L’intervento al Cybersec2024 di Roma del Direttore Generale di Accredia, Filippo Trifiletti.
L’accordo tra Consiglio e Parlamento UE sul nuovo Regolamento AI farà perno sull’approccio risk-based, che affida un ruolo alla valutazione della conformità degli organismi notificati, perché può dare maggiori garanzie di affidabilità e sicurezza.
La proposta di Regolamento europeo sull’intelligenza artificiale prevede che i requisiti di indipendenza, imparzialità e competenza degli organismi di valutazione della conformità siano valutati da un’Autorità notificante per ogni Stato membro.
A livello normativo, sono impegnati nello sviluppo degli standard di riferimento due gruppi di lavoro internazionali, l’ISO/IEC JTC1 SC42 e il CEN/CENLEC (JTC21).
Nel suo intervento al Cybersec 2024 di Roma, nel Challenge Panel: “AI Act e la certificazione accreditata della cybersecurity dei prodotti ICT“, Filippo Trifiletti, Direttore Generale di Accredia, ha spiegato il processo di accreditamento, cioè l’attestazione, da parte di un Ente che agisce quale garante super partes, della competenza e imparzialità degli organismi di certificazione, ispezione, verifica e validazione, e dei laboratori di prova e taratura.
I dati, aggiornati ad ottobre 2023, ha affermato Trilifetti, “dimostrano senza dubbio una fiducia delle aziende nella certificazione qualificata dall’accreditamento: ad oggi sono infatti oltre 5000 i siti aziendali certificati dai 28 organismi accreditati secondo la UNI ISO 27001 per la sicurezza delle informazioni o dai 13 organismi accreditati per il rilascio delle certificazioni a fronte della ISO/IEC 20000-1 per servizi informatici“.
Inoltre, “il tema della cybersecurity è sempre più connesso a quello dell’intelligenza artificiale, oggetto della proposta di Regolamento UE. Nel nuovo quadro normativo delineato dall’Unione Europea si prevede il ricorso ad Organismi notificati (anche in virtù del previo accreditamento ricevuto) per la valutazione di conformità di alcune tipologie di sistemi IA in base al loro livello di rischio” ha aggiunto il direttore.
“L’accreditamento rappresenta lo strumento preferibile e prevalente per verificare il possesso di questi requisiti. Per questo, gli organismi sono invitati a corredare di un certificato di accreditamento la domanda di notifica presentata all’Autorità. In assenza di tale documento, l’organismo dovrà dimostrare – con prove documentali – di essere conforme a quanto disposto dall’AI ACT”, ha precisato Trifiletti.
“Il modello di gestione comunitario dell’intelligenza artificiale, infatti, farà perno sull’approccio risk-based che sembra porre in rilievo l’importanza della valutazione della conformità da parte degli organismi notificati.
Per le applicazioni di IA ad alto rischio è previsto un marchio di conformità emessa da un organismo di certificazione. Ogni stato membro deve identificare questi organismi e devono finire in una lista ufficiale. Sono centinaia i soggetti autorizzati in questo settore. L’accreditamento serve per garantire che le certificazioni siano emessi da organismi indipendenti e imparziali. A monte dell’attività di accreditamento c’è la normazione tecnica”, ha proseguito il direttore generale di Accredia.
“Questa attività esiste già e ci sono due applicazioni: macchine e dispositivi medici. Con il nuovo regolamento si creerà un combinato disposto. L’organismo dovrà certificare che l’applicazione rispetto al prodotto fisico si integrino le competenze per la IA e per la parte del prodotto certificato.
Per alcune categorie di dispositivi, il Regolamento prevede una procedura di valutazione di conformità da parte di un organismo notificato. L’organismo dovrà verificarne la conformità -se è un software AI o ne contiene uno – sia ai requisiti del Regolamento Dispositivi Medici, sia a quelli dell’AI ACT”.