Log in
Sign up
Vintage brass weighing scale illustration representing AI risk management balance

Sections

NIST AI Risk Management Framework: guida operativa per i team di governance dell’IA

In sintesi

  • Il NIST AI Risk Management Framework (AI RMF 1.0) è un quadro volontario e intersettoriale, pubblicato dal National Institute of Standards and Technology statunitense il 26 gennaio 2023, articolato su quattro funzioni: Govern, Map, Measure, Manage.
  • Il quadro poggia su sette caratteristiche dell’IA degna di fiducia: valida e affidabile, sicura (safety), sicura e resiliente (security), responsabile e trasparente, spiegabile e interpretabile, rispettosa della privacy, equa con gestione attiva dei bias dannosi.
  • L’utilizzo più produttivo consiste nell’impiegarlo come motore operativo all’interno di un programma regolatorio più ampio (AI Act, ISO/IEC 42001, regimi settoriali), non come sistema certificabile isolato.
  • Il Generative AI Profile (NIST AI 600-1) estende il RMF con dodici categorie di rischio specifiche dell’IA generativa e oltre 200 azioni raccomandate per i modelli di base.
  • Per i deployer europei le funzioni del RMF si allineano direttamente con gli articoli 9, 17, 26, 55, 72 e 73 del regolamento (UE) 2024/1689, trasformando una guida americana volontaria in evidenze verificabili lato Unione europea.

Che cos’è davvero il NIST AI Risk Management Framework

Il NIST AI Risk Management Framework, abbreviato in AI RMF o AI RMF 1.0, è un documento di orientamento volontario elaborato dal National Institute of Standards and Technology statunitense. La pubblicazione risale al 26 gennaio 2023, in attuazione dell’Executive Order 13859, ed è stata in seguito ribadita dall’Executive Order 14110 nella dottrina federale americana sull’IA (NIST AI 100-1).

Tre proprietà caratterizzano il quadro. Esso è volontario: nessuna organizzazione è tenuta ad applicarlo, e nessuna autorità di vigilanza commina sanzioni in caso di mancata conformità. È intersettoriale: lo stesso impianto vale per un modello di scoring creditizio, per un dispositivo di supporto diagnostico in ambito sanitario e per un assistente generativo. È infine sociotecnico: il rischio dell’IA viene trattato come proprietà del sistema uomo-macchina, non del solo algoritmo.

Il RMF si inserisce in un programma NIST più ampio. Due artefatti compagni lo accompagnano e nella pratica quotidiana pesano quanto il documento centrale.

I tre artefatti compagni: RMF 1.0, GenAI Profile e Playbook

Il AI RMF 1.0 Core (NIST AI 100-1) costituisce il documento fondativo. Descrive le quattro funzioni, le sette caratteristiche di fiducia e i ruoli di AI Actor distribuiti lungo il ciclo di vita.

Il AI RMF Playbook (airc.nist.gov) è il compagno operativo. A ciascuna sottocategoria (per esempio GOVERN 1.1 oppure MEASURE 2.6) sono associate azioni concrete, riferimenti di trasparenza e documentazione e risorse esterne. Il Playbook viene aggiornato circa due volte all’anno e ciò lo rende, nella pratica, il punto d’accesso preferito dai team sul campo.

Il Generative AI Profile (NIST AI 600-1), pubblicato il 26 luglio 2024, è un profilo intersettoriale del RMF dedicato all’IA generativa. Identifica dodici categorie di rischio proprie o aggravate dai sistemi generativi e assegna ad esse più di 200 azioni, sempre riconducibili alle quattro funzioni del nucleo.

Nel lavoro quotidiano un team di governance dell’IA sceglie fra i tre documenti in funzione del tipo di domanda: il Core per la tassonomia, il Playbook per le azioni concrete, il GenAI Profile per i modelli di base e gli assistenti generativi.

Le sette caratteristiche dell’IA degna di fiducia

Il RMF individua sette caratteristiche cui un sistema di IA deve avvicinarsi per meritare la qualifica di degno di fiducia. Non si tratta di tappe né di livelli di maturità: le caratteristiche si applicano simultaneamente, e i compromessi tra di esse rappresentano scelte di progettazione consapevoli.

Valida e affidabile significa che il sistema si comporta come previsto nelle condizioni reali di esercizio, e che tale prestazione non si degrada silenziosamente. La prova si costruisce attraverso studi di validazione, monitoraggio della deriva e indicatori di affidabilità pubblicati sulla distribuzione di test prescelta.

Sicura (safety) mira a evitare di mettere in pericolo persone, salute, beni e ambiente, anche quando il comportamento del sistema risulta nominalmente corretto. Le revisioni di safety si concentrano sui modi di guasto che il modello non rileva da solo, come gli input fuori distribuzione o le prompt avversariali.

Sicura e resiliente (security) riguarda la resistenza agli attacchi e la capacità di ripristino dopo un incidente. È in questo punto che la tassonomia di adversarial machine learning (NIST AI 100-2 E2025) fornisce il catalogo di test, e che i team di sicurezza agganciano i sistemi di IA ai playbook di incident response esistenti.

Responsabile e trasparente lega ciascuna decisione a una persona identificabile. Il quadro interroga la catena di responsabilità fra progettazione, dispiegamento, esercizio e dismissione, e la sua visibilità nei confronti delle persone coinvolte dalle uscite del sistema.

Spiegabile e interpretabile distingue il perché (controfattuali, attribuzione, importanza delle variabili) dal come (meccanica interna del modello). Le due dimensioni vengono trattate separatamente.

Rispettosa della privacy rimanda ai controlli NIST SP 800-53 e al NIST Privacy Framework. In contesto europeo, la dimensione si sovrappone direttamente all’articolo 35 del GDPR (valutazione d’impatto sulla protezione dei dati), come anche al perimetro delle istruttorie del Garante per la Protezione dei Dati Personali.

Equa con gestione attiva dei bias dannosi poggia sulla tassonomia di NIST SP 1270 (Identifying and Managing Bias in AI). L’inquadramento conta: il NIST non promette sistemi privi di bias; chiede agli operatori di identificarli, misurarli e gestirli come attività continua.

Per un dipartimento di audit interno ciascuna caratteristica diventa una famiglia di controlli verificabile. Un’asserzione tipica recita: valida e affidabile, attestata da monitoraggio trimestrale della deriva con soglie definite, da uno studio di validazione recente entro i dodici mesi, e da una statistica di affidabilità pubblicata sulla scheda del modello.

Le quattro funzioni del nucleo: Govern, Map, Measure, Manage

Il Core costituisce il motore del quadro. Le quattro funzioni si rincorrono in modo continuo lungo il ciclo di vita, articolandosi in categorie e sottocategorie con output ben definiti.

Govern: cultura del rischio, ruoli, responsabilità

Govern è la funzione da cui i team iniziano e a cui ritornano più spesso. Definisce la cultura organizzativa, le politiche, i processi e le strutture di responsabilità che rendono possibili tutte le altre funzioni.

Le sue sottocategorie coprono le politiche e procedure del ciclo di vita dell’IA (GOVERN 1.1), gli obblighi giuridici e regolamentari (GOVERN 1.2), l’integrazione delle caratteristiche di fiducia nei valori aziendali (GOVERN 1.4), i ruoli e le responsabilità di gestione del rischio (GOVERN 2.1, 2.2, 2.3) e la responsabilizzazione sulle decisioni di rischio (GOVERN 3.1, 3.2). È qui che la maggior parte degli audit di governance rileva gli scostamenti più numerosi.

Map: contesto, perimetro, impatti prevedibili

Map cattura il contesto operativo. Prima che un modello possa essere valutato, il team identifica gli AI Actors coinvolti, il caso d’uso descritto in linguaggio naturale, l’ambiente di esercizio, le popolazioni interessate, e i benefici e i pregiudizi prevedibili.

Le categorie di Map riguardano l’instaurazione del contesto (MAP 1), la categorizzazione del sistema (MAP 2), la valutazione delle capacità e dell’uso mirato (MAP 3) e l’identificazione dei rischi lungo l’intero ciclo di vita (MAP 4, MAP 5). L’output alimenta tutte le altre funzioni.

Measure: metodi per valutare i rischi identificati

Measure applica metodi quantitativi e qualitativi ai rischi emersi da Map. La funzione resta volutamente agnostica rispetto alla scelta metodologica: un test di regressione, una statistica di equità, una sessione di red teaming, un test A/B in produzione e una revisione umana strutturata risultano tutti validi, purché producano evidenze comparabili nel tempo.

Le categorie coprono la scelta dei metodi (MEASURE 1), la valutazione delle caratteristiche di fiducia (MEASURE 2), il monitoraggio nel tempo di rischi e benefici (MEASURE 3), e le retroazioni verso le funzioni a monte (MEASURE 4).

Manage: prioritizzazione, trattamento, ripristino

Manage chiude il cerchio. I rischi identificati e misurati vengono prioritizzati, trattati (accettare, ridurre, trasferire, evitare) e rivalutati. La funzione comprende esplicitamente il ripristino e la comunicazione di crisi, perché i sistemi di IA falliscono con modalità che i quadri di rischio classici non prevedono.

Le categorie coprono il trattamento (MANAGE 1, MANAGE 2), il monitoraggio e i cambiamenti (MANAGE 3), e la comunicazione delle decisioni (MANAGE 4).

Il Generative AI Profile (NIST AI 600-1) e i dodici rischi GAI

Per qualsiasi organizzazione che distribuisca o sviluppi modelli di base, NIST AI 600-1 costituisce il riferimento operativo. Il profilo enumera dodici categorie di rischio proprie o aggravate dall’IA generativa:

  1. Informazioni o capacità CBRN (chimiche, biologiche, radiologiche, nucleari)
  2. Confabulazione (il cosiddetto fenomeno delle allucinazioni)
  3. Contenuti pericolosi, violenti od ostili
  4. Tutela dei dati personali (estrazione dei dati di addestramento, inversione, inferenza di appartenenza)
  5. Impatti ambientali (calcolo, acqua)
  6. Bias dannoso e omogeneizzazione
  7. Configurazione uomo-IA (eccesso di affidamento, bias di automazione, antropomorfizzazione)
  8. Integrità dell’informazione (media sintetici, deepfake, tracciabilità della provenienza)
  9. Sicurezza dell’informazione (prompt injection, furto del modello, esfiltrazione di dati)
  10. Proprietà intellettuale (diritto d’autore, attribuzione, licenze)
  11. Contenuti osceni o degradanti (incluse le immagini intime non consensuali)
  12. Catena del valore e integrazione dei componenti (rischio di terze parti su modelli, dataset, strumenti)

Ogni categoria viene ricondotta a Govern, Map, Measure e Manage attraverso azioni specifiche, e il profilo si legge così come una checklist ragionata per il dispiegamento di modelli di base. I programmi già attivi sul Core vi aggiungono il profilo come strato supplementare nel momento in cui entra in inventario il primo sistema generativo.

Mappatura del NIST AI RMF sul regolamento (UE) 2024/1689 (AI Act)

Il RMF è volontario; il regolamento (UE) 2024/1689 (AI Act) è vincolante. Entrambi sono stati pensati per restare compatibili, e un fornitore o deployer che già opera sul RMF eredita la maggior parte degli obblighi europei senza un significativo carico documentale aggiuntivo.

Govern si allinea con l’articolo 17 (sistema di gestione della qualità) e l’articolo 26 (obblighi dei deployer). La funzione Govern richiede politiche, procedure, ruoli e responsabilità. L’articolo 17 prescrive un SGQ documentato con dodici componenti specificate. La sovrapposizione è tanto stretta da far sì che la documentazione delle sottocategorie Govern soddisfi, riga per riga, gli obblighi di evidenza del SGQ.

Map si allinea con l’articolo 9 (sistema di gestione dei rischi) e con l’allegato IV (documentazione tecnica). L’articolo 9 richiede l’identificazione e l’analisi dei rischi noti e ragionevolmente prevedibili. Map produce esattamente questo output, oltre alla mappatura degli AI Actors attesa dal fascicolo tecnico dell’allegato IV.

Measure si allinea con gli articoli 9, 14 e 15 (input della sorveglianza post-commercializzazione, evidenze di sorveglianza umana, requisiti di accuratezza, robustezza e cibersicurezza). Ogni sottocategoria MEASURE produce evidenze pertinenti.

Manage si allinea con gli articoli 9, 72 e 73 (trattamento dei rischi, sistema di sorveglianza post-commercializzazione, segnalazione di incidenti gravi). Il loop Manage corrisponde precisamente a quanto l’AI Act attende dai fornitori.

Per i modelli di IA di uso generale, il GenAI Profile si raccorda con l’articolo 55 (obblighi dei fornitori di modelli GPAI con rischio sistemico) e con il codice di condotta che lo rende operativo.

La conseguenza pratica è netta. Per un team che avvia un programma AI Act da zero, trattare il NIST AI RMF come modello operativo e gli articoli del regolamento come involucro normativo permette di risparmiare mesi di lavoro duplicato.

Mappatura del NIST AI RMF sulla ISO/IEC 42001

Il NIST ha pubblicato un crosswalk ufficiale fra AI RMF 1.0 e ISO/IEC 42001, lo standard internazionale del sistema di gestione dell’IA pubblicato a dicembre 2023.

I due documenti rispondono a finalità diverse e si completano. ISO/IEC 42001 fornisce un sistema di gestione certificabile: i punti da 4 a 10 riprendono la struttura nota degli standard di management (contesto, leadership, pianificazione, supporto, esercizio, valutazione delle prestazioni, miglioramento), arricchita dai controlli IA-specifici dell’allegato A. Il RMF fornisce il loop dinamico di gestione del rischio che vive all’interno di tale sistema.

Lo schema attuativo ricorrente è il seguente: i punti della ISO 42001 fungono da impalcatura di governance (politica, perimetro, impegno dei vertici, audit interno), mentre le sottocategorie del RMF dettano il ritmo operativo. Insieme producono un programma al tempo stesso certificabile (ISO) e adattivo (RMF).

Modello operativo passo dopo passo per integrare il RMF

Il seguente schema in cinque passi descrive il modo in cui i team di governance maturi trasformano un quadro in un programma effettivamente in funzione. Si tratta della stessa logica automatizzata dalla piattaforma AI Sigil, sia quando l’àncora normativa è l’AI Act, sia quando è la ISO 42001, sia quando è un regime settoriale.

  1. Inventariare i sistemi di IA e identificare gli AI Actors. Costruire un registro di ogni sistema di IA detenuto, sviluppato o impiegato. Per ciascuno, elencare gli AI Actors lungo il ciclo: progettisti, sviluppatori, deployer, valutatori, utenti finali, popolazioni interessate. È la funzione Map allo stato grezzo.
  2. Etichettare ogni sistema in base alle caratteristiche di fiducia pertinenti. Non tutte le caratteristiche si applicano allo stesso modo a ogni sistema. Un modello di scoring creditizio mette «equa con gestione attiva dei bias dannosi» in primo piano; un assistente di generazione di codice dà priorità a «sicura e resiliente (security)» e a «proprietà intellettuale». Etichettare per tempo evita di limitarsi a depennare caselle più tardi.
  3. Aprire la voce di Playbook di ciascuna sottocategoria e tradurre le azioni suggerite in controlli. È qui che il programma diventa verificabile. Ogni voce del Playbook produce da tre a sette controlli candidati. Conservare quelli che corrispondono al profilo di rischio del sistema, inserirli nel catalogo dei controlli e ricollegarli alla sottocategoria.
  4. Innestare i controlli sulla mappatura verso AI Act, ISO 42001 o regime settoriale. Ogni controllo deve trovare destinazione in almeno un requisito normativo o regolamentare. Senza destinazione, il controllo è con ogni probabilità ridondante. Un requisito privo di controllo segnala invece una lacuna del programma.
  5. Far girare il loop di sorveglianza post-commercializzazione con evidenze documentate. Indicatori di deriva, schede di incidente, ritorni utenti, decisioni di change management e risultati di rivalutazione confluiscono in righe di evidenza collegate ai controlli. La funzione Manage vive in questo loop.

Il loop è continuo, mai annuale. Il Playbook viene aggiornato, i modelli cambiano, il quadro normativo evolve, e il profilo di rischio del sistema si modifica nel tempo.

Ciò che il RMF non fa (limiti onesti)

Un programma maturo resta onesto rispetto a ciò che il RMF non sostituisce.

Non fornisce alcuno schema di certificazione. Nessun soggetto terzo certifica la conformità al RMF; non esiste né logo, né norma di audit, né corpo di valutatori accreditati. Le organizzazioni che necessitano di una prova certificabile devono passare per ISO/IEC 42001.

Non prevede applicazione coercitiva né sanzioni. Il NIST è un ente di normalizzazione, non un’autorità di vigilanza. La mancata adozione del RMF non comporta sanzioni, e la sua adozione non offre alcuna copertura giuridica.

Non definisce alcuna categoria giuridica di sistema di IA ad alto rischio. Tale definizione risiede nell’allegato III dell’AI Act per il mercato europeo, e nelle regolazioni settoriali altrove. Il RMF può descrivere come trattare un sistema ad alto rischio, ma non dichiarare se il vostro lo è.

Non conduce alcuna valutazione di conformità riconosciuta dagli organismi notificati europei. Le valutazioni di conformità di cui all’articolo 43, per i sistemi ad alto rischio, si appoggiano su norme armonizzate (CEN-CENELEC) e sull’intervento di un organismo notificato; il RMF si situa a monte di tale processo, ma non vi appartiene.

Utilizzato entro questi limiti, il RMF è il riferimento di governance dell’IA più attuabile oggi disponibile. Spinto fuori dai suoi limiti, produce falsa rassicurazione.

Domande frequenti

Che cos’è il NIST AI Risk Management Framework?

Il NIST AI Risk Management Framework è un documento di orientamento volontario pubblicato dal National Institute of Standards and Technology statunitense nel gennaio 2023. Aiuta le organizzazioni a progettare, sviluppare, dispiegare e utilizzare sistemi di IA gestendo i rischi per le persone, le organizzazioni e la società. Si articola in quattro funzioni (Govern, Map, Measure, Manage), ancorate a sette caratteristiche di IA degna di fiducia.

Quali sono i quattro tipi di rischio dell’IA secondo il quadro NIST?

Il RMF non enumera quattro tipi di rischio. Il numero quattro rimanda alle quattro funzioni del quadro (Govern, Map, Measure, Manage), che descrivono attività, non categorie di rischio. Le categorie vere e proprie si esprimono attraverso le sette caratteristiche di fiducia e, per i sistemi generativi, attraverso i dodici rischi di NIST AI 600-1.

Il NIST AI RMF è obbligatorio?

No. Il quadro è esplicitamente volontario. Le agenzie federali statunitensi vengono incoraggiate ad adottarlo dall’Executive Order 14110, ma sulle organizzazioni private non grava alcun obbligo giuridico. Proprio per questo i team lo affiancano spesso a regimi vincolanti come l’AI Act, oppure a norme certificabili come la ISO/IEC 42001.

Qual è la differenza fra la ISO 42001 e il NIST AI Risk Management Framework?

La ISO/IEC 42001 è una norma certificabile per un sistema di gestione dell’IA, modellata sulla struttura di ISO 9001 o ISO 27001, con punti obbligatori e controlli di allegato A. Il NIST AI RMF è una guida volontaria centrata sul loop di gestione del rischio. I due sono stati pensati per integrarsi: la ISO 42001 fornisce l’impalcatura certificabile (politica, leadership, perimetro, audit interno), mentre il NIST RMF mette in moto il loop dinamico di rischio dentro al sistema di gestione. Il NIST ha pubblicato un crosswalk ufficiale fra i due.

In che modo il Generative AI Profile (NIST AI 600-1) si rapporta al RMF?

Il Profile completa il RMF, non lo sostituisce. Applica le funzioni del Core a dodici categorie di rischio specifiche dell’IA generativa e assegna a ciascuna più di 200 azioni, sempre legate a Govern, Map, Measure e Manage. I programmi già impostati sul RMF aggiungono il Profile non appena il primo sistema generativo o modello di base entra in inventario.

Come si confronta il NIST AI RMF con l’AI Act?

I due svolgono ruoli distinti. L’AI Act è un regolamento europeo vincolante: obblighi espliciti, sanzioni fino a 35 milioni di euro o al 7 % del fatturato mondiale per le violazioni più gravi, valutazioni di conformità per i sistemi ad alto rischio e una struttura di autorità di sorveglianza del mercato. Il NIST AI RMF è invece volontario. Nella pratica restano molto compatibili: Govern si allinea con gli articoli 17 e 26, Map con l’articolo 9 e con l’allegato IV, Measure con gli articoli 9, 14 e 15, Manage con gli articoli 9, 72 e 73, e il GenAI Profile con l’articolo 55. Un team che governa un programma AI Act può appoggiarsi al RMF come modello operativo.

Conclusione

Il NIST AI Risk Management Framework rappresenta nel 2026 il riferimento di governance dell’IA più attuabile a disposizione dei team operativi. Le sue quattro funzioni, le sette caratteristiche di fiducia, il GenAI Profile e il Playbook vivente offrono un vocabolario coerente, un inventario di azioni suggerite e un loop di retroazione che regge la velocità con cui i modelli cambiano.

L’uso corretto consiste nel farne il motore operativo all’interno di un programma regolatorio più ampio. L’AI Act per il mercato europeo, la ISO/IEC 42001 per la prova certificabile, i regimi settoriali laddove vigono, e il RMF come tessuto connettivo che traduce la norma in attività quotidiana.

AI Sigil mappa ogni sottocategoria del RMF sui controlli già in essere, sugli obblighi dell’AI Act e sui punti della ISO/IEC 42001 in un’unica piattaforma, così che il loop fra norma, controllo ed evidenza smetta di essere un esercizio da foglio di calcolo. Per saperne di più visitate aisigil.com.

Marco Conti

NIST AI Risk Management Framework: guida operativa per i team di governance dell’IA

Come integrare il NIST AI Risk Management Framework in un programma di conformità AI Act e ISO 42001, funzione per funzione, con un loop operativo verificabile.

Il rischio principale dell’IA generativa: perché le allucinazioni dominano ogni altra falla

Il rischio dominante dell'IA generativa non è il bias né il diritto d'autore. È l'allucinazione. Ecco perché, e cosa deve fare chi la mette in produzione.

Shadow AI: perché l’IA ombra è prima di tutto un problema di governance

Lo shadow AI rompe gli obblighi di inventario del regolamento UE, ISO 42001 e NIST RMF. Come scoprirlo e iscriverlo a un registro centrale.

Regolamento UE sull’IA, la guida operativa per la conformità 2026

Il Regolamento 2024/1689 spiegato agli operatori. Categorie di rischio, GPAI, valutazione di conformità, sanzioni e calendario 2026.

Normativa sull’intelligenza artificiale 2026: il manuale dell’operatore

Mappare gli obblighi IA per tipo. Trasparenza, rischio, sorveglianza nel regolamento europeo, NIST, ISO 42001 e la Convenzione del Consiglio d'Europa.

Strumenti di governance IA nel 2026: la piattaforma di conformità e l’ecosistema attorno

Gli strumenti di governance IA si articolano su due livelli: una piattaforma compliance-nativa e strumenti complementari. Mappatura per ruolo AI Act, ISO 42001, NIST RMF.