Dall’uso “inconsapevole” dell’AI nelle aziende alla necessità di dimostrare la compliance: il vero nodo non è la norma, ma la capacità di governare persone, processi e fornitori. L’intelligenza artificiale è già entrata nelle aziende: non come progetto strutturato, ma come pratica quotidiana, diffusa e spesso non governata. È da questo paradosso che parte la riflessione di Valentina Frediani, Founder e CEO di Colin & Partners, nel suo intervento “AI Compliance in Cybersecurity” durante il CISO LEADERS SUMMIT, lo scorso 26 e 27 marzo a Baveno.
Un paradosso che mette in luce una realtà scomoda: mentre il quadro normativo evolve – tra AI Act e possibili slittamenti delle scadenze – molte organizzazioni non hanno ancora iniziato ad affrontare seriamente il tema della compliance. “Tutti stanno utilizzando l’intelligenza artificiale, anche chi dice di non farlo” osserva Valentina Frediani.
L’AI “ombra”: quando l’adozione sfugge al controllo
Il primo elemento critico è proprio la diffusione non governata dell’AI all’interno delle aziende. Marketing, HR, amministrazione: diverse funzioni utilizzano strumenti di intelligenza artificiale in autonomia, spesso senza alcun coordinamento con IT o sicurezza. “Il problema è che le persone caricano informazioni anche sensibili sui sistemi di AI in totale autonomia” dice Frediani. Questo fenomeno, spesso definito shadow AI, crea una frattura tra l’adozione reale e quella ufficiale. Da un lato, aziende che dichiarano di non utilizzare AI; dall’altro, un uso quotidiano e diffuso, ma non regolamentato. Le conseguenze sono evidenti: perdita di controllo sui dati, esposizione a rischi cyber e difficoltà nel dimostrare la conformità normativa.
Compliance come strumento di governance, non come vincolo
Un punto chiave è oggi il ruolo della normativa: secondo Valentina Frediani la compliance non va vista come un obbligo formale, ma come uno strumento per guidare l’adozione tecnologica. “La norma ha una razionalità: serve a tutelare l’azienda e a dare un indirizzo alle persone”. In questo senso, la sfida non è semplicemente “essere compliant”, ma costruire un modello di governance che consenta di utilizzare l’AI in modo consapevole e sicuro. Il primo passo è sempre lo stesso: capire cosa sta succedendo realmente in azienda.
Mappare l’uso dell’AI: il punto di partenza
La fase iniziale di qualsiasi percorso di AI compliance è la gap analysis: una mappatura dettagliata degli strumenti utilizzati, sia formalmente che informalmente. Questa attività, spesso basata su interviste e questionari interni, rivela una realtà ricorrente: utilizzi impropri o inconsapevoli, anche su dati critici. Un esempio concreto raccontato da Frediani riguarda l’uso dell’AI per redigere documenti aziendali: una segretaria ha inserito dati sensibili e informazioni su vulnerabilità aziendali in un sistema di AI per generare un verbale. Un comportamento apparentemente innocuo, che però espone l’azienda a rischi significativi in termini di riservatezza e sicurezza.
Il fattore umano: formazione prima delle regole
Di fronte a questi scenari, il primo intervento non può essere sanzionatorio, ma educativo. “Non puoi proibire qualcosa se le persone non sanno cosa stanno facendo” dice Frediani. La formazione diventa quindi un pilastro centrale della AI compliance. Non una formazione formale o burocratica, ma un percorso concreto, orientato a far comprendere rischi e opportunità. Le aziende devono aiutare le persone a:
- riconoscere i dati sensibili
- comprendere i rischi di esposizione
- utilizzare strumenti AI in modo consapevole.
Solo successivamente è possibile introdurre regolamenti, policy e, se necessario, sanzioni disciplinari.
Governance e responsabilità: serve un punto di riferimento
Un altro elemento critico è la mancanza di governance. In molte organizzazioni non esiste una figura o una funzione responsabile dell’AI. Una situazione che non è più sostenibile. La gestione dell’intelligenza artificiale richiede infatti responsabilità chiare, coordinamento tra funzioni, integrazione tra IT, security, legale e HR. In questo contesto, la cybersecurity diventa uno snodo centrale, ma non può operare in isolamento. Serve un approccio trasversale, che coinvolga tutte le funzioni aziendali.
Fornitori e supply chain: il rischio si estende
La compliance non si ferma ai confini dell’azienda. Un ruolo fondamentale è giocato dai fornitori e dalla supply chain. “Non è solo il fornitore di AI: anche chi lavora con noi può utilizzare sistemi che gestiscono i nostri dati” dice Frediani. Il legislatore europeo è chiaro: la responsabilità ricade su chi utilizza la tecnologia. Le aziende devono quindi valutare i fornitori, definire regole di utilizzo e monitorare il trattamento dei dati. Un approccio che richiama quanto già visto con normative come NIS2, ma che si estende ulteriormente nel contesto dell’AI.
Dimostrare la compliance: tra tecnologia e organizzazione
Uno degli aspetti più complessi riguarda la dimostrabilità della compliance verso le autorità. Le normative sull’AI si basano su un principio di accountability: non basta essere conformi, bisogna dimostrarlo. Questo implica la costruzione di un sistema articolato, che includa documentazione tecnica, procedure organizzative, policy interne ed evidenze di formazione. “La dimostrabilità passa da come racconto la misura tecnologica, dalle procedure e dalla formazione”. Un approccio pragmatico consente di gestire anche eventuali violazioni in modo più efficace, riducendo il rischio sanzionatorio.
Un aspetto da non sottovalutare è la presenza di sistemi AI non conformi o addirittura vietati. Tra questi:
- sistemi di social scoring
- strumenti che incidono su categorie sensibili
- applicazioni non conformi ai requisiti normativi.
Le aziende devono verificare la presenza di questi sistemi e, se necessario, intervenire per adeguarli o dismetterli. Il rischio non è solo legale, ma anche reputazionale.
Verso una compliance “pratica”
Il messaggio finale è chiaro: la AI compliance non può essere affrontata in modo teorico o burocratico. Serve un approccio pratico, proporzionato e calibrato sul livello di utilizzo dell’AI. Le organizzazioni devono:
- conoscere il proprio livello di esposizione
- definire regole chiare
- formare le persone
- governare fornitori e processi
- costruire evidenze di conformità.
In un contesto ancora in evoluzione, con normative che si stanno assestando e linee guida in arrivo, la vera differenza la farà la capacità di agire subito, senza aspettare obblighi formali.
Perché, come emerge chiaramente dall’intervento, il problema non è l’assenza di regole, ma l’assenza di controllo su ciò che già sta accadendo nelle aziende.
Rivedi l’intervento completo di Valentina Frediani, Founder e CEO di Colin & Partners, su“AI Compliance in Cybersecurity”, durante il CISO LEADERS SUMMIT.
