569 AERIAL

AI e governance: il nuovo ruolo del collegio sindacale nella gestione dei rischi algoritmici

Jul 13, 2026

Il nuovo art. 2396-quinquies c.c. introduce un cambio di paradigma: il collegio sindacale è chiamato a vigilare non solo sull’adeguatezza degli assetti, ma sul concreto funzionamento del sistema di controllo interno e gestione dei rischi, inclusi quelli legati all’intelligenza artificiale.

 

L’evoluzione normativa recente segna un passaggio rilevante nella corporate governance: dalla verifica formale della conformità normativa alla valutazione sostanziale della capacità dell’impresa di governare i rischi, compresi quelli derivanti dall’utilizzo di sistemi di intelligenza artificiale.

Il nuovo art. 2396-quinquies c.c., introdotto nell’ambito delle riforme attuative della Legge Capitali, estende infatti l’ambito della vigilanza del collegio sindacale al sistema di controllo interno e di gestione dei rischi (SCIGR) e al suo effettivo funzionamento. Non è più sufficiente verificare l’esistenza di procedure e assetti: occorre accertare che i rischi siano identificati, monitorati e gestiti in modo efficace.

In tale contesto, l’intelligenza artificiale rappresenta uno dei principali fattori di rischio emergenti, insieme ai rischi ESG, cyber e reputazionali. La disciplina europea (CSRD, NIS2, DORA, AI Act) impone agli organi sociali di presidiare tali ambiti con logiche integrate di governance e risk management.

Operativamente, il collegio sindacale è chiamato a svolgere una vigilanza su tre direttrici fondamentali:

  • architettura organizzativa: verifica che la società abbia adottato un modello di governance dell’AI strutturato (es. comitati dedicati, livelli di responsabilità, coinvolgimento delle funzioni chiave);
  • flussi informativi: controllo sulla qualità, completezza e tempestività delle informazioni fornite al consiglio di amministrazione sui sistemi AI e sui relativi rischi;
  • presidi di “human oversight”: accertamento dell’effettiva supervisione umana sui processi decisionali automatizzati.

Particolarmente rilevante è il concetto di human-in-the-loop, che non si esaurisce in una verifica formale finale, ma richiede la presenza di soggetti competenti in grado di comprendere, validare e, se necessario, correggere gli output dell’algoritmo. Tale principio diventa centrale per dimostrare che l’impresa mantiene il controllo sui rischi tecnologici.

Dal punto di vista applicativo, cambia anche la logica della vigilanza:

  • il consiglio di amministrazione deve dimostrare di aver impostato un sistema idoneo a gestire i rischi ex ante;
  • il collegio sindacale deve verificarne l’effettiva operatività, non limitandosi a un controllo documentale ma entrando nel merito dei processi.

Per le imprese (anche PMI), ciò implica la necessità di:

  • formalizzare una governance dell’AI coerente con dimensioni e complessità aziendale;
  • integrare i rischi AI nei sistemi di controllo interno e nei modelli 231;
  • strutturare sistemi di reporting chiari verso il CdA;
  • attribuire responsabilità precise sui processi automatizzati.
Find an office
Offices