Ogni tecnologia trasformativa e dirompente – come il World Wide Web, il cloud o l’IoT – si sviluppa seguendo due logiche. La prima è quella che guarda al futuro e a tutto ciò che l’innovazione permette di fare in più o meglio rispetto al passato. La seconda, invece, si sviluppa in profondità, è più lenta, meno visibile, e riguarda ciò che l’innovazione in questione obbliga a ripensare alle fondamenta. Nel caso dell’intelligenza artificiale, la seconda logica ha un nome. Si chiama AI governance.
È questo il filo conduttore della tavola rotonda organizzata all’interno dell’evento a porte chiuse SAS CxO di Milano, dove tre protagonisti del tessuto produttivo e istituzionale italiano hanno portato la propria esperienza diretta sul tema dell’AI governata e governabile.
Indice degli argomenti
Cos’è la AI governance (e perché non è sinonimo di burocrazia)
Con il termine AI governance si intende l’insieme di principi, processi, strumenti e responsabilità che un’organizzazione mette in campo per sviluppare, monitorare e mantenere nel tempo i propri sistemi di intelligenza artificiale. Non si tratta di documenti da archiviare, né di adempimenti normativi fine a se stessi. È, piuttosto, l’infrastruttura invisibile che permette all’AI di funzionare in modo affidabile, trasparente e sostenibile.
La governance riguarda la qualità dei dati su cui i modelli vengono addestrati, la tracciabilità delle decisioni automatizzate, la gestione del rischio di discriminazione, la supervisione umana nei momenti critici e la capacità di rispondere – anche sotto audit – a domande precise su come e perché un sistema ha prodotto un determinato output.
Con le organizzazioni che ormai quotidianamente si trovano a gestire simultaneamente decine, se non centinaia di modelli AI in produzione, la governance non è più un’opzione ma una conditio sine qua non per presidiare il rischio e mantenere la qualità dei modelli nel tempo.
Intesa Sanpaolo: 237 sistemi AI censiti e una piattaforma per governarli tutti
Andrea Cosentini, Head of Data Science & Responsible AI di Intesa Sanpaolo, ha rivelato che a dicembre 2025 la banca aveva censito 237 sistemi AI attivi. Un numero che rende immediatamente evidente perché la governance non possa essere gestita in modo destrutturato e naif, ma richieda al contrario la capacità di dotarsi di un’architettura centralizzata e scalabile per presidiare i diversi aspetti dell’affidabilità e del controllo dell’IA.
«È inutile parlare di casi d’uso senza parlare di governance, perché si finisce per dilapidare tutti gli sforzi», ha osservato Cosentini. E Intesa Sanpaolo ha risposto a questa sfida costruendo una piattaforma centralizzata in grado di monitorare ogni singolo sistema in esercizio: performance, risultati prodotti, trasparenza, spiegabilità e, nel caso dello scoring del merito creditizio, anche la verifica dell’assenza di discriminazioni e bias nella valutazione dei clienti.
Alfasigma: la governance prerequisito per l’audit
Nel settore farmaceutico, la posta in gioco è ancora più alta. Parliamo di salute e un errore nel trattamento dei dati può avere conseguenze dirette sulla vita dei pazienti. Mara Magni, IT & R&D Director di Alfasigma, ha offerto una prospettiva preziosa su come l’AI stia entrando nel ciclo di vita del farmaco e su quanto sia fondamentale introdurla, gestirla e monitorarla con le giuste salvaguardie.
«L’immaginario collettivo sull’AI in ambito farmaceutico è spesso dominato dalla promessa della scoperta automatizzata di nuovi principi attivi. La realtà, però, è più articolata. I modelli esistono e sono potenti, ma ogni output automatizzato deve essere validato in laboratorio e nella vita reale prima di tradursi in qualcosa di clinicamente rilevante. Non possiamo permetterci di avere una situazione di human-out-of-the-loop», ha chiarito Magni.
Uno dei casi d’uso più concreti su cui Alfasigma sta lavorando è la farmacovigilanza, ovvero il monitoraggio degli effetti avversi dei farmaci già in commercio. «Le segnalazioni arrivano da medici, trial clinici e anche dal web, con i pazienti che descrivono la propria esperienza farmacologica su Google. Questo significa formati eterogenei, lingue diverse e tempistiche che non ammettono ritardi. L’AI permette di raccogliere, uniformare e inserire queste informazioni in un database centralizzato in modo molto più rapido rispetto al lavoro manuale, liberando i professionisti per attività di ricerca più mirate».
Ma tutto questo, ha sottolineato Magni, richiede un framework strutturato capace di dimostrare, anche in sede di audit regolatorio, l’origine del dato, la catena del trattamento e le responsabilità a ogni passaggio.
Comune di Pisa: i dati ambientali come strumento di protezione della salute pubblica
La governance dell’AI non riguarda, però, solo le grandi aziende private. Marco Redini, Direttore della Direzione Ambiente del Comune di Pisa, ha portato sul palco la sua testimonianza dimostrando come anche la pubblica amministrazione possa – e debba – fare della gestione responsabile dei dati ingestiti dall’IA un pilastro del proprio lavoro istituzionale.
«Pisa è una città che vive una pressione straordinaria, con 90mila residenti stabili e fino a 160mila presenze quotidiane, con i turisti. Le ricadute sono evidenti soprattutto sul trasporto aereo e ferroviario. Il nostro comune da anni ha costruito un sistema di monitoraggio ambientale basato su sensori distribuiti che rilevano i livelli del fiume Arno, la qualità dell’aria e il rumore, e su analisi dati che supportano decisioni informate».
Redini ha citato gli interventi mirati alla riduzione del rumore degli aerei che sorvolano la città come esempio emblematico di quanto l’utilizzo dell’AI sia ormai sdoganato. «Attraverso simulazioni basate sui algoritmi, siamo stati in grado di intervenire sulle rotte degli aerei in fase di decollo e atterraggio, riducendo sensibilmente l’inquinamento acustico per i residenti».
Un esempio virtuoso, quello dell’amministrazione del comune toscano, che va in controtendenza rispetto alla tradizionale ritrosia delle PA locali e centrali di diffondere informazioni.
Una governance dei dati rigorosa, in contesto come quello descritto, non è solo un un obbligo tecnico ma un vero e proprio strumento di autonomia istituzionale e legittimità pubblica. Il modello sviluppato a Pisa è già in fase di condivisione con i comuni limitrofi, con un potenziale di replicabilità significativo per tutta la PA locale italiana.
Le tre condizioni per una governance efficace dell’intelligenza artificiale
Dai tre contributi emerge una mappa comune delle condizioni che rendono l’AI governance realmente efficace, al di là dei settori di appartenenza e delle dimensioni organizzative.
La prima è una vista centralizzata: non è possibile governare ciò che non si vede. Che si tratti di 237 modelli bancari, di flussi di segnalazioni farmacologiche o di sensori ambientali distribuiti sul territorio, il prerequisito è avere una piattaforma o un framework che permettono di mappare l’esistente, sapere come funziona e chi ne è responsabile.
La seconda è la tracciabilità granulare dei dati: in ambienti regolamentati come la finanza e il pharma – ma il principio vale ovunque – ogni decisione automatizzata deve poter essere ricondotta alla sua origine, documentata e difendibile. Non è sufficiente che il modello funzioni, deve essere anche spiegabile.
La terza è il presidio umano nei punti critici: nessuno dei tre interlocutori ha dipinto un futuro di automazione totale. Al contrario, tutti hanno sottolineato come l’AI amplifichi sensibilmente le capacità umane ma senza sostituirle mai completamente, specie nei momenti in cui è in gioco la responsabilità – verso i clienti, verso i pazienti, verso i cittadini.
Autonomia e controllo: come trovare l’equilibrio giusto
La chiusura dell’evento ha offerto una sintesi efficace della sfida complessiva dell’AI governance: come si cresce nell’uso dell’intelligenza artificiale mantenendo il controllo? La risposta non è bloccare l’autonomia dei sistemi, ma dosarla in funzione del rischio, del contesto e della posta in gioco.
Guardrail chiari sull’accesso ai dati, ambienti tecnologici validati, accountability costruita fin dal primo giorno del ciclo di vita di un agente – e una visione unificata di tutti i modelli e gli strumenti AI in uso nell’organizzazione, permettono di evitare la proliferazione incontrollata dei sistemi di intelligenza artificiale – il fenomeno dello shadow AI – o AI “ombra”.
Crescere con l’AI: l’analogia con la genitorialità
A chiudere l’evento è stata Véronique Van Vlasselaer, AI & Data Science Manager EMEA di SAS, con una riflessione che ha saputo sintetizzare in modo inaspettatamente efficace la filosofia alla base di tutta la discussione. Il suo punto di riferimento concettuale? Il parallelismo tra modello di governance dell’AI agentica e genitorialità.
«Implementare agenti AI non è così diverso dall’educare un figlio. Bisogna definire regole chiare, che nell’AI significa stabilire dei guardrail. Bisogna, poi, creare per i figli un ambiente adeguato, che nell’intelligenza artificiale agentica si traduce nella capacità di garantire dati affidabili, tool validati e accessi autorizzati. Occorre anche insegnare ai figlia chiedere aiuto, che nel modello dell’Agentic AI si traduce nel principio dello human-in-the-loop, con gli agenti che fanno l’handover sull’operatore umano quando necessario. Fondamentale, poi, responsabilizzare i figli, che traslato all’implementazione degli agenti autonomi significa garantire l’accountability dal giorno zero su tutto il ciclo di vita dell’agente, attraverso decisioni trasparenti e tracciabili, una ownership chiara e algoritmi robusti. E infine, bisogna imparare a farli crescere i figli, ma in un contesto supervisionato, che come concetto trasferito all’ambito dell’Agentic AI significa essere in grado di mitigare l’autonomia degli algoritmi con la supervisione umana», ha concluso Van Vlasselaer.
Un equilibrio delicato, dunque, ma non impossibile da raggiungere.
