Alla fine del XIX secolo, l'elettricità rappresentava una promessa straordinaria e una minaccia concreta. Le città si illuminavano, le fabbriche producevano a ritmi impensabili, ma gli incendi devastavano gli edifici e le persone morivano folgorate. Non bastava inventare la tecnologia: occorreva anche civilizzarla, renderla governabile attraverso norme condivise. Nacquero così i primi standard di sicurezza elettrica, che trasformarono una forza selvaggia in un'infrastruttura affidabile.
Oggi ci troviamo in una situazione analoga con l'intelligenza artificiale. Come l'elettricità un secolo fa, l'IA promette di rivoluzionare ogni aspetto della nostra esistenza, ma porta con sé rischi inediti: dalla discriminazione algoritmica alla perdita di controllo sui processi decisionali, dall'opacità dei sistemi alla vulnerabilità dei dati sensibili. E come allora, anche oggi la risposta passa attraverso la standardizzazione: lo standard ISO/IEC 42001:2023 rappresenta il primo tentativo globale di creare un sistema di gestione per l'intelligenza artificiale.
Ma cosa possiamo imparare dalla storia degli standard tecnologici? E soprattutto: basteranno procedure e certificazioni a garantire un'intelligenza artificiale davvero responsabile?
La storia della standardizzazione tecnologica è intimamente legata alla storia della modernità industriale. Ogni rivoluzione tecnologica ha generato la necessità di norme condivise, un linguaggio comune che permettesse a diverse parti di cooperare riducendo i rischi collettivi.
La prima vera esplosione di standard tecnici avvenne con le ferrovie nell'Ottocento. Inizialmente, ogni compagnia ferroviaria costruiva i propri binari con larghezze diverse, rendendo impossibile l'interconnessione delle reti. Fu necessario un lungo processo di negoziazione prima che emergesse lo "scartamento standard" di 1435 millimetri, oggi utilizzato in gran parte del mondo. Questo esempio mostra come gli standard nascano spesso da conflitti tra interessi economici divergenti, che solo gradualmente convergono verso soluzioni comuni quando i vantaggi dell'interoperabilità superano i costi dell'uniformazione.
Con l'elettricità, il problema non era solo tecnico ma esistenziale: si trattava di introdurre nelle case e nei luoghi di lavoro un'energia potenzialmente letale. Gli standard di sicurezza elettrica non si limitarono a definire parametri tecnici (voltaggio, isolamento, messa a terra), ma istituirono anche un sistema di certificazioni e ispezioni. Quando l'elettricità apparve per la prima volta, fu una meraviglia moderna capace di fare cose straordinarie... ma finché non furono stabiliti gli standard, le persone venivano folgorate, gli edifici bruciavano.
tanto l'elettricità quanto l'intelligenza artificiale sono forze invisibili, difficili da comprendere intuitivamente, la fiducia del pubblico dipende dalla certezza che esistano salvaguardie affidabili.
Questa analogia è particolarmente significativa: tanto l'elettricità quanto l'intelligenza artificiale sono forze invisibili, difficili da comprendere intuitivamente, che agiscono attraverso meccanismi non immediatamente percepibili. In entrambi i casi, la fiducia del pubblico dipende dalla certezza che esistano salvaguardie affidabili.
Con l'avvento dell'informatica, la standardizzazione assunse nuove dimensioni. Protocolli come TCP/IP (alla base di Internet), formati come HTML, standard di sicurezza come ISO/IEC 27001 per la cybersecurity: tutti questi sistemi normativi hanno permesso la nascita dell'ecosistema digitale globale. In questo contesto, gli standard non garantiscono solo sicurezza ma anche compatibilità: consentono a miliardi di dispositivi e sistemi di comunicare tra loro.
Tuttavia, gli standard informatici hanno anche rivelato un limite fondamentale: la conformità tecnica non garantisce necessariamente esiti eticamente desiderabili. Un sistema informatico può essere perfettamente sicuro dal punto di vista della cybersecurity e contemporaneamente violare sistematicamente la privacy degli utenti, o essere utilizzato per scopi di sorveglianza di massa.
È in questo solco storico che si colloca la norma ISO/IEC 42001:2023, pubblicata nel dicembre 2023. Si tratta del primo standard internazionale certificabile per i sistemi di gestione dell'intelligenza artificiale (AI Management System).
La norma ISO 42001 non prescrive come debba essere progettato un algoritmo specifico, né stabilisce soglie tecniche rigide. Piuttosto, definisce un framework procedurale che le organizzazioni devono implementare per gestire responsabilmente i propri sistemi di IA. Questo approccio si basa sulla struttura comune degli standard di sistema di gestione (Management System Standards, MSS), analoga a quella di ISO 9001 per la qualità o ISO 14001 per l'ambiente.
Gli elementi centrali della norma includono:
- Governance e leadership: l'alta direzione deve assumersi la responsabilità della gestione dell'IA
- Valutazione del rischio: ogni sistema di IA deve essere sottoposto a un'analisi d'impatto per identificare potenziali danni
- Controlli operativi: procedure documentate per lo sviluppo, il deployment e il monitoraggio dei sistemi
- Miglioramento continuo: cicli iterativi di valutazione e adeguamento
Una caratteristica fondamentale della norma è la sua certificabilità: organismi terzi accreditati possono verificare che un'organizzazione rispetti i requisiti dello standard e rilasciare una certificazione. Questo trasforma la conformità in un segnale di mercato, un "marchio di affidabilità" che può influenzare le scelte di clienti, partner e investitori.
Eppure, qui emerge il primo elemento critico da evidenziare: la certificazione ISO 42001 attesta la qualità dei processi di gestione, non la bontà intrinseca dell'intelligenza artificiale. Un'organizzazione può essere perfettamente conforme allo standard e contemporaneamente sviluppare sistemi di IA che producono discriminazioni, violano la privacy o prendono decisioni discutibili.
Questo paradosso non è nuovo nella storia degli standard. Anche nelle certificazioni di qualità ISO 9001, la conformità garantisce che l'organizzazione segua procedure coerenti, non che i suoi prodotti siano necessariamente "buoni" in senso assoluto. La differenza è che, nel caso dell'IA, le conseguenze etiche e sociali sono molto più pervasive e potenzialmente irreversibili.
Osserva Geoff Clarke di Microsoft: "Questo non riguarda l'IA come tecnologia in sé, ma come la si implementa, assicurandosi di farlo con i processi giusti." La certificazione, dunque, è un punto di partenza necessario ma non sufficiente.
Uno degli aspetti più interessanti della norma ISO 42001 è il riconoscimento esplicito che i sistemi di IA sono intrinsecamente socio-tecnici: i loro rischi e benefici emergono dall'interazione tra componenti tecniche e fattori sociali legati al contesto d'uso, agli operatori umani e alle dinamiche culturali.
Questa prospettiva rappresenta un'evoluzione significativa rispetto agli standard puramente tecnici del passato. L'AI Risk Management Framework del NIST statunitense esprime bene questo concetto: "I sistemi di IA sono per natura socio-tecnici, il che significa che sono influenzati dalle dinamiche sociali e dal comportamento umano. I rischi dell'IA – e i suoi benefici – possono emergere dall'interazione tra aspetti tecnici e fattori sociali relativi a come un sistema viene utilizzato, alle sue interazioni con altri sistemi di IA, a chi lo opera e al contesto sociale in cui è impiegato."
Questo approccio dovrebbe, in teoria, rendere gli standard più efficaci nel prevenire danni reali. Tuttavia, tradurre questa consapevolezza in procedure concrete rimane estremamente complesso.
Nonostante le indicazioni dello standard, il bias rimane una sfida fondamentale perché è radicato nei dati di addestramento e nelle scelte progettuali che precedono l'implementazione del sistema di gestione.
La norma ISO/IEC TR 24027:2022, complementare alla ISO 42001, fornisce linee guida specifiche per valutare e mitigare il bias nei sistemi di IA. Ma qui emerge un limite strutturale: il bias non è un errore tecnico che può essere "riparato" con procedure standard. È spesso il riflesso di ingiustizie storiche e strutture di potere preesistenti incorporate nei dati.
L'esempio paradigmatico è il sistema di reclutamento di Amazon, abbandonato dopo che si scoprì che discriminava sistematicamente le candidate donne. Il sistema era stato addestrato su curriculum di assunzioni passate, in un settore storicamente dominato dagli uomini. L'algoritmo aveva semplicemente imparato e amplificato i pregiudizi esistenti.
Come nota Lyria Bennett Moses, professoressa alla UNSW Sydney: "Lo standard aiuta indirettamente a garantire la qualità dei dati e a prevenire il bias, perché solleva le domande giuste." Ma sollecitare domande non equivale a fornire risposte definitive. Il rischio è che la conformità allo standard diventi un "teatro della sicurezza": una performance ritualistica che genera un'illusione di controllo senza affrontare le radici strutturali del problema.
Un principio cardine della norma ISO 42001 è che deve sempre essere mantenuta una supervisione umana significativa sui sistemi di IA. Gli algoritmi possono supportare le decisioni, ma la responsabilità ultima deve rimanere nelle mani di persone in carne e ossa.
Questo principio si scontra però con una delle promesse centrali dell'intelligenza artificiale: l'efficienza ottenuta attraverso l'automazione. Più un sistema è sofisticato e rapido, più diventa difficile per un essere umano esercitare un controllo effettivo. Come può un operatore umano supervisionare un algoritmo che analizza milioni di transazioni finanziarie al secondo, o che prende decisioni in tempo reale su flussi di traffico urbano?
Clarke sottolinea questo dilemma: "Una sfida chiave risiede nel fatto che i sistemi di machine learning continuo potrebbero produrre risultati diversi nel tempo partendo dallo stesso input. Questo rende tali sistemi molto diversi da quelli in cui si testa al lancio e si può essere certi che i risultati rimarranno sempre entro parametri accettabili."
La tensione irrisolta è tra l'esigenza di mantenere il controllo umano (che presuppone comprensibilità e prevedibilità) e la natura stessa dei sistemi di IA avanzati, che sono per definizione adattivi, opachi e spesso controintuitivi nei loro meccanismi decisionali. Lo standard riconosce il problema ma non può risolverlo: può solo chiedere alle organizzazioni di documentare come gestiscono questo trade-off.
Un ulteriore elemento critico riguarda l'ambizione universalistica degli standard ISO a fronte della frammentazione delle regolamentazioni nazionali sull'IA. L'Unione Europea ha approvato l'AI Act, una legislazione vincolante che classifica i sistemi di IA in base al rischio e impone obblighi specifici. Il Regno Unito sta sviluppando un approccio basato su principi settoriali. Gli Stati Uniti hanno pubblicato l'AI Risk Management Framework del NIST, volontario ma influente. La Cina ha proprie normative che enfatizzano il controllo statale e la sicurezza nazionale.
In questo contesto, lo standard ISO 42001 aspira a diventare un linguaggio comune che permetta l'interoperabilità normativa, facilitando le organizzazioni che operano in più giurisdizioni. Come osserva Michel Girard del Centro per la Governance Internazionale dell'Innovazione: "Come previsto, l'UE, il Regno Unito e la Cina si sono impegnate a incorporare standard internazionali di governance digitale e programmi di certificazione come meccanismo di conformità nelle prossime regolamentazioni."
Tuttavia, l'armonizzazione attraverso standard tecnici può generare un'illusione pericolosa: quella che questioni profondamente politiche (Quali decisioni possono essere delegate agli algoritmi? Quali valori devono guidare l'IA?) possano essere risolte attraverso procedure tecniche neutrali. Gli standard non sono mai politicamente neutri: incorporano sempre scelte valoriali implicite.
Guardando alla storia degli standard tecnologici, possiamo individuare alcuni pattern ricorrenti che possono illuminare le prospettive della norma ISO 42001.
Gli standard hanno funzionato bene quando:
- Hanno ridotto asimmetrie informative: consentendo a consumatori e utenti di fare scelte informate senza dover comprendere i dettagli tecnici
- Hanno creato economie di rete: permettendo l'interoperabilità e quindi amplificando il valore complessivo dei sistemi
- Hanno distribuito responsabilità: chiarendo chi è responsabile di cosa nella catena del valore
- Si sono evoluti insieme alla tecnologia: attraverso meccanismi di revisione periodica
L'esempio paradigmatico è lo sviluppo degli standard per Internet. Protocolli come TCP/IP, HTTP, HTML hanno permesso l'esplosione del web proprio perché hanno creato un terreno comune su cui innumerevoli attori potevano innovare, sapendo che i loro prodotti avrebbero potuto interagire con il resto dell'ecosistema.
Nel caso dell'IA, la certificazione ISO 42001 può effettivamente creare valore di mercato, segnalando ai clienti e ai partner che un'organizzazione prende sul serio la gestione responsabile dell'intelligenza artificiale. In settori come la sanità, la finanza o il trasporto, dove errori algoritmici possono avere conseguenze drammatiche, la certificazione può diventare un requisito di fatto per operare.
Ma gli standard possono anche fallire, e la storia offre esempi istruttivi:
- Quando diventano rituali burocratici: la conformità formale sostituisce la sostanza, generando costi senza benefici reali
- Quando non riescono a tenere il passo con l'innovazione: diventando obsoleti prima ancora di essere pienamente adottati
- Quando catturano solo una dimensione del problema: ignorando aspetti critici che sfuggono alla logica procedurale
- Quando creano barriere all'ingresso: favorendo incumbent a scapito dell'innovazione
Un caso emblematico è quello degli standard di sicurezza informatica, che spesso si concentrano sulla protezione del perimetro (firewall, password, crittografia) trascurando il fattore umano. Risultato: le violazioni di dati più gravi avvengono per errore umano, phishing o insider threat, non per carenze tecniche dei sistemi certificati.
Nel caso dell'IA, esiste il rischio concreto che la certificazione ISO 42001 diventi un rito di passaggio obbligato, una "check-box compliance" in cui le organizzazioni soddisfano i requisiti formali senza un reale cambiamento culturale. Come avverte Ian Oppermann, co-fondatore di ServiceGen: "Non è un sistema a prova di errore, ma segnala che come organizzazione stai cercando di incorporare i principi corretti nel modo in cui gestisci il tuo business."
Riconoscere i limiti degli standard significa contestualizzarli all'interno di un ecosistema più ampio di governance dell'intelligenza artificiale. Cosa serve oltre alla norma ISO 42001?
Gli standard procedurali non possono sostituire la comprensibilità dei sistemi di IA. Molti algoritmi di machine learning, specialmente le reti neurali profonde, sono "scatole nere" anche per i loro creatori. La certificazione può attestare che esistono procedure di controllo, ma non può rendere gli algoritmi intrinsecamente interpretabili.
Serve dunque un investimento parallelo nella ricerca sull'Explainable AI (XAI), che mira a sviluppare modelli più trasparenti. E serve anche un'educazione diffusa all'alfabetizzazione algoritmica, perché la supervisione umana richiesta dallo standard presuppone operatori capaci di comprendere, almeno nelle linee generali, cosa l'algoritmo sta facendo.
Le decisioni su come sviluppare e utilizzare l'IA non possono essere delegate esclusivamente a tecnici e organismi di standardizzazione. Servono meccanismi di consultazione pubblica, assemblee cittadine, processi deliberativi che coinvolgano le comunità potenzialmente impattate dai sistemi algoritmici.
L'esempio del New South Wales AI Assurance Framework in Australia è istruttivo: ha affiancato agli standard tecnici un processo di definizione partecipata dei principi etici che dovrebbero guidare l'uso dell'IA nella pubblica amministrazione. La legittimità delle norme dipende anche dalla percezione che siano frutto di un processo inclusivo.
Gli standard possono guidare il comportamento delle organizzazioni, ma non sostituiscono la legge. Servono norme giuridiche chiare che stabiliscano chi è responsabile quando un sistema di IA causa danni, e meccanismi effettivi di ricorso per le vittime.
In Europa, l'AI Act sta tentando di affrontare questo nodo: impone obblighi specifici ai fornitori di sistemi ad alto rischio e prevede sanzioni per le violazioni. Lo standard ISO 42001 può diventare un riferimento per valutare la diligenza di un'organizzazione, ma la conformità non esaurisce la questione della responsabilità giuridica.
La certificazione ISO 42001 prevede audit periodici da parte di organismi terzi, ma questi controlli sono tipicamente basati sulla documentazione fornita dall'organizzazione stessa. Servono anche forme di vigilanza pubblica indipendente, sul modello delle autorità garanti della concorrenza o della privacy, con poteri ispettivi e sanzionatori.
Alcuni paesi stanno sperimentando autorità dedicate all'IA. Il Canada, ad esempio, ha lanciato un progetto pilota per testare un sistema di accreditamento per i sistemi di gestione dell'IA basato sulla ISO 42001, ma integrato con l'Algorithmic Impact Assessment governativo. Questo approccio ibrido – standard volontari più supervisione pubblica – potrebbe rivelarsi più efficace della sola certificazione privata.
La metafora nautica, cara a Stultifera Navis, è particolarmente appropriata per descrivere la sfida della governance dell'intelligenza artificiale. Come Ulisse doveva navigare tra il mostro Scilla e il vortice di Cariddi, così le società contemporanee devono trovare una rotta tra due pericoli opposti: da un lato l'iperregolamentazione che soffoca l'innovazione, dall'altro l'assenza di salvaguardie che lascia l'IA svilupparsi in modo selvaggio e potenzialmente distruttivo.
Lo standard ISO 42001 rappresenta un tentativo importante di tracciare questa rotta. Offre alle organizzazioni una bussola procedurale, un metodo per navigare la complessità dell'IA responsabile. Ma non è una mappa completa del territorio, né può esserlo: la tecnologia evolve troppo rapidamente, i contesti sociali sono troppo diversificati, le questioni etiche troppo sfumate per essere catturate integralmente in uno standard internazionale.
La storia degli standard tecnologici ci insegna che le norme funzionano meglio quando sono parte di un ecosistema più ampio: leggi vincolanti, prassi professionali, culture organizzative, controllo sociale, educazione diffusa. La certificazione ISO 42001 può essere un segnale prezioso di impegno verso un'IA responsabile, ma rischia di diventare un rituale vuoto se non è sostenuta da un'autentica volontà di mettere l'essere umano al centro.
Come ricorda Lorraine Finlay, Commissaria australiana per i Diritti Umani: "L'umanità deve essere posta al cuore del nostro impegno con l'IA. In tutte le fasi del ciclo di vita di un prodotto – dalla concezione iniziale al suo uso da parte del consumatore – dobbiamo chiederci non solo cosa la tecnologia è capace di fare, ma perché vogliamo che faccia quelle cose."
Gli standard possono aiutarci a rispondere al "come", ma non al "perché". Possono rendere più sicuri i sistemi di IA, ma non possono decidere per noi quali sistemi vale la pena costruire, quali decisioni vale la pena delegare agli algoritmi, quali valori devono guidare lo sviluppo tecnologico.
In ultima analisi, la norma ISO 42001 è uno strumento, non una soluzione. Uno strumento utile, forse necessario, certamente perfettibile. Ma la responsabilità ultima rimane dove è sempre stata: nelle mani di esseri umani in carne e ossa, con la loro capacità di giudizio morale, il loro senso di giustizia, la loro vulnerabilità e fallibilità.
L'intelligenza artificiale è potente, ma non è senziente. Gli algoritmi possono ottimizzare, ma non possono scegliere. I sistemi di IA possono elaborare quantità sterminate di dati, ma non possono comprendere il significato ultimo delle loro azioni. Tocca a noi decidere quale futuro vogliamo costruire, e gli standard sono solo uno degli strumenti – non il più importante – che abbiamo a disposizione per orientare questa costruzione.
Come nella nave dei folli di Sebastian Brant, che dà il nome a questa rivista, il rischio non è tanto quello di non avere strumenti di navigazione, quanto quello di non sapere verso quale porto stiamo navigando. La certificazione ISO 42001 può garantire che la nave sia in ordine, che l'equipaggio segua procedure corrette, che i rischi siano mappati. Ma non può dirci se la destinazione che abbiamo scelto è quella giusta.
Questa, forse, è la lezione più importante dalla storia degli standard tecnologici: le norme tecniche possono civilizzare le tecnologie, ma non possono sostituire il dibattito politico e la riflessione etica su cosa significhi una società giusta nell'era algoritmica. Servono entrambe, in una tensione produttiva e mai risolta: rigore procedurale e immaginazione etica, standard condivisi e contestazione critica, certezza normativa e apertura al cambiamento.
L'intelligenza artificiale non è né il paradiso né l'inferno che alcuni predicono. È uno specchio che riflette le nostre priorità, i nostri valori, le nostre contraddizioni. Gli standard come la ISO 42001 possono aiutarci a costruire questo specchio con maggiore cura, ma spetta a noi decidere quale immagine vogliamo riflettervi.
L'intelligenza artificiale non è né il paradiso né l'inferno che alcuni predicono. È uno specchio che riflette le nostre priorità, i nostri valori, le nostre contraddizioni.