Contesto
Le normative sui sistemi AI — EU AI Act, NIS2, Medical Device Regulation — definiscono obblighi ad alto livello: trasparenza, supervisione umana, gestione del rischio, documentazione. Non definiscono quali proprietà misurabili un sistema deve esibire per essere considerato conforme. Questo scarto lascia agli operatori la traduzione dei requisiti regolatori in controlli verificabili, un passaggio che oggi viene risolto ad-hoc e raramente in modo riproducibile.
OISG (Open, Intelligent, Secure, Governed) propone un vocabolario di adeguatezza che rende esplicita questa traduzione. Non è un framework di conformità né un consorzio: è un modello concettuale, accompagnato da criteri misurabili, pensato per essere applicato sopra agli standard esistenti.
I quattro pilastri
Open — I componenti che influenzano le decisioni del sistema devono essere ispezionabili, riproducibili e interoperabili. Metrica di adeguatezza: la frazione di componenti rilevanti che può essere auditata da terze parti indipendenti senza accesso proprietario.
Intelligent — Le capacità del sistema devono essere misurate, documentate, limitate in modo esplicito e spiegabili. Metrica: la capacità di produrre spiegazioni complete di una risposta (fonti dei dati, versione del modello, livello di confidenza) entro una latenza definita.
Secure — Il sistema deve essere resiliente a manipolazioni avversarie a runtime. Metriche: tempi medi di rilevamento, contenimento e recupero forense in caso di compromissione di un agente.
Governed — La conformità deve essere verificabile in modo automatico, con evidenze immutabili. Metrica: le ore necessarie a produrre evidenze di conformità per un’autorità di vigilanza.
Il ciclo di interdipendenza
I quattro pilastri non sono dimensioni indipendenti: formano un ciclo. Un sistema che non è Open non può essere misurato come Intelligent in modo indipendente. Un sistema senza metriche di Intelligence non può definire il proprio perimetro di Security. Senza Security non esistono evidenze stabili di Governance. Senza Governance non ci sono incentivi strutturali all’apertura. La valutazione di ciascun pilastro è significativa solo se gli altri tre sono adeguatamente definiti.
Mappatura agli standard esistenti
OISG non sostituisce le normative e i framework di riferimento: li indicizza. Il paper 1.0 include una mappatura esplicita verso EU AI Act, NIST AI RMF, ISO/IEC 42001 e OWASP Top 10 for Agentic Applications, in modo che ogni criterio di adeguatezza sia riconducibile a uno o più requisiti normativi. Questo riduce la duplicazione tra processi di audit e permette di riutilizzare le evidenze raccolte per più framework contemporaneamente.
Adequacy Test
Il sito oisg.ai include un wizard di valutazione: venti criteri (cinque per pilastro) producono uno score di adeguatezza e un certificato scaricabile. È uno strumento di auto-diagnosi per team che progettano o gestiscono sistemi AI autonomi e serve come punto di partenza per un audit strutturato, non come sostituto.
Disponibilità
Il paper versione 1.0 è pubblicato il 16 aprile 2026 con licenza CC BY 4.0 ed è disponibile su oisg.ai/paper. Il primo adottatore è noze, che ha integrato i criteri OISG nei propri prodotti e servizi di governance AI. Il paradigma è aperto: adozioni esterne, revisioni tra pari e contributi sono benvenuti.