Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

strategia aziendale

AI Act in pratica: come creare una governance efficace e sostenibile

Home Industry 4.0/Innovazione in azienda
Partecipa al dibattito
Indirizzo copiato

Con l’AI Act europeo e la legge italiana 132/2025, le aziende devono dotarsi di una governance chiara e strutturata per gestire l’intelligenza artificiale in modo conforme, trasparente e sostenibile

Pubblicato il 13 nov 2025
Fabio Bartolomeo

Data Protection Officer (DPO) del Gruppo Leonardo

data_governance_con_l_ai_agendadigitale governance globale ia; attrice AI: Legge Ai California; ChatGPT team; chatbot diffamazione webfare data monetization

Con l’entrata in vigore dell’AI Act europeo e della legge italiana n. 132/2025, le aziende sono chiamate a definire modelli organizzativi chiari, ruoli specifici e processi strutturati. Ma è davvero necessario creare nuove funzioni aziendali o è possibile valorizzare e integrare le competenze già presenti? L’AI Act non è solo un adempimento normativo, ma un’opportunità per ripensare l’approccio all’innovazione tecnologica.

AI Act, ecco gli strumenti pratici UE per adeguare aziende e PA

L’intelligenza artificiale entra in azienda: tra innovazione e regolamentazione

Per fare un parallelo con l’IT negli anni ’60 e ’70 quando cominciarono a svilupparsi e perfezionarsi i CED – Centri di Elaborazione Dati – e poi i sempre più sofisticati dipartimenti Communication & Information Technology, a rendere ancora più cogente e imminente l’esigenza di una organizzazione ad-hoc per l’AI è il fatto che queste nuove tecnologie nascono subito sotto una forte attenzione governativa, non solo a livello nazionale ma addirittura transnazionale. Tanto che, ancora prima di conoscere appieno le potenzialità dell’intelligenza artificiale, l’Europa ha già emanato una normativa molto restrittiva in questa materia, l’AI Act, adottato in forma di Regolamento e dunque direttamente applicabile in tutti gli Stati membri. Inoltre, L’Italia ha seguito la stessa direzione, introducendo una prima legge quadro sull’intelligenza artificiale, la n. 132 del 2025, entrata in vigore il 10 ottobre 2025, volta a definire principi, responsabilità e misure di attuazione coerenti con il quadro europeo.

L’adozione dell’AI Act da parte dell’Unione Europea ha segnato un momento cruciale per la regolamentazione dell’intelligenza artificiale, imponendo alle aziende e alle istituzioni l’obbligo di strutturare una governance chiara e responsabile.

Uno dei principi cardine della normativa, che ricalca quello del GDPR, è il concetto di accountability, che nell’AI Act implica una definizione ancora più inequivocabile delle responsabilità non solo nel confine interno aziendale ma anche lungo l’intero ciclo di vita dei sistemi di AI e lungo l’intera catena della fornitura. Senza un’adeguata governance, si rischia di lasciare scoperte aree critiche, con il conseguente pericolo che nessuno abbia il mandato o l’autorità per intervenire in caso di pratiche non conformi.

Sanzioni AI Act: fino a 35 milioni di euro per chi non è conforme

Tra le ragioni che rendono fondamentale un’organizzazione strutturata vi è certamente il rischio di sanzioni. L’AI Act prevede un sistema sanzionatorio significativo per chi non si conforma alla normativa. Le aziende che violano le disposizioni possono incorrere in multe che arrivano fino a 35 milioni di euro o il 7% del fatturato annuo globale di gruppo, a seconda di quale importo sia maggiore. La severità delle sanzioni riflette l’importanza che l’UE attribuisce a una gestione responsabile dell’AI, richiedendo alle imprese di adottare un approccio proattivo alla conformità.

Per questo motivo, una governance aziendale ben strutturata è fondamentale. Essa non solo contribuisce a ridurre i rischi di non conformità e le relative sanzioni, ma consente anche di migliorare la gestione dei modelli di AI, prevenendo problematiche connesse alla trasparenza, alla discriminazione algoritmica e alla sicurezza informatica.

Governance preventiva: intervenire prima costa meno

Ma vi è di più: anche senza considerare la gravosità delle sanzioni pecuniarie previste, c’è da aspettarsi che le autorità competenti in materia di vigilanza potranno, come minimo, imporre interventi correttivi sulle funzionalità dei sistemi. Ciò comporta tempi e costi potenzialmente molto elevati, soprattutto perché molte componenti tecnologiche non sono sviluppate internamente, ma acquistate sul mercato da fornitori terzi, e quindi non sempre modificabili con interventi ad hoc.

Pertanto, è essenziale agire in via preventiva, dotandosi di processi e strutture di governance adeguate già nelle fasi di progettazione e implementazione dei sistemi di intelligenza artificiale, piuttosto che intervenire ex post, quando i margini di azione sono ridotti e i costi – anche reputazionali – risultano molto più elevati.

Chi fa cosa nell’AI: CAIO, RAIO e comitati di governance

Le aziende che sviluppano e utilizzano l’AI devono dotarsi di un modello organizzativo strutturato, in cui sia chiaro “chi-fa-cosa” riguardo alle nuove tecnologie. Non è necessario creare intere nuove strutture, ma è fondamentale sviluppare nuove competenze e ottenere il contributo di alcune delle funzioni già esistenti in materia di valutazione dell’impatto. Le decisioni relative ai sistemi di AI possono essere affidate a figure individuali o a organismi collegiali. Tra le nuove strutture emergenti, troviamo:

  • Il Chief Artificial Intelligence Officer (CAIO): è la figura responsabile della strategia complessiva sull’intelligenza artificiale all’interno dell’organizzazione. Il suo compito principale è promuovere l’adozione dell’AI come leva di innovazione, efficienza e competitività, definendo visione, priorità e investimenti tecnologici in linea con gli obiettivi di business.
  • Il Responsible AI Officer (RAIO): è la figura professionale incaricata di garantire che lo sviluppo, l’adozione e l’utilizzo dei sistemi di intelligenza artificiale all’interno di un’organizzazione avvengano in modo etico, conforme e responsabile, nel rispetto delle normative vigenti (come l’AI Act europeo) e dei valori aziendali.
  • I Comitati AI (tipo AI Governance Board): gruppi multidisciplinari incaricati di valutare l’uso strategico dell’IA, soprattutto nei casi di applicazioni a rischio elevato.

L’obiettivo di questi ruoli è garantire che tutte le decisioni su adozione e sviluppo di soluzioni AI siano prese all’interno di un quadro di riferimento chiaro e che nessuna fase del ciclo di vita del modello resti senza supervisione.

Accountability e approccio by design nella gestione del rischio AI

Il ciclo di vita di un sistema di AI comprende una serie di scelte tecniche e strategiche legate ad algoritmi, dati, parametri e tecnologie. Ogni decisione ha un impatto diretto sulla sicurezza, l’affidabilità e l’etica, rendendo imprescindibile la presenza di un processo ovvero di una struttura organizzativa in grado di assumersi la responsabilità della gestione del rischio e quindi della conformità.

L’AI Act stabilisce che le aziende devono adottare un approccio by design alla conformità normativa, garantendo che ogni fase dello sviluppo dell’AI integri misure di controllo e valutazione del rischio. Questo significa, ad esempio:

  • Implementare processi di validazione e verifica continua delle performance.
  • Definire policy interne di gestione dei dati per assicurare trasparenza e non discriminazione.
  • Stabilire meccanismi di audit periodico per verificare la conformità delle pratiche aziendali alle normative vigenti.
  • Guidare l’esecuzione di valutazioni di impatto sui diritti fondamentali dell’uomo (FRIA).

Dalla compliance all’opportunità strategica: il valore della governance AI

La compliance con l’AI Act non deve essere vista solo come un obbligo normativo, ma anche come un’opportunità strategica. Le aziende che adottano modelli di governance solidi possono beneficiare di una maggiore fiducia da parte degli utenti e delle autorità di controllo, oltre a ottenere un vantaggio competitivo in termini di innovazione responsabile.

In un contesto in cui la regolamentazione dell’AI è destinata a evolversi rapidamente, investire oggi in un sistema di governance efficace significa prepararsi al futuro, garantendo non solo la conformità normativa ma anche un utilizzo dell’AI etico, trasparente e sostenibile.

Le funzioni aziendali nella governance AI: un approccio multidisciplinare

Nell’ambito della governance dell’intelligenza artificiale, è fondamentale individuare le figure chiave e le funzioni aziendali che assicurano un approccio realmente efficace e responsabile. Queste professionalità dovrebbero essere coinvolte in un processo strutturato e continuo di gestione dell’AI, che integri competenze tecniche, legali, etiche e organizzative.

Solo in un secondo momento – e ove opportuno – tali figure potranno anche confluire in un Comitato AI, strumento utile ma non indispensabile, purché la governance rimanga fondata su processi chiari, responsabilità definite e coordinamento interfunzionale.

In aggiunta al Chief AI Officer (CAIO) e al Responsible AI Officer (RAIO), dove tali ruoli siano già presenti, tra le principali figure e funzioni coinvolte nella governance dell’intelligenza artificiale troviamo:

  • Data Protection Office (DPO): valuta l’impatto etico degli sviluppi e supervisiona la compliance con il GDPR e le componenti antropologiche dell’AI Act, fornendo consulenza sulla protezione dei dati personali nei modelli IA.
  • IT: gestisce l’infrastruttura tecnologica, la sicurezza informatica e l’implementazione tecnica dei modelli IA.
  • Ufficio Innovazione e Tecnologie: detiene la mappa degli sviluppi e utilizzi in azienda e analizza nuove opportunità di utilizzo dell’AI e garantisce che l’adozione tecnologica sia allineata agli obiettivi aziendali.
  • Ufficio Legale: assicura la conformità normativa e fornisce supporto in materia di contrattualistica e responsabilità legale.
  • HR e Formazione: sviluppa programmi di formazione per il personale, garantendo la diffusione della cultura dell’AI responsabile.
  • Compliance: verifica che l’adozione dell’IA rispetti tutte le normative aziendali e di settore.
  • Risk Management: identifica, valuta e mitiga i rischi associati all’implementazione dell’IA, garantendo un utilizzo sicuro ed etico.

Valorizzare le competenze esistenti per una AI responsabile

In conclusione, nell’ambito dello sviluppo e dell’utilizzo dell’intelligenza artificiale nelle aziende, non è necessario creare nuove strutture organizzative o comitati ad hoc. Spesso è più efficace individuare ruoli specifici – come il Chief AI Officer (CAIO) e il Responsible AI Officer (RAIO) – anche all’interno di funzioni già esistenti, in grado di coordinare e valorizzare le competenze trasversali presenti in azienda.

L’obiettivo non è “inventare” nuove entità, ma responsabilizzare e accompagnare le aree già operative – compliance, legale, IT, DPO, risorse umane – a integrare nella propria attività le competenze necessarie per affrontare le sfide introdotte dall’AI Act e dai principi di etica applicata al diritto.

L’intelligenza artificiale rappresenta un’evoluzione tecnologica che richiede un’evoluzione culturale e professionale delle strutture esistenti. Solo valorizzando le competenze interne e arricchendole con una visione consapevole e multidisciplinare sarà possibile garantire un uso dell’AI che sia non solo conforme alla normativa, ma anche coerente con i valori e la responsabilità sociale dell’impresa.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

B
Fabio Bartolomeo
Data Protection Officer (DPO) del Gruppo Leonardo
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • dazi trump sovranità europea

  • lo scenario

    Dazi Trump, così l'Europa può sopravvivere e innovare

    04 Apr 2025

    di Stefano da Empoli

    Condividi
  • Robotic,Cyborg,Hand,Pressing,A,Keyboard,On,A,Laptop,3d

  • vademecum

    Automazione industriale, cos’è: ecco le tecnologie all’avanguardia

    12 Mar 2025

    di Maurizio Carmignani

    Condividi
  • Transizione 5.0

  • la guida

    Transizione 5.0, tutto ciò che bisogna sapere: incentivi, green, formazione

    30 Dic 2024

    di Stefano da Empoli

    Condividi