EN Contattaci

OISG: noze adotta il paradigma per i sistemi AI autonomi

noze adotta OISG (Open, Intelligent, Secure, Governed), il paradigma architetturale proposto da Stefano Noferi per la progettazione e la governance dei sistemi AI autonomi. Quattro pilastri interdipendenti che si traducono in vantaggi concreti per prodotti, soluzioni, partner e clienti.

AICyber SecurityComplianceOpen Sourcenoze
AICyber SecurityComplianceOpen Sourcenoze OISGAIGovernanceOpen SourceCyber SecurityComplianceEU AI ActNIS2AdminaParadigma
Admina Enterprise

Admina Enterprise

Governance AI open: PII redaction, audit trail, policy bidirezionali. Governance AI open source: PII redaction, audit trail, policy bidirezionali ALLOW/BLOCK/REDACT.

Scopri Admina Enterprise →CyberScan

CyberScan

Vulnerability assessment e pentest automatizzato. Asset discovery continuo, AI risk prioritization, NIS2 compliance manager integrato.

Scopri CyberScan →DataGovern

DataGovern

Piattaforma di compliance integrata GDPR + NIS2 + EU AI Act. Gap analysis cross-regolamento, dashboard board-ready, on-premise.

Scopri DataGovern →Intelligenza Artificiale

Intelligenza Artificiale

Architetture AI on-premise, LLM locali, RAG, agenti autonomi. Consulenza, progettazione e sviluppo.

Scopri →

Un paradigma che nasce dalla pratica

OISGOpen, Intelligent, Secure, Governed — è un paradigma architetturale per i sistemi AI autonomi proposto da Stefano Noferi e pubblicato ad aprile 2026 come paper tecnico su oisg.ai. Non è un prodotto, una specifica, una certificazione né uno standard regolatorio. È un quadro di riferimento — come REST lo è stato per i servizi web — che codifica in un vocabolario condiviso pratiche che le organizzazioni più mature stanno già adottando, ma che oggi mancano di un framework unificante.

OISG nasce da oltre venticinque anni di lavoro operativo all’intersezione tra intelligenza artificiale, cyber security e governance. noze lo adotta come paradigma di riferimento per i propri prodotti e servizi. La convergenza con il posizionamento dell’azienda — Open Intelligence, Secure Governance — è naturale: gli stessi principi che hanno guidato la progettazione dello stack noze si ritrovano formalizzati nei quattro pilastri di OISG. Non si tratta di un’evoluzione deliberata da un marchio a un framework, ma del riconoscimento che un approccio maturato nel tempo attraverso progetti concreti — dalla certificazione di dispositivi medici alla governance di LLM, dal vulnerability assessment alla compliance regolamentare — trova in OISG la propria formalizzazione.

Il problema che OISG affronta

Nel 2026 chi sviluppa o adotta sistemi AI autonomi deve rispondere simultaneamente a pressioni eterogenee: le disposizioni high-risk dell’EU AI Act (operative da agosto 2026), i requisiti di sicurezza di NIS2 (già in vigore), le minacce specifiche degli agenti autonomi (OWASP Top 10 for Agentic Applications, dicembre 2025), le aspettative di trasparenza e auditabilità di ISO/IEC 42001.

Il problema è che questi framework operano in silos:

  • I controlli di sicurezza possono minare la trasparenza
  • I framework di governance ignorano la misurazione delle capacità
  • Le pratiche open source non si estendono alla provenienza dei modelli
  • I processi di compliance restano disconnessi dal comportamento runtime

OISG propone un quadro che mette in relazione questi requisiti.

I quattro pilastri

O — Open

I componenti del sistema — modelli, metodologia di addestramento, infrastruttura di governance, protocolli, log di audit — sono ispezionabili, riproducibili e interoperabili da soggetti indipendenti. Non significa necessariamente open source dei pesi del modello: significa che la catena decisionale è verificabile.

Metrica: quale frazione dei componenti che influenzano le decisioni può essere auditata senza accesso proprietario?

I — Intelligent

Le capacità sono misurate, documentate, delimitate e allineate con obiettivi esplicitamente dichiarati. Include benchmark documentati, modalità di fallimento note, calibrazione della confidenza, tracciabilità completa della RAG e tassonomia esplicita dell’autonomia dell’agente.

Metrica: il sistema può produrre, su richiesta, una spiegazione completa di una risposta specifica entro un budget di latenza definito?

S — Secure

Il sistema è resiliente alla manipolazione avversaria su tutte le superfici di interazione, a runtime, con latenze di rilevamento e risposta misurabili. Copre la difesa bidirezionale dall’injection, l’identità crittografica degli agenti, il kill switch transazionale, l’integrità della supply chain del modello e la PII redaction a livello infrastrutturale.

Metrica: tempo medio di rilevamento, contenimento e recupero forense se un agente viene compromesso?

G — Governed

La conformità a regolamenti, policy organizzative e vincoli etici è verificata automaticamente, continuamente, con evidenza immutabile. Include il runtime compliance (non audit annuali), il forensic black box con log hash-chained, la classificazione del rischio proporzionale, l’architettura dello human-in-the-loop e l’osservabilità end-to-end.

Metrica: quante ore servono per produrre la documentazione di conformità se un’autorità di supervisione la richiede?

Il ciclo di retroazione

I quattro pilastri non sono indipendenti — formano un ciclo diretto con dipendenze reciproche:

  • Open abilita Intelligent: modelli ispezionabili e pipeline dati aperte permettono la misurazione delle capacità
  • Intelligent definisce i requisiti di Secure: maggiore capacità e autonomia = superficie di attacco più ampia
  • Secure alimenta Governed: i controlli di sicurezza producono la telemetria che la governance consuma
  • Governed informa Open: le policy di governance determinano cosa può essere aperto, a chi, sotto quali vincoli

Se uno dei pilastri viene trascurato, il sistema presenta lacune strutturali: governance senza apertura limita la verificabilità; intelligenza senza sicurezza espone a rischi operativi; sicurezza senza governance manca di accountability; apertura senza governance non controlla l’esposizione dei dati.

Admina e l’implementazione di OISG

Admina è il framework open source (Apache 2.0) su cui si basano la maggior parte dei prodotti noze. Scritto in Python e Rust, funziona come proxy per le chiamate AI con audit trail, PII redaction e policy bidirezionali ALLOW/BLOCK/REDACT. Il paper OISG cita Admina come esempio di governance infrastructure auditabile.

Admina implementa OISG tra i paradigmi architetturali di riferimento:

  • Open: il codice è pubblico e ispezionabile, rilasciato sotto licenza Apache 2.0. L’infrastruttura di governance è auditabile da soggetti indipendenti
  • Intelligent: il proxy gestisce l’interazione con i modelli garantendo tracciabilità completa — sorgente dati, versione del modello, livello di confidenza sono ricostruibili per ogni risposta
  • Secure: la PII redaction opera a livello infrastrutturale prima che i dati raggiungano gli endpoint del modello. Le policy bidirezionali filtrano sia l’input utente sia l’output del modello
  • Governed: l’audit trail immutabile registra ogni interazione, decisione e intervento. Le policy di compliance vengono applicate a runtime, non in fase di audit periodico

Admina Enterprise è la versione enterprise del framework, con supporto commerciale, SLA e funzionalità aggiuntive per ambienti di produzione. Poiché i prodotti noze — CyberScan, DataGovern, AIHealth, IntelliPA — sono costruiti su Admina, l’adozione di OISG a livello di framework si riflette sull’intero stack.

Cosa significa per partner e clienti

Per chi adotta o integra le soluzioni noze, l’adozione di OISG ha implicazioni operative concrete:

  • Un vocabolario condiviso: partner e clienti possono valutare le soluzioni AI rispetto a un framework unico, invece di navigare checklist normative separate per sicurezza, compliance, trasparenza e capacità
  • Allineamento regolamentare: le disposizioni high-risk dell’AI Act (agosto 2026) richiedono gestione del rischio, trasparenza, sorveglianza post-market e supervisione umana — requisiti che trovano corrispondenza nei quattro pilastri OISG
  • Self-assessment: il test di adeguatezza OISG (disponibile su oisg.ai) consente a qualsiasi organizzazione di mappare il proprio stato sui quattro pilastri con un punteggio quantitativo (0-100)
  • Adozione incrementale: OISG non richiede un’adozione monolitica. Il percorso consigliato parte dalla strumentazione (Governed), aggiunge la sicurezza runtime (Secure), assicura l’auditabilità (Open) e itera
  • Infrastruttura condivisa: poiché i prodotti noze condividono il framework Admina, le garanzie architetturali di OISG — audit trail, PII redaction, policy runtime — sono presenti in modo uniforme

Il contesto

OISG è proposto da Stefano Noferi e pubblicato come paper tecnico ad accesso aperto (DOI: 10.5281/zenodo.19605659), con il sito oisg.ai che include il testo completo del paper, l’approfondimento sui quattro pilastri e il test di adeguatezza interattivo. Il paradigma è volutamente agnostico rispetto agli strumenti — applicabile a qualsiasi stack tecnologico. noze adotta OISG come criterio architetturale di riferimento per il proprio stack di prodotti e servizi.

Riferimenti: OISG Paper v1.0 (aprile 2026), Regolamento (UE) 2024/1689 (AI Act), Direttiva NIS2, OWASP Top 10 for Agentic Applications (dicembre 2025), ISO/IEC 42001, NIST AI RMF.

Vuoi supporto? Sei sotto attacco? Stato dei servizi
Vuoi supporto? Sei sotto attacco? Stato dei servizi