Intelligenza Artificiale: governance, compliance e legal risk management

L’intelligenza artificiale sta entrando nei processi aziendali più sensibili: selezione del personale, valutazione del rischio, pricing, customer journey, controllo interno e supporto alle decisioni strategiche. In questo scenario, la compliance all’AI Act non è solo un adempimento normativo, ma anche una scelta di governance che incide su reputazione, continuità operativa e capacità di crescere in modo sostenibile.

Per allinearsi al Regolamento europeo sull’intelligenza artificiale (Reg. UE 2024/1689), le imprese stanno ridefinendo il modo in cui progettano, acquistano e utilizzano sistemi di intelligenza artificiale.

Andersen affianca imprese e gruppi internazionali nella costruzione di un modello di AI Governance & Compliance concreto, proporzionato e integrabile nei processi già esistenti. L’obiettivo è supportare il management nel governo responsabile dell’AI, riducendo il rischio senza rallentare l’innovazione.

Il nostro approccio è business-driven: parte dall’uso reale dei sistemi AI all’interno dell’azienda, individua le aree più esposte e costruisce soluzioni coerenti con gli obiettivi di business, le aspettative normative europee e le best practice di mercato.

Cosa facciamo: i nostri servizi per l’Intelligenza Artificiale

  • Assessment di primo livello sui sistemi AI utilizzati in azienda
  • Mappatura degli obblighi applicabili e dei casi d’uso a maggiore rischio
  • Supporto nella definizione di governance, policy e flussi di approvazione interni
  • Revisione dei rapporti contrattuali con fornitori, partner tecnologici e outsourcer
  • Predisposizione di documentazione, procedure e presidi di auditabilità
  • Affiancamento in attività di AI literacy, formazione, remediation e gestione del rischio

Il valore per l’impresa: perché investire in Compliance

  • Ridurre il rischio legale e reputazionale
  • Rafforzare la governance interna
  • Rendere più robusti i processi decisionali
  • Dimostrare affidabilità a stakeholder e mercato
  • Innovare riducendo in modo strutturato i rischi legali, operativi e reputazionali

Dal quadro regolatorio alla governance operativa dell’AI

La governance dell’intelligenza artificiale non si esaurisce nella risposta a singoli adempimenti, ma richiede un percorso continuo di valutazione, controllo e aggiornamento, documentato e verificabile nelle sue diverse fasi.

Il quadro normativo applicabile è stratificato e coinvolge, tra gli altri, l’AI Act, il GDPR, la normativa italiana in materia di intelligenza artificiale, il D.Lgs. 231/2001, la disciplina giuslavoristica, la cybersecurity, la proprietà intellettuale e la responsabilità contrattuale.

L’AI Act introduce un modello fondato sul rischio e impone obblighi differenziati in funzione del ruolo assunto dall’impresa e del tipo di sistema AI utilizzato, con particolare attenzione a documentazione, trasparenza, supervisione umana, qualità dei dati e auditabilità.

In parallelo, il GDPR continua a trovare applicazione ogni volta che i sistemi AI comportano il trattamento di dati personali, mentre i profili giuslavoristici, contrattuali, IP e 231 richiedono un coordinamento con i presidi aziendali già esistenti.

Competenze integrate per l’AI Governance & Compliance

Andersen supporta le imprese nella definizione di presidi di AI Governance & Compliance documentati, sostenibili e integrabili nei processi aziendali esistenti.

Il team integra competenze in diritto delle nuove tecnologie, compliance, data protection, risk management, contrattualistica e proprietà intellettuale, con l’obiettivo di coniugare analisi normativa, comprensione dei processi aziendali e gestione operativa del rischio.

Compliance all’AI Act

Il team assiste i clienti nella mappatura e classificazione dei sistemi AI utilizzati, sviluppati, acquistati o integrati nei processi aziendali, individuando ruoli, responsabilità e obblighi applicabili ai sensi dell’AI Act.

L’attività comprende gap analysis, assessment di conformità, roadmap di adeguamento, predisposizione dei presidi documentali e supporto nella gestione dei rapporti con fornitori, sviluppatori, integratori e provider di soluzioni AI.

Due diligence sui fornitori AI

Andersen supporta le imprese nella valutazione dei fornitori AI, con particolare attenzione alla documentazione tecnica, alla ripartizione delle responsabilità, ai livelli di rischio, alle garanzie contrattuali e ai presidi di auditabilità.

L’attività consente di tradurre informazioni tecniche e documentazione dei provider in valutazioni comprensibili per il management e in clausole contrattuali di mitigazione efficaci.

Policy, procedure e controlli interni

Andersen supporta le organizzazioni nella definizione di modelli di governo dell’AI proporzionati alla dimensione, al settore e al livello di rischio dell’attività svolta.

L’assistenza comprende la predisposizione di AI policy, procedure per l’approvazione, l’utilizzo e il monitoraggio degli strumenti AI, criteri per la segnalazione e la gestione dei casi più rilevanti, flussi informativi verso organi societari e funzioni di controllo, nonché programmi di AI literacy e formazione per le funzioni aziendali coinvolte.

Quando opportuno, il team supporta l’integrazione dei rischi AI nei Modelli 231, nei sistemi di controllo interno e nei processi di risk management, anche attraverso l’aggiornamento continuativo di policy e procedure, la valutazione di nuovi casi d’uso, la revisione dei presidi adottati e l’assistenza in caso di richieste delle autorità, reclami, incidenti o contestazioni.

Dati, contratti e proprietà intellettuale

L’utilizzo di sistemi AI richiede un presidio specifico sulla governance dei dati, sulla selezione degli input e sulla gestione dei profili di protezione dei dati personali, cybersecurity, proprietà intellettuale, responsabilità contrattuale e tutela del know-how aziendale.

Andersen assiste i clienti nella gestione di dataset, fonti informative, prompt e contenuti aziendali, nella valutazione dei profili GDPR, nella revisione dei contratti con fornitori e sviluppatori e nell’analisi dei diritti relativi a input, output, modelli, software, contenuti generativi e informazioni riservate.