L'AI corre, la governance frena: chi risponde al board

I C-level vogliono eliminare la supervisione umana sull'intelligenza artificiale per guadagnare velocità. Le normative europee la rendono obbligatoria. La frattura è già al vertice.

La spaccatura che nessuno vuole nominare

La cultura dominante nell'adozione dell'AI in azienda si riassume in cinque parole: chiedere perdono, non permesso. I vertici aziendali spingono per rimuovere ogni forma di supervisione umana sugli strumenti di intelligenza artificiale perché "rallenta le cose". Dall'altra parte, chi studia il rischio sul campo, ricercatori, analisti, responsabili della sicurezza, osserva uno scenario opposto: gli AI coding assistant stanno perforando difese costruite in vent'anni, creando percorsi privilegiati diretti verso ambienti di sviluppo e dati critici. Il tutto senza che le organizzazioni si fermino a valutare l'impatto. La spinta all'automazione, come sottolineano diverse voci autorevoli del settore tra cui Eric Geller e Diana Kelly, non nasce dalla sicurezza. Nasce dai margini di profitto e dalla riduzione del costo del lavoro. Il dibattito tra chi governa e chi analizza non è più tecnico. È una frattura strategica, e si consuma nelle stanze dove si prendono le decisioni di investimento. Chi ha i dati per decidere spesso non siede al tavolo giusto. Chi siede al tavolo giusto, spesso non vuole quei dati.

Tre fronti aperti che il business non può ignorare

Spostare lo sguardo dal piano tecnico a quello strategico rende il quadro più nitido e più scomodo. Il primo fronte è operativo: strumenti di coding basati su AI che ottengono accessi privilegiati non governati verso ambienti critici rappresentano un rischio concreto di compromissione della catena di sviluppo. Non è teoria, è la conseguenza diretta dell'assenza di controlli su tool che operano con permessi elevati. Il secondo fronte è di governance: quando il management decide consapevolmente di eliminare la supervisione umana per guadagnare velocità e margini, si assume un'accountability che potrebbe non aver calcolato. Se qualcosa va storto, la scelta è tracciabile. Il terzo fronte riguarda la resilienza: un AI agent che opera fuori controllo e sbaglia, classificando male un rischio, gestendo in modo errato un processo, produce un danno che si scopre tardi. E quando si scopre tardi, il costo è sproporzionato rispetto al risparmio ottenuto. A questo si aggiunge una pressione sistemica meno visibile: il volume crescente di segnalazioni generate dall'AI sta mettendo sotto stress i programmi di vulnerability management, degradando la qualità dell'infrastruttura difensiva su cui tutti fanno affidamento.

Responsabilità senza autorità: la trappola organizzativa

La frizione più chirurgica non è tra tecnologia e sicurezza. È tra chi ha il mandato di accelerare e chi ha la responsabilità di governare il rischio. I C-level vogliono rimuovere l'oversight umano perché lo considerano un freno competitivo. Chi si occupa di sicurezza lo considera l'unico argine residuo. Nel mezzo, chi gestisce il rischio si trova intrappolato in un paradosso noto: deve abilitare il business, non essere il dipartimento del "no", ma non può accettare che strumenti AI operino con privilegi elevati senza governance. La cultura del "avanti tutta, niente domande" bypassa di fatto il ruolo di chi dovrebbe validare le scelte tecnologiche ad alto impatto. Alissa Irei, tra le voci più attente a queste dinamiche, ha descritto con precisione questa deriva culturale. Il risultato è una condizione organizzativa tossica: responsabilità formale senza autorità reale. Il nome nel registro degli accountable c'è. Il potere di dire "fermiamoci a valutare", no. E quando l'incidente arriva, il board scopre che la governance era stata disattivata per scelta, non per errore.

Il quadro normativo europeo non lascia margini di ambiguità

Il contesto regolatorio europeo offre una cornice che rende questa tensione non solo strategica ma giuridicamente rilevante. L'AI Act impone la supervisione umana per i sistemi AI classificati ad alto rischio, esattamente il tipo di oversight che alcune organizzazioni stanno deliberatamente eliminando. La Direttiva NIS2 richiede che gli organi di gestione approvino e sovrintendano direttamente le misure di gestione del rischio ICT: se l'oversight viene rimosso per scelta strategica del vertice, l'accountability ricade sul board in modo esplicito e documentabile. DORA rafforza ulteriormente l'obbligo di governance e controllo su strumenti e fornitori ICT, inclusi quelli basati su intelligenza artificiale. La convergenza di questi tre strumenti normativi crea un perimetro preciso: in Europa, la decisione di rimuovere la supervisione umana sull'AI non è un trade-off operativo. È una scelta che genera responsabilità diretta per chi la prende. Il dato interessante è che proprio l'Unione Europea sta colmando il vuoto di leadership nella governance dell'AI, portando competenze e framework dove altri attori istituzionali si sono ritirati. Per le organizzazioni che operano nel perimetro europeo, il margine di discrezionalità si sta restringendo rapidamente.

La domanda che il board dovrebbe porsi oggi

Se la vostra organizzazione ha deciso di accelerare sull'AI eliminando la supervisione umana per tagliare costi e guadagnare velocità, una domanda resta inevasa. Chi è formalmente accountable quando un coding assistant apre un tunnel privilegiato verso i dati critici dell'azienda, e nessuno se ne accorge fino all'incidente? La risposta non è tecnica. Non la troverete in un report di vulnerability assessment. La troverete nel verbale del comitato che ha approvato quella scelta. O nell'assenza di quel verbale, che è ancora peggio. La tensione tra velocità di adozione e maturità di governance non si risolve con un compromesso elegante. Si risolve con una decisione consapevole su dove collocare il rischio residuo e chi lo firma. In molte organizzazioni, quella firma non esiste ancora. Lo strumento è già in produzione, i privilegi sono già assegnati, i dati sono già esposti. Manca solo il nome di chi ne risponde.

La governance dell'AI non è un problema di sicurezza da delegare. È una decisione di vertice che qualcuno, prima o poi, dovrà dimostrare di aver preso, o di aver evitato.