Podcast: IA responsabile, vantaggio reale: perché la norma ISO 42001 è importante oggi
Future in Focus
AI responsabile, vantaggio reale: perché la norma ISO 42001 è importante oggi
4 giugno - 35 minuti
In questo episodio di Future in Focus, Xavier Francis è affiancato da Kevin Franklin, Chief Product Officer di LRQA, per esplorare il ruolo fondamentale della governance dell'IA nel panorama digitale in rapida evoluzione di oggi. Insieme, discutono di come la norma ISO 42001 offra un quadro tempestivo e pratico per gestire i rischi legati all'IA, creare fiducia e stare al passo con la regolamentazione globale. Grazie alle conoscenze approfondite di Kevin in materia di sistemi e standard, la conversazione mette in evidenza perché l'implementazione responsabile dell'IA è essenziale per le aziende di ogni dimensione e perché la norma ISO 42001 è destinata a diventare uno strumento fondamentale per farlo nel modo giusto.
Seguici su Spotify
Traduzione in Italiano.
Ciao a tutti e benvenuti a tutti i nostri ascoltatori in tutto il mondo al podcast Future in Focus di LRQA. Mi chiamo Xavier Francis e sono lieto di condurre questa puntata per voi. Oggi ho con me un ospite molto speciale, Kevin Franklin, Chief Product Officer di LRQA. In questa puntata parleremo di IA, rischio e futuro, dell'importanza dell'ISO 42001 oggi e esploreremo la crescente importanza della governance dell'IA e di come l'ISO 42001 fornisca un quadro pratico alle organizzazioni per gestire il rischio, costruire fiducia e prepararsi alle normative future. Kevin spiegherà perché la norma ISO 42001 rappresenta una svolta per le aziende che vogliono essere leader con fiducia e come LRQA sta aiutando le organizzazioni ad adottare un approccio responsabile e basato sul rischio nei confronti dell'intelligenza artificiale. Kevin, benvenuto al programma. Sono lieto di averti al podcast Future in Focus. Grazie mille per essere con noi. Come stai oggi?
Sto benissimo. Grazie mille per avermi invitato al programma. Non vedo l'ora di fare una fantastica chiacchierata.
Assolutamente. È un argomento di grande attualità, molto pertinente al mondo di oggi, e non vedo l'ora di sentire cosa hai da dire al riguardo. Ora, prima di iniziare, puoi raccontarci qualcosa di te e del tuo percorso nel campo dell'IA e della norma 42001?
Certamente, con piacere. Come hai detto, attualmente ricopro il ruolo di Chief Product Officer per LRQA e sono anche a capo di una delle nostre iniziative di crescita strategica chiamata EIQ, una piattaforma di intelligence per la catena di fornitura. Dal punto di vista del background, ho lavorato nel settore dei sistemi negli ultimi 20-25 anni. Il mio dottorato di ricerca era incentrato sulla teoria dei sistemi soft. Ho lavorato molto nel campo dei sistemi di gestione, ho formato auditor per le norme 14001, SA8000, 1464 e AA 1000. Quindi una vasta gamma di standard di sistemi di gestione e correlati. Naturalmente, sono stato anche molto coinvolto nel processo di sviluppo dei prodotti presso LRQA e sono un utente molto appassionato dell'intelligenza artificiale e, naturalmente, della governance dell'intelligenza artificiale sia all'interno dei nostri sistemi EIQ sia nell'implementazione equa e responsabile per i nostri clienti.
Beh, è fantastico sentirlo. Hai molta esperienza, molta esperienza. Apprezzo molto la tua presenza oggi. Assolutamente. E la cosa meravigliosa è che abbiamo iniziato presto con l'IA in Core Business Solutions. La stiamo studiando da molto tempo e sono davvero ansioso di sentire cosa ha da dire Kevin sulla 42001 e su alcuni aspetti della governance che essa comporta. Fantastico. Cominciamo con alcune delle nostre domande e inizieremo con: l'IA ha un ruolo così importante nelle aziende oggi. Perché è necessaria una governance?
Ottima domanda, molto attuale sia per quanto riguarda l'intelligenza artificiale che la governance. Penso che la maggior parte dei nostri ascoltatori utilizzi e si cimenti con l'intelligenza artificiale, che si tratti di uno dei vari strumenti generativi disponibili o semplicemente integrati in molte delle applicazioni che utilizzano ogni giorno o nelle loro aziende. Ma sapete bene che è sempre più chiaro a tutti che l'IA non è solo uno strumento. È un imperativo strategico per le aziende ed è una parte fondamentale di ciò che determinerà l'efficienza e le prestazioni delle aziende del futuro. La maggior parte delle aziende oggi sta valutando come sfruttare e utilizzare l'IA per creare valore aggiunto per i clienti e migliorare l'efficienza delle proprie organizzazioni. E per ottenere un vantaggio competitivo in un'economia sempre più iper-automatizzata. Quindi, la prima parte è davvero l'imperativo strategico.
Sì, so che lo stiamo utilizzando e l'efficienza è semplicemente incredibile: basta usare l'IA generativa per scrivere un paragrafo migliore, fare una piccola ricerca, renderlo più efficiente per me nei podcast, registrare il mio podcast ed è bello che controlli la trascrizione e mi dia una descrizione. Non devo riascoltarlo e prendere appunti. Lo fa al posto mio. Quindi, immagino che sia così in tutti i settori, sono tantissime le persone che lo utilizzano.
Giusto, e ci hai fatto capire perché è così importante, cioè, sai, quando inizi a usare l'IA, e sono sicuro che molti dei nostri ascoltatori nel mondo degli affari la pensano allo stesso modo, ci sono dei rischi che iniziano a diventare evidenti, giusto? Ha delle allucinazioni, il modo in cui alcuni algoritmi funzionano può portare a raccomandazioni errate. Ciò che potrebbe proporre come potenziale script per un podcast come questo potrebbe non riflettere la realtà. Quindi, la prima parte riguarda l'imperativo strategico, le esigenze aziendali, l'efficienza, l'automazione, tutto. La seconda parte inizia ora ad affrontare la questione della governance, del rischio e dell'affrontare la questione del rischio legato all'IA, cosa per cui non avevamo davvero gli strumenti per farlo e per supportare il progresso, e la norma ISO 42001 è sicuramente di supporto in questo senso.
E poi c'è tutta la questione normativa. Stiamo assistendo a un aumento delle normative nel settore dell'IA, in particolare l'IA Act dell'Unione Europea, che è il primo vero grande provvedimento normativo, ma ci sono molti altri paesi e borse valori, ecc. che stanno portando avanti iniziative simili, quindi ci aspettiamo di vedere molti altri sviluppi in questo campo. Inoltre, gli stakeholder, i clienti, gli utenti e altri soggetti stanno iniziando a porre domande sull'uso dell'IA, sulla qualità della progettazione, dello sviluppo e dell'implementazione dei rispettivi strumenti. Le persone vengono discriminate in modo ingiusto nell'uso dell'IA, ecc.? Quindi, l'imperativo strategico, il rischio e la necessità di anticipare tali domande, gestire le normative e anche anticipare la pressione degli stakeholder sono quattro motivi davvero importanti e convincenti per cui dovremmo farlo ora.
Che cos'è esattamente la norma ISO 42001? E cosa la rende diversa dalle altre norme ISO? Ovviamente, qui sappiamo tutti cos'è la 9001, che è la norma sul sistema di gestione della qualità, la 14001, quella ambientale, ecc. Come si governa l'IA e di cosa tratta la 42001?
Sì, anche questa è un'ottima domanda. Sì, hai giustamente sottolineato alcuni degli standard ben noti esistenti, 9001, 45001, 14401, ecc. E in effetti, la 42001 presenta sicuramente una serie di somiglianze, in quanto il nucleo dello standard segue lo stesso tipo di struttura a 10 clausole che va dall'ambito di applicazione, ai termini e alle definizioni, alla leadership, al contesto, ecc. Quindi, il ciclo PDCA (pianificare, fare, controllare, agire) è molto integrato nella 42001 con l'IA come quadro di riferimento per i sistemi di gestione.
Ma è anche, e questo è molto importante, collegato a una serie di principi e poi a una serie di allegati. Quindi la forza trainante della 42001 è in realtà una serie di principi legati alla trasparenza, alla responsabilità, all'equità, alla spiegabilità, alla privacy dei dati e all'affidabilità.
Oltre al quadro PDCA di base, abbiamo questi principi che lo affiancano e, in particolare, abbiamo quattro allegati alla fine della norma. L'allegato A riguarda i controlli per lo sviluppo, l'implementazione, l'uso e il monitoraggio responsabili dell'IA, che si concentrano su aspetti quali le politiche, i ruoli, le risorse, la gestione del ciclo di vita e la valutazione dell'impatto. L'allegato B contiene ulteriori indicazioni dettagliate sull'allegato A. L'allegato C riguarda le fonti di rischio primarie relative all'implementazione dell'IA a livello organizzativo.
L'allegato D riguarda invece gli standard applicabili a domini e settori specifici. Questi allegati e i principi sono davvero importanti perché ci forniscono un meccanismo per considerare l'IA come un sistema dinamico e in evoluzione piuttosto che come un esercizio statico e puntuale.
Ottima osservazione. È un approccio molto più olistico. Esamina il ciclo di vita dell'IA all'interno di un'organizzazione, dall'approvvigionamento dei dati alla progettazione degli algoritmi, all'implementazione e al monitoraggio continuo. Quindi integra questi principi per aggiungere questo tipo di considerazione etica all'IA, colmando il divario tra innovazione e uso responsabile dell'IA.
Esatto. Ma in definitiva, questi allegati e i controlli incentrati sull'IA che si trovano nel sistema degli allegati forniscono un ottimo quadro di riferimento per adottare un sistema di gestione standard PDCA e collegarlo a una logica pertinente per l'IA.
Capisco, capisco. E questo ha davvero molto senso, tutta la norma ISO, che è quella su cui si basa tutto per l'ISO, ampliandola ma rendendola anche molto applicabile a ciò che fa l'IA. Va bene, Kevin, a chi è destinata la norma ISO 42001? Non è solo qualcosa per le grandi aziende tecnologiche, i data scientist e le persone che devono prestare molta attenzione e la utilizzano in modo che sia parte integrante di tutto ciò che fanno o utilizzano? E le piccole aziende e cose del genere?
Sì, mi piace questa domanda, ed è facile pensare che l'IA sia solo per le grandi aziende tecnologiche e i data scientist e che quindi lo sia anche la 42001. Ma la realtà è che la 42001 è applicabile alla maggior parte delle aziende. Infatti, molte aziende utilizzeranno l'IA, che si tratti di una clinica locale che la utilizza per la diagnosi o di un rivenditore che implementa chatbot. Se lavori con i dati, i tuoi dati o applichi il sistema di IA di qualcun altro ai tuoi dati, lo standard 42001 è rilevante.
È quindi rilevante per le piccole e grandi imprese in una vasta gamma di settori diversi. È rilevante per le aziende che cercano di ottenere quel vantaggio competitivo, quella leva strategica che deriva dall'IA, che cercano di costruire un rapporto di fiducia con i consumatori e i partner, che dispongono di applicazioni e strumenti online.
E quindi può interessare molti settori come l'agricoltura, l'istruzione, i servizi pubblici, che in qualche modo dipenderanno sempre più dalle decisioni dell'IA. E questo influenzerà il sostentamento dei loro clienti e della società in generale.
X, hai anche detto all'inizio che potresti usare l'IA per la generazione di script, e questo è solo un altro esempio di come potresti voler considerare se è rilevante anche per un'organizzazione come la tua.
Beh, anche io ho avuto problemi di allucinazioni e ho fatto una domanda su un argomento specifico, stavamo registrando un podcast su una clausola specifica dello standard e mi sono detto: “Non è la clausola giusta”. È stato come dire: “Oh, scusa, hai ragione, perdona, fammi controllare”. E poi ho trovato quella giusta. Ma se non avessi saputo che era la clausola sbagliata, pensate a dove mi avrebbe portato. E questo è solo un piccolo esempio. Se avete a che fare con l'agricoltura, l'istruzione, qualcosa che riguarda la vita di qualcuno, e si verificano allucinazioni, è un grosso problema. E come possiamo mitigare questo rischio? Questo è uno dei motivi per cui esiste la norma 42001.
OK, abbiamo parlato un po' di come la norma 42001 non sia solo per le grandi aziende tecnologiche e i data scientist, ma cosa succede quando sei un'organizzazione che non sviluppa IA, ma utilizza solo strumenti come ChatGPT per me nel mio mondo, che possono creare video, immagini e cose del genere, ma io non li sviluppo. Cosa succede in questi casi? In che modo il 42001 può aiutarci?
È assolutamente rilevante. Quindi, sì, lo standard 42001 sarebbe utile per chi utilizza strumenti di IA di terze parti già esistenti, che si tratti di ChatGPT, CoPilot o qualsiasi altro strumento che si acquista e poi si addestra e si applica ai propri dati, ai propri sistemi, al proprio processo decisionale quotidiano.
Quando si utilizza uno strumento di questo tipo, lo si fa per uno scopo specifico, ovvero per aumentare l'efficienza, migliorare il processo decisionale e fornire una diagnosi migliore, ed è proprio in questo contesto che è necessario interrogarsi sulla validità di tale scopo. Quindi, in primo luogo, hai ragione, non è solo per le grandi organizzazioni. È rilevante anche se lo si utilizza nella propria attività, utilizzando strumenti di IA esistenti.
Il contesto normativo che regola l'IA sta iniziando a spostare parte della responsabilità dagli sviluppatori agli utenti. Ciò significa che, in qualità di utenti dell'IA, potenzialmente organizzazioni come la nostra, dobbiamo riflettere attentamente su come la implementiamo e su quali dati utilizziamo per addestrarla. Anche se non si tratta di un'IA che abbiamo costruito noi stessi, né di un grande modello linguistico che abbiamo creato noi, dobbiamo comunque riflettere attentamente sulla sua applicazione.
E questo è qualcosa che ci aspettiamo di vedere davvero crescere nei prossimi anni, con lo sviluppo di sempre più normative. Ci sarà sempre più attenzione non solo agli sviluppatori, ma anche agli utenti, all'intera catena di fornitura dell'IA, dall'inizio alla fine, e alla garanzia che la sua applicazione avvenga in modo equo, solido, etico e responsabile.
Sì, penso che dal punto di vista della responsabilità, se si utilizzano dati specifici che potrebbero riguardare i propri clienti o dipendenti e cose del genere, bisogna stare molto attenti. Sto pensando al settore sanitario. In America abbiamo l'HIPAA, che vieta la condivisione di qualsiasi informazione e impone di generalizzare i dati al punto che a volte non vengono utilizzati nemmeno i nomi delle persone, ma solo dei numeri. Voglio dire, potete immaginare se forniste i dati in questo modo? Dove finirebbero? Dove verrebbero elaborati? A cosa servirebbero per sviluppare l'IA e rispondere alle domande di altre persone? Anche in questo caso si potrebbe finire in un vicolo cieco.
Al 100%. È simile in Europa, dove ci sono i requisiti del GDPR e molte altre ottime normative in materia di informazioni personali. Anche in questo caso, bisogna stare molto attenti a come si applica l'IA a queste informazioni. Inoltre, è necessario disporre dei giusti controlli di sicurezza per garantire che tali informazioni non escano dal sistema e finiscano in ambienti non autorizzati. Tutto questo è realmente applicato e strutturato attraverso il funzionamento della norma 42001, che offre alle aziende, alle autorità di regolamentazione, ai consumatori e ai clienti la certezza che il sistema è progettato, sviluppato e implementato in modo equo e sicuro.
Fantastico. Allora, Kevin, abbiamo parlato di IA, abbiamo parlato della norma 42001 e di come può aiutare a tenere sotto controllo alcuni degli aspetti che dobbiamo affrontare quando abbiamo a che fare con l'IA. In che modo la norma 42001 può aiutare a orientarsi nel panorama normativo in evoluzione dell'IA? So che ne hai già parlato un po' prima, Kevin, ma voglio dire, questo è qualcosa che non scomparirà e chiaramente diventeremo sempre più consapevoli dei rischi e dei pericoli dell'IA. In che modo la norma 42001 può aiutarci a orientarci quando entreranno in vigore le nuove regole?
Sì, ottima domanda, X. Il contesto normativo che regola l'IA è in rapida evoluzione. Abbiamo già accennato al fatto che l'IA Act dell'UE è il primo quadro giuridico al mondo specificamente dedicato all'IA, lanciato lo scorso anno nel 2024 e con un'attuazione graduale fino al 2025 e oltre.
La legge dell'UE sull'IA ha anche carattere extraterritoriale. Influisce quindi sulla governance e sulla regolamentazione dell'IA a livello globale. E ci sono molte altre normative in evoluzione. Stiamo assistendo a una crescente riflessione negli Stati Uniti, c'è molto fermento nell'area Asia-Pacifico e probabilmente circa 60 paesi in totale stanno sviluppando normative o quadri politici specifici per l'IA, tutti con un approccio diverso ma anche simile al modo in cui considerano l'IA.
E con “diversi ma anche simili” intendo dire che ci sono alcuni principi di base molto comuni a molti di questi contesti normativi. Si tratta degli stessi principi che vediamo nella norma 42001. Vogliono vedere un quadro, una struttura, una logica come quella del PDCA. Vogliono vedere principi come trasparenza, responsabilità, equità, ecc. integrati, che sono anche stati una forza trainante della norma 42001.
E cercano l'identificazione degli aspetti realmente rilevanti dell'IA che potrebbero avere un impatto sul business, e l'identificazione di questi in modo strutturato e standardizzato, che è esattamente ciò che otteniamo con i controlli della 42001.
Quindi, la 42001 è in realtà ben progettata in quanto è in grado di stare al passo con gran parte del panorama normativo in evoluzione. Funziona come una sorta di quadro vivente che può muoversi di pari passo con i cambiamenti normativi. Essendo sufficientemente standardizzata e ampia, se sei un'azienda e implementi oggi qualcosa come la 42001, potrai facilmente integrare nel tempo qualsiasi nuovo requisito normativo nell'ambiente di controllo o nel modo in cui consideri e progetti questa certificazione e questo sistema nella tua azienda.
Inoltre, come ho detto, è qualcosa che si allinea con il tipo di requisiti transfrontalieri di molte delle normative sull'IA.
Sì, penso che si possa guardare all'ISO, che non è nuova a questo tipo di cose. Si occupa da tempo di standard come la 14001 e la 45001 in tutto il mondo, con tutte le normative che possono riguardare la salute, la sicurezza e l'ambiente. Questo è solo un altro aspetto. L'ISO sa bene come muoversi quando si tratta delle differenze tra i vari paesi, ma è abbastanza ampia da poter davvero aiutare a orientarsi senza perdersi nei dettagli di quella normativa.
Assolutamente, assolutamente vero. E sai, come molti altri framework PDCA, la 42001 pone l'accento sul miglioramento continuo, sulla valutazione dell'impatto, ecc. e si adatta alle esigenze normative delle rispettive regioni e aree geografiche in cui viene implementata, proprio come già fanno la maggior parte dei framework ISO. Quindi c'è anche questo, il che significa che sarà in continua evoluzione e al passo con qualsiasi nuovo requisito che verrà introdotto.
Fantastico, fantastico. Allora, Kevin, ne abbiamo già parlato un po' prima, ma qual è il ruolo della norma ISO 42001 nella costruzione della fiducia nell'IA? Voglio dire, sono sicuro che tutti coloro che hanno utilizzato l'IA e stanno ascoltando questo podcast hanno avuto esperienze negative con l'IA. Che si tratti di disinformazione, di allucinazioni, di risultati non richiesti perché non sono stati formulati correttamente, in che modo la norma 42001 può aiutare a rafforzare la fiducia nell'uso dell'IA? Perché questo è uno degli obiettivi di uno standard: non solo proteggere da potenziali problemi e fornire una guida etica, ma anche garantire l'affidabilità.
Sì, è una domanda molto importante e penso che tu abbia ragione, l'IA è un capitolo molto emozionante della prossima fase dell'esperienza umana. Oggi utilizziamo l'IA per prendere decisioni automatiche. La utilizziamo per elaborare enormi quantità di dati, per l'apprendimento, per progettare sistemi, per rispondere a domande, per dare consigli concreti. Ci sono tantissime cose diverse per cui utilizziamo l'IA, per la diagnosi, come abbiamo discusso prima.
Ora, in definitiva, quando guardiamo alla norma 42001, ed è davvero un'ottima domanda, c'è ancora una grande scatola nera intorno all'IA. Quando la utilizziamo per tutte le cose di cui abbiamo appena parlato, non siamo ancora sicuri di come funzioni. Abbiamo tutti letto dei grandi modelli linguistici. Abbiamo tutti letto dei diversi sistemi e di come funzionano, ma ancora non li conosciamo e non li comprendiamo veramente.
La norma 42001 contribuirà a spiegare alcuni di questi modelli, aiutando a smantellare in parte quella scatola nera che rischia di alimentare la sfiducia. E la norma 42001 contribuirà a invertire esattamente questa tendenza.
Oltre ad aprire la scatola nera, contribuirà anche a integrare meglio la responsabilità nell'uso dell'IA all'interno di un'organizzazione. Abbiamo anche discusso dei casi in cui le persone potrebbero essere tentate di utilizzare l'IA perché può essere uno strumento che favorisce l'efficienza, ma la utilizzano in modo irresponsabile, forse non intenzionalmente, ma involontariamente, e lo standard 42001 contribuirà a eliminare questa preoccupazione rendendo le persone più responsabili di come e quando implementano l'IA, nonché di come la utilizzano e dove la integrano con l'intelligenza umana nei processi decisionali e nelle applicazioni.
Quindi questi sono due aspetti davvero importanti dello standard che ci aiuteranno ad acquisire maggiore fiducia nel modo in cui utilizziamo l'IA.
Giusto, giusto.
In terzo luogo, penso che la norma 42001 ci imponga anche di coinvolgere realmente più parti interessate nel processo di certificazione. Questo ci darà maggiore fiducia nel modo in cui consideriamo e implementiamo il sistema di gestione all'interno dell'organizzazione, che è stato progettato in modo da rappresentare le esigenze e gli interessi dell'azienda stessa, nonché dei suoi clienti, dei regolatori e dei dipendenti.
Giusto. Supponiamo di avere un cliente che è pronto a prendere in considerazione la certificazione ISO 42001. Quali sono, secondo te, alcuni dei malintesi più comuni su questa implementazione?
Sì, ottima domanda, e sono sicuro che ce la faranno spesso. Se posso identificare, innanzitutto, il malinteso più grande è che sia solo per gli sviluppatori, cioè quelle grandi aziende tecnologiche.
Giusto, giusto.
Ma come abbiamo già detto, è altrettanto rilevante per i consumatori e gli utenti dell'IA, le piccole e medie imprese, le altre grandi imprese che potrebbero utilizzare strumenti di IA e che sono fondamentalmente clienti dell'IA, che la applicano, la formano e la implementano nei propri sistemi e dati per migliorare l'efficienza all'interno della propria organizzazione e migliorare l'esperienza dei propri clienti. Anche queste aziende devono prendere in considerazione la 42001.
Questo è il primo malinteso. Non è solo per gli sviluppatori e i costruttori, ma anche per gli utenti.
Chiunque può utilizzarlo.
Esatto, l'intera catena di fornitura che ruota attorno all'IA. Il secondo malinteso è che lo standard 42001 è costoso da implementare. In realtà, non si tratta di un'operazione molto costosa come molti altri standard di gestione, ad esempio 9001 e 14001.
L'implementazione dello standard 42001 non è proibitiva dal punto di vista della certificazione, della formazione o dell'applicazione interna. Anzi, potrebbe addirittura farvi risparmiare denaro. Vi consentirà di ottenere risultati immediati nella creazione di un metodo standardizzato per la gestione dell'IA all'interno dell'azienda.
Il ritorno sull'investimento ottenuto in questo modo, rispetto a eventuali fallimenti a medio termine, sanzioni normative o reazioni negative da parte dei clienti, significa che è qualcosa da prendere seriamente in considerazione, soprattutto in questo momento in cui l'IA sta crescendo così rapidamente, ma questa scatola nera di cui abbiamo discusso è ancora una questione aperta che deve essere affrontata.
Sì. Ripenso alla norma 27001, dove non si sa cosa non si sa e dove sono i pericoli. In questo caso, almeno a quel punto della norma 27001 e quando si ha a che fare con la sicurezza delle informazioni, si cerca di tenere fuori qualcuno o di impedire che qualcosa trapel Quindi è davvero molto importante assicurarsi di non esporsi a rischi così elevati che potrebbero comportare multe, fallimenti o cose simili.
Allora, Kevin, ritieni che lo standard 42001 sia facile da implementare in un IMS come gli altri? Vediamo spesso gli standard 9001, 14001 insieme, 9001, 45001, 9001, 27001. Anche lo standard 42001 è abbastanza facile da implementare come IMS?
In linea di principio, sì. La struttura di base del quadro è molto simile agli altri standard che hai appena citato. Quindi, in linea di principio, sì. Quello che direi è che lo standard 42001 è un po' più recente sul mercato. Quindi, le specifiche che si applicano all'IA sono cose per le quali non ci sono necessariamente tanti auditor, certificatori o esperti qualificati disponibili a supportare l'integrazione o l'implementazione.
Ma in linea di principio, sì. Se hai le persone giuste che ti supportano in questo processo, allora al 100%.
- Puoi fare tutte le verifiche del caso, ma dobbiamo trovare qualcuno che possa effettivamente certificarti in questo momento, questo è davvero un punto chiave.
Allora Kevin, cosa guardi quando le aziende ti dicono: "Ok, stiamo valutando lo standard 42001, da dove cominciamo?
Domanda molto importante. Innanzitutto, procuratevi lo standard, leggetelo, studiatelo e rifletteteci sopra. Nell'ambito della raccolta di informazioni, potreste anche utilizzare uno strumento di generazione di intelligenza artificiale, come ChatGPT, Perplexity o Claude, e porgli le seguenti domande: “Cosa contiene la norma 42001? È rilevante per la mia attività?” Quindi, fate sicuramente un po' di lavoro di ricerca iniziale. È fondamentale imparare a conoscerlo e capire come applicarlo alla propria attività. A quel punto, si può iniziare a pensare a quali vantaggi commerciali si potrebbero ottenere implementandolo, perché dovrebbe esserci un business case pronto per l'implementazione.
In secondo luogo, direi la formazione. La formazione è un ottimo punto di partenza per questo tipo di cose, nuovi standard, nuovi strumenti, esaminando la questione in modo strutturato con persone che la conoscono e la comprendono e che hanno le competenze tecniche per supportarla. Quindi, un corso di introduzione alla norma 42001, un corso per auditor o lead auditor, a seconda delle dimensioni della vostra azienda, potreste anche svolgere questa funzione di audit interno all'interno della vostra organizzazione. La formazione è quindi un passo davvero importante in questo contesto. Fornisce una buona struttura, una logica e una sorta di pensiero sistemico al potenziale implementazione all'interno della vostra organizzazione.
In terzo luogo, direi che è possibile effettuare una valutazione dei rischi dell'IA più completa o più leggera, per capire dove e quali tipi di esposizioni potreste avere oggi nella vostra organizzazione, sia che si tratti di costruire i vostri modelli o di utilizzare strumenti di IA di terze parti. Ottenere alcune di queste informazioni e riflettere sui rischi, non solo per la propria attività, ma anche per i clienti e altri stakeholder chiave, aiuterà a pensare all'implementazione e alla roadmap della norma 42001 in modo un po' più efficace e sequenziale.
Poi, ovviamente, se avete intenzione di procedere con la certificazione, questo è il momento in cui dovete iniziare a ottenere il giusto livello di sostegno da parte dei dirigenti dell'azienda, mettendo insieme un business case per la norma 42001 come fattore strategico per l'innovazione, la gestione dei rischi, il vantaggio competitivo, ecc. e non solo come semplice requisito di conformità. L'implementazione della norma dovrebbe comportare un ritorno sull'investimento.
A seconda delle dimensioni della vostra azienda, potreste quindi implementarlo per un caso d'uso ad alto impatto ma gestibile all'interno della vostra organizzazione, oppure potrebbe essere che la vostra azienda sia un unico caso d'uso e che lo stiate implementando per l'intera organizzazione. Dipende quindi dalle dimensioni e dalla portata dell'azienda. Questi sarebbero i cinque passaggi chiave da seguire per iniziare.
Anche solo il primo e il secondo passo, ovvero informarsi, comprendere, seguire la formazione e standardizzare il proprio modo di pensare, in modo da poter passare alla valutazione dei rischi e alla governance, sarebbero un ottimo modo per iniziare.
Un'ultima domanda importante prima di concludere. Perché è importante adesso? Ne abbiamo parlato un po'. Sta arrivando con forza e rapidità, è meglio affrontarla, ma perché la 42001 è importante adesso?
Dal mio punto di vista, siamo a un punto di svolta. Un punto di svolta per l'umanità nella transizione verso l'IA e il suo utilizzo, ma anche un punto di svolta per l'IA stessa e per il modo in cui verrà implementata dalle aziende, dalle persone in diversi settori e in diversi paesi e regioni.
Ci sono così tanti nuovi strumenti in fase di sviluppo, ogni giorno, che è difficile stare al passo. Sempre più spesso, ci troviamo in un momento in cui una governance efficace dell'IA sarà ciò che distinguerà i vincitori dalle vittime o dai perdenti. Ci sono così tanti nuovi modelli, così tanti nuovi aggiornamenti, così tanta concorrenza che, in realtà, ciò che diventa sempre più importante è quanto bene voi, come azienda, la utilizzate e implementate, la governate e la comunicate, sia internamente che ai vostri stakeholder. Ignorare la governance vi espone al rischio di un fallimento potenzialmente catastrofico che potrebbe avere un enorme impatto sulla reputazione o sul valore monetario della vostra azienda, distruggendo il valore del marchio e la posizione di mercato.
Quindi questo è il primo punto: la governance è più importante che mai. Il secondo punto è che, se non facciamo le cose per bene, ci ritroveremo con un debito etico. Si tratta di una questione reale di cui inizieremo a parlare in futuro. E non c'è ambito in cui questo sia più rilevante che nell'implementazione dell'IA. I modelli, gli strumenti e il modo in cui le aziende implementano l'IA potrebbero portare a un debito etico, non solo a un debito tecnologico, che è un termine con cui molti hanno familiarità.
Sarebbe molto difficile per le aziende tirarsi fuori se inavvertitamente finissero in una situazione troppo difficile. E questo è molto probabile con l'IA, perché le cose stanno cambiando molto rapidamente, le informazioni, la comunicazione, stanno cambiando così velocemente che dobbiamo assicurarci di non incorrere mai in alcun debito etico e di stare al passo con questo dilemma fin dall'inizio. Ora più che mai, la norma 42001 è rilevante.
Non si tratta solo di evitare i rischi e il debito etico e di stare al passo con il panorama normativo, ma anche di essere in grado di cogliere in modo efficace e sicuro le enormi opportunità e di essere all'avanguardia della rivoluzione dell'IA, in modo responsabile ed efficiente, a sostegno della costruzione di una fiducia profonda e duratura con i clienti e le autorità di regolamentazione.
Ben detto. È stato davvero fantastico. Non riesco a dirvi quanto mi sia piaciuto parlare di IA e 42001. Qualche ultima riflessione, Kevin?
Forse un pensiero molto breve, ma spero provocatorio. Abbiamo parlato molto di come l'IA sia onnipresente, ovunque e inevitabile. Quello che non abbiamo davvero riconosciuto è che l'IA non è solo ovunque e viene utilizzata, ma sta anche plasmando la nostra stessa realtà.
Quando utilizziamo l'IA, le poniamo delle domande e lei risponde, e noi le crediamo. Quando prendiamo decisioni aziendali basate sulle informazioni fornite dall'IA, questa sta plasmando la realtà che percepiamo e che viviamo ogni giorno. Ora, in un contesto in cui l'IA sta effettivamente plasmando e co-creando questa realtà insieme a noi, non vorremmo sapere che viene governata in modo efficace mentre lo fa?
Quindi la governance non è un ostacolo burocratico, ma è in definitiva una parte centrale della co-creazione di un futuro insieme all'IA. Lo stiamo già facendo, tra l'altro, e questo ci permette di passare da quello che è un esperimento molto rischioso, un genio uscito dalla lampada, a uno spazio in cui possiamo utilizzare l'IA per generare un vantaggio competitivo sostenibile per la nostra azienda e per i nostri clienti.
È stata una visione davvero illuminante dell'IA e della norma 42001. È stato davvero un episodio fantastico da ascoltare per tutti. Grazie per essere stato con noi.
Grazie a te, X. Mi è piaciuto molto e apprezzo il tempo che mi hai dedicato.
E grazie a tutti i nostri ascoltatori per averci seguito. Noi di LRQA aiutiamo le organizzazioni ad adottare l'IA e la tecnologia con fiducia. I nostri servizi includono formazione ISO 42001, analisi delle lacune e certificazione, aiutandovi a dimostrare le migliori pratiche nella gestione dei rischi dell'IA e nell'integrazione di un'IA etica e responsabile in tutte le vostre operazioni. Offriamo anche soluzioni che si estendono alla sicurezza informatica e alla sicurezza delle informazioni attraverso le norme ISO 27001 e ISO 27701, garantendo un approccio completo al vostro percorso di trasformazione digitale. Grazie per averci ascoltato oggi.