Log in
Sign up
ai governance illustrated as a ship's helm in sumi-e lineart

Sections

Governance dell’IA: il sistema operativo per un’IA conforme e responsabile

governance dell'IA rappresentata come timone di nave in stile sumi-e

In sintesi

  • La governance dell’IA è il sistema di politiche, ruoli, processi e controlli con cui un’organizzazione decide come progettare, distribuire, sorvegliare e dismettere i propri sistemi di IA lungo l’intero ciclo di vita.
  • Non coincide né con la gestione del rischio, che ne è soltanto un processo interno, né con la conformità, ossia l’obbligo esterno che la governance è chiamata a soddisfare.
  • Tre quadri di riferimento si completano a vicenda: il regolamento europeo sull’IA fissa gli obblighi giuridici, la norma ISO/IEC 42001 fa funzionare il sistema di gestione e il NIST AI RMF struttura il lavoro sul rischio.
  • Una governance matura si comporta come un sistema operativo: ogni principio si risolve in un responsabile designato, un controllo concreto e una prova che un revisore può esaminare.
  • La posta in gioco è ormai operativa. In base al regolamento europeo, le sanzioni più gravi raggiungono 35.000.000 EUR oppure il 7 % del fatturato annuo mondiale.

Che cos’è la governance dell’IA?

La governance dell’IA raccoglie i diritti decisionali, le politiche, i processi e i controlli con cui un’organizzazione indirizza la progettazione, la distribuzione, la sorveglianza e la dismissione dei propri sistemi di intelligenza artificiale. Risponde a tre domande semplici: chi può decidere ciò che un sistema fa, come tali decisioni vengono documentate e come l’organizzazione dimostra, a posteriori, che le regole sono state rispettate.

È proprio quest’ultima condizione a essere decisiva. Per un decennio la governance dell’IA si è ridotta a una dichiarazione di valori (equità, trasparenza, responsabilità) messa per iscritto in una politica e poi archiviata. La disciplina è passata dall’etica volontaria a un’infrastruttura operativa obbligatoria, perché autorità di vigilanza e consigli di amministrazione oggi si attendono prove anziché intenzioni. Un programma incapace di produrre tracce è, in pratica, privo di governance.

Conviene distinguere tre nozioni spesso confuse. La governance è il livello della decisione e della responsabilità. La gestione del rischio dell’IA è un processo che vive all’interno della governance: individuare, valutare e trattare i rischi di un dato sistema. La conformità è il requisito esterno, posto da una legge o da una norma, che la governance mira a soddisfare. Solo la governance lega insieme l’obbligo, la decisione e la prova. Per le organizzazioni che si chiedono da dove cominciare, la nostra presentazione della piattaforma AI Sigil colloca la governance come lo strato che connette questi elementi.

Ne deriva una definizione operativa: la governance dell’IA è il modello che trasforma principi astratti in pratiche ripetibili e verificabili. Il resto di questa guida spiega come tale modello prende forma.

Perché la governance dell’IA conta adesso

Un tempo l’argomento riguardava la reputazione. Oggi è giuridico e finanziario. Il regolamento europeo ha introdotto sanzioni graduate che iscrivono la non conformità a bilancio: fino a 35.000.000 EUR oppure il 7 % del fatturato mondiale per una pratica vietata, con soglie inferiori ma comunque rilevanti per le altre violazioni (Commissione europea, regolamento sull’IA). Quando il rischio si misura in una percentuale del fatturato globale, la governance smette di essere un gruppo di lavoro e diventa una responsabilità del consiglio.

Anche la superficie di rischio si è ampliata. Un sistema di IA moderno è di rado un singolo modello. È una catena di dati di addestramento, modelli di base di terzi, messe a punto, prompt, fonti di recupero e azioni a valle, e ciascun anello può introdurre distorsioni, divulgare dati, derivare o comportarsi in modo imprevedibile. I modelli per finalità generali e quelli di frontiera aggiungono un ulteriore strato, perché l’organizzazione che li distribuisce spesso non li ha costruiti. La governance mantiene responsabile questa catena quando nessun singolo team la controlla per intero.

Infine, le aspettative sulla responsabilità si sono irrigidite. Affermare che un sistema è governato non basta più; revisori e autorità cercano responsabili designati per la classificazione del rischio, i dati in ingresso, il monitoraggio e la risposta agli incidenti. In Italia, le indicazioni del Garante per la protezione dei dati personali e dell’AgID vanno nella stessa direzione. Una responsabilità diffusa si legge come assenza di responsabilità. La nostra raccolta di analisi settoriali segue questa evoluzione nei settori regolati.

I tre quadri di riferimento e la loro integrazione

La confusione nasce spesso dall’idea di dover scegliere tra regolamento europeo, ISO/IEC 42001 e NIST AI RMF. È un equivoco. Agiscono a livelli diversi e un programma serio li impiega tutti e tre. La nostra raccolta di analisi mostra come si incastrano.

Il regolamento europeo: il livello degli obblighi

Il regolamento sull’IA è una legge ed è strutturato per rischio. Ordina i sistemi in quattro classi: rischio inaccettabile (vietato), rischio alto (fortemente regolato), rischio limitato (obblighi di trasparenza) e rischio minimo (sostanzialmente libero). I sistemi ad alto rischio portano la maggior parte degli obblighi: sistema di gestione del rischio, governance dei dati, documentazione tecnica, registrazione, sorveglianza umana, accuratezza e cibersicurezza, monitoraggio successivo all’immissione sul mercato, il tutto convalidato da una valutazione della conformità (Commissione europea, regolamento sull’IA). Il regolamento definisce che cosa si deve fare.

ISO/IEC 42001: il livello del sistema di gestione

La ISO/IEC 42001:2023 è la prima norma internazionale per un sistema di gestione dell’IA (AIMS). Precisa come un’organizzazione stabilisce, attua, mantiene e migliora con continuità il proprio modo di governare l’IA: inventario, valutazione del rischio, attuazione dei controlli, obiettivi e valutazione delle prestazioni (ISO). Dove la legge enuncia gli obblighi, la ISO/IEC 42001 fornisce la meccanica gestionale ripetibile che vi tiene in carreggiata mese dopo mese.

NIST AI RMF: il livello operativo del rischio

Il quadro di gestione del rischio del NIST è volontario e indipendente dal metodo. Struttura il lavoro effettivo sul rischio attraverso quattro funzioni: Govern, Map, Measure, Manage (NIST). Govern fissa cultura e responsabilità; Map colloca ogni sistema nel contesto; Measure ne valuta il comportamento; Manage agisce sui risultati. Il NIST è il ciclo che si fa girare all’interno del sistema di gestione.

Letti insieme: il regolamento dice ciò che dovete, la ISO/IEC 42001 fa funzionare il sistema che ve lo fa erogare e il NIST organizza l’analisi del rischio al di sotto. L’Europa prepara inoltre norme armonizzate (i progetti CEN-CENELEC noti come prEN 18228, prEN 18282 e prEN 18229) destinate a tradurre il regolamento in specifiche tecniche verificabili, ancora allo stato di bozza.

La governance come sistema operativo: dall’inventario alla prova

La maggior parte dei programmi si arena perché si ferma ai principi. Un modello operativo no. Fa girare una catena che trasforma ogni obbligo in qualcosa di esaminabile, e questa catena ha quattro anelli.

Inventariare ogni sistema e le sue parti

Non si governa ciò che non si è censito. Il primo anello è un inventario vivo di ogni sistema di IA e dei suoi sottocomponenti: il modello o i modelli, i dati, il caso d’uso, l’interfaccia con cui vi si accede e le azioni che può compiere. L’IA ombra, adottata da un team senza approvazione centrale, è la lacuna più comune e il luogo in cui si annida il rischio non controllato.

Classificare il rischio di ogni sistema

In seguito si classifica ogni sistema censito rispetto alle classi di rischio del regolamento e alla propria propensione al rischio. La classificazione rende la governance proporzionata: uno strumento interno a rischio minimo non deve portare lo stesso carico di controlli di un sistema ad alto rischio che incide su salute, lavoro o credito. Il livello stabilisce l’ampiezza di documentazione e sorveglianza.

Mappare gli obblighi sui controlli

Ogni obbligo applicabile a un sistema diventa uno o più controlli. Alcuni sono fondamentali e valgono per l’intera organizzazione, come tenere una politica sull’IA o una procedura di risposta agli incidenti. Altri sono specifici del sistema, come testare la distorsione di un modello o registrarne le decisioni. Questa corrispondenza è il cuore della governance: converte un requisito giuridico o etico in un’azione concreta di cui una persona risponde.

Strumentare la prova

L’ultimo anello è la prova. Ogni controllo dovrebbe produrre un artefatto: documentazione tecnica, una scheda di modello, una scheda del set di dati, un esito di test, una traccia di approvazione, un registro di monitoraggio successivo all’immissione sul mercato. La prova trasforma una semplice affermazione di conformità in un fatto dimostrabile, ed è esattamente ciò che un organismo notificato, un’autorità o un cliente chiede di vedere. Questa catena dall’inventario alla prova è l’ossatura della piattaforma AI Sigil.

Il modello operativo: chi decide che cosa

Un sistema operativo ha bisogno di operatori. Il modo di guasto strutturale della governance è la responsabilità diffusa, in cui tutti sono vagamente responsabili e dunque nessuno. Un modello funzionante lo corregge con tre mosse.

Anzitutto istituisce una supervisione: un comitato di governance dell’IA o un organo a livello di consiglio che fissa la politica, approva le distribuzioni ad alto rischio e fa proprio il programma. Lì risiede la responsabilità ultima, e le autorità si attendono sempre più che esista in modo formale.

Quindi assegna responsabili designati per sistema. Classificazione del rischio, dati in ingresso, monitoraggio e risposta agli incidenti richiedono ciascuno una persona precisa. Una matrice delle responsabilità, che indica per ogni controllo chi esegue, chi risponde, chi è consultato e chi informato, elimina l’ambiguità che gli audit puniscono.

Infine rispetta la distinzione tra fornitore e deployer. Il regolamento assegna doveri diversi secondo il ruolo: l’organizzazione che costruisce e immette un sistema sul mercato (fornitore) non porta gli stessi obblighi di quella che usa un sistema realizzato da terzi (deployer), anche a parità di sistema (Commissione europea, regolamento sull’IA). Molte organizzazioni sono entrambe le cose insieme, e la loro governance deve seguire il ruolo assunto per ciascun sistema.

Costruire il proprio quadro di governance: una sequenza pratica

Non esiste un quadro unico, ma un ordine di operazioni sensato. Trattate ciò che segue come una sequenza più che come un elenco, perché ogni passo dipende dal precedente.

  1. Definire ambito e inventario. Censite ogni sistema di IA e i suoi componenti, inclusi quelli adottati in modo informale. L’inventario è la base.
  2. Classificare il rischio. Graduate ogni sistema secondo le classi del regolamento e la vostra propensione, perché lo sforzo vada dove conta.
  3. Scegliere i quadri. Adottate il regolamento come fonte degli obblighi, la ISO/IEC 42001 come sistema di gestione e il NIST AI RMF come ciclo del rischio. Aggiungete le regole settoriali.
  4. Definire politiche e controlli. Redigete le politiche generali, poi derivate i controlli specifici di ciascun sistema.
  5. Assegnare i responsabili. Associate a ogni controllo un responsabile designato e una matrice delle responsabilità. I controlli senza titolare decadono.
  6. Strumentare la prova. Decidete, per ciascun controllo, quale artefatto lo attesta e dove risiede. Integrate la raccolta delle prove nel flusso di lavoro.
  7. Monitorare e riesaminare. Fate girare Measure e Manage in continuo: deriva, incidenti, mutamenti del sistema o della legge.
  8. Prepararsi all’audit. Mantenete la documentazione pronta per la conformità, così che una valutazione sia un recupero di evidenze e non una corsa affannosa.

I team che vogliono vedere questa sequenza strumentata anziché tenuta in fogli di calcolo possono osservarne l’attuazione sulla piattaforma AI Sigil, che modella inventario, livelli di rischio, controlli e prove come un unico sistema connesso.

Domande frequenti

Qual è la differenza tra governance dell’IA e gestione del rischio dell’IA? La governance è il sistema ampio di diritti decisionali, politiche, ruoli e controlli che indirizza l’uso dell’IA. La gestione del rischio è un processo interno alla governance: individuare, valutare e trattare i rischi di un dato sistema. La gestione del rischio dice che cosa può andare storto; la governance decide chi risponde, quali controlli si applicano e come l’organizzazione lo dimostra. Ha valore solo entro una struttura di governance che assegna responsabilità e raccoglie prove.

La governance dell’IA è un obbligo di legge? Sempre di più, sì. Il regolamento europeo impone obblighi vincolanti ai sistemi ad alto rischio e per finalità generali, con sanzioni fino a 35.000.000 EUR oppure il 7 % del fatturato mondiale per le violazioni più gravi. Altre giurisdizioni stanno seguendo. Anche senza una legge direttamente applicabile, clienti, assicuratori e consigli ormai chiedono prove di governance.

Quale quadro adottare: regolamento europeo, ISO 42001 o NIST AI RMF? Tutti e tre, perché agiscono a livelli distinti. Il regolamento è l’obbligo giuridico se operate nell’Unione o vi vendete. La ISO/IEC 42001 offre un sistema di gestione certificabile per governare con continuità. Il NIST AI RMF struttura il lavoro sul rischio sottostante e serve ovunque, anche fuori dagli Stati Uniti. Sono complementari, non concorrenti.

Chi dovrebbe farsi carico della governance dell’IA in azienda? La supervisione spetta a un comitato di governance dell’IA interfunzionale o a un organo di consiglio, perché la responsabilità deve sedere dove sta l’autorità. Nel quotidiano, ogni sistema ha bisogno di responsabili designati per classificazione del rischio, dati, monitoraggio e incidenti. È questa combinazione che i revisori cercano.

Che cos’è l’IA ombra e perché conta per la governance? L’IA ombra è qualsiasi sistema o strumento di IA usato in azienda senza passare da una revisione centrale, per esempio un team che adotta in sordina un chatbot pubblico per dati dei clienti. Conta perché la governance può coprire solo ciò che conosce. I sistemi non censiti portano rischio non gestito e sono una fonte frequente di fuga di dati, da cui il primato dell’inventario.

Come dimostriamo che la nostra governance funziona davvero? Con le prove. Ogni controllo del programma dovrebbe generare un artefatto: documentazione tecnica, schede di modello, schede dei set di dati, esiti di test, tracce di approvazione e registri di monitoraggio. Quando un’autorità, un organismo notificato o un cliente chiede, si recuperano gli artefatti invece di descrivere intenzioni. Una governance incapace di produrre prove equivale, per un revisore, all’assenza di governance.

Conclusione

Il modo utile di pensare la governance dell’IA non è un documento da archiviare, ma un sistema operativo da far funzionare. Il suo compito è collegare tre cose che le organizzazioni di solito tengono separate: l’obbligo che una legge o una norma impone, il controllo che lo assolve e la prova che è stato rispettato. Il regolamento europeo fornisce gli obblighi, la ISO/IEC 42001 il sistema di gestione e il NIST AI RMF il ciclo del rischio, ma il valore sta nel cablarli in una catena dall’inventario alla prova, con un responsabile designato a ogni anello. Per vedere il modello all’opera, esplorate la piattaforma AI Sigil.

Marco Conti

Governance dell’IA: il sistema operativo per un’IA conforme e responsabile

La governance dell'IA trasforma i principi in controlli verificabili. Ecco come si integrano il regolamento europeo, la ISO 42001 e il NIST AI RMF.

Gestione del rischio di conformità: il playbook 2026 per i team GRC nell’era dell’IA

Ripensare la gestione del rischio di conformità nell'era dell'IA: ISO 31000, ISO 42001, NIST AI RMF e articolo 9 del regolamento IA in un unico stack.

Benchmark LLM: guida conformità per i team di governance dell’IA

Guida ai benchmark LLM pensata per i regolatori: come MMLU, HumanEval, HELM e AIR-Bench si collegano al regolamento IA, al NIST AI RMF e all'ISO 42001.

Il principale rischio dei modelli di IA generativa, spiegato

L'allucinazione è il rischio più materiale dei modelli di IA generativa. Mappa i 12 rischi NIST agli articoli del Regolamento UE e governali con controlli efficaci.

Enti di certificazione ISO: la guida 2026 nell’era dell’IA

Confronto dei principali enti di certificazione ISO nel 2026, chi è accreditato ISO/IEC 42001 per i sistemi di gestione IA e come scegliere l'auditor giusto.

ISO 42001 spiegata: la prima norma certificabile per un sistema di gestione dell’IA

ISO/IEC 42001 è la prima norma certificabile per un sistema di gestione dell'IA. Clausole, controlli dell'Allegato A, certificazione e divario col Regolamento IA.