Vai al contenuto principale

Politiche e misure di salvaguardia per l'uso sicuro dell'IA

Considerazioni per la creazione di un quadro di governance e salvaguardia dell'IA

Nel corso del 2025 e all'inizio del 2026, un team di professionisti della sicurezza specializzati in IA, appartenenti al gruppo di lavoro sull'intelligenza artificiale di Health-ISAC, si è riunito per redigere un white paper che offrisse linee guida per lo sviluppo di framework di governance dell'IA. Il white paper risultante fornisce un esempio di politica di utilizzo accettabile dell'IA e indicazioni dettagliate sulla gestione dei rischi legati all'IA. Stabilisce definizioni chiare di utilizzo responsabile dell'IA generativa e dei modelli lineari di apprendimento (LLM), vietando l'esposizione di dati sanitari protetti (PHI), dati personali identificativi (PII) e dati riservati a strumenti pubblici e richiedendo autorizzazione, supervisione e revisione umana degli output dell'IA in contesti clinici, delle risorse umane, legali e finanziari.

Alcune caratteristiche del documento includono:

  • Struttura formale di governance dell'IA. Il documento delinea un modello concreto di Comitato di Governance dell'IA con rappresentanza interfunzionale (legale, privacy, sicurezza, tecnologia, scienza dei dati, business, etica) che riferisce alla dirigenza senior o al Consiglio di Amministrazione. Definisce le responsabilità, fornisce esempi di metriche e sottolinea che la governance è un requisito imprescindibile, non un'opzione.
  • Un quadro di riferimento per la governance dell'IA basato su pilastri. Il documento descrive un quadro di riferimento basato su sette pilastri: legislazione/regolamentazione/politiche, privacy ed etica dell'IA, governance dei casi d'uso, governance del ciclo di vita dei modelli, contrattualistica e integrazione di terze parti, risposta agli incidenti e gestione delle violazioni dell'IA, e formazione e istruzione sull'IA. Ciascun pilastro ha obiettivi e responsabili specifici.
  • Tabella di marcia pratica per l'implementazione. Una roadmap di implementazione suddivide il lavoro in quattro fasi: Avvio (comitato, principi, inventario), Valutazione dei rischi e dell'impatto (DPIA, audit di bias, revisioni della sicurezza), Implementazione del framework (politiche, registrazione dei casi d'uso, controlli del ciclo di vita) e Monitoraggio e revisione (revisioni periodiche, riqualificazione, audit).
  • Politica di utilizzo accettabile dell'IA dettagliata e riutilizzabile. Il documento include un esempio completo di policy con scopo e ambito di applicazione, principi guida, trasparenza ed etica, responsabilità e supervisione, privacy e sicurezza dei dati, riservatezza, usi consentiti e vietati, applicazione e definizioni, oltre a una tabella che indica "ciò che è consentito e ciò che non è consentito" per gli strumenti di intelligenza artificiale pubblici.
  • Otto categorie di rischio legate all'IA sono associate a specifiche misure di sicurezza. Il documento affronta in modo sistematico la privacy e la sicurezza dei dati, i rischi relativi alla catena di fornitura e a terze parti, i rischi legati a modelli e risultati, i pregiudizi e l'equità, la regolamentazione e la conformità, le vulnerabilità della sicurezza, i rischi di governance e supervisione e l'intelligenza artificiale ombra, associando a ciascuno di essi misure di salvaguardia concrete come la minimizzazione dei dati, i modelli di business intelligence (SBOM), la due diligence dei fornitori, il red teaming, i controlli contrattuali e il rilevamento dell'intelligenza artificiale ombra.

 

Autori: Cohen, Luda (AbbVie); Mourad, Carole (Bio Bridge Global); Naik, Shrikanth (Abbott); Streelman, Jeff (SpendMend)

Contributori ai contenuti: Murphy, Bill (LeanTaaS), Gosnell, Joe (Tucson Medical Center)

TLP:WHITE Questo rapporto può essere condiviso senza restrizioni.

 

Cosa rivela l'attacco Stryker sulla sicurezza dei dispositivi medici
HSCC presenta la guida sui rischi dell'IA di terze parti e sulla trasparenza della catena di fornitura.