Pasquale Sicignano
Accedi
Copertina articolo: 𝗚𝗼𝘃𝗲𝗿𝗻𝗮𝗿𝗲 𝗹’𝗜𝗔: 𝘃𝗲𝗿𝘀𝗼 𝘂𝗻’𝗶𝗻𝗻𝗼𝘃𝗮𝘇𝗶𝗼𝗻𝗲 𝗿𝗲𝘀𝗽𝗼𝗻𝘀𝗮𝗯𝗶𝗹𝗲

𝗚𝗼𝘃𝗲𝗿𝗻𝗮𝗿𝗲 𝗹’𝗜𝗔: 𝘃𝗲𝗿𝘀𝗼 𝘂𝗻’𝗶𝗻𝗻𝗼𝘃𝗮𝘇𝗶𝗼𝗻𝗲 𝗿𝗲𝘀𝗽𝗼𝗻𝘀𝗮𝗯𝗶𝗹𝗲

di Pasquale Sicignano · 11 maggio 2026

L’intelligenza artificiale sta diventando uno dei principali motori di trasformazione economica, sociale e organizzativa. Dalla sanità alla finanza, dalla pubblica amministrazione all’industria, i sistemi di IA stanno contribuendo a migliorare processi, automatizzare attività, analizzare grandi quantità di dati e supportare decisioni sempre più complesse.

Tuttavia, proprio la crescente diffusione di queste tecnologie impone una riflessione più ampia. L’IA non è soltanto una questione tecnica. È anche una questione di responsabilità, governance, trasparenza e fiducia.

La rapidità dello sviluppo tecnologico sta portando organizzazioni pubbliche e private a confrontarsi con rischi nuovi: bias nei dati, opacità dei modelli, difficoltà di spiegazione delle decisioni, impatti reputazionali, responsabilità legali e possibili effetti discriminatori.

In questo scenario, governare l’IA non significa frenare l’innovazione, ma renderla più solida, sostenibile e affidabile.

L’intelligenza artificiale tra opportunità e rischi

L’IA offre opportunità rilevanti. Può aiutare le organizzazioni a prendere decisioni più informate, migliorare l’efficienza operativa, personalizzare servizi, individuare pattern nascosti nei dati e supportare attività ad alto valore aggiunto.

Allo stesso tempo, però, i sistemi di IA possono produrre effetti indesiderati se vengono progettati, addestrati o utilizzati senza un adeguato presidio.

Una delle convinzioni più rischiose è pensare che l’IA sia automaticamente oggettiva. In realtà, ogni sistema algoritmico incorpora scelte umane: nella selezione dei dati, nella definizione degli obiettivi, nelle metriche di performance, nei criteri di ottimizzazione e nelle modalità di valutazione dei risultati.

Come evidenziato anche in recenti riflessioni internazionali sul tema della governance algoritmica, gli algoritmi non sono neutrali per definizione. Possono riflettere ipotesi, priorità e limiti presenti nei dati o nelle decisioni progettuali. Se questi elementi non vengono identificati e gestiti, il rischio è quello di amplificare disuguaglianze esistenti o generare decisioni opache e difficili da contestare.

Per questo motivo, l’adozione dell’IA richiede un approccio strutturato. Non basta sviluppare modelli performanti: è necessario costruire sistemi affidabili, verificabili e coerenti con valori organizzativi, principi etici e requisiti normativi.

Perché la governance dell’IA è necessaria

La governance dell’IA ha l’obiettivo di creare un quadro di regole, processi e responsabilità per guidare l’intero ciclo di vita dei sistemi intelligenti: dalla progettazione allo sviluppo, dalla messa in produzione al monitoraggio continuo.

Senza governance, il rischio è che le organizzazioni adottino strumenti di IA in modo frammentato, guidate più dall’urgenza tecnologica che da una reale valutazione di impatti, rischi e responsabilità.

Una governance efficace consente di:

  • definire ruoli e responsabilità;

  • valutare rischi tecnici, etici, legali e organizzativi;

  • documentare scelte progettuali e fonti dei dati;

  • garantire trasparenza e tracciabilità;

  • prevedere forme adeguate di controllo umano;

  • monitorare le performance nel tempo;

  • intervenire in caso di errori, bias o impatti negativi.

Il punto centrale è che la fiducia non può essere semplicemente dichiarata. Deve essere progettata, dimostrata e mantenuta nel tempo.

Il contributo del NIST AI Risk Management Framework

Un riferimento importante in questa direzione è il NIST AI Risk Management Framework 1.0, pubblicato nel 2023 dal National Institute of Standards and Technology degli Stati Uniti.

Il framework è stato sviluppato come risorsa volontaria e flessibile, con il contributo di numerose organizzazioni provenienti da industria, accademia, società civile e governo. Il suo obiettivo è aiutare le organizzazioni a integrare la gestione del rischio nei processi di progettazione, sviluppo, utilizzo e valutazione dei sistemi di IA.

Il valore del NIST AI RMF sta nel proporre un linguaggio comune e un metodo operativo per affrontare la complessità dell’IA. Non si limita a enunciare principi generali, ma organizza la gestione del rischio intorno a quattro funzioni principali:

Govern, Map, Measure e Manage.

Queste funzioni non vanno interpretate come una sequenza rigida, ma come un ciclo continuo di valutazione, controllo e miglioramento.

Govern: costruire una cultura del rischio

La funzione Govern è trasversale a tutte le altre. Riguarda la capacità dell’organizzazione di creare una cultura consapevole del rischio, definendo politiche, responsabilità, processi decisionali e criteri di controllo.

Governare l’IA significa collegare le scelte tecniche agli obiettivi organizzativi, ai valori aziendali e alle aspettative degli stakeholder.

Questa funzione aiuta a rispondere a domande fondamentali:

  • Chi è responsabile del sistema di IA?

  • Quali sono i criteri di utilizzo accettabile?

  • Come vengono gestiti i rischi?

  • Quali controlli sono previsti?

  • Come vengono documentate le decisioni?

  • Come si garantisce il coinvolgimento delle funzioni competenti?

Senza una funzione di governance chiara, anche il miglior modello tecnico può diventare fragile dal punto di vista organizzativo, legale o reputazionale.

Map: comprendere il contesto e gli impatti

La funzione Map serve a definire il contesto in cui il sistema di IA viene progettato e utilizzato.

Prima di sviluppare o adottare una soluzione, l’organizzazione dovrebbe comprendere finalità, benefici attesi, limiti, stakeholder coinvolti e possibili impatti negativi.

Questa fase è essenziale perché molti rischi dell’IA non emergono soltanto dal modello in sé, ma anche dal contesto in cui viene applicato. Lo stesso algoritmo può avere conseguenze molto diverse se utilizzato in ambito sanitario, finanziario, educativo o amministrativo.

Mappare significa quindi chiedersi:

  • Qual è lo scopo del sistema?

  • Quali decisioni supporta?

  • Chi sarà impattato?

  • Quali dati vengono utilizzati?

  • Quali sono i possibili effetti indesiderati?

  • Quali gruppi potrebbero essere maggiormente esposti a rischi?

Il coinvolgimento di team interdisciplinari è fondamentale. Esperti tecnici, figure legali, responsabili di business, specialisti di compliance, utenti finali e stakeholder esterni possono contribuire a identificare rischi che una sola prospettiva non sarebbe in grado di cogliere.

Measure: valutare e monitorare i rischi

La funzione Measure riguarda la misurazione dei rischi individuati.

Misurare non significa soltanto valutare l’accuratezza tecnica di un modello. Significa analizzare anche robustezza, affidabilità, sicurezza, equità, spiegabilità, privacy e possibili impatti sui soggetti coinvolti.

Questa attività può includere strumenti quantitativi, qualitativi o misti. Le metriche devono essere scelte in modo coerente con il contesto d’uso e con i rischi identificati nella fase di mappatura.

Una valutazione seria dovrebbe essere condotta sia prima della messa in produzione sia durante il funzionamento del sistema. I modelli, infatti, possono degradare nel tempo, essere esposti a nuovi dati, operare in contesti diversi o produrre effetti non previsti.

La funzione Measure aiuta quindi a costruire una base oggettiva per prendere decisioni consapevoli. Senza misurazione, la gestione del rischio resta astratta. Con una misurazione adeguata, invece, l’organizzazione può individuare criticità, documentare risultati e intervenire in modo tempestivo.

Manage: gestire i rischi in modo operativo

La funzione Manage riguarda la gestione concreta dei rischi mappati e misurati.

Questa fase include la definizione delle priorità, l’allocazione delle risorse, la pianificazione di azioni correttive, la gestione degli incidenti, la comunicazione agli stakeholder e il miglioramento continuo.

Non tutti i rischi hanno lo stesso livello di gravità. Alcuni possono essere accettati, altri mitigati, altri ancora richiedono modifiche sostanziali al sistema o alla sua modalità di utilizzo.

Gestire il rischio significa quindi trasformare le analisi in decisioni operative.

Un’organizzazione matura dovrebbe essere in grado di:

  • stabilire soglie di accettabilità;

  • definire piani di mitigazione;

  • monitorare rischi emergenti;

  • aggiornare processi e controlli;

  • documentare le decisioni prese;

  • comunicare in modo trasparente con le parti interessate.

In questa prospettiva, la gestione del rischio non è un’attività una tantum, ma un processo continuo.

Un approccio iterativo e flessibile

Uno degli aspetti più interessanti del NIST AI RMF è la sua flessibilità.

Le quattro funzioni non costituiscono una checklist lineare da completare una volta per tutte. Al contrario, possono essere applicate in modo iterativo, adattandosi al settore, al livello di rischio, alla maturità dell’organizzazione e alla complessità del sistema di IA.

Questo è particolarmente importante perché l’IA evolve rapidamente. Cambiano i dati, cambiano i modelli, cambiano gli scenari normativi, cambiano le aspettative degli utenti e cambiano anche i rischi.

Una governance efficace deve quindi essere dinamica. Deve saper apprendere, correggere e aggiornarsi.

Dal rischio al vantaggio competitivo

Adottare un framework di gestione del rischio non significa rallentare l’innovazione. Al contrario, può diventare un fattore di competitività.

Le organizzazioni che governano l’IA in modo strutturato sono più preparate ad affrontare normative complesse, richieste di trasparenza, verifiche interne, audit esterni e aspettative crescenti da parte di clienti, cittadini, partner e autorità.

Una gestione responsabile dell’IA consente di:

  • ridurre rischi legali e reputazionali;

  • rafforzare la fiducia degli stakeholder;

  • migliorare la qualità dei sistemi;

  • favorire l’adozione interna;

  • prevenire errori costosi;

  • differenziarsi sul mercato.

In altre parole, la governance non è solo uno strumento di controllo. Può diventare una leva strategica.

Le organizzazioni che sapranno integrare responsabilità, trasparenza e controllo umano nei propri processi saranno più credibili e più resilienti. Non perché useranno meno IA, ma perché la useranno meglio.

Conclusione

L’intelligenza artificiale continuerà a essere un motore fondamentale di innovazione. Tuttavia, il suo valore dipenderà sempre di più dalla capacità delle organizzazioni di governarla in modo responsabile.

La complessità degli algoritmi, l’incertezza dei modelli, i rischi di bias e l’impatto sui processi decisionali richiedono un approccio sistemico, interdisciplinare e partecipativo.

Il NIST AI Risk Management Framework 1.0 offre un riferimento utile per trasformare principi etici in pratiche operative. La sua struttura basata su Govern, Map, Measure e Manage aiuta le organizzazioni a passare da una visione astratta della responsabilità a un metodo concreto di gestione del rischio.

Per le organizzazioni italiane, adottare framework di questo tipo significa prepararsi a un futuro in cui l’IA sarà sempre più integrata nei processi decisionali, produttivi e organizzativi.

La vera sfida non è più chiedersi se utilizzare l’IA, ma come utilizzarla in modo responsabile, equo, trasparente e sostenibile.

Perché l’innovazione non può essere considerata davvero avanzata se non è anche affidabile.

Bibliografia essenziale

National Institute of Standards and Technology, Artificial Intelligence Risk Management Framework — AI RMF 1.0, 2023.

National Institute of Standards and Technology, AI Risk Management Framework — AI RMF, pagina informativa sul sito AIRC.

Tshilidzi Marwala, The Algorithmic Problem in Artificial Intelligence Governance, United Nations University, 23 gennaio 2025.

Resta aggiornato su AI, governance e trasformazione digitale

Una mail mensile, senza fuffa. Casi reali, framework e riflessioni utili a chi guida iniziative di AI, advisory e trasformazione digitale. Iscriviti, disiscriviti quando vuoi.

Riceverai un'email per confermare la tua iscrizione.

← Torna agli articoli