800 561720
L’11 novembre 2025, l’EDPS ha pubblicato le Linee guida per la gestione dei rischi dei sistemi di intelligenza artificiale. Sebbene indirizzato alle istituzioni dell’UE soggette al Regolamento (UE) 2018/1725, il documento assume un valore strategico per i DPO, offrendo un framework metodologico, basato sulla norma ISO 31000, per la gestione dei rischi dell’AI. La guida rappresenta uno strumento utile a supportare i titolari nella tutela dei diritti fondamentali delle persone, nell’era dell’intelligenza artificiale.
Applicare la ISO 31000 al contesto dell’AI
Il documento “Guidance for Risk Management of Artificial Intelligence systems”, del Garante europeo della protezione dei dati (EDPS) fornisce un quadro analitico per l’identificazione e il trattamento dei rischi che possono sorgere per la protezione dei dati personali, in relazione all’utilizzo dei sistemi di intelligenza artificiale (AI).
La norma ISO 31000:2018 costituisce il framework metodologico essenziale. Nello schema proposto dall’EDPS la “fonte del rischio” coincide con il trattamento di dati personali nelle fasi di approvvigionamento, sviluppo o utilizzo del sistema di AI, mentre l’“evento” è qualificato come una situazione di non conformità normativa o di ostacolo ai diritti fondamentali. La “conseguenza” rappresenta il danno agli interessati e il “controllo” costituisce la misura tecnica o organizzativa implementata o da implementare per mitigare il rischio.
Il processo si articola in tre fasi sequenziali: identificazione, analisi e stima dei rischi.
Dopo aver identificato i rischi, il titolare del trattamento deve procedere con l’analisi qualitativa, stimando la probabilità (likelihood) e la gravità (severity) dell’impatto su scale graduate. Il livello di rischio finale, calcolato come prodotto tra queste due variabili, deve essere mappato su una matrice (heatmap) per determinare se il rischio sia accettabile o meno. È cruciale ricordare che, qualora il rischio residuo rimanga inaccettabile anche dopo l’implementazione delle misure, il titolare ha l’obbligo di attivare la consultazione preventiva con l’Autorità di controllo.
La governance del ciclo di vita dell’AI
Una governance efficace dell’AI richiede, innanzitutto, consapevolezza nell’utilizzo dei termini. L’EDPS invita i titolari del trattamento a distinguere il “sistema di AI” dal “modello di AI”. Mentre il modello è la rappresentazione matematica dei pattern sottostanti i dati di addestramento, il sistema è l’apparato software completo che include il modello ma che interagisce con l’ambiente circostante e gli utenti. Questa distinzione è cruciale perché un sistema può integrare molteplici modelli e componenti software, ognuno portatore di specifici profili di rischio.
La gestione del rischio deve permeare l’intero ciclo di vita dall’AI, che l’EDPS segmenta in fasi distinte: dall’analisi iniziale (Inception) all’acquisizione e preparazione dei dati, passando per lo sviluppo, la verifica e validazione, fino al deployment, al monitoraggio operativo e al ritiro finale (Retirement).
Per molte organizzazioni, tuttavia, l’interazione con l’AI avviene prevalentemente tramite l’acquisto di soluzioni di terze parti. In questo distinto scenario di procurement, il DPO deve intervenire prima che venga impegnato qualsiasi budget. È imperativo che i capitolati di gara (Call for tenders) includano specifiche tecniche dettagliate che obblighino i fornitori a dimostrare non solo la funzionalità del prodotto, ma anche le garanzie procedurali e qualitative sui dati. L’esecuzione del contratto non deve limitarsi alla fornitura, ma deve estendersi al monitoraggio dell’implementazione e alla verifica della conformità nel tempo, replicando le fasi di validazione e monitoraggio tipiche dello sviluppo interno. Ignorare la valutazione del rischio nella fase pre-contrattuale espone l’organizzazione all’acquisizione di “black box” ingovernabili, trasferendo di fatto il rischio dal fornitore al titolare del trattamento.
Il prerequisito della trasparenza: interpretabilità e spiegabilità
Interpretabilità e spiegabilità costituiscono requisiti trasversali imprescindibili (sine qua non) per la conformità.
L’EDPS fornisce una chiara distinzione dei due termini: - L’interpretabilità si riferisce alla capacità di comprendere il funzionamento interno del modello. Un sistema è interpretabile se un essere umano può tracciare chiaramente le connessioni logiche tra input e output (es. una regressione lineare). - La spiegabilità si concentra invece sulla giustificazione di una specifica decisione o predizione. Essa mira a chiarire il “perché” un algoritmo ha prodotto un determinato risultato, rendendo accessibile la logica decisionale all’utente finale. |
I sistemi di AI non interpretabili o inspiegabili presentano rischi significativi perché operano come “scatole nere” in cui il funzionamento interno e i processi decisionali rimangono oscuri agli utenti umani. Le Linee guida includono, quindi, le misure da attuare nelle varie fasi del ciclo di vita dell’AI (l’utilizzo di tecniche di spiegabilità in primis). Il rischio maggiore risiede nell’adozione di sistemi privi di documentazione tecnica ed informativa esaustiva, che impediscono ai titolari del trattamento dei dati, che utilizzano tali sistemi, di rilevare errori, bias o usi impropri.
Rischi associati alla protezione dei dati
L’EDPS analizza le minacce alla conformità identificando scenari di rischio specifici, correlati al mancato rispetto dei principi fondamentali in materia di protezione dei dati.
Per quanto attiene alla lealtà (fairness), principio sancito dall’articolo 8 della Carta dei diritti fondamentali dell’Unione europea, il rischio dominante è la cristallizzazione di bias che conducono a risultati discriminatori.
L’EDPS individua tre fonti primarie: - bias nei dati di addestramento: derivano da campionamenti non rappresentativi o da pregiudizi storici presenti nella società e riflessi nei dataset (es. sottorappresentazione di genere in ruoli apicali); - bias algoritmico: emerge dal design stesso del sistema, come la scelta di funzioni obiettivo che privilegiano l’accuratezza statistica a discapito dell’equità tra gruppi; - bias di interpretazione: si verifica quando gli analisti traggono conclusioni errate dagli output o dalle metriche di performance. |
Sul fronte dell’esattezza (accuracy), le Linee guida impongono una distinzione tra l’accezione legale del termine (veridicità del dato personale) e quella statistica (frequenza di predizioni corrette del modello). I rischi principali includono la generazione di output errati o “allucinazioni” (fatti inventati dal modello, comuni nei LLM) e il fenomeno del data drift. Quest’ultimo si manifesta quando le proprietà statistiche dei dati in ingresso mutano nel tempo (es. cambiamenti nel comportamento degli utenti), rendendo il modello obsoleto e inaffidabile.
Infine, il principio di minimizzazione (data minimisation) è costantemente minacciato dalla prassi della raccolta indiscriminata di dati. L’accumulo di volumi massivi di informazioni per l’addestramento, spesso senza criteri di pertinenza o verifiche sulla qualità (es. web scraping), viola il principio di necessità e aumenta la superficie di rischio per gli interessati.
Strategie concrete di difesa
Il concetto di “sicurezza” assume nel contesto dell’AI una connotazione specifica che trascende la tradizionale cybersecurity delle infrastrutture IT. L’EDPS evidenzia come i modelli di AI siano esposti a vettori di attacco peculiari, capaci di compromettere sia la riservatezza dei dati di addestramento sia l’integrità del sistema stesso.
Tra le minacce più insidiose figurano: - gli attacchi di “inversione del modello” (model inversion), attraverso i quali un attaccante può ricostruire i dati personali originali analizzando gli output del sistema; - gli attacchi di “inferenza di appartenenza” (membership inference), che sfruttano i livelli di confidenza delle risposte per dedurre se i dati di uno specifico individuo siano stati utilizzati durante il training; - l’“avvelenamento” (data poisoning o model poisoning), dove la manipolazione malevola dei dati di input o dei parametri del modello mira a introdurre bias, errori o comportamenti imprevisti. |
Per fronteggiare queste vulnerabilità sistemiche, le strategie di difesa devono evolvere verso l’adozione di Privacy Enhancing Technologies (PETs).
L’EDPS raccomanda tecniche di “perturbazione dei dati” quali la generalizzazione, l’aggregazione e, in particolare, l’aggiunta di rumore (differential privacy), che introduce rumore statistico controllato nel dataset per impedire la ri-identificazione dei soggetti senza compromettere l’utilità statistica complessiva. Una misura di mitigazione sempre più rilevante è l’impiego di dati sintetici: generati artificialmente per replicare le proprietà statistiche dei dati reali, essi permettono di addestrare i modelli riducendo drasticamente l’esposizione di dati personali reali, sebbene il loro utilizzo richieda cautela rispetto ai rischi residui di inferenza.
Infine, la sicurezza deve estendersi alle interfacce di programmazione (API), spesso utilizzate per accedere ai modelli. Per prevenire l’esfiltrazione di dati o accessi abusivi, è essenziale implementare controlli robusti quali l’autenticazione a più fattori (MFA), il controllo degli accessi basato sui ruoli (RBAC) e meccanismi di throttling per limitare la frequenza delle richieste e mitigare attacchi di forza bruta.
Le sfide per l’esercizio dei diritti degli interessati nell’era dell’AI
L’architettura stessa dei moderni sistemi di AI, specialmente quelli basati sul Deep Learning, pone sfide tecniche strutturali all’esercizio dei diritti sanciti dal GDPR (in particolare l’accesso, la rettifica e la cancellazione). Il disallineamento tra norma giuridica e realtà tecnologica nasce dal fatto che i dati personali utilizzati per l’addestramento non rimangono archiviati in database strutturati interrogabili, ma vengono “assorbiti” e trasformati in parametri (pesi) del modello.
L’EDPS identifica due rischi principali in questo ambito: - identificazione incompleta dei dati trattati: per garantire l’accesso o la cancellazione, il titolare deve prima essere in grado di localizzare il dato. Nei modelli complessi o addestrati su dataset non strutturati, isolare i parametri specifici associati a un singolo interessato può risultare tecnicamente impossibile, rendendo vane le richieste di accesso. - rettifica o cancellazione inefficace: anche qualora il dato fosse identificato, la sua rimozione da un modello già addestrato è estremamente onerosa. Modificare i parametri per “cancellare” un individuo potrebbe compromettere le performance generali del sistema o richiedere un riaddestramento completo (retraining). |
Per mitigare questi rischi, l’EDPS suggerisce l’adozione di strategie come il “machine unlearning”. Questo processo mira a far “dimenticare” selettivamente al modello specifici dati, attraverso approcci di unlearning esatto (riaddestramento completo, costoso ma sicuro) o approssimato (aggiornamento limitato dei parametri, più efficiente ma con minori garanzie). Qualora il machine unlearning non sia percorribile, una misura di salvaguardia residua consiste nell’implementazione di filtri di output (“output filtering”), ovvero sistemi di scansione in tempo reale che intercettano e bloccano la rigenerazione di dati personali nelle risposte dell’AI verso l’utente finale.
Elementi chiave e rischi in sintesi
Lo schema riassuntivo dell’EDPS, illustra i principi esaminati ed i principali rischi (Allegato 2 alle Linee guida)
Metriche per la compliance
Per tradurre i principi di risk management in operatività, l’EDPS correda le Linee guida con un apparato di strumenti pratici molto interessanti per l’attività di auditing del DPO.
Un focus specifico è dedicato alle metriche di valutazione dell’AI (benchmark). I benchmark svolgono un ruolo fondamentale nell’identificare potenziali rischi e limiti dei modelli di intelligenza artificiale prima dell’implementazione, individuando aree problematiche che devono essere affrontate durante l’intero ciclo di vita del sistema di intelligenza artificiale.
L’allegato 3 fornisce checklist dettagliate che mappano i rischi specifici per ogni fase del ciclo di vita dell’AI, distinguendo tra lo scenario di sviluppo interno dell’AI e quello di acquisizione di un sistema di AI. Questo strumento consente al DPO di abbandonare controlli generici in favore di verifiche mirate (by design) e tempestive: dalla validazione delle fonti dei dati nella fase di Inception, alla richiesta di garanzie sulla spiegabilità nei capitolati di gara, fino al monitoraggio continuo del data drift nella fase operativa.
In conclusione, l’EDPS ricorda a tutti i titolari del trattamento che la gestione dei rischi nei sistemi di AI non può ridursi a un adempimento statico o una tantum (one-off assessment). Al contrario, essa richiede l’instaurazione di una cultura di accountability dinamica e continua. Solo integrando questi controlli tecnici e metodologici nella governance quotidiana, le organizzazioni potranno beneficiare dell’innovazione tecnologica garantendo, al contempo, che essa rimanga saldamente ancorata al rispetto dei diritti fondamentali e dei principi di protezione dei dati.
