Magazine

Governance dell'AI: dall'AI Act al modello operativo in azienda

13/07/2026
Governance dell'AI: dall'AI Act al modello operativo in azienda
L'Intelligenza Artificiale ha smesso di essere una promessa e si è fatta processo. Dopo la fase di sperimentazione che ha caratterizzato il biennio precedente, oggi il tema non è più se adottare l'AI, ma come governarla. E qui le organizzazioni si scoprono spesso impreparate: secondo diverse analisi di mercato, in molte aziende l'AI sta crescendo senza una governance strutturata alle spalle, mentre il mercato delle piattaforme dedicate alla governance dell'AI è atteso in forte crescita, spinto proprio dalla necessità di tradurre le regole in controlli concreti.

Il punto è che la conformità non si improvvisa. L'AI Act europeo prevede sanzioni che, per le violazioni più gravi, possono arrivare fino a 35 milioni di euro o al 7% del fatturato globale annuo: una cifra che da sola spiega perché la governance dell'AI sia salita ai primi posti dell'agenda di CIO, CDO e responsabili compliance. Ma ridurre il tema alle multe sarebbe un errore di prospettiva. Una governance ben costruita non è un costo difensivo: è ciò che permette di portare l'AI in produzione con fiducia, su fondamenta solide. Vediamo come si passa dalla norma al modello operativo.

Cosa cambia con l'AI Act (e cosa è appena cambiato)

Il Regolamento (UE) 2024/1689, noto come AI Act, è il primo quadro normativo orizzontale dedicato all'Intelligenza Artificiale. Entrato in vigore il 1° agosto 2024, adotta un approccio basato sul rischio che classifica i sistemi in quattro livelli: rischio inaccettabile (pratiche vietate, già in vigore dal febbraio 2025), alto rischio (soggetto a obblighi stringenti), rischio limitato (con obblighi di trasparenza, come segnalare all'utente che sta interagendo con un sistema automatico) e rischio minimo (libero).

Il cuore della normativa riguarda i sistemi ad alto rischio, elencati nell'Allegato III: identificazione biometrica, gestione di infrastrutture critiche, istruzione, occupazione e gestione dei lavoratori, accesso a servizi essenziali come credito e assicurazioni. Un esempio concreto rende l'idea: un sistema di scoring che decide l'accesso al credito è ad alto rischio perché incide direttamente su diritti e opportunità delle persone, e per questo deve garantire risk management, qualità dei dati, logging, documentazione, supervisione umana e robustezza.

Qui arriva l'aggiornamento più importante, che cambia il calendario rispetto a quanto molti hanno in agenda. Con il cosiddetto Digital Omnibus — su cui Parlamento e Consiglio hanno raggiunto un accordo provvisorio il 7 maggio 2026, poi approvato dal Parlamento europeo il 16 giugno 2026 e in attesa dell'adozione formale del Consiglio — le scadenze per i sistemi ad alto rischio sono state posticipate: diventeranno applicabili dal 2 dicembre 2027 per i sistemi autonomi (biometria, infrastrutture critiche, istruzione, occupazione) e dal 2 agosto 2028 per quelli integrati come componenti di sicurezza in prodotti già regolamentati. Restano comunque rilevanti il 2 agosto 2026 per l'applicazione generale del Regolamento e il regime sanzionatorio, e il 2 dicembre 2026 per l'obbligo di watermarking dei contenuti generati dall'AI. Il rinvio non è un "liberi tutti": è tempo concesso per fare le cose bene, in attesa degli standard tecnici armonizzati.

A completare il quadro, l'AI Act non vive isolato. Si incastra con il GDPR (protezione dei dati personali), con DORA (resilienza operativa per il settore finanziario) e con la direttiva NIS2 (sicurezza delle reti). La buona notizia è che molti adempimenti si sovrappongono: chi ha già impostato una solida governance dei dati parte avvantaggiato. La sfida è non moltiplicare i processi, ma integrarli.

Il quadro italiano: tra i primi in Europa

L'Italia ha fatto da apripista. Con la Legge 23 settembre 2025, n. 132, pubblicata in Gazzetta Ufficiale il 25 settembre ed entrata in vigore il 10 ottobre 2025, è tra i primi Stati membri UE a dotarsi di una legge nazionale organica sull'Intelligenza Artificiale, in coerenza con l'AI Act. Si tratta di una legge-quadro, che fissa principi e delega al Governo l'adozione dei decreti attuativi. La norma si fonda su principi di utilizzo antropocentrico, trasparente e sicuro, e tocca ambiti come sanità, lavoro, pubblica amministrazione e giustizia, introducendo garanzie di tracciabilità dei processi e centralità della decisione umana.

Sul piano della governance, la legge designa due Autorità nazionali: l'Agenzia per l'Italia Digitale (AgID), responsabile della promozione dell'innovazione e delle procedure di notifica e accreditamento, e l'Agenzia per la Cybersicurezza Nazionale (ACN), incaricata della vigilanza, delle ispezioni e delle sanzioni — ferma restando l'attribuzione alla Banca d'Italia, alla CONSOB e all'IVASS del ruolo di autorità di vigilanza del mercato per i sistemi di loro competenza. Per le imprese significa avere interlocutori più definiti, ma anche un doppio livello, europeo e nazionale, di cui tenere conto.

Dalla norma al modello operativo: i quattro pilastri

È qui che la governance smette di essere teoria. Tradurre gli obblighi normativi in pratica quotidiana richiede un modello operativo articolato su quattro pilastri, che lavorano insieme: l'organizzazione definisce chi fa cosa, i processi stabiliscono come, i controlli verificano che funzioni, la tecnologia rende tutto tracciabile.

Organizzazione e ruoli
La governance fallisce quando non ha un proprietario. Il primo passo è definire una ownership chiara dell'AI in azienda: chi risponde delle scelte sui modelli, chi approva i casi d'uso, chi vigila sui rischi. Nelle organizzazioni mature questo si traduce in un comitato di governance dell'AI che mette allo stesso tavolo IT, business, legal e DPO, superando la logica dei silos. Non serve creare strutture pesanti: serve che le responsabilità siano assegnate, non lasciate all'iniziativa spontanea.

Processi e policy
Il secondo pilastro dà forma alle regole del gioco. Una policy d'uso dell'AI chiarisce cosa è consentito e cosa no, un punto tutt'altro che teorico se si pensa al fenomeno della Shadow AI: i dipendenti che usano strumenti non approvati dall'azienda, esponendola a rischi di fuga dati e non conformità. Accanto alla policy servono processi di approvazione dei nuovi casi d'uso, gestione del ciclo di vita dei modelli (dal training al ritiro) e una documentazione che, in caso di audit, dimostri cosa è stato fatto e perché.

Controlli e risk management
Il terzo pilastro è il sistema nervoso della governance. Si parte dalla classificazione del rischio di ciascun sistema secondo le categorie dell'AI Act, per capire quali obblighi si applicano. Da lì si costruiscono il monitoraggio continuo delle performance, gli audit periodici, la gestione degli incidenti e le valutazioni d'impatto. L'obiettivo non è produrre carta, ma intercettare i problemi prima che diventino violazioni, mantenendo evidenze concrete e aggiornate.

Tecnologia e infrastruttura
Il quarto pilastro è quello che spesso viene dato per scontato, ed è invece il fondamento di tutti gli altri. Senza tracciabilità tecnica e logging, non c'è audit possibile. Senza certezza su dove risiedono i dati, non c'è controllo sulla conformità. Senza ambienti adeguatamente isolati per i sistemi più critici, non c'è governance credibile. La tecnologia, in altre parole, non è il punto d'arrivo della governance: ne è la precondizione.

Il ruolo dell'infrastruttura nella governance

Proprio su quest'ultimo punto si gioca una partita decisiva, e spesso sottovalutata. Si può scrivere la policy più rigorosa del mondo, ma se i dati su cui gira l'AI risiedono in giurisdizioni opache o su sistemi che non si controllano, la governance resta sulla carta. Logging e tracciabilità rendono possibile l'audit; la residenza europea del dato e la sovranità sul dato rendono verificabile la conformità; il controllo architetturale reale e gli ambienti isolati per i carichi più critici sono ciò che separa una governance dichiarata da una governance dimostrabile. Non sono dettagli tecnici a valle del modello di governance: ne sono le fondamenta. È il livello in cui ciascuno dei quattro pilastri — ruoli, processi, controlli, tecnologia — diventa effettivamente esercitabile, oppure resta un'intenzione su un documento.

In questa logica si inserisce l'approccio di Aruba all'Intelligenza Artificiale. Infrastrutture proprietarie ospitate in data center in Italia ed Europa, certificate secondo standard come ISO 27001 e il Codice di Condotta CISPE e progettate fin dall'origine nel rispetto del quadro normativo europeo (GDPR, DORA, NIS2 e AI Act), rispondono direttamente al problema del lettore: poter dimostrare, e non solo affermare, che i propri sistemi AI sono tracciabili, auditabili e conformi. Per i contesti più regolamentati, un approccio Private AI consente di mantenere dati e modelli all'interno del perimetro aziendale, mentre il controllo su architettura e dati resta all'organizzazione — presupposto per poter davvero governare e verificare i propri sistemi. Per la Pubblica Amministrazione, la residenza dei dati sul territorio italiano e le qualifiche specifiche rispondono a requisiti particolarmente stringenti.

Roadmap ed errori da evitare

Per chi parte oggi, ecco i passi essenziali per avviare una governance dell'AI:
  1. Mappare i sistemi AI già in uso in azienda, compresi quelli adottati informalmente dai team.
  2. Classificare il rischio di ciascun sistema secondo le categorie dell'AI Act.
  3. Assegnare le responsabilità, con un'ownership chiara e un raccordo tra IT, business, legal e DPO.
  4. Definire policy e processi d'uso, approvazione e gestione del ciclo di vita dei modelli.
  5. Attivare controlli e audit continui, con tracciabilità tecnica garantita dall'infrastruttura.

E gli errori più comuni da evitare: una governance solo formale, fatta di documenti che nessuno applica; una governance scollegata dall'IT, che ignora il livello infrastrutturale; e una governance senza ownership chiara, dove tutti sono responsabili e quindi nessuno lo è.

Una sfida continua, non un adempimento una tantum

La governance dell'AI non si conclude con una checklist firmata. È un modello operativo che evolve insieme alla tecnologia, ai modelli e alle normative, in un contesto, come quello del 2026, in cui le regole stesse continuano a calibrarsi. Affrontarla come opportunità, e non solo come vincolo, è ciò che distingue le organizzazioni che subiscono l'AI da quelle che la governano per davvero. E poiché, nei contesti regolamentati, un modello di governance è solido quanto le sue fondamenta tecniche, la scelta dell'infrastruttura difficilmente può essere trattata come una decisione tecnica successiva: tende a diventare parte integrante del modello di governance stesso.

In questo scenario, scegliere infrastrutture controllabili, sovrane e conformi diventa parte integrante del modello di governance, non una decisione tecnica da rimandare.



 
 
Newsletterbox