Lista di controllo: robustezza tecnica e sicurezza[1]
Resilienza agli attacchi e sicurezza ☐ Il titolare del trattamento ha valutato le potenziali forme di attacco alle quali il sistema di IA potrebbe essere vulnerabile. ☐ Il titolare del trattamento ha preso in considerazione vulnerabilità di vario tipo e natura, come l’inquinamento dei dati, dell’infrastruttura fisica e attacchi informatici. ☐ Il titolare del trattamento ha messo in atto misure o sistemi per garantire l’integrità e la resilienza del sistema di IA contro potenziali attacchi. ☐ Il titolare del trattamento ha verificato il comportamento del sistema in situazioni e ambienti imprevisti. ☐ Il titolare del trattamento valuta in che misura il sistema potrebbe essere a duplice uso. In tal caso, il titolare del trattamento ha adottato misure preventive adeguate contro questa situazione (ad esempio, non pubblicando la ricerca o utilizzando il sistema). Piano di emergenza e sicurezza generale ☐ Il titolare del trattamento ha verificato che il sistema dispone di un piano alternativo sufficiente in caso di attacchi antagonistici o altre situazioni impreviste (ad esempio, procedure tecniche di commutazione o richiesta di un operatore umano prima di procedere). ☐ Il titolare del trattamento ha preso in considerazione il livello di rischio generato dal sistema di IA in questo caso d’uso specifico. ☐ Il titolare del trattamento mette in atto qualsiasi procedura per misurare e valutare i rischi e la sicurezza. ☐ Il titolare del trattamento ha fornito le informazioni necessarie in caso di rischio per l’integrità fisica. ☐ Il titolare del trattamento ha preso in considerazione una polizza assicurativa per far fronte ai potenziali danni causati dal sistema di IA. ☐ Il titolare del trattamento ha individuato i potenziali rischi per la sicurezza di (altri) usi prevedibili della tecnologia, compreso l’uso improprio accidentale o doloso. Esiste un piano per mitigare o gestire questi rischi? ☐ Il titolare del trattamento ha valutato se sussiste una verosimile probabilità che il sistema di IA causi danni o lesioni agli utenti o a terzi. Il titolare del trattamento ha valutato la probabilità e i danni, il pubblico interessato e la gravità potenziali. ☐ Il titolare del trattamento ha preso in considerazione le norme in materia di responsabilità e tutela dei consumatori e ne tiene conto. ☐ Il titolare del trattamento ha preso in considerazione il potenziale impatto o rischio per la sicurezza dell’ambiente o degli animali. ☐ L’analisi dei rischi da parte del titolare del trattamento comprendeva l’eventualità che i problemi di sicurezza o di rete (ad esempio, i pericoli per la cibersicurezza) comportassero rischi o danni per la sicurezza dovuti al comportamento non intenzionale del sistema di IA. ☐ Il titolare del trattamento ha stimato il probabile impatto di un guasto del sistema di IA nel caso in cui fornisca risultati errati, diventi indisponibile o fornisca risultati socialmente inaccettabili (ad es., discriminazione). ☐ Il titolare del trattamento ha definito le soglie e messo in atto procedure di governance per attivare piani alternativi/di ripiego. ☐ Il titolare del trattamento ha definito e testato dei piani alternativi. Precisione ☐ Il titolare del trattamento ha valutato il livello e la definizione di precisione richiesti nel contesto del sistema di IA e del caso d’uso. ☐ Il titolare del trattamento ha valutato il modo in cui viene misurata e garantita la precisione. ☐ Il titolare del trattamento ha messo in atto delle misure per garantire la completezza e l’aggiornamento dei dati utilizzati. ☐ Il titolare del trattamento ha messo in atto delle misure per valutare la necessità di dati aggiuntivi, ad esempio, per migliorare la precisione o eliminare le distorsioni. ☐ Il titolare del trattamento ha verificato eventuali danni provocati in caso di formulazione di previsioni imprecise del sistema di IA. ☐ Il titolare del trattamento ha messo in atto delle misure volte a valutare se il sistema stia producendo un numero inaccettabile di previsioni inesatte. ☐ Il titolare del trattamento ha messo in atto una serie di misure per aumentare la precisione del sistema. Affidabilità e riproducibilità ☐ Il titolare del trattamento ha messo in atto una strategia per monitorare e testare il conseguimento di obiettivi, finalità e applicazioni previste da parte del sistema di IA. ☐ Il titolare del trattamento ha verificato se sia necessario tenere conto di contesti specifici o di condizioni particolari per garantire la riproducibilità. ☐ Il titolare del trattamento ha messo in atto dei metodi di verifica per misurare e garantire diversi aspetti dell’affidabilità e della riproducibilità del sistema. ☐ Il titolare del trattamento ha messo in atto dei processi per descrivere i casi in cui un sistema di IA fallisce con determinate impostazioni. ☐ Il titolare del trattamento ha documentato e reso operativi in modo chiaro tali processi per il test e la verifica dell’affidabilità dei sistemi di IA. ☐ Il titolare del trattamento ha stabilito dei meccanismi di comunicazione per garantire agli utenti (finali) l’affidabilità del sistema. |
Ulteriori informazioni
Gruppo di lavoro dell’articolo 29 (2017) WP248, Orientamenti per la valutazione d’impatto sulla protezione dei dati (DPIA) e la determinazione di “eventuali rischi elevati” del trattamento ai sensi del Regolamento 2016/679. Commissione europea, Bruxelles. Disponibile all’indirizzo: https://ec.europa.eu/newsroom/document.cfm?doc_id=47711 Eykholt, K. et al. (2018) ‘Attacchi energici al mondo reale sui modelli di apprendimento profondo’, 2018 Conferenza IEEE/CVF su visione artificiale e riconoscimento dei modelli10.4.2018, arXiv:1707.08945 Fredrikson, M. et al. (2015) ‘Attacchi di inversione dei modelli che sfruttano le informazioni di attendibilità e contromisure di base’, CCS ’15: Atti della 22a conferenza ACM SIGSAC in materia di sicurezza dei computer e delle comunicazioni, ottobre 2015. Cornell University, Ithaca. Disponibile all’indirizzo: https://rist.tech.cornell.edu/papers/mi-ccs.pdf |
- Questa lista di controllo è stata adattata da quella elaborata dal Gruppo di esperti ad alto livello sull’intelligenza artificiale (2019), Orientamenti etici per un’IA affidabile. Commissione europea, Bruxelles. Disponibile all’indirizzo: https://ec.europa.eu/digital-single-market/en/news/ethics-guidelines-trustworthy-ai (consultato il mercoledì 20 maggio 2020). ↑