CIRCOLARE MONOGRAFICA
Analisi del recente Documento del CNDCEC di supporto agli organi di controllo nella supervisione strategica e operativa dell’IA nelle imprese
DI ROBERTA PROVASI | 4 FEBBRAIO 2026
La crescente regolamentazione europea relativa all’utilizzo dell’AI statuite dall’IA Act dell’Unione Europea, che ha determinato lo standard ISO/IEC 42001 per i sistemi di gestione dell’IA, impone nuove responsabilità sia a carico degli organi amministrativi che degli organi di controllo. In particolare, il collegio sindacale, anche secondo le Linee guida contenute nel recente Documento dello scorso 3 dicembre 2025 intitolato “Linee guida di vigilanza del collegio sindacale sull’adozione dell’intelligenza artificiale”, ha la responsabilità di monitorare come l’azienda gestisce la transazione verso l’adozione dell’IA. Processo che deve essere gestito in modo ordinario e trasparente, con una valutazione dell’impatto che IA avrà sui processi aziendali sulle persone e sui ruoli all’interno dell’azienda.
L’IA nella governance aziendale nel rispetto della normativa
L’intelligenza artificiale (IA) sta avendo ad oggi un grande impatto sulle attività aziendali.
Como noto l’intelligenza artificiale (AI) è un ramo dell’informatica che si occupa della costruzione di macchine intelligenti in grado di eseguire attività che in genere richiedono l’intelligenza umana. È una scienza interdisciplinare con molteplici approcci, in cui i progressi già compiuti nell’apprendimento automatico (machine learning) e nell’apprendimento profondo (deep learning) stanno portando a un cambio di paradigma in ogni settore dell’industria tecnologica. A differenza dei computer, che svolgono funzioni meccaniche e compiti precisi, l’AI è invece progettata per acquisire ed elaborare informazioni che le consentano di imparare e di interagire correttamente con l’ambiente circostante.
Tuttavia, l’obiettivo espansivo dell’intelligenza artificiale solleva tutt’oggi molte domande e dibattiti, tanto è vero che nessuna definizione unica è ancora stata universalmente accettata.
L’utilizzo dei sistemi di IA non è certamente privo di rischi da cui l’esigenza dell’introduzione della crescente regolamentazione contenuta nell’AI Actdell’Unione Europea.
Il Regolamento UE 2024/1689, noto come AI Act, è la prima legge completa sull’intelligenza artificiale, entrata in vigore nell’estate 2024, che mira a creare un quadro giuridico uniforme per l’IA nell’UE, promuovendo lo sviluppo di sistemi sicuri, affidabili e rispettosi dei diritti fondamentali. Stabilisce norme basate sul rischio (inaccettabile, alto, limitato, minimo), vieta pratiche di IA rischiose (es. social scoring), definisce obblighi di trasparenza e requisiti per i sistemi ad alto rischio e introduce scadenze di applicazione graduale dal 2025 al 2028 per fornitori e utilizzatori, garantendo al contempo l’innovazione e la libera circolazione dei servizi IA.
Il nostro Paese ha subito raccolto l’impegno formulato nel Regolamento europeo sull’intelligenza artificiale di armonizzare ed adeguare la legislazione nazionale a quella europea entro 12 mesi dall’approvazione dell’AI Act. Difatti, in concomitanza con l’adozione dell’AI Act da parte del Parlamento Europeo, il Consiglio dei Ministri ha approvato un Disegno di legge (n. 78 del 23 aprile 2024) diventato Legge n. 132/2025 che disciplina l’uso dell’intelligenza artificiale nei settori demandati dal Regolamento all’autonomia normativa degli Stati Membri.
La Legge, in vigore dal 10 ottobre 2025, è di fatto la prima normativa italiana sull’intelligenza artificiale (IA) ed ha in particolare l’intento di individuare criteri regolatori in grado di equilibrare il rapporto tra le opportunità offerte dalle nuove tecnologie con i rischi legati ad un uso improprio, stabilendo principi per un utilizzo trasparente, sicuro ed etico. Essa riguarda diversi ambiti applicativi e prevede modifiche al codice penale per reati commessi con l’IA, come la diffusione di deepfake (ossia la diffusione illecita di immagini, video o voci falsificati con IA) e manipolazioni del mercato.
La Legge approvata si articola in una parte di principi e disposizioni generali, seguita da norme specifiche per ambiti sensibili e da un’ampia delega al Governo per l’adozione di decreti legislativi entro 12 mesi.
Di particolare rilevanza i principi fondamentali ossia:
| Centralità della persona umana e antropocentrismo dell’intelligenza artificiale. |
| Trasparenza e spiegabilità dei sistemi. |
| Responsabilità degli operatori. |
| Non discriminazione e inclusione. |
| Tutela della dignità e dei diritti fondamentali. |
| Protezione dei dati personali e sicurezza informatica. |
I sistemi di gestione dell’IA impattano su tutti gli organi di governance in quanto richiedono di affiancare alle scelte tecnologiche un’adeguata attenzione ai profili di conformità, gestione dei rischi e responsabilità. Ciò comporta che, accanto all’organo di amministrazione, responsabile per l’istituzione e l’implementazione dei sistemi di AI, anche gli organi di controllo devono meglio vigiliare. In particolare, il collegio sindacale deve sviluppare un nuovo approccio di vigilanza, verificando che l’adozione di tali tecnologie sia conforme alle leggi, agli standard di buona governance e agli interessi di lungo termine degli azionisti.
Al riguardo sono molto utili le Linee guida elaborate dal CNDCEC e contenute nel Documento “Linee guida di vigilanza del collegio sindacale sull’adozione dell’intelligenza artificiale” dello scorso 3 dicembre 2025, che seppur destinato alle società quotate presenta spunti di riflessione anche operativi idonei per i sindaci di tutte le società. Come riportato nel Documento stesso “l’avvento dell’intelligenza artificiale non è un semplice upgrade tecnologico, ma una trasformazione che ridisegna catene del valore, ruoli professionali, processi decisionali e aspettative degli stakeholder”.
In tali rinnovati contesti il ruolo e le funzioni del consiglio di amministrazione diventano in primis quelle di governare in modo proattivo gli impatti dell’IA su produttività, organizzazione del lavoro, competenze, dipendenze da terze parti e profili di rischio (operativi, legali, reputazionali), perché tali impatti possono incidere in modo significativo sulla gestione ordinaria e, nei casi più critici, sulla stessa continuità aziendale. A seguire ilcollegio sindacale deve rivedere le sue attività di vigilanza quale di un presidio continuo sulla correttezza del processo decisionale e sulla tenuta del sistema dei controlli quando la società progetta, adotta e gestisce sistemi di intelligenza artificiale.
Il ruolo del consiglio di amministrazione nell’implementazione dell’IA
Come detto, l’IA apre nuove prospettive che mettono in discussione il funzionamento delle organizzazioni, la loro capacità di generare valore e le loro interazioni con le parti interessate. Oltre ad incidere sui processi operativi, l’IA ridefinisce le dinamiche di potere comprese le relazioni con la direzione e le interazioni all’interno dei consigli di amministrazione.
L’IA ha il potenziale per essere effettivamente impiegata dai consigli di amministrazione su tre livelli distinti, e precisamente come:
| 1. Supporto agli amministratori (mediante l’analisi in tempo reale di dati strategici); |
| 2. strumento per arricchire i dibattiti durante le riunioni (attraverso l’uso di analisi predittive o raccomandazioni); |
| 3. potenzialmente, anche come sostituto di alcune figure decisionali (riducendo la catena di potere). |
I consigli di amministrazione sono dunque chiamati a integrare l’intelligenza artificiale generativa (IAG), assumendo pienamente le loro responsabilità etiche e strategiche.
La sfida è complessa: i consigli devono dotarsi delle risorse necessarie per affrontarla, acquisendo competenze di base sull’IAG, comprendendone tutte le implicazioni, definendo una strategia per l’IA a lungo termine che massimizzi i benefici, minimizzi i rischi e preservi la fiducia delle parti interessate, oltre a adottare una struttura di governance adeguata a tali sfide.
L’integrazione dell’IA rafforza le responsabilità del consiglio di amministrazione, poiché deve garantire che:
| 1. Le tecnologie integrate nell’organizzazione sono avanzate, trasparenti, affidabili, conformi alle leggi in vigore e disciplinate da protocolli e procedure interne chiaramente definiti per regolare l’uso dell’IA. |
| 2. I sistemi di controllo interno adottati dalla direzione sono robusti per mitigare i rischi legati all’IA. Devono in particolare garantire la qualità e l’integrità dei dati, la sicurezza dei sistemi tecnologici e la trasparenza degli algoritmi integrati. |
| 3. Le procedure e le politiche etiche che disciplinano l’uso responsabile dell’IA sono allineate ai valori dell’impresa e alle aspettative delle parti interessate. |
La vigilanza del collegio sindacale
In tali rinnovati contesti diventa ancor più rilevante l’attività di vigilanza del collegio sindacale poiché mantiene un presidio continuo sulla correttezza del processo decisionale e sulla tenuta del sistema dei controlli quando la società progetta, adotta e gestisce sistemi di intelligenza artificiale.
Il particolare le Linee guida prodotte dal CNDCEC sono finalizzate ad offrire un quadro pratico per supportare il collegio sindacale nell’attuazione di tale vigilanza, mantenendo il focus del controllo sulle aree più rilevanti, quali sono:
| 1. la gestione strategica della transizione verso l’AI; |
| 2. la valutazione strategica dell’IA; |
| 3. la supervisione della governance interna; |
| 4. la gestione dei rischi legati all’IA; |
| 5. la compliance normativa e regolamentare; |
| 6. l’utilizzo dei sistemi di AI da parte degli organi di governance. |
Con riferimento alle singole aree è possibile individuare delle specifiche attività di vigilanza che il collegio sindacale deve mettere in atto per cui potrà essere opportuno anche avvalersi di idonee carte da lavoro e check-list di supporto.
In particolare, seppur in modo sintetico, le principali attività che il collegio sindacale deve implementare possono essere così schematizzate:
| 1. La gestione strategica della transizione verso l’AI | Verificare se il consiglio di amministrazione ha effettuato una valutazione degli effetti dell’intelligenza artificiale sui processi e sulle persone: dove aumenta la produttività, dove migliora la qualità e i tempi di risposta, quali attività si svuotano parzialmente e quali, al contrario, si intensificano Sull’adeguatezza degli assetti organizzativi-amministrativi e contabili il collegio deve effettuare un monitoraggio: della qualità dei flussi informativi verso il consiglio di amministrazione; della coerenza tra ruoli, deleghe e responsabilità operative; dell’integrazione dei presìdi di rischio, sicurezza e qualità dei dati nei processi di sviluppo, rilascio e gestione dei modelli; della capacità della funzione di audit di coprire i processi e i sistemi rilevanti con metodologie adeguate e una reportistica comprensibile. |
| 2. La valutazione strategica dell’IA | Il collegio sindacale deve assicurarsi che l’IA non sia utilizzata in modo isolato, ma integrata nella strategia complessiva dell’organizzazione. In questo contesto, il collegio sindacale vigila che le scelte del consiglio di amministrazione siano supportate da analisi delle priorità aziendali, dalla definizione di obiettivi chiari e comunicati e da una pianificazione di lungo termine, con milestone utili a valutare l’efficacia delle iniziative. Per cui devono analizzare come gli amministratori integrano l’IA nelle strategie aziendali, se sono coinvolti gli stakeholder, se l’IA rientra nella pianificazione a lungo termine, |
| 3. La supervisione della governanceinterna | Il collegio sindacale deve: vigilare che l’IA non sia gestita unicamente come una tematica di carattere tecnologico, ma come parte integrante della governance aziendale; valutare l’esistenza di strutture interne adeguate alla gestione dell’IA; richiedere informazioni sulla presenza e sulla efficacia di politiche aziendali aventi come oggetto l’utilizzo di IA; acquisire informazioni riguardanti il sistema di controllo interno sui sistemi di IA. |
| 4. La gestione dei rischi legati all’IA | Il collegio sindacale vigila che il management abbia ricompreso nel proprio modello di gestione dei rischi almeno le seguenti tipologie: rischi tecnici; rischi di bias e discriminazione; rischi legali e di conformità; rischi operativi e di terze parti; rischi reputazionali e di diritti fondamentali. |
| 5.La compliancenormativa e regolamentare | Il collegio sindacale in particolare: prende visione dei piani di conformità AI Act predisposti dal management e dei relativi avanzamenti, con attenzione a ruoli, scadenze e priorità; considera la completezza delle informazioni ricevute avuto riguardo all’inventario dei sistemi di AI utilizzati, classificazione del loro livello di rischio, cruscotti con indicatori di performance/rischio e segnala eventuali aree che richiedono chiarimenti, integrazioni o presìdi più robusti; sollecita aggiornamenti sui temi critici. |
| 6. L’utilizzo dei sistemi di AI da parte degli organi di governance | Il collegio sindacale deve mappare quali sistemi di AI utilizza il consiglio di amministrazione. |
Riferimenti normativi:
- CNDCEC, Documento 3 dicembre 2025, “Linee guida di vigilanza del collegio sindacale sull’adozione dell’intelligenza artificiale”.
Il contenuto di questa newsletter è strettamente riservato e destinato esclusivamente ai destinatari autorizzati.
È espressamente vietata la condivisione totale o parziale di questa comunicazione su qualsiasi piattaforma pubblica o privata, inclusi (ma non limitati a):
• Gruppi e canali Telegram
• Chat di gruppo o broadcast su WhatsApp
• Post o storie su Facebook, Instagram, X (Twitter), LinkedIn, o altri social network.
Ogni violazione di questa norma potrà comportare l’esclusione immediata dalla lista dei destinatari e, nei casi più gravi, azioni legali.
Grazie per il rispetto delle regole e per contribuire a mantenere la riservatezza delle informazioni condivise