18

Immagine creata con IAAI-generated image

Pubblicata nel maggio 2025, lo Standard ISO/IEC 42005 offre alle organizzazioni una guida per la valutazione d’impatto dei sistemi di Intelligenza Artificiale su individui, gruppi e società. Uno strumento volontario che si colloca in un ecosistema affollato di valutazioni obbligatorie: la FRIA dell’articolo 27 AI Act e la DPIA dell’articolo 35 GDPR. Come si coordinano questi tre piani?

Nell’ecosistema degli standard internazionali sull’Intelligenza Artificiale elaborati dall’ISO/IEC JTC 1/SC 42, accanto alla norma di sistema di gestione ISO/IEC 42001, si colloca lo Standard ISO/IEC 42005:2025, “Information technology – Artificial intelligence (AI) – AI system impact assessment”, pubblicata nel maggio 2025. Riteniamo questa sia la sede opportuna per inquadrarla, sulla base delle informazioni pubbliche disponibili, e per chiarirne i rapporti con le valutazioni d’impatto previste dal diritto cogente europeo.

Cosa è lo Standard ISO/IEC 42005

Secondo la presentazione pubblica dello standard, la ISO/IEC 42005 fornisce linee guida alle organizzazioni che conducono valutazioni d’impatto dei sistemi di IA. Tali valutazioni si concentrano sulla comprensione di come i sistemi di IA – e le loro applicazioni prevedibili – possano incidere su individui, gruppi o sulla società nel suo complesso.

Tre elementi meritano sottolineatura. In primo luogo, si tratta di una guida, non di una norma di requisiti certificabile: il suo valore è metodologico. In secondo luogo, l’oggetto è il singolo sistema di IA e i suoi impatti su individui, gruppi e società: una prospettiva più granulare rispetto al sistema di gestione organizzativo dello Standard ISO/IEC 42001, rispetto alla quale si pone come naturale complemento operativo. Infine, la prospettiva è quella dell’intero ciclo di vita, dalle applicazioni prevedibili agli usi impropri ragionevolmente attesi.

Il piano cogente: FRIA e DPIA

Il diritto europeo conosce, sul medesimo terreno, due valutazioni obbligatorie, che nessuno standard volontario può sostituire.

La prima è la valutazione d’impatto sui diritti fondamentali – FRIA dell’articolo 27 dell’AI Act: prima di utilizzare determinati sistemi ad alto rischio, i deployer che siano organismi di diritto pubblico, soggetti privati che erogano servizi pubblici o operatori di specifici settori effettuano una valutazione dell’impatto sui diritti fondamentali, individuando processi, categorie di persone interessate, rischi di danno, misure di sorveglianza umana e rimedi.

La seconda è la valutazione d’impatto sulla protezione dei dati – DPIA dell’articolo 35 del GDPR: «Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali»; per la relativa documentazione è ora disponibile anche il template adottato dall’EDPB nell’aprile 2026.

Né va dimenticato il raccordo interno all’AI Act: l’articolo 27 prevede che, ove taluni obblighi siano già assolti tramite la DPIA, la valutazione sui diritti fondamentali la integri, evitando duplicazioni.

Tre piani, un solo processo

Come possono le organizzazioni comporre il quadro? La nostra indicazione è di concepire un processo unitario di impact assessment con tre uscite documentali. La metodologia dello Standard ISO/IEC 42005 può fungere da ossatura comune: identificazione del sistema e del contesto, mappatura degli interessati e degli impatti, valutazione e trattamento. Su tale ossatura si innestano, ove ne ricorrano i presupposti, i contenuti obbligatori della DPIA, per i profili di protezione dei dati, e della FRIA, per i profili di diritti fondamentali del deployment ad alto rischio.

I benefici sono evidenti: coerenza delle valutazioni, tracciabilità unitaria, riduzione degli oneri. Il rischio da evitare è, all’opposto, quello della c.d. valutazione fotocopia: tre documenti identici con tre intestazioni diverse, che non soddisfano davvero nessuno dei tre piani. La qualità dell’analisi, non la quantità dei moduli, è la misura dell’adempimento.

Un’avvertenza sul valore giuridico

Va da ultimo ribadito, in coerenza con quanto osservato per lo Standard ISO/IEC 42001, che la conformità allo Standard ISO/IEC 42005 non genera alcuna presunzione di conformità all’AI Act: la presunzione ex articolo 40 è riservata alle norme armonizzate citate in GUUE, e lo standard in esame non è tra i candidati a tale ruolo, essendo una guida internazionale volontaria. Il suo valore è altro: metodo, comparabilità internazionale, accountability.

Conclusioni

Lo Standard ISO/IEC 42005 colma un vuoto metodologico reale: le organizzazioni che devono valutare gli impatti dei propri sistemi di IA dispongono ora di un riferimento internazionale strutturato, utilizzabile come telaio comune per gli adempimenti cogenti europei. La partita, come sempre, si gioca nell’attuazione.

Alla luce di quanto esposto, ci si domanda se la moltiplicazione delle valutazioni d’impatto, di sistema, sui dati, sui diritti fondamentali, produrrà una tutela effettivamente maggiore o soltanto più carta: un processo integrato ha valore solo se, al di là dei moduli compilati, riesce a intercettare i rischi reali per le persone prima che si materializzino.

Autore: Avv. Valentina Grazia Sapuppo