AI sotto controllo: la vera differenza è la governance

04/03/2026

Tag:

Quanture Imagine a NEW PLAN

Quanti dei sistemi AI attivi nella vostra organizzazione sono stati approvati formalmente da qualcuno? Non installati, non usati ma approvati, con una valutazione del rischio e un responsabile nominato. Per la maggior parte delle aziende, la risposta onesta è: non lo sappiamo con precisione.

 

In questo numero di Imagine a NEW PLAN esploriamo cosa significa governare l’AI in modo responsabile: tra AI Act, sviluppo etico e integrazione con sicurezza e dati, il punto non è essere compliant sulla carta ma fare scelte migliori e più difendibili nel tempo.

 

Buona lettura del nuovo articolo della rubrica “Imagine a NEW PLAN”.

Il problema delle due velocità

C’è una tensione che molti manager IT riconoscono nella loro quotidianità, anche se raramente la nominano in questi termini: la tecnologia avanza più velocemente della capacità di comprenderla e governarla.

Il filosofo Luciano Floridi chiama questo squilibrio “il problema delle due velocità”: da un lato un’accelerazione tecnologica senza precedenti, dall’altro una capacità di comprensione e regolazione che arranca, priva di un equilibrio stabile. È una descrizione che suona familiare a chiunque abbia provato a tenere il passo con l’adozione di strumenti AI in azienda negli ultimi due anni.

 

L’AI è già dentro i processi, spesso senza un mandato

Con l’intelligenza artificiale questa tensione ha assunto una dimensione diversa: l’AI non è uno strumento passivo che aspetta di essere usato, è un sistema che agisce, elabora e produce output in modo continuo, spesso prima che qualcuno abbia deciso se e come farlo.

  • Microsoft Copilot sintetizza report e redige bozze.

  • Assistenti integrati nei CRM classificano i lead e suggeriscono le prossime azioni commerciali.

  • Automazioni elaborano dati operativi prima ancora che un manager li revisioni.


Nessuno di questi strumenti sembra pericoloso preso singolarmente. Ma tutti stanno influenzando decisioni e nella maggior parte delle organizzazioni, nessuno ha ancora formalizzato di cosa rispondono e a chi.

 

La metafora più utile è quella di un consulente esterno molto competente che lavora senza mandato scritto: produce risultati, li inserisce nei processi, e finché tutto va bene nessuno fa domande. Il problema emerge quando qualcosa va storto e a quel punto la domanda “chi ha approvato questo?” non trova risposta.

 

L’AI Act: una struttura di domande, non di divieti

L’AI Act è entrato in vigore nell’agosto 2024, con le prime misure operative da febbraio 2025. Il suo impianto è basato sul rischio: classifica i sistemi AI in base al livello di impatto sulle persone e chiede alle organizzazioni di comportarsi di conseguenza.

Il valore reale non sta nella lista di divieti, ma nel fatto che la norma obbliga a strutturare un ragionamento che molte organizzazioni hanno finora evitato. Le domande che ogni responsabile IT dovrebbe già porsi prima di integrare un modello AI in un processo critico:

  • Chi ha validato questo modello e con quale criterio?

  • Su quali dati è stato addestrato e con quale qualità?

  • Cosa succede se produce un output errato? Chi se ne accorge e in quanto tempo?

  • C’è qualcuno in grado di spiegare perché il sistema ha preso una certa decisione?

Sono domande di governance prima ancora che di compliance. La compliance chiede di dimostrare che si rispettano le regole; la governance chiede di dimostrare che si è in grado di rispondere di quello che i propri sistemi fanno. Costruire questa capacità prima che arrivi una verifica esterna è già una scelta strategica.

 

Le organizzazioni che si limitano ad adeguarsi formalmente rischiano di trovarsi, tra qualche anno, nella stessa posizione in cui si trovano oggi molte aziende sulla sicurezza informatica: conformi sulla carta, fragili nella sostanza.

 

AI Act — I quattro livelli di rischio

RISCHIO INACCETTABILE

Vietato per legge

Social scoring, riconoscimento emotivo sul lavoro, scraping biometrico

ALTO RISCHIO

Obbligo di conformità, documentazione, supervisione umana

Sistemi HR, scoring creditizio, infrastrutture critiche, dispositivi medici

RISCHIO LIMITATO

Obblighi di trasparenza verso l’utente

Chatbot, deepfake, sistemi di raccomandazione

RISCHIO MINIMO

Nessun obbligo specifico aggiuntivo

Filtri spam, AI nei videogiochi, automazione a basso impatto

Fonte: Regolamento UE 2024/1689 . AI Act | In vigore da agosto 2024, misure operative da febbraio 2025

 

 

Governance costituzionale: l’etica come architettura

Nel dibattito internazionale sulla governance dell’AI si sta affermando un approccio che va oltre i tradizionali framework di Responsible AI. Si chiama Constitutional AI (CAI) e si basa su un’idea semplice ma radicale: invece di definire linee guida generali di comportamento etico, si incorporano principi gerarchici direttamente nel processo di sviluppo del modello, con una priorità esplicita e non negoziabile. Safety prima di tutto, poi etica, poi conformità alle regole, poi utilità per l’utente. In caso di conflitto tra questi livelli, vince sempre quello più in alto.

È un approccio che si distingue nettamente dai framework policy-based che definiscono principi generali fairness, privacy, accountability, trasparenza, senza però fissare una gerarchia vincolante tra di essi. La differenza non è marginale: un principio etico senza priorità definita lascia spazio all’interpretazione; una gerarchia costituzionale no. Quando i principi entrano in conflitto - e nell’AI ad alto impatto succede spesso - sapere quale prevale è esattamente ciò che rende una governance difendibile.

 

Il punto che interessa le organizzazioni non è quale modello adottare, ma cosa questo approccio suggerisce per la propria governance interna.

La gerarchia safety → etica → regole → utilità è un framework direttamente trasferibile alle policy aziendali sull’AI: definire, prima ancora di scegliere tecnologie e fornitori, in quale ordine si risponde quando le priorità si contraddicono.

 

Quale fornitore scegliere e quale soluzione integrare diventano domande derivate da una scelta più fondamentale: quali principi guideranno il comportamento dei sistemi AI che entreranno nei processi decisionali dell’azienda?

In questo senso, valutare un fornitore di AI non significa solo confrontare prestazioni e costi, ma verificare con quale trasparenza rende accessibili i propri principi di sviluppo, come gestisce la supervisione umana e come comunica gli aggiornamenti al modello nel tempo. Sono domande che si applicano a qualunque soluzione, indipendentemente dal vendor, e che orientano scelte più solide e più difendibili di fronte a stakeholder, regolatori e, prima di tutto, ai propri processi interni.

 

Dati, sicurezza e AI: un sistema, non tre cantieri

L’errore più comune è trattare sicurezza, dati e intelligenza artificiale come tre progetti separati. Nella pratica questi elementi non sono separabili: un punto debole in uno si propaga negli altri con una velocità che i silos organizzativi non riescono a contenere.

 

La data observability - la capacità di monitorare qualità, coerenza e tracciabilità dei dati lungo tutto il loro ciclo di vita - è la condizione minima per affermare in modo difendibile che i propri sistemi AI lavorano su basi solide. Senza di essa, qualunque discorso su governance o etica rimane teorico.

 

La supervisione umana che l’AI Act chiede è possibile solo se l’infrastruttura sottostante è monitorata, le vulnerabilità sono gestite in modo proattivo e i dati sono tracciati con rigore. Non si aggiunge uno strato di controllo sopra l’AI: si costruiscono le condizioni perché il controllo sia possibile.

Nei progetti che realizziamo con la nostra realtà Quanture.AI - che sviluppa progettualità custom basate su AI generativa, Machine Learning e Advanced Data Analytics - questo approccio integrato non è un’aggiunta: è il metodo. La roadmap strategica che accompagniamo i clienti a costruire parte sempre dai presupposti infrastrutturali:

  • Gap Analysis NIS2 e analisi della postura di sicurezza

  • Vulnerability Management continuo

  • Hardening Active Directory ed Entra ID

  • Governance e tracciabilità dei dati prima dell’integrazione AI

Non sono servizi accessori rispetto a un progetto AI: sono le fondamenta senza le quali molti progetti AI diventano un rischio gestito male.

 

Il sistema integrato: AI, Dati, Sicurezza

DATI

Qualità & osservabilità

AI

Modelli & governance

SICUREZZA

Infrastruttura & identità

  • Data observability continua
  • Tracciabilità del ciclo di vita
  • Qualità validata prima dell’AI
  • Pipeline documentate
  • Principi etici architetturali
  • Supervisione umana strutturata
  • Output monitorati e tracciabili
  • Due diligence sul fornitore
  • Vulnerability Management
  • Hardening AD ed Entra ID
  • Patching orchestrato
  • Gap Analysis NIS2

Un punto debole in uno si propaga negli altri.
Progettare il sistema in modo integrato è la vera governance dell’AI.

 

Governare l’AI è una scelta di progetto

Immaginare un nuovo piano, nel contesto dell’AI, non significa scrivere una policy o nominare un responsabile. Significa decidere che l’intelligenza artificiale non è qualcosa che si adotta e poi si gestisce, ma qualcosa che si progetta con consapevolezza nei dati che la alimentano, nell’infrastruttura su cui opera, nei principi che ne vincolano il comportamento.

 

La regolazione europea, il dibattito internazionale sulla governance costituzionale dell’AI, la crescente attenzione a data observability e security by design, sono tutti segnali che convergono nella stessa direzione.

 

Le organizzazioni che sapranno leggerli non come adempimenti da gestire in sequenza, ma come un’opportunità per costruire un modello decisionale più solido, saranno quelle meglio posizionate non solo rispetto alla compliance, ma rispetto alla qualità delle decisioni che l’AI le aiuterà a prendere.

 

 

Ti aspettiamo il mese prossimo con un nuovo numero di Imagine a NEW PLAN dove parleremo di responsabilità estesa e supply chain.

 

 

 

Topic: ,