Governance dell'AI in CdA: il controllo che separa chi crea valore da chi accumula rischio

Nel giro di due anni l'intelligenza artificiale è entrata in quasi ogni impresa: nel marketing, nelle vendite, nella supply chain, nei processi amministrativi. È entrata dal basso, funzione per funzione, spesso senza che nessuno al vertice ne governasse il perimetro. Ed è qui che si apre il problema che il 2026 mette al centro dell'agenda dei consigli: l'AI è ovunque nelle operazioni, e quasi da nessuna parte nel controllo. La tesi, senza giri di parole: il rischio non è adottare l'AI, è adottarla senza che il board la governi. Un'azienda che usa l'AI in dieci processi e non la presidia in nessuno non è all'avanguardia: è esposta, e non lo sa.

Il dato che fotografa il vuoto. Secondo l'analisi ISS STOXX 2026 su 3.048 società dei panieri Russell 3000 e S&P 500, solo l'8% dichiara una supervisione dell'intelligenza artificiale a livello di consiglio, circa il 9% ha policy formali su sviluppo, impiego e monitoraggio dell'AI, e appena il 16% ha almeno un amministratore con competenza specifica in materia; solo il 4% ne ha due o più, e tre quarti dei casi di oversight si concentrano in cinque settori. Sullo sfondo, l'adozione operativa è ormai quasi universale (McKinsey, State of AI). Tradotto: si usa l'AI dappertutto, la si controlla quasi da nessuna parte, e la competenza per controllarla manca proprio nella stanza dove si dovrebbe decidere. Il divario non è tecnico, è di governo.

Due nozioni da non confondere. L'uso operativo dell'AI è il dispiegamento degli strumenti nei processi: chi li sceglie, li integra, ne ricava efficienza. La governance dell'AI è un'altra cosa: è l'insieme di organi, deleghe, regole scritte e contrappesi attraverso cui il consiglio decide quali rischi l'impresa è disposta a correre con l'AI, chi ne risponde, e con quali metriche se ne misura tanto il valore quanto il pericolo. Il primo è un fatto di funzione; la seconda è un fatto di consiglio. Confondere i due livelli è l'errore d'origine: delegare al reparto IT una scelta che è, nella sostanza, una scelta di rischio d'impresa, e quindi di competenza del board.

Le trappole che accumulano rischio in silenzio. I modi di sbagliare sono pochi e ricorrenti. L'AI come progetto IT: trattata come tecnologia da implementare, non come rischio da governare, finisce fuori dal radar del consiglio. Il rischio non mappato: dati che escono, bias nelle decisioni, allucinazioni spacciate per output affidabili, modelli di terzi su cui non si ha controllo, esposizione normativa con l'AI Act europeo che impone obblighi crescenti. La responsabilità diffusa: quando tutti usano l'AI e nessuno la presidia, in caso di danno non c'è un responsabile, c'è un vuoto. E la più costosa, la governance dichiarata ma non implementata: policy che esistono sulla carta e non nei meccanismi reali, una rassicurazione di facciata che a un investitore esperto, o a un regolatore, non sfugge. Nessuna di queste è un problema di tecnologia. Sono tutti problemi di controllo.

Perché conta adesso. Tre forze convergono nel 2026. La regolazione: l'EU AI Act è ormai operativo e introduce obblighi proporzionati al rischio, con responsabilità che risalgono fino al vertice. Il capitale: la pazienza degli investitori è finita e il divario tra chi dimostra una governance solida e chi la afferma soltanto si allarga, all'ingresso come all'uscita. E la natura stessa del rischio: l'AI non è uno strumento neutro che si aggiunge ai processi, è una leva che amplifica tanto il valore quanto l'errore, e una leva si presidia, non si lascia libera. Per questo il board oversight dell'AI è, secondo le principali fonti di governance, la priorità dichiarata del 2026: non per moda, ma perché il costo del non-controllo è diventato visibile.

Come interviene Krymax. Portiamo il controllo dell'AI dentro il processo decisionale del consiglio, con un perimetro definito fin dal primo giorno. Mappiamo dove l'AI è gia in uso e quale rischio porta con sé, e costruiamo un AI risk register leggibile in CdA. Disegniamo gli organi e le deleghe: chi decide la soglia di rischio accettabile, chi ne risponde, con quali cadenze il consiglio rivede l'esposizione. Scriviamo le policy che funzionano davvero, ancorate ai meccanismi e non alle slide, e allineate agli obblighi dell'AI Act. Fissiamo KPI doppi: di valore (dove l'AI sposta davvero il margine) e di rischio (dove l'AI puo costare caro), perché un consiglio deve vedere entrambi nello stesso quadro. Tutto in deliverable utilizzabili dal board, leggibili da una banca o da un investitore. Con rigore svizzero, riservatezza e responsabilità sui numeri. E con un principio fermo: quando il mandato finisce, il controllo resta in azienda, perché la governance dell'AI non sia una dipendenza dal consulente ma un modo di decidere che regge da solo.

Nel 2026 l'AI non distingue più le imprese tra chi la usa e chi no: quasi tutte la usano. Le distingue tra chi la governa e chi la subisce. La prima crea valore presidiato; la seconda accumula rischio che non ha mai deciso di correre. È esattamente lì che lavoriamo.