All. E - Norme tecniche in ambito IA

Bozza di linee guida per l’adozione di IA nella pubblica amministrazione

La consultazione pubblica è attiva dal 18/02/2025 al 20/03/2025.

Questo argomento accoglie i commenti relativi all’allegato E - Norme tecniche in ambito IA.

I commenti dovranno includere il numero del paragrafo o sotto-paragrafo (se presente) e un riferimento puntuale al brano di testo al quale si riferiscono (ad esempio paragrafo 4.3, terzo capoverso).

Leggi il documento in consultazione.

L’Allegato E contiene un elenco esaustivo di norme tecniche in ambito IA, tuttavia potrebbe beneficiare di un impianto che non solo categorizzi, ma anche guidi alla selezione degli standards. In questa ottica, vorrei offrire alcuni suggerimenti che ritengo necessari per allineare efficacemente il documento all’EU AI Act (Regolamento UE 2024/1689). In altre parole, come possibile ‘current missed opportunity’ , l’Allegato E attuale fornisce un elenco di norme tecniche esistenti ma non tiene sufficientemente conto di quanto previsto dall’AI Act in termini di standard armonizzati e specifiche comuni. Propongo dunque di integrare l’allegato con una sezione introduttiva e una struttura più organica che evidenzi il rapporto tra norme tecniche e presunzione di conformità.

Il testo potrebbe essere modificato come segue:

I. Premessa sul ruolo delle norme tecniche nell’AI Act

"Le norme tecniche rivestono un ruolo fondamentale nell’implementazione dell’AI Act. L’articolo 40 del Regolamento stabilisce che i sistemi di IA ad alto rischio o i modelli di IA per finalità generali conformi alle norme armonizzate (o a parti di esse), i cui riferimenti sono stati pubblicati nella Gazzetta ufficiale dell’Unione Europea, beneficiano della presunzione di conformità ai requisiti stabiliti nel Regolamento. Inoltre, l’articolo 41 prevede che, in assenza di norme armonizzate adeguate, la Commissione possa adottare specifiche comuni attraverso atti di esecuzione.

In questo contesto, il presente allegato non si limita a fornire un elenco di norme tecniche esistenti, ma intende supportare le PA nell’individuazione degli standard più rilevanti per garantire la conformità ai requisiti dell’AI Act, in attesa della pubblicazione delle norme armonizzate europee (previste nel corso del 2026)"

II. Sezione sulle norme tecniche in relazione ai requisiti dell’AI Act

Suggerirei inoltre di aggiungere una nuova sezione che organizzi le norme tecniche in relazione ai requisiti (sottolineando tuttavia che tali standard possano aiutare ma anche differire in modo sostanziale da quanto espresso dalla Regolamentazione) specifici dell’AI Act per i sistemi ad alto rischio (Capitolo III, Sezione 2), ad esempio:

"Le seguenti norme tecniche possono considerarsi rilevanti per i requisiti specifici dell’AI Act:

  1. Sistema di gestione del rischio (Art. 9):

    • ISO/IEC 23894:2023 Information technology - Artificial intelligence - Guidance on risk management
  2. Governance e qualità dei dati (Art. 10):

    • ISO/IEC 5259-1:2024 a ISO/IEC 5259-4:2024 sulla qualità dei dati per il machine learning
    • CEN/CLC/TR 18115:2024 Data governance and quality for AI within the European context
    • ISO/IEC 8183:2023 Information technology - Artificial intelligence - Data life cycle framework
  3. Documentazione tecnica (Art. 11):

    • ISO/IEC/IEEE 26511: Guidelines for documenting software user documentation
    • ISO/IEC/IEEE 15288: Systems and software engineering guidelines covering lifecycle processes
  4. Registrazione (Art. 12):

    • ISO/IEC 24970 Artificial intelligence - AI system logging (in fase di sviluppo)
  5. Trasparenza (Art. 13):

    • ISO/IEC 12792 Information technology - Artificial intelligence - Transparency taxonomy of AI systems (in fase di sviluppo)
  6. Supervisione umana (Art. 14):

    • ISO/IEC 42105 Information technology - Artificial intelligence - Guidance for human oversight of AI systems (in fase di sviluppo)
  7. Accuratezza, robustezza e cybersicurezza (Art. 15):

    • ISO/IEC 24029-2:2023 Artificial intelligence (AI) - Assessment of the robustness of neural networks
    • ISO/IEC TS 4213:2022 Information technology - Artificial intelligence - Assessment of machine learning classification performance"

III. Aggiunta dei progetti europei in corso per l’AI Act

Inoltre considerando l’importanza dei progetti di standardizzazione in corso presso CEN/CENELEC JTC21 specificamente orientati all’AI Act (come evidenziato nel documento UNINFO cui si fa riferimento al sito web e dunque all’agenda di lavoro corrente in SC 42 e JTC 21), propongo di aggiungere una sezione dedicata che aiuti a capire il contesto tra harmonised standards (alla luce della richiesta M/593 della Commissione alla jTC 21) con l’Act:

"Progetti di standardizzazione europei in corso specificamente orientati all’AI Act

Particolare attenzione merita il lavoro in corso presso CEN/CENELEC JTC21 per sviluppare standard che supportino l’implementazione dell’AI Act, tra cui:
- prEN XXX JT021039 Artificial intelligence - Quality management system for EU AI Act regulatory purposes
- prEN XXX JT021038 AI Conformity assessment framework
- prEN XXX JT021008 AI trustworthiness framework
- prCEN/CLC/TR XXX JT021026 Impact assessment in the context of the EU Fundamental Rights

Queste modifiche renderanno l’Allegato E non solo un elenco di norme ma uno strumento forse più dinamico e pratico per guidare le PA nell’individuazione degli standard più rilevanti per allinearsi e/o garantire la conformità all’AI Act, evidenziando anche il legame con i lavori di standardizzazione europei in corso che avranno un impatto diretto sull’applicazione del Regolamento

Riferimenti utili e utile anche l’indicazione di una pagina web aggiornata sullo stato di avanzamento delle attività di normazione tecnica.

STANDARD (ALL. E)
Le norme tecniche e gli standard in ambito di IA che saranno adottate per le PA costituiscono uno dei fattori principali per il successo nel percorso di adozione della IA nella Pubblica Amministrazione. Nella bozza di linee guida sono elencati oltre trenta standard internazionali, tra quelli finora pubblicati.
Seppure la necessità dell’adozione di standard tecnici internazionali in ambito di IA sia chiaramente un requisito fondamentale per la sicurezza e l’uso responsabile della tecnologia di IA, occorre evitare che questo diventi un impedimento all’accessibilità oppure un costo inaccettabile per i fornitori delle soluzioni di IA.
L’analogia che si può fare è quella con le certificazioni che sono state richieste in ambito DNSH (principio UE del “Do No Significative Harm”) per la sostenibilità ambientale dei progetti PNNR. In tale caso, le norme di conformità si sono succedute nel tempo con diversi livelli di complessità, finché non è stato richiesto dalla Ragioneria di Stato (RGS - Circolare del 14 maggio 2024, n. 22) di adottare un unico standard di riferimento per i fornitori cloud (certificazione ISO 14001), che ha contribuito a facilitare l’adesione delle PA ai progetti PNNR.
In modo analogo al caso DNSH, si propone di individuare un unico standard tecnico di riferimento, come ad esempio l’ISO/IEC 42001:2023, che è uno standard ampiamente diffuso a livello internazionale e adottato dai principali fornitori di soluzioni di IA.
La certificazione ISO 42001:2003 è uno strumento chiave per promuovere l’utilizzo etico, sicuro e affidabile della IA all’interno delle organizzazioni, andando oltre al semplice adempimento normativo. L’adozione di tale standard può costituire un riferimento di base per valutare la qualità dei modelli o delle soluzioni di IA, senza ricorrere a una molteplicità di standard e di certificazioni, con conseguenti barriere di accesso non giustificate in questa fase di iniziale adozione della tecnologia e delle soluzioni di IA.

Questo argomento è stato automaticamente chiuso dopo 35 giorni. Non sono permesse altre risposte.