Utilizzare ISO 42001 e NIST AI RMF per aiutare con la legge sull’IA dell’UE
L’adozione delle tecnologie di intelligenza artificiale (IA) è aumentata vertiginosamente negli ultimi anni. Nel 2019, il 58% delle organizzazioni utilizzava l’IA per almeno una funzione aziendale; entro il 2024, questa percentuale è salita al 72%. L’uso della genAI è quasi raddoppiato dal 2023 al 2024, passando dal 33% al 65%.
Cos’è la legge sull’IA dell’UE?
La legge sull’intelligenza artificiale dell’Unione Europea (Regolamento (UE) 2024/1689) stabilisce un quadro normativo e legale comune per l’IA all’interno dell’Unione Europea. È entrata in vigore il 1° agosto 2024 e copre tutti i tipi di IA in vari settori, ad eccezione dei sistemi di IA utilizzati esclusivamente per scopi militari, di sicurezza nazionale, di ricerca e non professionali.
La legge è progettata per essere applicabile in vari contesti e applicazioni dell’IA, stabilendo requisiti di conformità specifici. Rappresenta un tentativo di bilanciare innovazione e sicurezza nell’intelligenza artificiale, creando linee guida chiare per la gestione del rischio, il monitoraggio continuo dei sistemi e la supervisione umana.
Chi sarà interessato?
Le organizzazioni che utilizzano l’IA e operano all’interno dell’UE, così come le organizzazioni al di fuori dell’UE che fanno affari nell’UE, saranno soggette a questa legge.
Chi non sarà interessato?
È importante comprendere quali aspetti non rientrano nell’ambito di applicazione della legge. La regolamentazione adotta un approccio non interventista per le applicazioni militari e di sicurezza nazionale. I sistemi di IA dedicati esclusivamente alla ricerca scientifica e allo sviluppo sono esenti da queste regole, permettendo ai ricercatori di innovare senza vincoli normativi. La legge si applica solo quando i sistemi di IA sono distribuiti o commercializzati; durante lo sviluppo, queste regole rimangono inattive.
Fondi per la legge sull’IA dell’UE
Per la non conformità con le pratiche di IA vietate, le organizzazioni possono essere multate fino a 35.000.000 EUR o 7% del fatturato annuale globale, a seconda di quale sia maggiore. Per la non conformità con i requisiti per i sistemi di IA ad alto rischio, le multe possono arrivare fino a 15.000.000 EUR o 3% del fatturato annuale globale. Inoltre, la fornitura di informazioni errate o fuorvianti alle autorità può comportare multe fino a 7.500.000 EUR o 1% del fatturato annuale globale.
Principali attori sotto la legge sull’IA dell’UE
Il quadro normativo prevede un approccio basato sul rischio, suddividendo i sistemi di IA in quattro categorie: rischi inaccettabili, rischi elevati, rischi limitati e rischi minimi.
1. Rischi inaccettabili:
I sistemi di IA che abilitano pratiche di manipolazione, sfruttamento e controllo sociale sono considerati a rischio inaccettabile. Esempi includono l’uso di tecniche subliminali o manipolative e l’identificazione biometrica remota in tempo reale. Questi sistemi non possono essere distribuiti nel mercato dell’UE.
2. Rischi elevati:
I sistemi di IA che influiscono negativamente sulla sicurezza o sui diritti fondamentali sono considerati ad alto rischio. Esempi includono l’uso di biometria e infrastrutture critiche. Questi sistemi possono essere distribuiti nel mercato dell’UE solo dopo aver mitigato i rischi.
3. Rischi limitati:
Alcuni sistemi di IA, come i chatbot e i deepfake, non rientrano necessariamente nella categoria ad alto rischio ma possono comportare rischi di impersonificazione o inganno. Questi sistemi possono essere distribuiti con controlli e monitoraggio umano.
4. Rischi minimi:
Questa categoria include i sistemi di IA non definiti in altre categorie, come i videogiochi abilitati dall’IA o i filtri antispam. Questi sistemi possono essere distribuiti liberamente nel mercato dell’UE.
Comprendere il NIST AI Risk Management Framework (RMF) e ISO/IEC 42001
L’ISO/IEC 42001 è uno standard internazionale che specifica i requisiti per stabilire, implementare, mantenere e migliorare continuamente un Artificial Intelligence Management System (AIMS) all’interno delle organizzazioni. È progettato per entità che forniscono o utilizzano prodotti o servizi basati sull’IA, garantendo uno sviluppo e un uso responsabili dei sistemi di IA.
Le organizzazioni di qualsiasi dimensione coinvolte nello sviluppo, nella fornitura o nell’uso di prodotti o servizi basati sull’IA possono trarre vantaggio dall’implementazione di questo standard, che è rilevante per tutti i settori.
