di Francesco Domenico ATTISANO
L’Organizzazione Internazionale per la Standardizzazione (ISO) e la Commissione Elettronica Internazionale (IEC) hanno pubblicato la scorsa settimana, un nuovo standard sull’intelligenza artificiale: la ISO/IEC 42006:2025(1) “ Information technology — Artificial intelligence — Requirements for bodies providing audit and certification of artificial intelligence management systems”.
La nuova ISO 42006 rappresenta un punto di svolta per chiunque prenda sul serio la governance dell’Artificial Intelligence.
Tale standard definisce un quadro rigoroso per gli audit basati sul rischio dei sistemi di gestione dell’intelligenza artificiale, ponendo particolare enfasi:
- sulle competenze tecniche richieste agli auditor e,
- sulla reale efficacia dei controlli implementati.
Contesto e Obiettivi dello Standard
La ISO/IEC FDIS 42006:2025 si pone come riferimento internazionale per i requisiti che devono soddisfare gli organismi che forniscono audit e certificazione dei sistemi di gestione dell’intelligenza artificiale (AIMS, Artificial Intelligence Management Systems). Tale standard integra e specifica le richieste di ISO/IEC 17021-1, con l’obiettivo di garantire competenza, coerenza e affidabilità nei processi di audit e certificazione delle organizzazioni che sviluppano, forniscono o utilizzano sistemi AI.
Inoltre, tale standard fornisce indirettamente una guida a tutte le strutture di Internal Audit(2) e Risk Management delle organizzazioni.
Competenze multidisciplinari e responsabilità di monitoraggio degli Auditor
Gli auditor devono possedere conoscenze tecniche approfondite, in grado di valutare concretamente la robustezza, la sicurezza e l’affidabilità dei modelli AI.
Le competenze diversificate richieste includono: conoscenza dell’AI, degli standard di gestione AI, degli obblighi normativi – legali, della terminologia e delle pratiche AI, del settore di business dell’organizzazione e dei suoi prodotti/processi, nonché del suo sistema di governance e risk management.
Il team di audit, nel suo complesso, deve coprire tutte le competenze richieste, anche se non necessariamente ogni singolo auditor le possiede tutte.
Ciò comporta, sempre più spesso, team interfunzionali tra professionisti dell’innovazione e IT, con esperti di Compliance, Internal Audit, Risk Management.
Ancora, gli auditor responsabili devono avere la capacità di identificare e monitorare fenomeni come la deriva o deviazione dei modelli AI in uso nell’organizzazione e valutare costantemente le minacce, gli impatti e vulnerabilità emergenti.
Certificazione sincronizzata con i controlli reali e integrazione con gli altri standard
Lo standard consente una certificazione che riflette fedelmente le pratiche operative, garantendo che le soluzioni AI siano effettivamente gestite e controllate secondo criteri verificabili. Il nuovo standard ISO, come riportato dal sito ufficiale, si integra pienamente con la ISO 42001(3): Sistemi di gestione dell’intelligenza artificiale e le ISO 23894 (Valutazione dei rischi per sistemi AI) e ISO 42005 (Valutazione dell’impatto dei sistemi AI).
Antidoto all’“AI Washing” e alla Conformità di etichetta o facciata
La ISO 42006 risponde all’esigenza di evitare pratiche superficiali o meramente formali (“AI washing”), imponendo test tecnici, monitoraggio continuo e valutazioni di impatto che devono essere documentati e dimostrabili.
Audit Risk Based e Audit personalizzati
Non esiste un approccio “one size fits all”: oltre alla composizione del team, anche la pianificazione dell’audit dev’essere adattata al contesto tecnico e applicativo del sistema AI oggetto di assessment e di audit.
La norma stabilisce criteri chiari per la conduzione di audit che valutano i rischi specifici dei sistemi AI, superando l’approccio documentale e formale tipico di molti standard precedenti. Pertanto, gli audit devono essere realmente risk based.
Nessun approccio “copia-incolla”: ad esempio, la valutazione di un sistema di riconoscimento facciale sarà diversa da quella di un chatbot. Gli auditor devono motivare le proprie scelte di campionamento e dimostrare adeguate competenze per ogni tipologia di sistema.
Praticare i Principi Etici
Lo standard richiede di dimostrare come principi quali equità e trasparenza siano implementati sia nei controlli sui modelli sia nelle comunicazioni con gli stakeholder. Non bastano dichiarazioni di intenti e slogan, servono pratiche e comportamenti etici, responsabili, misurabili e verificabili.
Allineamento con Sicurezza e Privacy
L’audit trail richiesto è progettato per integrarsi con le normative sulla sicurezza e sulla privacy, evitando duplicazioni. L’allineamento con le normative riduce contribuisce anche a una gestione più efficiente della compliance e del risk management.
Opportunità per le Organizzazioni: credibilità verso la conformità e valore aggiunto
L’adozione della ISO/IEC FDIS 42006:2025 dovrebbe consentire alle organizzazioni un percorso strutturato e riconosciuto per dimostrare la conformità alle best practice e alle ultime normative, come l’AI Act europeo.
Una certificazione basata su questo standard può diventare un elemento distintivo per le organizzazioni che vogliono posizionarsi come affidabili e responsabili nell’uso dell’intelligenza artificiale.
In conclusione, la ISO 42006 rappresenta un tassello fondamentale per la governance robusta dell’AI, richiedendo agli organismi di certificazione di dimostrare competenze tecniche, imparzialità e trasparenza, e alle organizzazioni di adottare pratiche realmente efficaci e verificabili nella gestione dei sistemi di intelligenza artificiale.
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) ISO/IEC 42006:2025 | Information technology — Artificial intelligence — Requirements for bodies providing audit and certification of artificial intelligence management systems, Edition 01/2025
(2) Cfr. Attisano F.D. (2024), “Artificial intelligence: Internal Audit prova d’esame in AI Governance” – Risk & Compliance Platform Europe, www.riskcompliance.it
(3) Cfr. Attisano F.D (2024), “ISO/IEC 42001:2023 AI Management System (AIMS) – Lo standard per un sistema di gestione responsabile ed etico dell’intelligenza artificiale” – Risk & Compliance Platform Europe; www.riskcompliance.it
