Regolamento UE 2024/1689 (AI Act). Rilevazione 2026

La governance dell'AI nelle organizzazioni italiane:assetti, adempimenti, gestione dei rischi

La conformità all'AI Act è una baseline necessaria ma non sufficiente: non esaurisce le esigenze di governo dei sistemi di AI, né assicura il controllo dei rischi lungo il loro ciclo di vita. Le evidenze di una rilevazione su otto grandi organizzazioni italiane dei settori finanziario e industriale, i cui esiti sono stati diffusi nel 2026 delineano un modello centralizzato negli standard e distribuito nell'esecuzione, che tiene insieme velocità di adozione e solidità dei presidi.

Da dove state guardando il problema? La scelta tara la sintesi finale, non chiede dati.

Copertura --
in attesa di dati
Indice di maturità --
in attesa di dati
Assi presidiati --
in attesa di dati
Esposizione ai rischi --
in attesa di dati

Quando la velocità di adozione supera la capacità di governo

Negli ultimi due anni l'adozione dell'intelligenza artificiale ha registrato un deciso salto di scala. Le attese di efficienza e di riprogettazione dei processi hanno spinto molte organizzazioni a riallocare quote significative dei budget IT verso sperimentazione e messa in produzione. È una corsa in cui l'attesa equivale spesso a una perdita di vantaggio competitivo, ma in cui i rischi si manifestano con la stessa rapidità delle opportunità.

Le elevate aspettative in termini di efficienza, efficacia e riprogettazione dei processi (le operations, l'operatività dei back office, la gestione del rischio, la relazione con la clientela) hanno spinto numerose organizzazioni a riallocare una quota significativa dei budget IT, con l'obiettivo di accelerare la sperimentazione e la messa in produzione dei sistemi di AI. Il settore finanziario è tra i più esposti, sia per la natura pervasiva dei modelli impiegati in ambiti quali credito, assicurazioni, antiriciclaggio e antifrode, sia per la rilevanza prudenziale e reputazionale delle decisioni automatizzate. Dinamiche analoghe interessano però anche i grandi gruppi industriali e infrastrutturali (energia, trasporti, utilities, telecomunicazioni, manifattura), oltre alla pubblica amministrazione e ai servizi essenziali, dove l'AI viene progressivamente integrata nei processi core e negli stessi presidi di controllo.

Con la stessa rapidità con cui si manifestano opportunità concrete emergono però rischi altrettanto tangibili: decisioni non eque o poco trasparenti, uso improprio dei dati, vulnerabilità cyber, impatti su ruoli, competenze e mansioni della forza lavoro. Molti sistemi vengono introdotti come soluzioni puntuali o sperimentali, senza un disegno complessivo che ne disciplini responsabilità, criteri decisionali, controlli e meccanismi di accountability lungo l'intero ciclo di vita del modello. Ne deriva una frammentazione delle scelte tecnologiche e di business che rende difficile comprendere dove e come l'AI incida effettivamente sui processi aziendali e sulle decisioni rilevanti. La velocità di diffusione rischia così di superare la capacità delle organizzazioni di governarne in modo consapevole l'utilizzo.

Le evidenze richiamate in questa pagina provengono da una rilevazione su otto grandi organizzazioni italiane dei settori finanziario e industriale, i cui esiti sono stati diffusi nel 2026, attive sia sul mercato domestico sia su quello internazionale. L'indagine si è focalizzata su tre aree chiave: i modelli di governance dell'AI, intesi sia come assetti organizzativi sia come strumenti operativi; i processi di classificazione e gestione dei rischi associati ai sistemi; i processi definiti a supporto dello sviluppo, dell'utilizzo e del monitoraggio delle soluzioni. I risultati sono stati successivamente discussi in un confronto strutturato tra le organizzazioni partecipanti, che ha consentito di approfondire le evidenze e di delineare trend comuni, modelli emergenti e principali aree di attenzione.

Il messaggio che ne emerge è netto: la conformità all'AI Act costituisce una baseline necessaria ma non sufficiente a garantire un'adozione dell'AI realmente sostenibile, responsabile e sicura. Le evidenze, più mature nei contesti fortemente regolati come il settore finanziario, si rivelano trasversali anche alle organizzazioni corporate. Oltre al Risk Management, funzioni quali operations e IT, compliance, HR, procurement, legal e le linee di business sono sempre più coinvolte nella gestione dell'AI, anche con riferimento a casi d'uso non qualificati come ad alto rischio ma comunque potenzialmente critici per la continuità operativa, la sicurezza, la reputazione e gli impatti sulla forza lavoro. L'obiettivo è bilanciare velocità di adozione e solidità dei controlli, evitando sia la burocratizzazione sia derive opache lungo la catena del valore.

PLANCIA / 15_DOMANDE / 5_ASSI

Quanto è matura la governance dell'AI nella vostra impresa

Quindici domande su cinque assi per collocare la vostra organizzazione lungo il percorso di governo dell'intelligenza artificiale. Il questionario riprende le evidenze di una rilevazione su otto grandi organizzazioni italiane dei settori finanziario e industriale, i cui esiti sono stati diffusi nel 2026, dove la conformità all'AI Act emerge come base necessaria ma non sufficiente. In pochi minuti ottenete un punteggio di maturità, il confronto con il campione e le priorità su cui intervenire.

Le risposte restano nel vostro browser. Nessun dato viene inviato.

0 su 45 in corso

in attesa di dati

AssePresidio
Come ci sono arrivato

Strumento di autovalutazione a fini orientativi: non sostituisce una valutazione professionale, un audit o un parere legale sulla conformità all'AI Act. Le risposte restano nel browser, nessun dato viene trasmesso, salvato o condiviso con terze parti.

Dove siete rispetto al campione

Tre delle evidenze quantitative della rilevazione su otto grandi organizzazioni italiane dei settori finanziario e industriale. La barra indica la quota di organizzazioni del campione; il marcatore, se avete compilato la plancia, indica il livello di presidio dichiarato nelle vostre risposte sulla stessa scala da 0 a 100. Sono due misure diverse messe a confronto, non lo stesso numero.

I rischi dell'AI in sette famiglie

Le evidenze di una rilevazione su otto grandi organizzazioni italiane dei settori finanziario e industriale, i cui esiti sono stati diffusi nel 2026 restituiscono una mappa articolata dei rischi connessi all'adozione dell'intelligenza artificiale. Bias, sicurezza, trasparenza, GDPR e robustezza risultano i profili maggiormente percepiti, ma la rilevazione mostra come essi si estendano ben oltre il perimetro dei sistemi qualificati ad alto rischio, toccando operations, reputazione, forza lavoro, strategia e filiera dei fornitori.

MATRICE / W[7][5] Ogni cella riporta quanto quell'asse contribuisce all'esposizione della famiglia: la somma della riga è l'esposizione complessiva, a meno degli arrotondamenti. Compilate la plancia per calcolarla. presidiato / scoperto

La tassonomia dei rischi associati all'intelligenza artificiale va ben oltre la mera conformità formale: richiede una lettura sistemica, capace di cogliere le interdipendenze tecniche, organizzative, umane e strategiche che attraversano l'intera organizzazione.

TECNOLOGICI_E_DI_MODELLO

Tecnologici e di modello

Bias, opacità delle decisioni, fragilità dei modelli e qualità dei dati: i rischi più percepiti dal campione osservato.

LEGALI_E_REGOLAMENTARI

Legali e regolamentari

Classificazione dei sistemi, requisiti per l'alto rischio, FRIA e GDPR: la conformità è la baseline necessaria ma non sufficiente.

OPERATIVI

Operativi

Dipendenze dai fornitori, evidenze di controllo incomplete, modifiche non governate e fragilità della resilienza lungo il ciclo di vita.

REPUTAZIONALI

Reputazionali

Output inaffidabili, errori visibili a clienti e mercati, disallineamento tra ambizione di adozione e solidità dei presidi implementati.

WORKFORCE

Impatti sulla workforce

Ruoli junior e mansioni ripetitive, obblighi giuslavoristici, perimetro del controllo delle prestazioni e compiacenza tecnologica verso gli output automatizzati.

STRATEGICI

Strategici

Allineamento del board, compliance di facciata, competenze chiave, coerenza tra investimento e valore, burocratizzazione eccessiva dei presidi di governance.

CYBER_E_SUPPLY_CHAIN

Cyber e supply chain

Prompt injection, attacchi adversarial, vulnerabilità di componenti terze, data leakage e corruzione delle knowledge base dei sistemi generativi.

Ruolo nella filiera e classe di rischio

Il Regolamento UE 2024/1689 costruisce la propria disciplina su due assi: il ruolo assunto lungo la filiera, fornitore oppure utilizzatore, e la classe di rischio del singolo sistema. Le due dimensioni si combinano e determinano obblighi molto diversi tra loro. Il classificatore che segue accompagna la qualificazione preliminare del caso d'uso, richiama gli adempimenti principali e indica le scadenze applicative rilevanti per la pianificazione dei presidi interni.

Lo strumento fornisce un orientamento di massima e non sostituisce un parere professionale: la qualificazione del ruolo e della classe di rischio va verificata caso per caso, avendo riguardo al contesto d'uso e alle finalità dichiarate.

RUOLO / PROVIDER

Provider

Il fornitore sviluppa un sistema di AI, oppure lo fa sviluppare, e lo immette sul mercato o in servizio con il proprio nome o marchio. Su di lui gravano i requisiti di progettazione, la valutazione di conformità e la marcatura CE.

  • Predisporre documentazione tecnica, sistema di qualità e valutazione di conformità del sistema.
  • Definire istruzioni per l'uso chiare, complete e comprensibili per l'utilizzatore a valle.
  • Registrare il sistema ad alto rischio nella banca dati europea prima dell'immissione.
  • Monitorare il sistema dopo l'immissione e notificare incidenti gravi e non conformità.

RUOLO / DEPLOYER

Deployer

L'utilizzatore impiega un sistema di AI sotto la propria autorità nell'ambito di un'attività professionale. Non risponde della progettazione, ma dell'uso conforme alle istruzioni, della sorveglianza umana, della qualità dei dati di input e del monitoraggio del funzionamento in esercizio.

  • Utilizzare il sistema secondo le istruzioni e nei limiti dichiarati dal fornitore.
  • Affidare la sorveglianza umana a persone competenti, formate e dotate di autorità.
  • Garantire che i dati di input siano pertinenti rispetto alla finalità prevista.
  • Conservare i log per almeno sei mesi e informare lavoratori e loro rappresentanti prima dell'uso.

RUOLO / RUOLO_COMBINATO

Ruolo combinato

Il ruolo combinato ricorre quando l'organizzazione utilizza soluzioni di terzi e insieme le personalizza, le rinomina o ne modifica la finalità prevista. In questi casi convivono obblighi di entrambe le posizioni e la chiarezza contrattuale diventa il presidio decisivo.

  • Qualificare il ruolo per ciascun caso d'uso e non a livello aziendale.
  • Negoziare clausole contrattuali su trasparenza tecnica, uso dei dati e responsabilità reciproche.
  • Verificare se personalizzazioni sostanziali e fine tuning comportano il passaggio a fornitore.
  • Mantenere un inventario unico che tracci ruolo, classe di rischio e presidi.

2 febbraio 2025

Pratiche vietate e alfabetizzazione

Diventano applicabili il divieto delle pratiche dell'articolo 5 e l'obbligo di garantire un livello adeguato di alfabetizzazione in materia di AI al personale.

2 agosto 2025

Modelli generali e governance

Si applicano gli obblighi per i modelli di AI per finalità generali, le norme sulle autorità nazionali, la governance dell'Unione e il regime sanzionatorio.

2 agosto 2026

Applicazione generale del regolamento

Il regolamento diventa applicabile nella sua generalità, inclusi i sistemi ad alto rischio dell'allegato III e gli obblighi di trasparenza previsti dall'articolo 50.

2 agosto 2027

Alto rischio nei prodotti regolamentati

Scade il termine per i sistemi ad alto rischio che costituiscono componenti di sicurezza dei prodotti disciplinati dall'allegato I del regolamento.

Centralizzati negli standard, distribuiti nell'esecuzione

Il fulcro del modello è un presidio di governo centrale, spesso interfunzionale, che definisce policy, standard, tassonomie e criteri di classificazione del rischio e gestisce l'inventario dei sistemi di AI. Su questa base le strutture di sviluppo, centrali o distribuite nelle linee di business, operano entro perimetri definiti, con autonomia graduata sulla materialità del rischio.

Il modello organizzativo prevalente riflette coerentemente questa impostazione. In circa l'88% dei casi osservati la governance dell'AI è centralizzata per quanto riguarda linee guida, tassonomie, criteri di classificazione del rischio e presidi di conformità, mentre lo sviluppo e i workflow operativi sono decentrati nelle business unit secondo una logica hub and spoke; il restante 12% adotta assetti maggiormente distribuiti. Tale configurazione, tipica delle fasi in cui l'adozione non è ancora pienamente scalata, consente un'interpretazione omogenea dell'AI Act, una gestione coerente dei rischi trasversali (privacy, sicurezza, dipendenza dai fornitori) e la disponibilità di un inventario unico a supporto di decisioni e controlli, senza compromettere l'agilità delle fabbriche operative nelle linee di business.

Un ruolo complementare è svolto dai comitati. Il 63% delle organizzazioni ha istituito un Comitato AI che include il top management e i responsabili di prima linea, con un mandato che integra indirizzo strategico, approvazione e monitoraggio delle iniziative, supervisione dei rischi e della conformità normativa, oltre a flussi strutturati di reporting verso gli organi di governo; il restante 37% non ha ancora formalizzato un organismo dedicato. Tali comitati operano da acceleratori della messa a terra delle iniziative: chiariscono le priorità, risolvono ambiguità di responsabilità tra funzioni, governano i meccanismi di escalation per i casi ad alto rischio e, ove dotati di poteri deliberativi, possono bloccare sviluppi non coerenti con i principi aziendali o con il quadro normativo.

Accanto alle strutture strategiche snelle, presidiate dal top management e orientate alle scelte di investimento, si diffondono comitati etico-normativi, talvolta con competenze esecutive sui casi più sensibili, chiamati a valutare l'adeguatezza delle misure di mitigazione o a disporre l'interruzione di sviluppi non accettabili. È cruciale che i flussi informativi verso il consiglio di amministrazione siano normalizzati all'interno del profilo di rischio di gruppo, così da evitare sovrapposizioni, personalismi e frammentazione decisionale. Nella stessa direzione, i presidi più efficaci stanno evolvendo da logiche point-in-time a modelli di continuous assurance, con dashboard, alerting su KPI e KRI, logging e audit trail capaci di dimostrare nel tempo l'efficacia dei guard rail e il mantenimento dei sistemi entro soglie di rischio accettabili.

TRE_LINEE_DI_DIFESA

01

Digital, IT e Business

PRIMA LINEA

  • Presidi operativi su explainability e fairness dei modelli
  • Robustezza, sicurezza e qualità dei dati in esercizio
  • Business case, mappatura degli use case e ownership
  • Applicazione dei requisiti definiti nei gate di design

02

Risk, Compliance e DPO

SECONDA LINEA

  • Challenge indipendente e monitoraggio continuo dei sistemi
  • Conformità all'AI Act e protezione dei dati personali
  • Coordinamento della FRIA e degli impact assessment
  • Integrazione con il Model Risk Management esistente

03

Internal Audit

TERZA LINEA

  • Assurance indipendente sul disegno complessivo dei presidi
  • Verifica dell'efficacia operativa dei controlli nel continuo
  • Audit trail, evidenze documentali e piena tracciabilità
  • Reporting agli organi di governo e follow-up strutturato

Cinque passaggi che traducono l'assetto in operatività

I processi chiave traducono l'assetto organizzativo in operatività concreta: dalla qualificazione iniziale dei sistemi al monitoraggio in esercizio, ogni fase produce decisioni tracciabili ed evidenze riutilizzabili. I presidi vengono anticipati già alla fase di proof of concept, in modo proporzionato alla materialità del rischio e senza trasformare il controllo in un adempimento burocratico.

FASE_01

Qualificazione: è AI?

La qualificazione iniziale distingue i sistemi che ricadono nell'ambito dell'AI Act da quelli che ne restano fuori, evitando fenomeni di iper-regolazione interna su soluzioni tradizionali e concentrando le risorse di controllo dove servono davvero.

  • Criteri di qualificazione condivisi e documentati
  • Tassonomia unica applicata a tutto il gruppo
  • Tracciamento delle esclusioni e delle motivazioni

FASE_02

Classificazione ex ante e mappatura

La mappatura degli use case e la classificazione ex ante si applicano anche ai proof of concept: mantengono una visione aggiornata dei sistemi e stimano costi e tempi dei presidi, impostando aspettative realistiche su budget e benefici.

  • Inventario unico aggiornato per evento e periodicamente
  • Tiering dei modelli collegato alla classificazione AI
  • Business case obbligatorio con indicatori di beneficio

FASE_03

Design gate e requisiti verificabili

I principi di Responsible AI vengono tradotti in requisiti verificabili prima dello sviluppo, con KPI su fairness, explainability, drift e robustezza: il gate di design decide se, come e a quali condizioni procedere.

  • Requisiti tradotti in KPI misurabili e verificabili
  • FRIA e DPIA anticipate alla fase di design
  • Scelte architetturali coerenti con il contesto d'uso

FASE_04

Sviluppo e validazione

Le fasi di sviluppo e validazione si svolgono con metriche e soglie definite, controlli sulla qualità e sulla provenienza dei dati (inclusi quelli non strutturati) e verifiche indipendenti prima del passaggio in produzione.

  • Metriche e soglie definite per ogni requisito
  • Guard rail tecnici e red teaming periodico
  • Ambienti separati per training e inference

FASE_05

Esercizio e monitoraggio continuo

In esercizio il sistema è presidiato da monitoraggio continuo, alerting su soglie operative, registri delle modifiche sostanziali e human oversight matura, con controlli aggiornati alla luce dell'evoluzione tecnologica e degli incidenti rilevati.

  • Dashboard e alerting su KPI e KRI
  • Incident e change management con escalation chiare
  • Soglie di automazione esplicite e revisioni periodiche

Lo snodo tra adempimento formale e progettazione consapevole

Provider, deployer e, in molti casi, una combinazione di entrambi: i ruoli lungo la filiera dell'AI tendono a coesistere e a sovrapporsi. Nel campione osservato l'88% delle organizzazioni ha adottato la FRIA e altrettante la DPIA, mentre le valutazioni dedicate a bias e fairness restano meno diffuse (13%), pur essendo decisive negli ambiti a maggiore impatto.

STEP_01

Mappatura dei diritti

Vengono identificati i diritti fondamentali potenzialmente coinvolti, con riferimento a clienti, dipendenti e terze parti, definendo fin dalla fase di design il perimetro degli impatti da considerare.

STEP_02

Analisi degli scenari

Vengono analizzati gli scenari di utilizzo e i casi di errore, inclusi quelli legati a comportamenti agentici, ricostruendo come il sistema possa incidere sulle decisioni rilevanti per gli interessati.

STEP_03

Valutazione della materialità

Viene valutata la materialità del rischio in termini di probabilità, severità, esposizione e reversibilità, graduando la profondità dei controlli in funzione degli impatti attesi sugli stakeholder e sui diritti coinvolti.

STEP_04

Misure di mitigazione

Vengono definite le misure di mitigazione tecniche, organizzative e informative, dai filtri tra utente e modello alle forme di human oversight, con responsabilità, tempi e criteri di verifica assegnati.

STEP_05

Decisione strutturata

Il percorso si chiude con una decisione tracciata, di approvazione, rigetto o approvazione condizionata, assunta con il coinvolgimento della seconda linea e, nei casi più rilevanti, del comitato etico-normativo.

È frequente riscontrare un'asimmetria informativa tra chi fornisce le soluzioni e chi le utilizza: la classificazione del rischio può divergere e le architetture ibride rendono complesso, per il deployer, comprendere pienamente componenti, dipendenze e limiti dei modelli. In questo contesto la chiarezza contrattuale assume un ruolo decisivo, sia ai fini della mitigazione del rischio sia per una conformità sostanziale: i contratti devono definire in modo esplicito istruzioni d'uso, limitazioni, livelli minimi di trasparenza e responsabilità. Le organizzazioni che hanno introdotto specifici AI addenda segnalano negoziazioni particolarmente complesse sugli allegati tecnici, più che sul corpo contrattuale principale, ma evidenziano al tempo stesso un allineamento più solido dei fornitori rispetto alle esigenze di controllo.

Il rischio concreto è che, in prossimità delle scadenze regolamentari, la FRIA venga ridotta a un esercizio burocratico. L'antidoto consiste nell'anticiparla alle fasi di design, utilizzandola come strumento per valutare se, come e a quali condizioni procedere. Nelle esperienze più mature viene applicata ai sistemi classificati come ad alto rischio e, ove opportuno, estesa anche a casi caratterizzati da elevata materialità in termini di impatto reputazionale o sugli stakeholder, quali clienti e dipendenti. Viene svolta prima dell'avvio o del passaggio in produzione e aggiornata in presenza di modifiche a dati, modelli, contesti d'uso o profili di rischio, così da restare uno strumento vivo. Le strutture coinvolte operano in modo multidisciplinare, con Risk, Compliance, DPO, Legal, Digital, HR e business owner.

La FRIA non sostituisce gli altri strumenti di governo del rischio: si affianca alla DPIA quando sono coinvolti dati personali, si allinea con il Model Risk Management, che rimane centrale per la qualità dei modelli e la profondità dei controlli, e con i processi ICT e di sicurezza. Le evidenze confluiscono nell'inventario dei sistemi, corredate da un trail documentale che garantisce affidabilità, tracciabilità e apprendimento nel tempo; nei contesti multi-giurisdizionali vengono definiti criteri di scopo e perimetro applicabili alle controllate, tenendo conto degli effetti extraterritoriali della normativa. Nell'utilizzo di LLM e GPAI in ambiti come credito e HR, infine, le scelte architetturali devono risultare coerenti con i contesti d'uso. Ciò implica, ad esempio, filtri tra utente e modello o componenti spiegabili quando richiesto.

Il governo dei fornitori

Il governo dei fornitori rappresenta un pilastro fondamentale del modello. La trasparenza richiesta ai vendor, in termini di documentazione tecnica, dati di addestramento e limiti d'uso, non è scontata: sono pertanto necessari processi di Third-Party Risk Management rafforzati, con questionari specifici, livelli di due diligence proporzionati al rischio e clausole contrattuali dedicate. Gli AI addenda disciplinano la provenienza e l'utilizzo dei dati, le attività di fine-tuning, i requisiti minimi di trasparenza tecnica, gli obblighi di notifica in caso di modifiche e incidenti, l'affidabilità delle soluzioni e le strategie di uscita. In contesti sensibili risulta spesso preferibile rinunciare a soluzioni non ispezionabili o non adeguatamente governabili. La due diligence si estende ai subfornitori e alle componenti di terze parti.

Attorno alla catena di fornitura si concentrano inoltre rischi trasversali che emergono spesso al di fuori del perimetro strettamente ad alto rischio: continuità operativa legata a SLA e downtime di soluzioni cloud o SaaS, fenomeni di lock-in verso fornitori critici, vulnerabilità introdotte da componenti terze quali plugin, tool, dataset e agenti, fino al rischio di data leakage o di corruzione delle knowledge base utilizzate nei sistemi generativi. In assenza di una regia centrale chiara questi fenomeni tendono ad accentuarsi, frammentando i presidi e favorendo la proliferazione di shadow AI adottata al di fuori dei processi di governance IT. Soglie di ispezionabilità, obblighi di auditabilità e chiare exit strategy mantengono governabile la catena del valore.

Agenti personali e agenti di processo

La crescente proliferazione di agenti personali e di processo rende necessario un framework dedicato. La distinzione tra agenti a supporto dell'attività individuale e agenti integrati nei workflow è cruciale: questi ultimi, soprattutto quando abilitano azioni automatiche su sistemi core, richiedono requisiti rafforzati, forme di human-in-the-loop progettate by design e politiche di automazione graduale, basate su soglie, metriche e revisioni periodiche. Si diffonde inoltre l'adozione di piattaforme di controllo in grado di censire gli agenti, verificarne i confini operativi, abilitarne la pubblicazione e il riuso interno e bloccare automaticamente quelli non conformi. Le aspettative su questa componente sono elevate, soprattutto in termini di efficienza operativa, e proprio per questo il presidio va costruito prima della scala.

Sul piano dei rischi, gli agenti amplificano temi già noti: prompt injection e attacchi adversarial, data e model drift, dipendenze critiche dai fornitori tecnologici, cambiamenti non governati nei modelli o nei dati. A questi si aggiunge la cosiddetta compiacenza tecnologica, ossia la tendenza a fidarsi eccessivamente degli output automatizzati riducendo la capacità di giudizio critico umano, insieme all'over-reliance, che amplifica la probabilità di errori operativi con impatti immediati su clienti e stakeholder. La risposta passa da una human oversight realmente matura: ruoli e responsabilità chiari, soglie di automazione esplicite, verifiche rafforzate sugli esiti critici. Incident e change management strutturati, con simulazioni periodiche e registri delle modifiche sostanziali, completano il quadro.

Formazione, cultura e workforce

Formazione e cultura costituiscono condizioni abilitanti imprescindibili. Tutte le organizzazioni del campione hanno avviato iniziative di formazione sull'AI, segnale di una crescente maturità nell'affrontare sia gli adempimenti dell'AI Act sia l'uso responsabile delle tecnologie. La modalità prevalente è ibrida (50%), combinando percorsi interni e contributi esterni; seguono i programmi interamente sviluppati in house (38%) e, in misura minore, le iniziative affidate esclusivamente a provider esterni (12%). Questo mix consente di modulare i contenuti in funzione dei ruoli, dai percorsi di base alle figure specialistiche fino all'induction del board, e di integrare nei curricula principi di Responsible AI, FRIA e DPIA, trasparenza, data governance, sicurezza e incident management. La formazione diventa così un abilitatore operativo dei presidi richiesti.

Sul fronte della workforce, accanto alle dimensioni giuslavoristiche e alle relazioni con le parti sociali, emergono come priorità l'upskilling diffuso e una comunicazione interna strutturata. I rischi si articolano su più livelli: impatti strutturali su ruoli junior e mansioni ripetitive, con effetti su occupabilità, motivazione e attrattività delle funzioni; obblighi informativi, perimetro e limiti del controllo delle prestazioni, trattamento dei log e delle evidenze digitali, interlocuzione con le rappresentanze dei lavoratori. Valutazioni ex ante degli impatti, informative ai dipendenti, coinvolgimento degli organismi rappresentativi ove richiesto, piani strutturati di upskilling e reskilling e presidi chiari sul perimetro del controllo delle prestazioni, soprattutto in presenza di log analizzabili, prevengono rischi legali, organizzativi e reputazionali.

Da rischio da contenere a leva di valore misurabile

L'adeguamento ai requisiti dell'AI Act rappresenta una condizione necessaria, ma non di per sé sufficiente, per garantire un'adozione dell'intelligenza artificiale realmente sostenibile, scalabile, responsabile e sicura. La conformità regolatoria non esaurisce le esigenze di governo dei sistemi, né assicura un controllo efficace dei rischi che emergono lungo l'intero ciclo di vita delle soluzioni adottate. I modelli che si stanno consolidando tendono a configurarsi secondo un approccio centralizzato negli standard e distribuito nell'esecuzione, in cui policy, principi, tassonomie applicative e criteri di classificazione del rischio sono definiti in modo unitario a livello centrale, mentre sviluppo, implementazione e gestione operativa si articolano nelle strutture di business entro guard rail chiari e condivisi.

Un simile modello consente di preservare un equilibrio dinamico tra rapidità dell'innovazione e robustezza dei presidi: evita da un lato un'eccessiva centralizzazione o burocratizzazione dei processi decisionali e previene dall'altro il rischio di frammentazione, opacità e perdita di accountability lungo la catena del valore. Il passaggio dalla cornice alla piena operatività richiede che l'inventario dei sistemi sia trattato come uno strumento vivo, non limitato al censimento ma integrato nei processi decisionali e di controllo fin dalla fase di proof of concept, e che si rafforzi un'impostazione autenticamente risk-based, innestata nei framework già esistenti di enterprise risk, cybersecurity, privacy, data quality e model risk management, così da assicurare coerenza tra responsabilità, controlli ed evidenze.

L'AI governance non rappresenta un ulteriore strato di compliance, ma una disciplina di orchestrazione strategica, capace di integrare visione, progettazione responsabile, rigore operativo e cultura organizzativa lungo l'intero ciclo di vita dei sistemi.

La nota che portate in consiglio

Tutto quello che avete indicato nella plancia e nel classificatore converge qui, in una sintesi che potete copiare o stampare. Nessun dato lascia il vostro browser: il testo viene composto in locale a partire dalle vostre risposte.

NOTA / SINTESI_AUTOVALUTAZIONE

La nota si compone quando rispondete alle domande della plancia. Senza risposte non viene mostrato alcun punteggio: questa pagina non stima nulla al posto vostro. Le sezioni informative restano comunque complete e leggibili, dalla tassonomia dei rischi al modello organizzativo, dalla FRIA alle scadenze dell'AI Act.

Azioni in priorità

    Strumento di autovalutazione a fini orientativi: non sostituisce una valutazione professionale, un audit o un parere legale sulla conformità all'AI Act. I punteggi derivano esclusivamente dalle risposte fornite; pesi e soglie sono dichiarati nella sezione dedicata al metodo.

    Come ci sono arrivato

    Come sono costruiti i numeri di questa pagina

    Uno strumento che calcola punteggi deve dichiarare come li calcola. Qui trovate i pesi, le soglie, la natura dei dati di confronto e, soprattutto, ciò che questa pagina non fa.

    PUNTEGGI

    Assi e indice di maturità

    Le 15 domande sono distribuite su 5 assi, 3 per asse, con quattro opzioni a punteggio crescente da 0 a 3. Il punteggio di un asse va quindi da 0 a 9 e viene normalizzato su 100 usando solo le domande a cui avete risposto. L'indice di maturità è la somma dei punti effettivi, da 0 a 45.

    La fascia di maturità (Iniziale, In costruzione, Strutturato, Avanzato) viene attribuita soltanto a questionario completo, perché su risposte parziali sarebbe fuorviante. La soglia di riferimento è fissata a 67 su 100: sopra quel valore l'asse si considera presidiato in modo strutturato.

    MATRICE

    Esposizione ai rischi

    Ogni famiglia di rischio ha un peso da 0 a 2 su ciascun asse, che esprime quanto quell'asse la presidia. L'esposizione è la media pesata dello scoperto, cioè della distanza fra il presidio dichiarato e 100, calcolata sui soli assi che avete valutato. Le celle non pertinenti restano fuori dal calcolo.

    I pesi sono una scelta professionale, non una misura empirica: servono a rendere esplicito e discutibile il ragionamento, non a produrre una stima statistica. Ogni valore mostrato ha la sua traccia, apribile sotto ciascun risultato.

    CAMPIONE

    I dati di confronto e i loro limiti

    Le percentuali citate in questa pagina (governance centralizzata, comitato AI, inventario, formazione) provengono da una rilevazione su otto grandi organizzazioni italiane dei settori finanziario e industriale, seguita da un confronto strutturato fra le organizzazioni partecipanti, i cui esiti sono stati diffusi nel 2026.

    Otto organizzazioni significano che ogni risposta pesa un ottavo: le percentuali al punto percentuale sono arrotondamenti di ottavi, non misure fini. Il campione è ristretto e non statisticamente rappresentativo dell'universo delle imprese italiane, quindi i valori vanno letti come indicazione di tendenza fra grandi organizzazioni e non come dato di mercato. Compaiono nelle sezioni informative e nel confronto, sempre riferiti a quello stesso campione, e non entrano mai nel calcolo del vostro punteggio.

    Questa pagina non svolge la FRIA, non classifica i vostri sistemi ai sensi dell'AI Act e non sostituisce un audit o un parere legale. È uno strumento di orientamento: rende visibile un ragionamento e i suoi limiti, per aiutarvi a impostare le domande giuste con chi vi assiste.

    Risposte rapide sulla governance dell'AI

    Le domande che ci vengono poste più spesso da amministratori, direzioni finanziarie e funzioni di controllo sull'applicazione concreta dell'AI Act e sul governo dell'intelligenza artificiale in azienda.

    Alcuni obblighi valgono comunque. Il divieto delle pratiche vietate e l'obbligo di alfabetizzazione del personale (art. 4) prescindono dalla classe di rischio, così come restano applicabili GDPR e normative di settore. Sopra questa base, la responsabilità organizzativa resta piena anche sui casi d'uso ordinari: le evidenze raccolte presso otto grandi organizzazioni italiane mostrano che rischi rilevanti come continuità operativa, dipendenza dai fornitori, shadow AI e impatti sulla forza lavoro emergono anche fuori dal perimetro ad alto rischio. Governare significa mappare gli usi, classificarli ex ante e calibrare i controlli sulla materialità.
    Sono piani distinti ma convergenti. L'art. 2086, comma 2, c.c. impone all'imprenditore che operi in forma societaria o collettiva assetti organizzativi, amministrativi e contabili adeguati alla natura e alle dimensioni dell'impresa; l'AI Act aggiunge requisiti specifici su classificazione, documentazione e sorveglianza umana. Introdurre sistemi di AI in processi rilevanti senza policy, inventario e responsabilità definite significa rendere inadeguato l'assetto stesso, con esposizione degli amministratori a prescindere dalle sanzioni regolamentari. La governance dell'AI va quindi innestata nei framework di rischio già esistenti, non costruita come silo separato, con duplicazione di ruoli e controlli.
    La FRIA è un obbligo dell'utilizzatore, non del fornitore, e riguarda i soli sistemi ad alto rischio dell'allegato III, esclusi quelli del punto 2. Vi sono tenuti gli organismi di diritto pubblico, i soggetti privati che erogano servizi pubblici e gli utilizzatori di sistemi di merito creditizio o di tariffazione nelle assicurazioni vita e salute. Va svolta prima del primo utilizzo e aggiornata quando cambiano dati, modelli, contesti d'uso o profili di rischio. Nelle esperienze più mature viene estesa in via volontaria ai casi ad elevata materialità per clienti e dipendenti: anticipata al design, diventa uno strumento per decidere se e a quali condizioni procedere.
    Trasparenza documentata, non dichiarazioni generiche. Servono documentazione tecnica, informazioni su dati di addestramento e limiti d'uso, oltre a processi di due diligence proporzionati al rischio. Le organizzazioni più avanzate introducono AI addenda contrattuali che disciplinano provenienza e utilizzo dei dati, attività di fine tuning, requisiti minimi di trasparenza, obblighi di notifica su modifiche e incidenti, auditabilità ed exit strategy. Le negoziazioni si concentrano sugli allegati tecnici: nei contesti sensibili è spesso preferibile rinunciare a soluzioni non ispezionabili o non governabili con i presidi disponibili.
    Serve un framework dedicato, distinto da quello dei modelli tradizionali. La distinzione chiave è tra agenti a supporto dell'attività individuale e agenti integrati nei workflow: questi ultimi, quando abilitano azioni automatiche sui sistemi core, richiedono requisiti rafforzati, human in the loop progettato by design e politiche di automazione graduale basate su soglie, metriche e revisioni periodiche. Si diffondono piattaforme di controllo che censiscono gli agenti, ne verificano i confini operativi, ne abilitano il riuso interno e bloccano automaticamente quelli non conformi.
    È una situazione frequente e va affrontata sul piano contrattuale e documentale. Quando i ruoli coesistono emerge un'asimmetria informativa: la classificazione del rischio può divergere tra chi fornisce e chi utilizza, e le architetture ibride rendono difficile comprendere componenti, dipendenze e limiti dei modelli. La risposta consiste nel definire per iscritto istruzioni d'uso, limitazioni, livelli minimi di trasparenza e responsabilità, tracciando le evidenze nell'inventario dei sistemi e riconducendo ogni caso d'uso a un ruolo esplicito lungo la filiera.
    Il regolamento si applica per fasi: dal 2 febbraio 2025 valgono i divieti sulle pratiche vietate e l'obbligo di alfabetizzazione, dal 2 agosto 2025 le regole sui modelli di finalità generale, dal 2 agosto 2026 la generalità delle disposizioni e dal 2 agosto 2027 i sistemi ad alto rischio incorporati nei prodotti. Le sanzioni arrivano a 35 milioni di euro o al 7% del fatturato mondiale annuo per le pratiche vietate, con soglie ridotte per le altre violazioni. La leva vera resta però organizzativa, non sanzionatoria.
    Il modello che si sta affermando è quello delle tre linee di difesa. Business, IT e Digital presidiano operativamente explainability, fairness, robustezza, sicurezza e qualità dei dati; Risk, Compliance e DPO esercitano challenge, monitoraggio e presidio della FRIA; l'Internal Audit fornisce assurance indipendente. Collegio sindacale e revisore verificano l'adeguatezza degli assetti e l'affidabilità dei flussi informativi verso l'organo amministrativo, lungo tutto il ciclo di vita. Serve quindi un reporting normalizzato dentro il profilo di rischio di gruppo, che eviti sovrapposizioni e frammentazione decisionale.

    L'AI governance è una questione di assetti

    Il governo dell'intelligenza artificiale non è un tema tecnologico: è una questione di assetti organizzativi, amministrativi e contabili, di controllo interno e di evidenze verificabili. È esattamente il terreno su cui operiamo come società di revisione legale, affiancando organi di amministrazione, funzioni di controllo e management nella costruzione di presidi proporzionati e dimostrabili.

    Assetti organizzativi ex art. 2086 c.c.

    L'obbligo di dotarsi di assetti adeguati impone al board di sapere dove e come l'AI incide sulle decisioni rilevanti. Traduciamo policy, deleghe e flussi informativi verso l'organo amministrativo in un disegno coerente, evitando sovrapposizioni, personalismi e frammentazione decisionale lungo la catena di responsabilità.

    Controllo interno e risk management

    Un approccio autenticamente risk-based innesta i presidi sull'AI nei framework già esistenti, dal risk management operativo alla cybersecurity, dalla privacy al model risk. Disegniamo tassonomie, criteri di classificazione, soglie e meccanismi di escalation, calibrando la profondità dei controlli sulla materialità effettiva del rischio.

    Revisione legale e assurance indipendente

    Dimostrare nel tempo l'efficacia dei guard rail richiede evidenze verificabili, non dichiarazioni di principio. Portiamo il metodo della revisione legale sui presidi dell'AI: audit trail, logging, registri delle modifiche sostanziali e verifiche indipendenti, con un percorso che evolve da controlli point-in-time verso modelli di continuous assurance.

    Compliance integrata 231 e privacy

    L'AI attraversa modello 231, GDPR, normative settoriali e obblighi verso i lavoratori. Integriamo FRIA, DPIA e valutazioni di bias in un unico impianto documentale, coordinando organismo di vigilanza, DPO e funzioni di controllo, così da evitare duplicazioni e adempimenti puramente formali privi di utilità operativa.

    Costruite una governance dell'AI dimostrabile

    Contattate Revilaw S.p.A. per un confronto sulla governance dell'intelligenza artificiale nella vostra organizzazione. Analizzeremo assetti, processi e presidi esistenti, individueremo i gap rispetto all'AI Act e agli obblighi di adeguatezza degli assetti, e progetteremo un percorso proporzionato alla vostra realtà.

    (+39) 045 8010734
    Via XX Settembre, 9 - 37129 Verona (VR)

    Richiedi informazioni