AI governance, il ritardo - Economyup

L’intelligenza artificiale sta entrando nelle aziende molto più rapidamente della capacità dei board di comprenderne implicazioni e rischi. “La governance deve diventare più dinamica, un organo proattivo e non un freno al processo di cambiamento delle imprese”, osserva Marco Giorgino, presidente di Nedcommunity, prima associazione italiana di amministratori non esecutivi e indipendenti, che con PWC ha realizzato una survey, “Risk Management & Governance: lo stato dell’arte nel panorama italiano”, utile per comprendere i freni attivati dall’alto ai processi di cambiamento delle aziende.Indice degli argomenti

AI governance e freni all’innovazioneCosa cambia con l’AI infrastruttura del businessCybersecurity e AI: senza governance più rischiIl paradosso delle aziende data-drivenIl rischio geopolitico entra nella strategia dell’innovazioneInnovare con una AI governance adeguataI board e il deficit di competenze sull’AIStartup, open innovation e AI governanceIl rischio come leva competitivaAI governance e freni all’innovazioneSappiamo ormai che il problema non è l’adozione di una nuova tecnologia: l’AI sta diventando il motore di una nuova fase di innovazione aziendale fatta di automazione, nuovi modelli operativi, gestione avanzata dei dati, supply chain intelligenti, servizi digitali e processi decisionali algoritmici. E in questa fase cresce il divario tra trasformazione tecnologica e governance. Il problema non riguarda soltanto la compliance, a partire dall’AI Act che tanti problemi sta creando e creerà ad esempio nelle relazioni con start che propongono soluzioni basate sull’AI, riguarda resilienza industriale, cybersecurity, privacy, continuità operativa e capacità strategica delle imprese.Il rischio, in altre parole, non è più una questione laterale da affidare alle funzioni di controllo. Sta diventando un tema centrale per chi guida innovazione e trasformazione digitale. Eppure molte aziende italiane non sembrano ancora preparate. Secondo la survey 2026 di PwC Italia e Nedcommunity, quasi una società su due non dispone ancora di una funzione di Risk Management indipendente. E proprio su cyber risk, AI e privacy la maggior parte dei consigli di amministrazione dichiara di non sentirsi sufficientemente preparata rispetto alle responsabilità normative e strategiche.Un segnale che racconta un problema più profondo: le imprese stanno innovando più velocemente della loro capacità di governare la complessità.Cosa cambia con l’AI infrastruttura del businessPer molto tempo l’intelligenza artificiale è stata trattata come un tema sperimentale: qualche proof of concept, chatbot limitati, analytics avanzate in aree specifiche. Oggi, con la GenAI, il quadro è completamente diverso.L’AI sta diventando una componente strutturale dei processi aziendali: customer care automatizzato, manutenzione predittiva, supply chain intelligenti, gestione documentale, supporto allo sviluppo software, knowledge management, cybersecurity adattiva, predictive analytics, automazione industriale, procurement e gestione finanziaria.Non si tratta quindi soltanto di “usare ChatGPT in azienda”. L’intelligenza artificiale sta ridefinendo il modo in cui le organizzazioni operano, prendono decisioni e costruiscono vantaggio competitivo. Questo significa che ogni iniziativa di innovazione basata sull’AI introduce anche nuove aree di rischio.Più dati vengono integrati nei sistemi aziendali, maggiore è il rischio di vulnerabilità cyber. Più le aziende automatizzano decisioni e processi, maggiore diventa il tema della governance algoritmica. Più aumentano le integrazioni con piattaforme esterne e modelli generativi, più crescono dipendenze tecnologiche difficili da controllare.La survey PwC-Nedcommunity mostra chiaramente che i board stanno iniziando a percepire questa trasformazione, ma non hanno ancora costruito strumenti adeguati per governarla.Cybersecurity e AI: senza governance più rischiSecondo la ricerca, gli attacchi informatici rappresentano uno dei principali rischi percepiti dalle aziende italiane, indicati dall’87% dei board. Non sorprende. L’adozione accelerata dell’AI sta ampliando enormemente la superficie di attacco delle organizzazioni.L’intelligenza artificiale rende più efficienti i processi aziendali, ma contemporaneamente rende più sofisticati anche gli attacchi: phishing generato automaticamente, deepfake, social engineering avanzato, automazione delle intrusioni, manipolazione dei dati.In parallelo, molte imprese stanno introducendo strumenti AI senza avere ancora policy chiare su governance dei dati, accessi, gestione delle informazioni sensibili o utilizzo dei modelli generativi.È qui che emerge uno dei dati più significativi della survey: sul tema cyber risk, AI e privacy, “la maggior parte dei CdA non si considera sufficientemente edotta rispetto alle responsabilità normative e il 49% dichiara un’informativa parziale o assente sulle attività svolte dalle figure aziendali responsabili”.Tradotto: le aziende stanno accelerando sull’innovazione digitale mentre i board non hanno ancora piena visibilità su ciò che sta accadendo davvero dentro l’organizzazione. E questo è un problema strategico prima ancora che tecnologico.Il paradosso delle aziende data-drivenNegli ultimi anni quasi tutte le grandi organizzazioni hanno dichiarato di voler diventare “data-driven”. L’AI rende questa ambizione finalmente concreta: sistemi che apprendono dai dati, motori predittivi, personalizzazione avanzata, ottimizzazione automatica dei processi.Ma il modello data-driven crea anche nuove fragilità. Le aziende dipendono sempre più dalla qualità dei dati, dalla sicurezza delle infrastrutture digitali e dalla capacità di governare ecosistemi tecnologici sempre più complessi.Il problema è che molte organizzazioni stanno costruendo architetture innovative senza aver ancora definito chiaramente chi prende decisioni, chi controlla i rischi e quali sono i limiti operativi accettabili.Nel 59% dei casi, secondo la survey, la valutazione di rischi e opportunità sulle iniziative strategiche è ancora assente oppure gestita in modo informale. È un dato che racconta bene la fase che stanno attraversando molte imprese italiane: la tecnologia evolve rapidamente, ma i modelli decisionali e organizzativi faticano a tenere il passo.Il rischio geopolitico entra nella strategia dell’innovazioneLa ricerca evidenzia anche un altro aspetto importante: il ritorno della geopolitica come fattore strutturale per il business. L’instabilità macroeconomica e geopolitica è considerata il principale rischio dal 92% delle aziende intervistate. Nel lungo periodo crescono inoltre le preoccupazioni legate alle tensioni socio-politiche.Anche questo tema impatta direttamente l’innovazione. Negli ultimi anni molte aziende hanno costruito strategie digitali basate su supply chain globali, cloud distribuiti, fornitori tecnologici internazionali e piattaforme integrate. La frammentazione geopolitica mette in discussione questo modello.La dipendenza da infrastrutture tecnologiche esterne, la localizzazione dei dati, la sovranità digitale, la sicurezza delle reti e la resilienza delle supply chain stanno diventando temi sempre più centrali anche per chi guida programmi di trasformazione digitale.L’innovazione, quindi, non può più essere pensata separatamente dalla resilienza. Le imprese che continueranno a progettare sistemi ottimizzati solo per l’efficienza rischiano di trovarsi esposte a shock geopolitici, cyber o regolatori sempre più frequenti.Innovare con una AI governance adeguataUno degli errori più comuni quando si parla di rischio è immaginare che la soluzione sia frenare l’innovazione. Non è così. La sfida oggi non è innovare meno. È innovare con una governance adeguata alla complessità tecnologica.“In uno scenario in cui la complessità è diventata strutturale e il cambiamento è continuo, il Risk Management rappresenta una funzione chiave che deve evolvere dal presidio dei controlli di processo alla valutazione dei rischi legati alle scelte strategiche e al Business Plan”, osserva Riccardo Bua Odetti, Partner PwC Italia, Lead of Enterprise Risk Management.Il passaggio cruciale è proprio questo: il rischio non può più essere gestito soltanto come controllo operativo o compliance normativa. Deve entrare nei processi di decisione strategica, soprattutto nelle aziende che stanno investendo massicciamente su AI, automazione e trasformazione digitale.La survey mostra invece che quasi una società su due non ha ancora una funzione di Risk Management indipendente e che nel 39% dei casi il responsabile del rischio non è un C-Level. In pratica, molte organizzazioni continuano ad affrontare problemi sistemici con strutture nate per gestire rischi tradizionali.I board e il deficit di competenze sull’AIC’è poi un tema culturale che riguarda direttamente i consigli di amministrazione.Per anni tecnologia e innovazione sono state considerate materie operative, delegate al CIO o alle funzioni IT. Oggi però l’AI impatta direttamente strategia, reputazione, governance e competitività. Questo richiede board con competenze molto diverse rispetto al passato.Non basta più comprendere indicatori finanziari o scenari di mercato. Serve capacità di leggere implicazioni tecnologiche, dipendenze digitali, vulnerabilità cyber, gestione dei dati e rischi algoritmici.Molti board italiani sembrano però ancora in ritardo. Il problema emerge chiaramente quando la survey rileva che la maggioranza dei CdA non si considera adeguatamente preparata su AI, cyber risk e privacy. È un gap che rischia di diventare rapidamente critico.Perché nei prossimi anni sempre più decisioni strategiche saranno direttamente collegate all’intelligenza artificiale: acquisizioni tecnologiche, partnership con startup, governance dei dati, supply chain intelligenti, piattaforme digitali, automazione industriale.Senza una comprensione adeguata dei rischi, il rischio è prendere decisioni innovative senza avere piena consapevolezza delle vulnerabilità introdotte.Startup, open innovation e AI governanceLa questione riguarda anche l’ecosistema startup e l’open innovation.Molte corporate stanno accelerando la collaborazione con startup AI attraverso programmi di accelerazione, venture client, procurement innovativo e corporate venture capital. Questo approccio consente di sperimentare rapidamente nuove tecnologie e modelli operativi. Ma introduce anche nuove aree di rischio.Le startup hanno spesso capacità tecnologiche avanzate ma strutture di governance immature. Le corporate, al contrario, hanno sistemi più regolati ma meno velocità. Quando questi due mondi si integrano emergono nuove complessità: gestione dei dati, cybersecurity, proprietà intellettuale, interoperabilità tecnologica, accountability algoritmica.Per questo il tema della governance diventerà sempre più centrale anche nei processi di open innovation. Non per rallentare la sperimentazione, ma per renderla sostenibile e scalabile.Il rischio come leva competitivaLa survey PwC-Nedcommunity mostra che la maturità dei modelli di Risk Management nelle imprese italiane è ancora prevalentemente intermedia: il 61% delle aziende colloca il proprio sistema agli stadi iniziali e il 41% non ha ancora adottato un framework ERM (Enterprise Risk Management, l’insieme di principi e procedure che aiutano le organizzazioni a gestire i rischi). Ma proprio qui potrebbe nascondersi un vantaggio competitivo.Le organizzazioni che riusciranno a integrare governance del rischio, AI e innovazione avranno infatti maggiore capacità di adattamento rispetto a quelle che continueranno a gestire questi temi separatamente. Perché il vero nodo non è evitare il rischio.Ogni innovazione introduce inevitabilmente nuove vulnerabilità. La differenza competitiva sta nella capacità di comprenderle rapidamente, gestirle e trasformarle in resilienza operativa.“La ricerca conferma che il Risk Management sta diventando una leva sempre più centrale anche per la governance e la sostenibilità delle imprese non finanziarie italiane, ma spesso il percorso di maturazione è ancora incompleto”, spiegano Giampiero Bambagioni, coordinatore del RG Risk, Governance e Sostenibilità di Nedcommunity, e la vicepresidente Patrizia Giangualano.“In uno scenario dominato da AI e cyber risk, rischi climatici e ambientali, instabilità geopolitica, AML e nuove complessità regolatorie, identificare e gestire efficacemente i rischi significa rafforzare la capacità strategica dei Board e la resilienza dell’impresa”.