e irrefrenabile aumento, l’ottimizzazione di complessità burocratiche, l’approfondimento di scienze naturali e mediche, il progresso del tema dei trasporti intelligenti. Il tutto mettendo sempre al centro la protezione dei diritti fondamentali riconosciuti dalla Carta dei diritti fondamentali dell’Unione europea e del valori del nostro continente. La trasparenza e l’esplicabile funzionamento degli algoritmi andrà garantita contribuendo al tempo stesso a suscitare un aumento della fiducia degli utenti finali e stakeholder in questa nuova evoluzione della scienza dei computer. Una buona riuscita dei sistemi di IA dipenderà non solo dall’uso di appropriate tecnologie avanzate, ma anche dall’addestramento delle macchine e il coinvolgimento riconosciuto degli esperti di dominio in grado di trasferire conoscenze ed esperienze dagli uomini alle macchine.
Tra i rischi (art. 9) possono invece essere inclusi i seguenti aspetti: la capacità di adattamento del software non ammessa in quella che possiamo definire la prima epoca dell’informatica (stimabile dal 1940 al 2000) in cui il software una volta approvato e collaudato rimaneva intoccabile. Nella attuale seconda era in cui le funzionalità del software (algoritmi) possono auto-modificarsi e adattarsi, si può temere il rischio di uno scarso controllo o supervisione umana con impatto sulla sicurezza. Un altro rischio è quello del riproporsi del Digital divide per alcuni strati della popolazione a causa di scarsa trasparenza e comprensibilità dei sistemi. Inoltre un eventuale scarso utilizzo di dati di qualità (art. 10), senza l’adozione di modelli di qualità di riferimento, può portare a dati mal trasferiti alle macchine intelligenti, e indurre a risultati errati. Le conseguenze degli automatismi dell’IA sull’ammontare dei posti di lavoro, sono da prevedere in anticipo per ridurre i rischi occupazionali, attuando studi separati nei vari settori economici. La sostenibilità dell’energia necessaria all’IA è un altro campo di intervento da tener presente per la mitigazione di rischi economico-sociali.
Quale ruolo per la formazione?
La formazione in ambito di IA gioca un ruolo fondamentale per tutti coloro che ricopriranno una parte attiva nell’adempimento degli obblighi di legge. Infatti, fornitori e sviluppatori, nonché deployer, sono tenuti a garantire, ai sensi dell’articolo 4 dell’AI Act, che il proprio personale soddisfi i requisiti di alfabetizzazione e di educazione, con riferimento ai sistemi di IA in cui operano. Lo stesso accade nel contesto di quelle aziende che decideranno di implementare un Sistema di Gestione AI, in conformità alla ISO/IEC 42001. Si tratta di un quadro normativo e normo-tecnico che traduce un eco-sistema complesso, olistico e interdisciplinare, centrale per la definizione delle best practices, in coerenza alle reali esigenze del mercato.
In pratica quali risultati stanno raggiungendo gli esperti italiani tenendo conto di una tale organizzazione di produzione di standard?
L’UNI (tramite UNINFO) ha il merito di essere molto attivo nel campo della standardizzazione delle tecnologie informatiche sia a livello internazionale in ISO/IEC JTC 1/SC7, “Information Technology”, in Liaison con ISO/IEC JTC 1/SC42, sia a livello europeo in vari comitati del CEN/CENELEC. Di quest’ultimo possiamo ricordare i comitati sull’AI, Cybersecurity, Blockchain e “Quantum Technologies”. Per quello che riguarda l’ISO/IEC JTC 1, possiamo ricordare anche i sottocomitati SC 27 “IT Security”, SC 31 “e-Accessibility”, il già citato SC42 “AI” e infine SC7 “Sw Engineering”. In quest’ultimo, l’UNI ha ideato e realizzato il primo modello di qualità dei dati UNI CEI ISO/IEC 25012:2014 pubblicato in inglese nel 2008 prima dell’attuale IA, per fornire alle organizzazioni elementi qualitativi di indirizzo importanti, inclusi nei piani triennali della PA. Nel 2015 gli esperti italiani hanno definito misure di qualità oggetto di assessment e benchmarking. Per l’IA lo standard del 2008 è stato importato nell’ambito dello standard ISO/IEC 5259-2:2024 (disponibile a breve), con l’aggiunta di regole statistiche di qualità dei dataset per le applicazioni delle Machine learning, alle quali ha contribuito il sottoscritto con l’ausilio di Andrea Trenta. Relativamente ai dati il contributo italiano riguarda anche lo sviluppo della Technical Report 18115 “Data governance and quality for AI in the European context”, sviluppata nell’ambito del JTC21–WG3 dal sottoscritto coadiuvato da Luigi Briguglio. Tale TR (in via di pubblicazione) fornisce una panoramica formativa generale comprendente anche argomenti specifici e best practices come l’accessibilità, l’etica, attività industriali, dataspace. Infine, si sottolineano i contribuiti anche alla norma UNI CEI EN ISO/IEC 25059:2023 sul “Modello di qualità per i sistemi di IA”. Alcuni aspetti sono in corso di estensione circa i servizi, la capacità di interazione uomo macchina e relativamente alla caratteristica della Safety. Su tali temi si rinforza il supporto della Technical Specification ISO/IEC TS 25058:2024 “Guidance for quality evaluation of artificial intelligence (AI) systems”. Sono anche da ricordare infine le attenzioni agli standard UNI CEI EN ISO/IEC EN 22989:2023 “Concetti e terminologia dell’intelligenza artificiale” e UNI CEI EN ISO/IEC 8183:2024 “Quadro del ciclo di vita dei dati”.
Tutti gli standard, e non solo, rappresentano elementi cruciali per lo sviluppo di un ecosistema normativo coerente, fondamentale per garantire la qualità e l’affidabilità dei sistemi tradizionali in trasformazione e dei sistemi di intelligenza artificiale.
