Monica Perego (Idraulica della privacy) mi ha segnalato la pubblicazione della ISO/IEC 42001:2023 "Information technology - Artificial intelligence - Management system": https://www.iso.org/standard/81230.html.
Riporta i requisiti per un sistema di gestione per l'intelligenza artificiale.
La norma richiede di valutare il rischio non solo relativo all'efficacia del sistema di gestione (come tutte le altre norme relative ai sistemi di gestione come la ISO 9001 e la ISO/IEC 27001), ma anche di condurre valutazioni del rischio relative all'intelligenza artificiale, quindi più tecniche (anche se le due valutazioni potrebbero, almeno in teoria, essere integrate). Richiede anche una valutazione d'impatto dell'IA (ossia una valutazione relativa agli impatti sugli individui e sulla società).
La norma fa riferimento anche alle ISO/IEC 38507 (Governance implications of the use of artificial intelligence by organizations) e ISO/IEC 23894 (Guidance on risk management), che non ho letto e quindi non posso commentare.
I requisiti di valutazione del rischio sono organizzati come nella ISO/IEC 27001, ossia in gran parte nel capitolo 6 (relativo alla pianificazione) e poi richiamati nel capitolo 8 (relativo alle attività operative).
Importanti, infine, gli Annex. Infatti la ISO/IEC 42001 funzione come la ISO/IEC 27001 e ha un Annex A con i controlli da considerare per il trattamento del rischio. Anche da questo punto di vista, introduce elementi tecnici interessanti.
Oltre a ciò, c'è un Annex B con la guida per l'implementazione dei controlli (come la ISO/IEC 27002) e un Annex C con alcuni obiettivi organizzativi relativi all'IA e alcune sorgenti di rischio (qui chiaramente e, finalmente e correttamente, assimilabili alle minacce e non agli agenti di minaccia).
C'è infine un Annex D sull'uso dei sistemi di gestione per l'intelligenza artificiale in diversi domini e settori e sulla loro integrazione con altri sistemi di gestione, a mio parere inutile (ma occupa fortunatamente solo due pagine).
