ia2023

Normazione tecnica e intelligenza artificiale

Artificial Intelligence

di Domenico Squillace, Technical Relation Leader IBM Italia, Presidente della UNI/CT 533 e Presidente UNINFO.

La normazione tecnica dell’intelligenza artificiale è svolta a livello internazionale in ISO/IEC JTC 1 SC 42 e a livello europeo nel CEN/CENELEC JTC 21. A livello nazionale questi due comitati sono gestiti da UNI tramite la UNI/CT 533 istituita presso UNINFO, l’Ente Federato che ha la delega sulla normazione tecnica dell’information technology.

ISO/IEC JTC 1 SC 42 (in breve SC42)
Lo “Scopo” di questo comitato è duplice: produrre gli standard orizzonatli di riferimento per l’AI e di essere il punto di riferimento per gli altri comitati ISO, IEC e ISO/IEC JTC1 che producono standard verticali per l’AI.

Ai lavori di SC42 partecipano 38 membri permanenti e 24 membri osservatori e la segreteria è affidata agli Stati Uniti

L’Italia partecipa ai lavori come “P” member sin dalla costituzione di SC42.

Il comitato è strutturato in 5 WG (working group), 4 JWG (Joint Working Group) e 2 AhG (Ad Hoc Group)

I WG sono:

  • WG 1 – “Foundational Standards”,
  • WG 2 – “Big Data”,
  • WG 3 – “Trustwortiness”,
  • WG 4 – “Use cases & Applications” e
  • WG 5 – “Computational approaches and characteristics”.

 

I JWG sono gruppi di lavoro misti con:

  • JWG2 – ISO/IEC JTC 1 SC 7 per “Testing of AI-based systems”
  • JWG 3 – ISO/TC 215 per “AI enabled health informatics”
  • JWG 4 – IEC TC65/65A per “Functional safety and AI Systems”
  • JWG 5 – ISO TC 37 per “Natural language processing”

 

I due adhoc group seguono:

  • AhG 4 – le problematiche di IT security insieme a ISO/IEC JTC 1 SC 27
  • AhG 7 – i progetti del CEN/CLC JTC 21 per un eventuale sviluppo congiunto.

 

Questo sottocomitato ha già prodotto 20 norme e ne ha altre 35 in produzione.

Tra quelle prodotte e pubblicate mi piace ricordare:

  • ISO/IEC 22989 “AI concepts and terminology”
  • ISO/IEC 23894 “Guidance on risk management”
  • ISO/IEC TR 24027 “Bias in AI systems and AI aided decision making”
  • ISO/IEC TR 24028 “Overview of trustworthiness in artificial intelligence”
  • ISO/IEC TR 20547 “Big Data Reference architecture”
  • ISO/IEC 25059 “Quality model for AI systems”

 

Tra quelle in lavorazione o in procinto di essere pubblicate vorrei ricordare:

  • ISO/IEC 5259 Data quality for ML
  • ISO/IEC 8200 Controllability of automated AI systems
  • ISO/IEC 12792 Transparency taxonomy of AI systems
  • ISO/IEC 18988 AI technologies in health informatics
  • ISO/IEC 25058 Guidance for quality evaluation of artificial intelligence (AI) systems
  • ISO/IEC 42001 Management system
  • ISO/IEC 42005 Impact assessment
  • ISO/IEC 42105 Guidance for human oversight of AI systems

 

CEN/CENELEC JTC 21
A livello europeo la normazione del dell’intelligenza artificiale è affidata al comitato CEN/CENELEC JTC 21 (in breve JTC21) il cui “Scopo” è simile a quello di SC42 con le particolarità di dover adottare le norme di SC42 se esistenti e di dover produrre standard in linea con la legislazione, le regole e i principi dell’Unione Europea.

Questo comitato si è strutturato in 5 WG (working gruop):

  • WG 1 – “Strategic Advisory Group”
  • WG 2 – “Operational Aspects”
  • WG 3 – “Engineering Aspects”
  • WG 4 – “Foundational & Societal Aspects”
  • WG 5 – “Cybersecurity”

 

Il comitato europeo può sfruttare il cosiddetto Vienna agreement che consente di adottare come norme europee le norme provenienti da SC42 oppure di seguire un percorso di sviluppo parallelo: in entrambi i casi si evita al mercato di avere due norme che trattano lo stesso argomento.

Al momento, proprio in base al Vienna Agreement, le uniche pubblicazioni di JTC21 sono due norme ISO/IEC: la ISO/IEC EN 22989 e la ISO/IEC EN 23894 di cui sopra.

Il piano di lavoro del comitato prevede di adottare come EN di:

  • ISO/IEC TR 24027 – Bias in AI systems and AI aided decision making
  • ISO/IEC TR 24029-1 – Assessment of the robustness of neural networks – Part 1: Overview
  • ISO/IEC DTS 12791 – Treatment of unwanted bias in classification and regression machine learning tasks
  • ISO/IEC 8183 – Data life cycle framework
  • ISO/IEC 24029-2 – Assessment of the robustness of neural networks – Part 2: Methodology for the use of formal methods
  • ISO/IEC 42001 – Management system

 

e di scrivere delle norme specifiche europee su:

  • Conformity Assessment
  • Green and Sustainable AI
  • Overview of Al tasks and functionalities related to natural language processing
  • Transparency taxonomy of AI systems
  • AI-enhanced nudging
  • AI Risks – Check List for AI Risks Management
  • Artificial Intelligence trustworthiness characterisation
  • Accuracy of natural language processing systems
  • Competence Requirements for AI ethicists professionals
  • AI system logging
  • Data terms measures and bias requirements

 

La maggior parte di queste norme sono richieste dall’AI Act.

 

UNI CT 533
È la commissione tecnica nazionale che segue la normazione per l’Intelligenza Artificiale a cui partecipano sia realtà industriali (piccole e grandi) che realtà accademiche. Al momento, non ha ancora prodotto norme nazionali ma è molto attiva sia nei lavori internazionali che in quelli europei. Mi piace ricordare che l’Italia ha acquisito un ruolo “pesante” nella standardizzazione dell’AI con ben 4 project leader/editor di standard europei:

  • Alessio Tartaro, Competence requirements for Professional AI Ethicists
  • Domenico Natale, Data Governance & Quality for AI in the European Context
  • Piercosma Bisconti, AI Trustworthiness framework
  • Renaud Di Francesco, AI risk management

 

Inoltre, l’ing. Riccardo Mariani, è il convenor del ISO/IEC JTC 1/SC 42/JWG 4 Joint Working Group ISO/IEC JTC1/SC42 – IEC TC65/SC65A che dovrà sviluppare la norma su “Functional safety and AI systems”.

 

AI Act e normazione tecnica
L’AI Act è una proposta europea con la quale l’UE si doterà di una serie completa di regole per i sistemi di intelligenza artificiale. Molto si è discusso se l’AI Act promuoverà o rallenterà l’innovazione, se la regolamentazione sia l’approccio giusto, ecc. Ma preferisco non entrare in questa discussione e focalizzarmi sulla novità introdotta dall’AI Act (ma anche dal Data Act e dal Cyber Resilience Act).  Questi tre regolamenti seguono i principi della regolamentazione tecnica in Europa e un approccio basato sul rischio: i requisiti essenziali che la tecnologia deve soddisfare sono stabiliti dalla legge (in questo caso la legge sull’AI); la conformità ai requisiti può essere soddisfatta con standard europei armonizzati. Il “fornitore” esegue una valutazione di conformità in base alle norme armonizzati per dimostrare la conformità.

Questo che è il modello di riferimento per la conformità dei prodotti nell’UE prende il nome di New Legislative Framework (NLF).

L’AI Act prevede una serie di norme armonizzate europee che rendano operativi i requisiti obbligatori comuni applicabili alla progettazione e allo sviluppo di alcuni sistemi di IA prima della loro immissione sul mercato e che armonizzino le modalità di esecuzione dei controlli ex-post.

I “requisiti essenziali” stabiliti nell’AI Act sono:

  • Risk management system
  • Data and data governance
  • Technical documentation
  • Record-keeping
  • Transparency and provision of information to users
  • Human oversight
  • Accuracy, robustness and cybersecurity

 

e sono stati “tradotti” nella richiesta di sviluppare delle norme armonizzate relative a:

  • Risk management system for AI systems
  • Governance and quality of datasets used to build AI systems
  • Record keeping through built-in logging capabilities in AIsystems
  • Transparencyand information to the users of AI systems
  • Human oversight of AI systems
  • Accuracy specifications for AI systems
  • Robustness specifications for AI systems
  • Cybersecurity specifications for AI systems
  • Quality management system for providers of AI system, including post-market monitoring process.
  • Conformity assessment for AI systems

 

I due enti di normazione europei CEN e CENELEC hanno ricevuto la richiesta di definire queste norme armonizzate entro aprile 2025 e lo faranno tramite il CEN/CENELEC JTC 21 “AI”.

È possibile portare la posizione nazionale partecipando ai lavori di ciascuno degli enti Nazionali di normazione tecnica aderenti: per l’Italia è possibile farlo attraverso la Commissione UNI/CT 533 “AI”.