Il Cadre di Gestione dei Rischi dell’IA del NIST (AI RMF 1.0) è uno di quei documenti che tutti citano in ambito governance dell’IA, ma che pochi hanno realmente letto. Questo è un problema, poiché è davvero utile – e sempre più pertinente mentre la regolamentazione sull’IA si inasprisce a livello globale.
Cos’è
Il AI RMF è un framework volontario pubblicato dal National Institute of Standards and Technology (NIST) nel gennaio 2023. Fornisce indicazioni per gestire i rischi associati ai sistemi di IA durante il loro ciclo di vita – dalla progettazione e sviluppo fino all’implementazione e al monitoraggio.
Contrariamente alla Legge sull’IA dell’UE (che è una legge), il AI RMF è volontario. Nessuno è obbligato a seguirlo. Ma sta diventando lo standard di fatto per la gestione dei rischi legati all’IA negli Stati Uniti, e influenza gli approcci normativi in tutto il mondo.
Perché è importante ora
Numerosi sviluppi hanno reso il AI RMF più pertinente che mai:
Riferimenti normativi. Le agenzie federali statunitensi e le legislature statali fanno sempre più riferimento al AI RMF nelle loro indicazioni e legislazioni. Se stai cercando di conformarti alle normative sull’IA negli Stati Uniti, il AI RMF è il tuo punto di partenza.
Allineamento con la Legge sull’IA dell’UE. Le aziende che operano sia negli Stati Uniti che nell’UE utilizzano il AI RMF come un ponte tra gli approcci americani ed europei. L’approccio basato sul rischio del framework è concettualmente simile al sistema di classificazione dei rischi della Legge sull’IA dell’UE.
Adesione dell’industria. Grandi aziende – Microsoft, Google, IBM e altre – hanno pubblicamente adottato il AI RMF o incorporato i suoi principi nei loro programmi di governance dell’IA. Questo crea uno standard di fatto che altre aziende seguono.
Assicurazione e responsabilità. Man mano che la responsabilità dell’IA diventa una preoccupazione principale, dimostrare la conformità a framework riconosciuti come il AI RMF può aiutare le aziende a gestire i rischi legali. Non è una protezione legale, ma dimostra una diligenza di buonsenso.
La struttura del Cadre
Il AI RMF è organizzato attorno a quattro funzioni principali:
GOVERNARE. Stabilire strutture organizzative, politiche e processi per la gestione dei rischi legati all’IA. Ciò include la definizione di ruoli e responsabilità, la creazione di consigli di governance e l’istituzione di livelli di tolleranza al rischio. Questa è la base su cui si costruisce tutto il resto.
CARTOGRAFIA. Identificare e comprendere il contesto in cui operano i sistemi di IA. Ciò significa capire chi utilizza il sistema, quali decisioni influenza, quali dati utilizza e quali rischi pone. La mappatura consiste nel sapere con cosa si sta trattando prima di cercare di gestirlo.
MEASURE. Valutare e quantificare i rischi legati all’IA utilizzando metriche e metodi appropriati. Ciò include il test dei pregiudizi, la valutazione dell’accuratezza, la misurazione della solidità e la valutazione delle vulnerabilità della sicurezza. La misurazione trasforma i rischi astratti in dati concreti.
GESTIRE. Implementare controlli per affrontare i rischi identificati. Ciò include controlli tecnici (come la mitigazione dei pregiudizi), controlli operativi (come la supervisione umana) e controlli organizzativi (come le procedure di risposta agli incidenti). La gestione è il punto in cui la valutazione del rischio si trasforma in riduzione del rischio.
Come utilizzarlo concretamente
Il AI RMF è un documento di 42 pagine con un manuale di accompagnamento che fornisce indicazioni più dettagliate. Ecco un approccio pratico per la sua implementazione:
Iniziate da GOVERNARE. Prima di valutare sistemi di IA specifici, stabilire il vostro approccio organizzativo per la gestione dei rischi legati all’IA. Chi è responsabile? Qual è il vostro livello di tolleranza al rischio? Come prendete decisioni riguardo al dispiegamento dell’IA?
Inventarizzate i vostri sistemi di IA. Non potete gestire i rischi che non conoscete. Create un inventario completo di tutti i sistemi di IA nella vostra organizzazione, inclusi gli strumenti di terze parti e le funzionalità di IA integrate.
Prioritizzate per rischio. Non tutti i sistemi di IA comportano lo stesso livello di rischio. Concentrate i vostri sforzi di valutazione sui sistemi che prendono decisioni importanti – assunzioni, prestiti, assistenza sanitaria, giustizia penale – e sui sistemi che influenzano un gran numero di persone.
Utilizzate il manuale. Il NIST ha pubblicato un manuale complementare con azioni specifiche suggerite per ciascuna funzione. È più pratico rispetto al framework stesso e fornisce passaggi concreti che potete seguire.
Documentate tutto. Qualunque cosa facciate, documentatela. Valutazioni dei rischi, decisioni di mitigazione, risultati di monitoraggio, risposte agli incidenti. La documentazione è fondamentale per dimostrare una diligenza di buonsenso e per il miglioramento continuo.
Limitazioni
Il AI RMF non è perfetto:
È volontario. In assenza di requisiti legali, l’adozione è disomogenea. Le aziende che prendono seriamente in considerazione i rischi legati all’IA lo utilizzano; quelle che non lo fanno, lo ignorano.
È generico. Il framework si applica a tutti i sistemi di IA, il che significa che non può fornire indicazioni specifiche per settori o tecnologie particolari. Dovrete integrarlo con norme specifiche per il vostro campo.
È incentrato sugli Stati Uniti. Anche se il framework è utile a livello globale, è stato progettato per il contesto americano. Le aziende che operano a livello internazionale devono metterlo in relazione con altri framework e normative.
Non risolve i problemi difficili. Il framework vi dice di valutare i pregiudizi, ma non vi dice quale livello di pregiudizio sia accettabile. Vi dice di implementare una supervisione umana, ma non vi dice come dovrebbe apparire una supervisione efficace. Le decisioni difficili ricadono sempre su di voi.
Dove ottenerlo
Il PDF del AI RMF 1.0 è disponibile gratuitamente sul sito web del NIST. Il manuale complementare, le corrispondenze con altri framework e risorse aggiuntive sono anche disponibili senza costo. Non ci sono muri a pagamento, nessuna registrazione richiesta.
La mia opinione
Il AI RMF del NIST è il miglior framework disponibile per la gestione dei rischi legati all’IA negli Stati Uniti. È ben strutturato, pratico e sempre più riconosciuto come uno standard. Se state costruendo o implementando sistemi di IA, dovreste esserne a conoscenza.
Non è una lista di controllo di conformità – è un framework di riflessione. Vi aiuta a porre le domande giuste sui rischi legati all’IA, anche se non fornisce sempre le risposte. In un campo dove la tecnologia avanza più velocemente delle regole, questo ha valore.
🕒 Published: