Collegio sindacale: linee guida per la vigilanza sui rischi dell’Intelligenza Artificiale

Il CNDCEC e la FNC hanno pubblicato le linee guida per il Collegio sindacale sull’adozione dell’IA. Le verifiche devono essere proporzionate e basate su informazioni attendibili, con attenzione ai rischi tecnici, legali e reputazionali e al mantenimento di un controllo umano critico.

La crescente diffusione dell’Intelligenza Artificiale (IA) nelle imprese impone al Collegio sindacale un nuovo approccio di vigilanza, orientato alla conformità normativa e alla gestione dei rischi. Le linee guida emanate dal CNDCEC e dalla FNC chiariscono che l’organo di controllo non deve effettuare test tecnici sui modelli, ma vigilare sulla qualità del processo decisionale e sull’idoneità degli assetti organizzativi, affinché l’uso dell’IA generi valore sostenibile senza esporre l’impresa a rischi non governati.

Le verifiche devono essere calibrate secondo i principi di proporzionalità e materialità, basandosi su informazioni ragionevoli fornite dalle funzioni aziendali e, se necessario, su competenze specialistiche esterne.

Tra i rischi da presidiare rientrano:

• Rischi tecnici (performance, sicurezza dei dati, integrità dei sistemi);
• Bias e discriminazioni nei modelli;
• Rischi legali e di compliance;
• Rischi operativi e di terze parti;
• Rischi reputazionali e di diritti fondamentali.

Il Collegio deve verificare che l’impresa abbia definito una tassonomia dei rischi IA e attuato processi strutturati di gestione, comprendenti inventario e classificazione degli use case, metodologia di scoring e valutazioni d’impatto. Per ogni rischio rilevante è opportuno che siano previsti piani di trattamento con responsabilità, scadenze, KPI/KRI e controlli di efficacia.

Particolare attenzione va posta all’uso diretto di sistemi di IA da parte del Collegio (es. analisi documentale, individuazione anomalie contabili), che può generare rischi specifici quali:

• Automation bias, ossia accettazione acritica degli output dell’IA;
• Informazioni incomplete o filtrate;
• Tutela delle informazioni riservate.

È quindi necessario valutare preventivamente funzionalità, limiti e fonti informative dei sistemi, garantendo tracciabilità e mantenendo sempre un controllo umano critico sugli esiti prodotti. La vigilanza deve essere continua e non episodica, con un approccio integrato alla governance dei rischi tecnologici.