All. B - Valutazione del rischio

Bozza di linee guida per l’adozione di IA nella pubblica amministrazione

La consultazione pubblica è attiva dal 18/02/2025 al 20/03/2025.

Questo argomento accoglie i commenti relativi all’allegato B - Valutazione del rischio.

I commenti dovranno includere il numero del paragrafo o sotto-paragrafo (se presente) e un riferimento puntuale al brano di testo al quale si riferiscono (ad esempio paragrafo 4.3, terzo capoverso).

Leggi il documento in consultazione.

La Valutazione del rischio dovrebbe includere come principio Ethics By Design!

ALLEGATO B – VALUTAZIONE DEL RISCHIO (B.1, B.2, B.3, B.4 E B.5)
L’intero allegato B dovrebbe essere adottato obbligatoriamente, in coerenza con le previsioni delle Linee Guida, degli standard internazionali e delle normative.

Questa domanda ci è sorta durante la lettura degli allegati B e C, entrambi molto interessanti. Tuttavia, ci siamo chiesti: perché AGID elabora strumenti di valutazione del rischio se ci sono gia’ strumenti europei tipo HUDERIA? Non si rischia di duplicare il lavoro per le PA e di creare potenzialmente incoerenze? Gli scenari di rischio in questo caso riteniamo siano due:

  • Se i sistemi di valutazione del rischio sono uguali, sono ridondanti e rischiano di far perdere tempo e creare confusione tra le PA
  • Se i sistemi di valutazione sono diversi, quale bisogna seguire e quando? Il rischio è che una PA, “inondata” di obblighi, scelga di non adottare strumenti di Ai

Allegato utile. Sarebbe, tuttavia, utile l’aggiunta di esempi pratici per agevolare la comprensione (es. con riguardo ai criteri di classificazione e agli indicatori di prestazione – KPI applicati ad un caso concreto). La valutazione dovrebbe tenere anche conto dell’impatto sull’ambiente (solo parzialmente trattato) e dei costi da sostenere per l’adozione e lo sviluppo del sistema rispetto ai benefici.
Sarebbe importante, in tale contesto, la definizione di una check list con matrice di rischio ai fini della valutazione. Le check list sono, in concreto, un foglio di calcolo, diviso anch’esso tra criteri statici e dinamici. Lo strumento è utile a valutare la conformità afferente a situazioni specifiche, sino ad arrivare al grado di rischio complessivo e a stabilire e commisurare l’azione corrispondente alla situazione di eventuale non conformità. In particolare, si dovrebbe impostare un sistema di categorizzazione che includa principalmente due fasi. La prima, utile a definire una categorizzazione preliminare sulla base di criteri statici (afferenti alle caratteristiche del sistema, ai rischi noti, al settore specifico in cui opera la PA interessata allo sviluppo o all’adozione del sistema, all’esposizione, alla pericolosità e alla capacità di mitigazione del rischio identificato). La seconda, utile a definire una categorizzazione definitiva (salvo poi da sottoporre ad aggiornamento periodico), sulla base di criteri dinamici e tecnici, tra cui un’analisi graduale degli impatti del sistema nei primi tempi di utilizzo. Si ricorda, sul punto, che il Regolamento UE in materia, al considerando 81, indica di tenere conto delle specificità del settore come pure delle competenze e dell’organizzazione dell’autorità pubblica interessata.
Si tratta infatti di valutazioni che presuppongono una forte componente scientifica, ma anche evidenze empiriche connesse all’esperienza delle amministrazioni nel settore di interesse. È noto infatti che il concetto di rischio sia contraddistinto da una particolare dinamicità, la quale permette allo stesso tempo di assumere un significato differente in base al periodo storico, all’avanzamento scientifico e alla, maggiore o minore, specializzazione del personale cui è affidata l’analisi. Non esiste infatti una semplice concezione di regime basato sul rischio, ove questo incontra differenze in base al settore e alla formazione. Si tratta, in ogni caso, di prospettive che si sovrappongono e che richiedono un bilanciamento per una valutazione il più possibile fondata per la conseguente categorizzazione dei sistemi di IA. Tale discorso si inserisce nel doveroso presupposto dell’impossibilità di raggiungere un rischio zero, laddove lo scopo è dunque di mitigare i rischi più importanti, gestire o talvolta accettare quelli di minore rilevanza. Si tratta di un’attività che richiede, inoltre, un costante monitoraggio e una rivalutazione dei criteri considerati per la valutazione e per il bilanciamento degli interessi, privati e pubblici.

Valutazione del livello di maturità nell’adozione di IA: Il modello per l’autovalutazione del Livello di Maturità nell’adozione di IA potrebbe adottare un approccio GQM (Goal-Question-Metric) per misurare e valutare la qualità dei sistemi informatici basati su IA da differenti punti di vista, Total Quality Management (TQM). Questo approccio potrebbe essere personalizzato per i diversi domini applicativi della Pubblica Amministrazione, consentendo una valutazione mirata alle specificità di ciascun settore. Utilizzando il GQM insieme a modelli di qualità riconosciuti a livello internazionale, come ISO/IEC 25010, ISO/IEC 25012, ISO/IEC 25011 e ISO/IEC 25059, è possibile tradurre gli obiettivi qualitativi di un sistema in domande concrete, definire le metriche appropriate e progettare un processo di misurazione preciso e sistematico, facendo riferimento agli standard metrici: ISO/IEC 25023, ISO/IEC 25024 e ISO/IEC 25025.
L’applicazione del paradigma GQM permette di valutare l’efficacia di un sistema AI non solo dal punto di vista tecnico, ma anche considerando aspetti ambientali e organizzativi che possono influire sull’adozione dell’IA. Questa misurazione oggettiva delle qualità dei sistemi AI è particolarmente importante nell’ambito pubblico, dove le decisioni devono essere basate su criteri trasparenti e condivisi, riducendo la soggettività delle valutazioni. Un ulteriore elemento fondamentale nel processo di valutazione riguarda la prontezza dell’IA (AI Readiness) delle organizzazioni pubbliche. La preparazione delle PA nell’adottare l’IA potrebbe essere misurata attraverso uno strumentario decisionale specifico per ciascun dominio applicativo. Questo strumento consente di individuare e valutare in modo strutturato lo stato “As-Is” delle capacità di adozione, garantendo un’analisi oggettiva e riproducibile. Adottare modelli decisionali standardizzati e condivisi consente di ridurre il rischio di valutazioni basate su intuizioni o percezioni individuali, favorendo invece decisioni fondate su criteri espliciti e condivisi che riflettono le necessità e gli obiettivi di ciascuna PA.

Riteniamo che questa sezione sia eccellente, in particolare la parte B.4, che prevede di valutare i sistemi IA in condizioni diverse da quelle del test set originale. Suggeriamo di aggiungere come ulteriore elemento della sezione B.2: “chiarezza delle safe operating conditions”, cioè il grado in cui un sistema di IA consente all’utente di comprendere quando e dove può essere utilizzato in sicurezza.

Redatto da CePTE (Centro per le Politiche sulle Tecnologie Emergenti).

Questo argomento è stato automaticamente chiuso dopo 35 giorni. Non sono permesse altre risposte.