Le Quadro di gestione del rischio I.I.S. NIST (I-RMF) è una guida progettata per aiutare le organizzazioni a gestire i rischi dell'IA in ogni fase del ciclo di vita dell'IA, dallo sviluppo all'implementazione e persino allo smantellamento. Fornisce un modo strutturato per identificare, valutare e mitigare Rischi dell'IA senza soffocare l'innovazione.
Il rapido ritmo di adozione dell'intelligenza artificiale comporta serie sfide per le organizzazioni che desiderano attingere al potere di trasformazione dell'intelligenza artificiale: come garantire che i sistemi di intelligenza artificiale siano affidabili, etici e sicuri? È possibile identificare e mitigare efficacemente i rischi durante l'intero ciclo di vita dell'IA? E, cosa forse più importante, come si fa a navigare nel crescente labirinto delle normative sull'intelligenza artificiale creando al contempo un rapporto di fiducia con gli utenti?
Affrontare queste sfide richiede più che intuizione: richiede un approccio strutturato e allineato al settore. È qui che il Istituto nazionale di standard e tecnologia (NIST), un'autorità globale che promuove gli standard di sicurezza e innovazione. Il NIST AI Risk Management Framework (AI RMF) mira a guidare le organizzazioni nel garantire l'adozione dell'IA in modo conforme e responsabile.
Perché la gestione del rischio dall'IA è essenziale?
La gestione dei rischi dell'IA è essenziale per affrontare i rischi dell'IA, prima che possano interrompere le attività o causare danni agli utenti. Ora più che mai, è necessario adottare pratiche di gestione del rischio basate sull'intelligenza artificiale. Ecco perché:
I sistemi di intelligenza artificiale sono onnipresenti. L'intelligenza artificiale non opera nel vuoto. È incorporato in settori che toccano ogni aspetto della nostra vita, dalla diagnosi di condizioni mediche all'approvazione di prestiti. Senza solide misure di salvaguardia, anche piccole sviste potrebbero portare a ricadute significative. Un esempio del mondo reale: Tesla'La funzione Autopilot ha causato diversi incidenti, compresi incidenti e decessi, dovuti a interpretazioni errate del veicolo's dintorni.
I sistemi di intelligenza artificiale sono sempre più complessi. I modelli avanzati di intelligenza artificiale, come i modelli linguistici di grandi dimensioni (LLM), operano in modi spesso opachi per gli utenti. Questo è indicato come il problema della "scatola nera". La mancanza di trasparenza rende difficile proteggere, controllare o fidarsi delle decisioni dell'IA, soprattutto quando si tratta di sicurezza GenAI. Un esempio calzante: la tecnologia deepfake è stata utilizzata per creare video realistici ma completamente falsi, causando la falsa rappresentazione di personaggi pubblici.
Le normative sull'IA stanno diventando più pressanti. I governi stanno intervenendo con requisiti rigorosi che impongono trasparenza e mitigazione del rischio per i sistemi di intelligenza artificiale. L'UE's Legge sull'IA e della California Legge sulla privacy dei consumatori (CCPA) sono due delle principali normative sull'intelligenza artificiale che le organizzazioni devono rispettare.
Allineare l'intelligenza artificiale con i valori dell'organizzazione è un must. Un'intelligenza artificiale mal gestita può portare a passi falsi etici che erodono la fiducia del pubblico. Ad esempio, nel gennaio 2025, Anche Apple ha dovuto affrontare il contraccolpo per il suo riassunto delle notizie basato sull'intelligenza artificialel, che ha travisato argomenti sensibili, spingendo l'azienda a mettere in pausa la funzione e a lavorare sui miglioramenti.
È chiaro che i rischi dell'IA non affrontati possono interrompere le aziende e persino causare danni agli utenti. La standardizzazione della gestione del rischio dell'IA aiuta le organizzazioni fornendo linee guida chiare che garantiscono la conformità normativa, mantengono gli standard etici e aumentano la fiducia del pubblico.
Wiz's Rapporto sullo stato della sicurezza dell'IA nel 2025 evidenzia vulnerabilità come DeepLeak, in cui un database DeepSeek esponeva informazioni sensibili, e SAPwned, che ha permesso agli aggressori di assumere il controllo di SAP AI Core. Questi incidenti sottolineano l'importanza di framework come l'NIST AI RMF per identificare e mitigare i rischi durante l'intero ciclo di vita dell'IA.
Get an AI Security Sample Assessment
Take a peek behind the curtain to see what insights you’ll gain from Wiz AI Security Posture Management (AI-SPM) capabilities.
Uno sguardo più approfondito all'NIST AI RMF
Si può pensare all'NIST AI RMF come a un manuale per l'adozione responsabile dell'IA. È progettato per aiutare le aziende a stare al passo con i rischi, garantendo al contempo che i sistemi di intelligenza artificiale siano sicuri, etici e trasparenti.
Tieni presente che il framework è completamente volontario per l'adozione e quindi il NIST lo ha reso adattabile, invece di un regolamento "taglia unica" — il che significa che organizzazioni di tutte le dimensioni, in qualsiasi settore e paese, possono adattarlo alle proprie esigenze specifiche.
Perché è stato creato il RMF AI del NIST?
Il NIST ha creato l'AI RMF in risposta alla crescente complessità dei sistemi di IA e alla crescente necessità di standard a seguito di un 30 ottobre 2023, Ordine esecutivo sull'intelligenza artificiale. Facilitando la collaborazione tra governo, industria e mondo accademico, il NIST ha progettato il quadro con i seguenti obiettivi chiave:
Stabilire standard coerenti e applicabili per la gestione dei rischi dell'IA
Permettere alle organizzazioni di identificare e affrontare potenziali minacce prima che peggiorino
Costruire una base per pratiche di IA etiche, sicure e trasparenti che rafforzino la fiducia pubblica
Quando è stato creato il RMF AI del NIST?
La prima bozza dell'NIST AI RMF ha debuttato nel marzo 2022, mentre la versione finale è stata lanciata nel gennaio 2023.
Rimanendo all'avanguardia, il NIST ha anche introdotto il Profilo AI generativo nel luglio 2024, rispondendo in modo specifico alle sfide poste dai sistemi di intelligenza artificiale in rapida evoluzione.
Qual è la struttura dell'RMF NIST AI?
L'RMF AI NIST è diviso in due parti principali che insieme guidano la tua organizzazione nella gestione dei rischi dell'IA durante l'intero ciclo di vita.
Il quadro include anche materiali di supporto per aiutarti ad applicare efficacemente queste linee guida, in particolare:
AI RMF Playbook: Una guida passo passo per l'implementazione dell'RMF AI NIST
AI RMF Roadmap: Una tempistica per l'adozione di pratiche di gestione del rischio dell'IA
Strisce pedonali AI RMF: Strumenti per mappare le pratiche esistenti all'RMF AI NIST
Prospettive: Diverse visioni della gestione del rischio dell'IA su misura per settori o esigenze specifiche
Casi d'uso: Esempi reali di come le organizzazioni stanno rendendo operativo l'RMF AI NIST
Successivamente, diamo un'occhiata alle due parti dell'NIST AI RMF in modo più dettagliato.
NIST AI RMF - Parte 1. Sistemi di intelligenza artificiale affidabili e rischi organizzativi
La parte 1 dell'NIST AI RMF si concentra sulla definizione di ciò che rende un sistema di IA "affidabile". Stabilisce principi chiave come affidabilità, trasparenza, equità, responsabilità e sicurezza e introduce anche rischi comuni per l'IA come:
Pregiudizio: Algoritmi di intelligenza artificiale che riflettono la discriminazione non intenzionale
Violazioni della privacy: Le pipeline di intelligenza artificiale gestiscono in modo errato i dati sensibili
Lacune di sicurezza: Le vulnerabilità dei sistemi di intelligenza artificiale che gli aggressori possono sfruttare
…e molti altri.
L'obiettivo della Parte 1 è aiutare la tua organizzazione a identificare, affrontare e ridurre i rischi dell'IA promuovendo soluzioni di IA trasparenti, verificabili e spiegabili — assicurando che i sistemi di IA siano non solo efficaci, ma anche etici e sicuri.
NIST AI RMF - Parte 2. Le quattro funzioni principali del framework
La Parte 2 dell'AI RMF introduce le quattro funzioni e categorie principali sotto cui il framework organizza le sue linee guida pratiche:
| Core Function | What it helps you do | Why it matters |
|---|---|---|
| Govern | Define governance structures, assign roles, and outline responsibilities for managing AI risks | Helps align AI systems with standards, regulations, and organizational values |
| Map | Identify and assess risks throughout the AI lifecycle | Fosters proactive identification of risks to promote AI security, and ensures AI aligns with governance practices |
| Measure | Quantify and assess the performance, effectiveness, and risks of AI systems | Ensures that AI remains stable, efficient, and compliant over time |
| Manage | Develop strategies for mitigating risks and ensuring AI systems remain compliant and secure | Facilitates continuous monitoring, auditing, and improvement to minimize risk exposure |
L'obiettivo della Parte 2 è offrirti un approccio strutturato alla gestione del rischio IA organizzando pratiche essenziali sotto queste funzioni fondamentali, permettendo alla tua organizzazione di integrare la gestione del rischio nei sistemi AI e migliorare continuamente le soluzioni IA.
AI-SPM for Dummies [Guide]
This guide will give you actionable insights on how to protect your organization from AI-specific threats and empower your team to implement security measures that go beyond traditional approaches.
Come si può adottare l'RMF NIST AI?
Adottare l'RMF NIST AI non è un percorso unico per tutti, ma con un approccio sistematico puoi farlo funzionare per la tua organizzazione.
Conoscendo il livello di maturità della tua organizzazione, puoi confrontare il tuo attuale
1. Comprendi il tuo ecosistema di intelligenza artificiale: Inizia creando una distinta base I.A.I. (AI-BOM) per ottenere visibilità sulle tue risorse di IA. Questo inventario ti aiuta a comprendere l'intera portata dei tuoi sistemi di intelligenza artificiale e dove potrebbero trovarsi potenziali vulnerabilità.
2. Valutare e dare priorità ai rischi: Utilizza la funzione "Mappa" del framework per identificare i rischi nei tuoi sistemi di intelligenza artificiale. Ad esempio, il tuo chatbot AI rivolto ai clienti è in linea con le leggi sulla privacy? I vostri modelli sono allineati con le linee guida etiche?
3. Determina il tuo livello di maturità: Il NIST definisce quattro livelli di maturità dell'IA:
Livello 1 - Parziale: Consapevolezza limitata del rischio
Livello 2 - Informato sul rischio: Una comprensione di base dei rischi e delle mitigazioni
Livello 3 - Ripetibile: La gestione del rischio è sistematica e documentata
Livello 4 - Adattivo: La gestione del rischio dell'IA è completamente integrata e in evoluzione
Conoscendo il livello di maturità della tua organizzazione, puoi confrontare il tuo attuale Funzionalità di sicurezza dell'intelligenza artificiale e dare priorità ai miglioramenti futuri.
4. Integrare e agire: Allinea l'RMF AI NIST con il tuo ciclo di vita AI. Per esempio:
Applica la funzione "Governa" per stabilire una chiara responsabilità per i tuoi strumenti di IA di generazione.
Usa la funzione "Misura" per testare e perfezionare continuamente i risultati dell'IA per garantire equità e accuratezza.
Per le organizzazioni che cercano di accelerare questo processo,
5. Monitora, impara e ripeti: I sistemi di intelligenza artificiale si evolvono, così come il tuo approccio alla loro gestione. Aggiornamenti regolari, come l'integrazione del profilo Generative AI di NIST per la sicurezza e la conformità GenAI, assicurano che la tua strategia di gestione del rischio rimanga all'avanguardia.
Per le organizzazioni che cercano di accelerare questo processo, AI-SPM offre una soluzione completa e proattiva per Gestione del rischio dell'IA in ambienti cloud. WIZ AI-SPM semplifica la gestione del rischio AI con funzionalità come l'AI-BOM senza agente, le valutazioni automatizzate del rischio e l'analisi del percorso di attacco, tutte progettate per allinearsi con l'RMF AI NIST.
Looking for AI security vendors? Check out our review of the most popular AI Security Solutions ->
Qual è il prossimo passo? Wiz per AI-SPM
L'RMF AI NIST offre un percorso chiaro per la gestione del complesso panorama dei rischi e delle normative dell'IA. Adottando questo framework, le organizzazioni possono garantire che i loro sistemi di intelligenza artificiale rimangano etici, sicuri e conformi alle normative globali in evoluzione.
Wiz si impegna ad aiutare le organizzazioni a migliorare la loro posizione di sicurezza dell'IA e a rendere operativi i framework di gestione del rischio dell'IA in modo efficace, tra cui: Conformità NIST, attraverso la nostra offerta AI-SPM.
Vuoi saperne di più? Visita il Pagina web di Wiz per l'intelligenza artificiale, o se preferisci un Demo dal vivo, ci piacerebbe entrare in contatto con te.
