L’impatto dell’IA sulla governance aziendale

COMPLIANCE & RISK MANAGEMENT | marzo 2026

In questo numero della Newsletter Compliance & Risk Management, i professionisti della Service Line 231/Privacy di Andersen hanno approfondito l’impatto dell’IA sulla governance aziendale, al fine di evidenziare l’importanza, sempre più crescente, per le imprese di adottare apposite misure tecniche e organizzative in grado di mitigare i rischi legati all’utilizzo dell’IA, migliorando così la propria governance e la propria resilienza.

La responsabilità 231 in caso di reati connessi all’uso di sistemi AI-based

La responsabilità 231 dell’ente può emergere quando l’utilizzo di sistemi AI-based diventa strumento per la commissione di reati-presupposto: si pensi ai delitti informatici (accesso abusivo, trattamento illecito di dati), alle ipotesi di manipolazione del mercato o a violazioni in ambito sicurezza sul lavoro qualora algoritmi mal configurati incidano su processi produttivi.

L’adozione di soluzioni automatizzate non attenua la colpa organizzativa: al contrario, impone un rafforzamento dei presidi. L’ente è chiamato quindi a dimostrare di aver valutato i rischi connessi all’AI, di aver definito responsabilità chiare nella governance dei sistemi, di aver previsto controlli sui dataset e sulla qualità degli output. In questo scenario, il Modello 231 deve essere aggiornato integrando: mappatura dei processi “AI-driven”, protocolli di validazione tecnica e legale, flussi informativi verso l’OdV. Centrale è anche la formazione del personale sull’uso consapevole degli strumenti.

GDPR e AI ACT: una gestione integrata per proteggere i dati personali

Nel panorama digitale europeo, la protezione dei dati personali richiede oggi un approccio sempre più integrato. L’interazione tra GDPR e AI Act rappresenta un punto cruciale per lo sviluppo responsabile ed etico dell’intelligenza artificiale in quanto volta a garantire che la tecnologia, in particolare quella basata sui sistemi di intelligenza artificiale (IA), si sviluppi nel rispetto dei diritti fondamentali delle persone.

Una gestione integrata di queste due normative consente quindi di affrontare al meglio le criticità legate ai sistemi automatizzati: dalla necessità di spiegabilità delle decisioni alla prevenzione di bias, dalla corretta valutazione d’impatto alla definizione di ruoli e responsabilità tra sviluppatori, fornitori e utilizzatori.

In termini operativi, ciò si traduce nel rafforzamento della governance, tramite lo svolgimento di risk assessment specifici, la definizione di procedure interne chiare e trasparenti e la formazione del personale in materia di data protection, cybersecurity e IA.

La classificazione dei sistemi di IA in base al rischio: i sistemi IA ad alto rischio

Il regolamento europeo sull’intelligenza artificiale (AI Act) identifica i sistemi di IA ad alto rischio in considerazione del loro potenziale impatto su salute, sicurezza e diritti fondamentali degli individui. Questi sistemi non sono vietati, ma la loro immissione sul mercato è soggetta a rigorosi obblighi di conformità.  Tra i sistemi di IA ad alto rischio vi sono, ad esempio, giocattoli, ascensori, apparecchiature radio, dispositivi medici, dispositivi medico-diagnostici in vitro, veicoli automobilistici e aeronautici, oltre che sistemi destinati a essere utilizzati come componenti di sicurezza delle infrastrutture digitali critiche e di infrastrutture per la fornitura di acqua, gas, riscaldamento ed elettricità. Tali sistemi devono essere progettati e sviluppati in modo tale da poter essere utilizzati sotto la costante supervisione di persone fisiche. Inoltre, sono previsti controlli periodici per verificare che essi garantiscano standard elevati di sicurezza, in linea con gli obiettivi della strategia digitale europea tendenti a rendere l’IA tanto innovativa quanto affidabile.