NIST AI 600-1 — Il Profilo GenAI che Estende il Risk Management Framework

Cos'è: Il NIST AI 600-1, pubblicato a luglio 2024 con il titolo "Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile", è un documento di accompagnamento all'AI RMF 1.0. Non sostituisce il framework base ma lo estende ai problemi specifici dei modelli generativi (LLM, image generation, voice cloning). È diventato in pochi mesi il riferimento tecnico-operativo più dettagliato disponibile pubblicamente per il GenAI risk management.

Le dodici categorie di rischio GenAI

Il documento identifica dodici categorie di rischio specifiche o amplificate dalla generative AI, ciascuna con definizione operativa e indicatori di valutazione. CBRN information or capabilities: rischi di facilitazione di attacchi chimici, biologici, radiologici, nucleari. Confabulation: la versione tecnica delle "allucinazioni", definita come generazione confidente di output errati o privi di base fattuale. Dangerous, violent, or hateful content: generazione di contenuti che istigano violenza o danno. Data privacy: leak di dati di training, inference di informazioni personali da prompt, memorizzazione di PII.

Environmental impacts: consumo energetico ed emissioni dei training e inference. Harmful bias and homogenization: amplificazione di bias nei dati e omogeneizzazione delle prospettive culturali. Human-AI configuration: rischi di automation bias, sovra-dipendenza, perdita di skill. Information integrity: disinformazione, deepfake, manipolazione mediatica. Information security: prompt injection, jailbreaking, model extraction, supply chain. Intellectual property: violazione di copyright, trademark, riproduzione di materiale protetto. Obscene, degrading, abusive content (inclusi CSAM e NCII). Value chain and component integration: rischi dei modelli foundation upstream, fine-tuning, deployment downstream. Questa tassonomia è diventata di fatto il vocabolario condiviso per parlare di GenAI risk anche fuori dai documenti NIST.

Oltre 200 azioni concrete su Govern-Map-Measure-Manage

La struttura del Profilo segue le quattro funzioni dell'AI RMF base — Govern, Map, Measure, Manage — ma per ogni funzione fornisce un elenco operativo dettagliato di azioni specifiche per GenAI. Il totale supera le 200 azioni distinte, ognuna con un identificatore tracciabile (es. GV-1.1-001) e un riferimento alle categorie di rischio applicabili. Le azioni sono fortemente actionable: non "considerare i rischi di copyright" ma "stabilire procedure di documentazione dei dataset di training che includano licensing, attribuzione, opt-out delle fonti".

Per chi implementa governance GenAI in azienda, il documento funziona come una checklist enciclopedica: può essere usato come superset da cui selezionare le azioni rilevanti per il proprio contesto, evitando di reinventare la ruota. Il livello di dettaglio è significativamente superiore a quello dell'AI RMF base, che restava più astratto. Molte azioni sono praticamente direttamente trasferibili come voci di un audit interno o di un risk register. Il documento esplicita anche dipendenze: alcune azioni Map sono prerequisiti per azioni Measure, alcune Manage richiedono structure Govern già stabilita.

Contesto politico: Executive Order, SB 1047, NIST AISI

Il Profilo nasce come deliverable dell'Executive Order 14110 firmato da Biden il 30 ottobre 2023, che chiedeva al NIST di pubblicare guidance specifica sui rischi della generative AI entro 270 giorni. Il termine è stato rispettato — il documento è uscito a luglio 2024 — ma il contesto politico è cambiato rapidamente: la revoca dell'Executive Order 14110 da parte dell'amministrazione Trump a gennaio 2025 ha tecnicamente eliminato il mandato che ha prodotto il Profilo. Il documento però resta in vigore come pubblicazione tecnica NIST e continua a essere aggiornato.

Il Profilo è stato citato esplicitamente nel testo del California SB 1047 — il controverso disegno di legge californiano sui modelli frontier — come riferimento per le valutazioni di sicurezza richieste agli sviluppatori. Il SB 1047 è stato infine posto al veto dal governatore Newsom a settembre 2024, ma la prossima generazione di proposte legislative AI statunitensi (a livello statale e federale) probabilmente userà ancora NIST AI 600-1 come baseline tecnica. L'altro pilastro istituzionale collegato è il NIST AI Safety Institute (AISI), istituito a febbraio 2024 con direttrice Elizabeth Kelly: l'AISI usa il Profilo come base per le sue valutazioni dei modelli frontier sottoposti volontariamente da OpenAI, Anthropic e altri laboratori prima del rilascio pubblico.

Adozione corporate e posizionamento "soft regulation"

Nonostante l'incertezza politica federale, l'adozione corporate è stata rapida e ampia. Microsoft cita il Profilo nei suoi Responsible AI Standard documents. Google lo riferisce nei rapporti di trasparenza Gemini. Meta lo ha integrato nei processi di valutazione interna dei modelli Llama. OpenAI mappa i propri System Card di GPT-4, GPT-4o e o1 sulle categorie del Profilo. Il pattern è chiaro: laddove l'AI Act europeo è prescrittivo (obblighi legali con sanzioni), il modello americano è "soft regulation" attraverso framework tecnici che diventano standard de facto perché adottati volontariamente dagli attori principali.

Questa scelta strategica ha vantaggi e svantaggi documentati. Vantaggi: flessibilità, adattabilità rapida (il Profilo può essere aggiornato senza passare dal Congresso), allineamento con la cultura tech americana, costi di compliance auto-calibrati. Svantaggi: enforcement debole (non ci sono sanzioni per chi non lo segue), affidamento sulla buona fede degli sviluppatori, possibile race-to-the-bottom se uno o più attori decidono di non aderire. Per le aziende europee che operano anche sul mercato USA, la pratica emergente è il double compliance: usare ISO/IEC 42001 e AI Act per il versante europeo, NIST AI RMF e Profilo GenAI per il versante americano. La buona notizia è che le sovrapposizioni concettuali sono ampie — entrambi i sistemi parlano lo stesso linguaggio di risk management — e gli strumenti documentali sviluppati per uno possono essere riusati per l'altro con adattamenti relativamente contenuti.

---