In sintesi
- Il rischio IA è la probabilità e la gravità di un danno che un sistema di intelligenza artificiale può causare lungo tutto il suo ciclo di vita, dagli output distorti alle fughe di dati, fino alle sanzioni normative e alla perdita di fiducia.
- Due letture dominano il dibattito: il rischio sociale o esistenziale, studiato da enti come il MIT AI Risk Repository, e il rischio operativo dell’impresa, quello di cui un fornitore o un deployer risponde davvero e che deve governare.
- Le categorie di lavoro sono distorsione, riservatezza, sicurezza, affidabilità e allucinazione, trasparenza, conformità giuridica, reputazione, rischio operativo e di terze parti, e impatto ambientale.
- Tre framework di riferimento traducono il rischio IA in obblighi: i livelli di rischio dell’AI Act, il NIST AI Risk Management Framework e la ISO/IEC 42001.
- Governare il rischio IA è un modello operativo, non un documento: identificare, classificare, mitigare, dimostrare e riesaminare, ogni passo con un responsabile designato e una cadenza fissa.

Che cosa significa davvero rischio IA
Il rischio IA è la probabilità e la gravità di un danno che un sistema di intelligenza artificiale può provocare lungo l’intero ciclo di vita, dalla progettazione e dalla raccolta dei dati fino all’addestramento, alla messa in esercizio e alla dismissione. Il danno può ricadere su una persona (un richiedente di credito respinto), su un’organizzazione (una sanzione) o sulla società nel suo complesso (una disinformazione su vasta scala). Ciò che distingue il rischio IA dal rischio del software tradizionale risiede in tre tratti: il sistema deduce da sé i propri output, si adatta dopo la messa in esercizio e spesso non è in grado di spiegare come sia giunto a una decisione. Due letture strutturano la maggior parte di quanto viene pubblicato sul tema, e confonderle resta la prima ragione per cui un percorso di governance si arena. La prima è la lettura sociale o esistenziale: lo studio dei danni catastrofici e di lungo periodo, portato avanti da gruppi di ricerca come il Center for AI Safety o la MIT AI Risk Initiative. La seconda è la lettura operativa dell’impresa: il rischio concreto e immediato di cui un’organizzazione che gestisce un sistema IA è chiamata a rispondere oggi, per esempio un modello di selezione del personale distorto o un assistente conversazionale che lascia trapelare dati dei clienti. Entrambe le letture sono legittime, ma rispondono a domande diverse. Un responsabile della conformità non può agire sulla « superintelligenza » come agisce su « il nostro modello di scoring del credito non è stato testato rispetto all’impatto discriminatorio ». Questa guida si concentra sulla lettura d’impresa, perché è lì che risiedono obblighi, controlli e prove, pur attingendo al rigore della comunità di ricerca per nominare i rischi con precisione. Per costruire il programma più ampio su queste basi, si parta dalla governance dell’IA e si tratti il rischio IA come il suo nucleo misurabile.
Le principali categorie di rischio IA
Non esiste un unico elenco ufficiale, ma le tassonomie autorevoli convergono. Il MIT AI Risk Repository, una meta-rassegna che ha estratto 1.725 rischi distinti da 74 framework esistenti, li ripartisce in sette domini: discriminazione e tossicità, riservatezza e sicurezza, disinformazione, attori malevoli e uso improprio, interazione uomo-macchina, danni socioeconomici e ambientali, e infine sicurezza, guasti e limiti dei sistemi di IA (airisk.mit.edu). Un white paper giuridico molto citato riduce il quadro operativo a quattro categorie non giuridiche: rischi etici e sociali, operativi, reputazionali, e di sicurezza e riservatezza. L’insieme di lavoro qui sotto fonde le due prospettive.
Distorsione e discriminazione
I sistemi di IA apprendono da dati storici che spesso già racchiudono disuguaglianze esistenti, e possono quindi riprodurre o amplificare la discriminazione nella selezione del personale, nel credito, nelle assicurazioni e nell’attività di polizia. È la categoria più osservata, perché al tempo stesso frequente e giuridicamente contestabile. Si veda la distorsione algoritmica per cause, esempi e controlli che la riducono.
Riservatezza e protezione dei dati
Un’IA può dedurre attributi sensibili mai raccolti in modo esplicito, reidentificare persone a partire da dati presunti anonimizzati, e memorizzare per poi restituire record di addestramento. Questi comportamenti possono violare i principi di limitazione delle finalità e minimizzazione dei dati del GDPR, la cui applicazione in Italia è vigilata dal Garante per la protezione dei dati personali. Una valutazione d’impatto sulla protezione dei dati è lo strumento standard per far emergere e documentare questa esposizione.
Sicurezza
L’IA introduce superfici di attacco che i test di sicurezza tradizionali trascurano: esempi avversari che ingannano un modello, avvelenamento dei dati di addestramento, inversione del modello che estrae dati privati, injection di prompt contro i modelli linguistici. La base di conoscenza MITRE ATLAS cataloga queste tecniche e le collega a controlli difensivi, in linea con gli indirizzi di AgID sulla sicurezza dei sistemi.
Affidabilità e allucinazione
I modelli si degradano per effetto della deriva dei dati, si comportano in modo imprevedibile su input lontani dal set di addestramento e, nel caso dei sistemi generativi, producono output sicuri di sé ma falsi. L’allucinazione è probabilmente il rischio operativo che definisce l’IA generativa, perché il guasto è fluido e dunque difficile da individuare. Sviluppiamo questa tesi in il rischio più grande dell’IA generativa.
Trasparenza e spiegabilità
Molti modelli ad alte prestazioni sono scatole nere la cui logica interna resta opaca perfino per chi li ha costruiti, il che mina la responsabilità e rende impossibile ogni contestazione. Le autorità di vigilanza trattano sempre più la spiegabilità come un requisito, non come un vezzo; si veda la spiegabilità nell’IA.
Giuridico, reputazionale, operativo e ambientale
Il rischio giuridico riguarda la mancata conformità all’AI Act, al GDPR e alle regole settoriali. Il rischio reputazionale si propaga più rapidamente: un solo algoritmo distorto o un assistente che allucina può erodere la fiducia su un intero marchio. Il rischio operativo e di terze parti nasce da deriva non monitorata, integrazioni interrotte e dipendenza da fornitori esterni, il che spiega la pericolosità dei sistemi non censiti, ossia la shadow AI. Il rischio ambientale, il costo in energia e acqua di addestramento e inferenza, chiude l’elenco.
Come il rischio IA si collega a normativa e standard
Una tassonomia è utile solo se si aggancia a degli obblighi. Tre framework di riferimento assicurano questo collegamento, e un programma maturo li legge insieme anziché isolarne uno solo. Il nostro confronto tra NIST, ISO 42001 e AI Act mostra dove si sovrappongono.
AI Act: i livelli di rischio
L’AI Act (Regolamento (UE) 2024/1689) si fonda su un approccio basato sul rischio e colloca ogni sistema in uno di quattro livelli. Le pratiche a rischio inaccettabile, come il punteggio sociale e la maggior parte degli usi di sorveglianza biometrica in tempo reale, sono vietate dall’articolo 5. I sistemi ad alto rischio, elencati nell’allegato III e relativi ad ambiti come lavoro, scoring del credito e infrastrutture critiche, devono soddisfare requisiti stringenti: gestione del rischio, governance dei dati, sorveglianza umana, documentazione tecnica e valutazione della conformità. I sistemi a rischio limitato recano obblighi di trasparenza, come informare l’utente che sta dialogando con un’IA. I sistemi a rischio minimo non hanno nuovi obblighi. Le sanzioni raggiungono i 35 milioni di euro o il 7 per cento del fatturato annuo mondiale (artificialintelligenceact.eu). Classificare i propri sistemi in questi livelli è la prima mossa; il nostro manuale operativo dell’AI Act accompagna passo dopo passo.
NIST AI RMF: quattro funzioni
Il NIST statunitense pubblica un framework volontario per la gestione dei rischi dell’IA articolato in quattro funzioni: Govern, Map, Measure e Manage. La funzione Govern è trasversale e instaura una cultura consapevole del rischio; Map contestualizza ogni sistema e i suoi possibili impatti; Measure valuta i rischi in modo quantitativo e qualitativo; Manage li ordina per priorità e li tratta. Le funzioni sono iterative, non una lista di controllo da spuntare una volta sola (airc.nist.gov). La nostra guida al NIST AI RMF approfondisce ciascuna funzione.
ISO/IEC 42001: un sistema di gestione certificabile
La ISO/IEC 42001 è il primo standard certificabile per un sistema di gestione dell’intelligenza artificiale. Impone un processo di valutazione e trattamento del rischio specifico per l’IA (clausole da 6.1.2 a 6.1.4) che copre rischi tecnici, etici, sociali e organizzativi lungo tutto il ciclo di vita, e offre 39 controlli nell’allegato A. Per ogni rischio al di sopra della soglia di accettazione, l’organizzazione sceglie un trattamento (evitare, ridurre, trasferire o accettare) e registra le proprie decisioni in una dichiarazione di applicabilità. Si legga ISO 42001 spiegata per il quadro completo.
La gestione del rischio IA come modello operativo
La maggior parte degli articoli si ferma alla descrizione dei rischi. Il valore risiede in un ciclo ripetibile che trasforma ciascun rischio in un controllo, un responsabile e una prova. Cinque passi rendono operativa, e non declamatoria, la gestione del rischio IA. Questo ciclo è l’espressione specifica per l’IA di una più ampia conformità nella gestione del rischio.
- Identificare. Non si governa ciò che non si vede. Si costruisca e si mantenga un inventario di tutti i sistemi di IA e poi un registro dei rischi che annoti, per ciascun sistema, che cosa potrebbe andare storto, con quale probabilità e con quale gravità. Gli strumenti non documentati costituiscono il principale punto cieco, ragione per cui individuare la shadow AI è il passo zero.
- Classificare. Si assegni a ogni sistema un livello normativo (secondo le categorie dell’AI Act) e un punteggio di gravità. La classificazione decide quanta attenzione meriti un sistema; un filtro antispam a rischio minimo non deve assorbire lo stesso sforzo di un modello di selezione del personale ad alto rischio.
- Mitigare. Per ogni rischio al di sopra della soglia di accettazione si scelga un trattamento e si mettano in campo controlli: test di distorsione, restrizione degli accessi, sorveglianza umana, esercizi di red team, validazione di input e output. La ISO 42001 formula le quattro opzioni come evitare, ridurre, trasferire o accettare.
- Dimostrare. Un controllo che non può essere dimostrato non esiste agli occhi di un revisore. Si conservino documentazione tecnica, registri delle decisioni, valutazioni d’impatto e risultati dei test. È qui che un sistema verificabile distingue un programma reale da un raccoglitore di politiche, e dove un monitoraggio continuo della conformità mantiene aggiornate le prove.
- Riesaminare. Il rischio non è statico. Si monitori la deriva dei modelli, si segua la prestazione rispetto a soglie e si mantenga una cadenza di riesame fissa. Quando qualcosa va storto, la segnalazione degli incidenti chiude il ciclo e alimenta il registro per l’iterazione successiva.
Chi è responsabile del rischio IA?
Il rischio IA fallisce quando appartiene a tutti e dunque a nessuno. I programmi efficaci nominano un responsabile chiamato a rispondere, spesso un referente IA o un direttore della governance dell’IA, che segue l’evoluzione normativa, guida le valutazioni del rischio e allinea gli usi dell’IA agli obiettivi aziendali. Attorno a questo responsabile si organizza un modello a tre linee di difesa: il business detiene il rischio, una funzione di governance o conformità lo contesta e l’audit ne fornisce la garanzia. Un comitato trasversale che riunisce legale, dati, sicurezza e operazioni dirime i compromessi. L’AI Act aggiunge a questa responsabilità una dimensione giuridica, ossia la distinzione tra fornitore e deployer. I fornitori, che progettano e immettono sistemi sul mercato, portano la maggior parte degli obblighi; i deployer, che li utilizzano, mantengono doveri di sorveglianza umana e trasparenza. Un deployer che modifica in modo sostanziale la finalità di un sistema può diventare fornitore ed ereditare il carico più gravoso. Decidere chi approva quale decisione è esso stesso un controllo; la nostra guida su sorveglianza umana nel ciclo o sul ciclo copre i modelli di sorveglianza.
Dal foglio di calcolo al registro dei rischi IA
Molti team partono da un foglio di calcolo, e per un primo inventario va benissimo. Smette di funzionare nel momento in cui i rischi devono collegarsi ai controlli, i controlli alle prove, e le prove restare aggiornate su decine di sistemi e più framework contemporaneamente. Un file statico non può mostrare a un revisore che un controllo era attivo il giorno in cui una decisione è stata presa, né può segnalare un controllo diventato obsoleto. Un registro dei rischi IA integrato in una piattaforma di governance colma questa lacuna: ogni sistema reca il proprio livello, i propri rischi, i controlli che li trattano, le prove che li dimostrano e la data di riesame che li mantiene onesti. Il punto non è lo strumento, ma la proprietà che esso conferisce, ossia la capacità di rispondere « mostramelo » anziché « fidati ». È tutta la differenza tra una piattaforma di conformità e l’insieme di strumenti puntuali che la circonda.
Domande frequenti
Qual è il rischio più grande dell’IA? Non esiste un unico rischio più grande; dipende dal sistema e dal suo contesto. Per la maggior parte delle imprese che oggi adottano l’IA generativa, l’allucinazione (un output sicuro di sé, fluido, ma falso) è il rischio operativo più frequente, perché è facile da non notare e difficile da correggere. Per i sistemi decisionali ad alta posta, la distorsione e l’assenza di sorveglianza umana portano l’esposizione giuridica e reputazionale più grave. Quali sono i quattro tipi di rischio IA? Una ripartizione operativa comune distingue il rischio etico e sociale, quello operativo, quello reputazionale e quello di sicurezza e riservatezza. Le autorità di vigilanza vi aggiungono una dimensione giuridica o di conformità. Le tassonomie di ricerca come il MIT AI Risk Repository vanno oltre, con sette domini, ma il modello a quattro categorie resta il punto di partenza più pratico. Che cos’è la gestione del rischio IA? La gestione del rischio IA è il processo ripetibile con cui si identificano, classificano, mitigano, dimostrano e riesaminano i rischi che un sistema di IA comporta lungo il suo ciclo di vita. Si distingue dalla gestione del rischio generica perché deve affrontare guasti specifici dei modelli, come deriva, distorsione e allucinazione, ed è sempre più plasmata da framework come il NIST AI RMF e la ISO/IEC 42001. Come classifica il rischio IA l’AI Act? L’AI Act adotta quattro livelli: inaccettabile (vietato), alto rischio (rigidamente regolato), rischio limitato (obblighi di trasparenza) e rischio minimo (nessuna nuova regola). Gli obblighi, e i controlli da costruire, discendono direttamente dal livello in cui un sistema si colloca. Quale framework di rischio IA dovremmo adottare? Sono complementari, non concorrenti. Si usi l’AI Act per stabilire gli obblighi giuridici, il NIST AI RMF per strutturare il processo (Govern, Map, Measure, Manage) e la ISO/IEC 42001 per costruire un sistema di gestione certificabile con controlli definiti. La maggior parte dei programmi maturi collega tutti e tre a un unico insieme di controlli interni. Il rischio IA riguarda solo le minacce esistenziali? No. Il dibattito su esistenza e sicurezza è reale ed è studiato da enti di ricerca, ma il rischio di cui un’organizzazione è chiamata a rispondere oggi è operativo: decisioni distorte, fughe di dati, attacchi alla sicurezza, output inaffidabili e non conformità. Sono i rischi che si possono identificare, governare e dimostrare fin da ora.
Conclusione
Il rischio IA non è un elenco di titoli allarmanti; è una proprietà governabile di ogni sistema che si costruisce o si mette in esercizio. Le organizzazioni che restano un passo avanti lo trattano come un modello operativo: inventariano i propri sistemi, classificano ciascuno per livello normativo e gravità, mitigano con controlli reali, dimostrano quei controlli perché un revisore possa verificarli, e riesaminano secondo una cadenza fissa. L’AI Act, il NIST AI RMF e la ISO/IEC 42001 danno struttura a questo ciclo, e un unico registro dei rischi IA gli dà una casa. Si cominci col rendere visibili e responsabili i propri sistemi di IA, e il rischio smette di essere qualcosa che vi accade per diventare qualcosa che governate.