Governance AI in CdA: sette domande che il vostro consiglio deve sapere

L'adozione dell'intelligenza artificiale è una decisione di governance, non un argomento tecnico. I Consigli di Amministrazione delle PMI svizzere stanno scoprendo questa verità in modo progressivo, spesso quando un'ispezione, un cliente importante o un dipendente curioso pone la domanda giusta. Questo articolo è la guida — pensata per chi siede in CdA, non per chi scrive codice — alle sette domande che ogni consiglio dovrebbe sapersi porre prima del 3 agosto 2026.

Sette domande, una sezione ciascuna. Sono le stesse che facciamo ai consigli quando ci viene chiesto di accompagnare un' introduzione strutturata dell'AI. La maggior parte delle risposte non è tecnica — è strategica.

1. Sappiamo quali sistemi AI usa la nostra organizzazione?

Sembra una domanda banale. Non lo è. Nella maggior parte delle organizzazioni che incontriamo, esiste un'adozione AI sotterranea: collaboratori che usano ChatGPT dai propri account, gestori che chiedono sintesi a Claude sul telefono, software aziendali che hanno integrato funzioni AI senza che la direzione lo sappia.

Il primo passo di governance è la mappa: chi usa cosa, in quali processi, con quali dati. Senza la mappa, ogni discussione strategica è speculativa. Per organizzazioni sopra le 30 persone, la prima mappatura richiede di solito 1-2 settimane di lavoro coordinato fra HR, IT e direzione.

2. Siamo in scope dell'AI Act europeo?

La risposta è quasi sempre «sì, almeno in parte», anche per aziende svizzere. L'applicabilità extraterritoriale dell'AI Act (articolo 2 del Regolamento UE 2024/1689) cattura tutte le organizzazioni i cui output AI sono utilizzati nell'UE.

Per il CdA significa: identificare i flussi di output che vanno verso l'UE, classificare la propria posizione (provider o deployer), capire quali obblighi specifici si applicano. Il primo appuntamento operativo è il 3 agosto 2026— data in cui le autorità nazionali iniziano la vigilanza. L'obbligo di alfabetizzazione AI dell'articolo 4 è già in vigore da febbraio 2025.

3. Esiste una policy aziendale firmata?

La AI policy aziendaleè il documento che dice al personale cosa può e non può fare con l'AI: quali strumenti sono ammessi, quali dati si possono inserire in un prompt, chi decide quando un sistema AI passa in produzione, come si gestiscono gli incidenti.

Per il CdA, una policy esistente e firmata è la differenza fra:

• Rischio gestito: in caso di violazione di dati, decisione automatizzata contestata, audit, l'organizzazione ha un quadro di riferimento e una traccia di diligenza.
• Rischio aperto: ogni incidente è gestito ad hoc, con tempi e costi imprevedibili e con esposizione legale dei dirigenti.

Un modello scaricabile è disponibile sul nostro articolo dedicato all'AI policy modello aziendale. Il CdA dovrebbe richiedere che la policy sia firmata e comunicata entro tre mesi dall'avvio dell'adozione AI.

4. Chi è il referente AI in organizzazione?

Domanda fondamentale e spesso evitata. La governance AI ha bisogno di un punto di responsabilità chiaro — una persona, o un piccolo comitato, che il CdA può chiamare quando ha bisogno di sapere «cosa stiamo facendo». Tre opzioni tipiche:

• Comitato AI — per organizzazioni sopra le 50 persone: un membro della direzione, uno di HR, uno di legal, uno di IT. Si vede ogni due mesi, decide, documenta.
• Referente AI dedicato — per organizzazioni fra 15 e 50 persone: una persona con questo ruolo formalizzato (10- 20% del suo tempo), riferimento per le segnalazioni e per le decisioni operative.
• Direttore generale — per organizzazioni più piccole, il ruolo resta in capo al titolare/direttore con consulenza esterna a chiamata.

L'errore più comune: lasciare il ruolo «a chiunque capiti di occuparsene». Senza responsabilità formale, non c'è governance.

5. Quali sistemi AI sono «ad alto rischio»?

L'allegato III dell'AI Act elenca i sistemi AI classificati come ad alto rischio. Per le PMI svizzere, l'applicazione più frequente è in HR: filtraggio di CV, valutazioni di performance assistite da AI, supporto a decisioni di promozione o licenziamento.

Un CdA dovrebbe sapere — e poter documentare — la lista dei sistemi ad alto rischio in uso nell'organizzazione, con per ciascuno:

• Responsabile operativo identificato.
• Misure di supervisione umana attive (chi approva, chi può bloccare, log delle decisioni).
• Procedura di gestione dei reclami della persona soggetta alla decisione automatizzata.
• Risk assessment formale aggiornato.

6. Cosa sa fare il nostro personale?

L'alfabetizzazione AI del personale è obbligo di legge dal 2 febbraio 2025 (articolo 4 AI Act) e protezione operativa concreta. Per il CdA conta in due modi:

• Conformità: in caso di vigilanza, va dimostrato che la formazione è stata erogata, documentata, differenziata per ruolo.
• Qualità: senza alfabetizzazione, il personale usa l'AI in modi che producono errori — output allucinati che escono dallo studio, dati sensibili inseriti in prompt non autorizzati, decisioni prese su informazioni inventate.

Il KPI da chiedere al referente AI è semplice: quale percentuale del personale ha frequentato formazione AI documentata negli ultimi 12 mesi?Sotto il 70% per i ruoli che usano l'AI quotidianamente, c'è un problema.

7. Cosa succede se qualcosa va storto?

Il protocollo di gestione incidentiAI è l'ultima delle sette domande, ed è la meno discussa. Un incidente AI può essere:

• Un output errato che è uscito dallo studio (comunicazione con dati sbagliati, contratto con clausole inventate, perizia con riferimenti fittizi).
• Una fuga di dati personali in un prompt inviato a un sistema non autorizzato.
• Una decisione automatizzata contestata da una persona — cliente, dipendente, fornitore.
• Una vulnerabilità tecnica scoperta in un sistema AI in uso (prompt injection, fuga di dati di addestramento).

Per ognuno di questi casi, il CdA dovrebbe poter rispondere a tre sotto-domande: chi riceve la segnalazione? Chi decide cosa fare? Chi comunica al soggetto leso? Senza risposte prestabilite, ogni incidente costa il triplo di tempo e attenzione, e di solito viene comunicato male.

Il riassunto in una pagina A4

Per chi siede in CdA, una pagina di check-up annuale a presenza del referente AI. Sette domande, sette risposte scritte. Tempo di lettura: 30 minuti.

1. Sistemi in uso: lista aggiornata e numero totale.
2. Scope normativo: AI Act sì/no, nLPD/GDPR sì/no, settoriali (FINMA, sanità) sì/no.
3. Policy: data di firma, data di ultima revisione.
4. Governance: nome del referente, composizione del comitato AI se esistente.
5. Sistemi alto rischio: lista con misure di supervisione.
6. Formazione: percentuale di personale formato, ore erogate, prossima sessione.
7. Incidenti: numero negli ultimi 12 mesi, esiti, lezioni apprese.

Se uno qualunque dei sette punti non ha una risposta puntuale, è la priorità del prossimo trimestre.

Il valore strategico — oltre la conformità

Vale la pena chiudere con una considerazione strategica: una governance AI matura non è solo protezione legale. È un vantaggio competitivo:

• Clienti e partner sempre più spesso chiedono evidenza di governance AI nei processi di onboarding contrattuale.
• Le ricerche di personale qualificato sono favorite da organizzazioni che dimostrano cultura digitale ordinata.
• La capacità di rispondere rapidamente a ispezioni o audit riduce il costo di compliance nel lungo periodo.
• La fiducia interna del personale aumenta quando le regole sono chiare — meno ambiguità, meno paralisi, più adozione effettiva.

Come iniziare, se il CdA è a zero

Per un consiglio che si rende conto di non aver mai discusso seriamente di AI, una sequenza pragmatica in 90 giorni:

1. Primo CdA— sottoposta la domanda al direttore generale: «Cosa sappiamo di quello che il nostro personale fa con l'AI? Mappa entro 60 giorni».
2. 60 giorni dopo — il CdA riceve la mappa, decide di nominare un referente AI, chiede una bozza di policy entro 30 giorni.
3. 90 giorni dopo — il CdA approva la policy, delibera la formazione minima per il personale ad alto rischio, fissa il prossimo check-up a 6 mesi.

È un percorso fattibile per qualunque CdA con la volontà di affrontare il tema. Per le organizzazioni che vogliono accompagnamento esterno qualificato, la nostra consulenza su AI Policy & Governance è progettata esattamente per questa fase. Quindici minuti per capire da dove iniziare nel vostro caso specifico.