Con il documento elaborato dalla Commissione di studio ed emanato a fine 2025, il Consiglio Nazionale dei Commercialisti traccia i confini della responsabilità e dei controlli sull'Intelligenza Artificiale nelle imprese. Dalla "Shadow AI" al rischio di "Decision Capture", ecco la mappa per governare la transizione tecnologica nel rispetto del principio di corretta amministrazione.



Nel panorama economico contemporaneo, l’Intelligenza Artificiale (IA) ha definitivamente cessato di essere una mera innovazione tecnologica confinata ai laboratori di ricerca o ai dipartimenti IT per trasformarsi in un elemento infrastrutturale e pervasivo di ogni business. 

L’adozione di sistemi algoritmici avanzati tocca il cuore dei modelli operativi, ridefinisce le catene del valore e sposta gli equilibri competitivi dei mercati globali. 

In questo scenario di metamorfosi accelerata, il sistema di governance societaria si trova di fronte a una sfida inedita e complessa: garantire che l’integrazione dell'IA avvenga salvaguardando l'integrità aziendale, la stabilità finanziaria, la conformità normativa e la fondamentale tutela di azionisti e stakeholder.

Per rispondere a questa urgenza il Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili (CNDCEC), in stretta collaborazione con la Fondazione Nazionale Commercialisti (FNC), ha elaborato un documento cardine intitolato “Linee Guida di vigilanza del Collegio sindacale sulla adozione dell’Intelligenza artificiale”. Il testo si propone come una vera e propria bussola operativa per l’organo di controllo, definendo un framework sistemico per vigilare sull’impatto dell’IA sulla governance, sulla gestione dei rischi e sui processi interni. 

Sebbene il focus si orienti con particolare attenzione alle società quotate e di grandi dimensioni, le implicazioni metodologiche del documento sono destinate a riverberarsi sull’intero tessuto societario nazionale.

L’IA come "agente strategico" e l’evoluzione della corretta amministrazione

Il presupposto concettuale e giuridico da cui muovono le Linee Guida del CNDCEC è dirompente: l’Intelligenza Artificiale non può più essere equiparata a un tradizionale software gestionale o a un'applicazione di automazione passiva. Essa deve essere qualificata come un vero e proprio "agente strategico". Tale natura deriva dalla sua capacità intrinseca di elaborare moli monumentali di dati, apprendere autonomamente dai pattern ricavati, generare output complessi (sotto forma di previsioni, raccomandazioni, decisioni o contenuti) e, in ultima analisi, influenzare in modo determinante il processo decisionale umano.

Per il Collegio Sindacale, questo mutamento di paradigma ridefinisce radicalmente l'oggetto stesso della vigilanza sul rispetto dei principi di "corretta amministrazione" ai sensi dell’articolo 2403 del Codice Civile. 

I sindaci non sono chiamati a valutare il merito tecnico o l'efficienza ingegneristica delle soluzioni di IA prescelte, ambito che rientra appieno nella discrezionalità imprenditoriale del Consiglio di Amministrazione, bensì a verificare la razionalità, la consapevolezza e la strutturazione del processo decisionale che ha condotto all'adozione di tali tecnologie. La corretta amministrazione, nell’era degli algoritmi, esige che l’organo amministrativo non abdichi alle proprie prerogative sovrane in favore delle macchine e che l’introduzione dell'IA sia l'esito di una pianificazione strategica ponderata, supportata da adeguate istruttorie, analisi costi-benefici e stringenti presidi organizzativi.

La mappa della vigilanza: i sei pilastri del framework CNDCEC

Il documento del CNDCEC struttura l’attività di controllo del Collegio Sindacale attorno a 6 macro-aree di intervento, declinando per ciascuna di esse specifiche indicazioni operative e aree di verifica:

1. la gestione strategica della transizione verso l’IA: l’organo di controllo deve appurare se l’introduzione dei sistemi di IA sia coerente con il piano industriale e con il livello di propensione al rischio (Risk Appetite Framework - RAF) approvato dalla società. I sindaci devono accertarsi che il management abbia quantificato l'impatto economico-finanziario e organizzativo di tali investimenti sul medio e lungo termine;
2. la valutazione strategica dell’IA: questa fase attiene alla comprensione dello scenario competitivo. Il Collegio verifica se gli amministratori monitorino costantemente le minacce e le opportunità derivanti dall'IA (ad esempio tramite analisi SWOT dedicate) e se valutino attivamente opzioni di partnership tecnologiche, alleanze o operazioni di M&A per evitare l'obsolescenza strategica sul mercato;
3. la supervisione della governance interna: è l'architettura organizzativa. Le Linee Guida richiedono che la società si doti di una specifica "AI Policy", formalmente approvata dal Consiglio di Amministrazione. Questa policy deve delineare i ruoli, le responsabilità, i flussi informativi e le competenze richieste alle diverse funzioni aziendali coinvolte nell'ecosistema algoritmico;
4. la gestione dei rischi legati all’implementazione dell’IA: rappresenta il baricentro operativo del documento. Il Collegio sindacale deve vigilare sull’adeguatezza del sistema di controllo interno nell’identificare, misurare e mitigare i rischi specifici indotti dall'adozione dell'IA;
5. la compliance normativa e regolamentare: un pilastro dominato dall’entrata in vigore del Regolamento Europeo sull’Intelligenza Artificiale (AI Act) e dal delicato coordinamento con il GDPR per la tutela dei dati personali, oltre che dall'allineamento ai nuovi standard internazionali, primo fra tutti l'ISO/IEC 42001 relativo ai sistemi di gestione dell'IA;
6. l’utilizzo dei sistemi di IA da parte degli organi di governance (CorpTech): il documento esplora la frontiera dell'adozione dell'IA da parte degli stessi organi societari (CdA e Collegio sindacale) come strumento avanzato di supporto alle deliberazioni e all'attività di controllo.

I nuovi rischi sotto la lente dei controllori: Shadow AI, Decision Capture e Automation Bias

Entrando nel dettaglio della gestione dei rischi, le Linee Guida introducono concetti di elevata modernità ed efficacia analitica, accendendo i riflettori su insidie che spesso sfuggono alle maglie dei sistemi di controllo interni tradizionali.

Il primo fattore di rischio analizzato è la Shadow AI (o IA ombra). Si tratta del fenomeno, sempre più diffuso, per cui dipendenti, manager o intere business unit utilizzano in autonomia strumenti di IA generica o modelli linguistici (LLM) disponibili online senza l'autorizzazione, la validazione o il monitoraggio formale del dipartimento IT o della compliance. I sindaci devono verificare l'esistenza di policy chiare e di sistemi di monitoraggio tecnologico idonei a prevenire questa pratica. Il rischio sotteso è critico: l'inserimento di dati aziendali riservati, segreti industriali o dati personali di clienti e dipendenti all'interno di piattaforme terze può determinare una massiccia e incontrollabile fuga di dati (data leakage), compromettendo la proprietà intellettuale della società e sanzionandone la responsabilità legale.

Il secondo e ancor più insidioso rischio è denominato Decision Capture (cattura decisionale). Esso si manifesta quando il processo decisionale umano viene, di fatto, surclassato o interamente delegato all'impianto algoritmico. In questi casi, gli amministratori o i manager tendono a ratificare acriticamente gli output forniti dalla macchina, subendo una distorsione cognitiva nota come automation bias (pregiudizio dell'automazione). Di fronte a report previsionali complessi o a raccomandazioni d'azione formulate da un'IA, l'operatore umano può smarrire lo spirito critico, assumendo acriticamente che il sistema sia infallibile.

Le Linee Guida del CNDCEC pongono in capo al Collegio Sindacale il dovere di vigilare affinché l’organo amministrativo mantenga saldamente la titolarità reale e non solo formale del processo deliberativo. Per mitigare il rischio di Decision Capture, i sindaci devono accertarsi che la società adotti metodologie stringenti per classificare il grado di autonomia dei sistemi (privilegiando approcci di tipo human-in-the-loop, in cui l'uomo mantiene l'ultima parola e la supervisione costante) e che sia garantita la explainability (spiegabilità) degli algoritmi. Un amministratore non può dichiararsi pienamente consapevole se non è in grado di comprendere la logica sottostante, le variabili ponderate e i limiti intrinseci del modello che ha generato la raccomandazione strategica.

Compliance normativa: il coordinamento tra l’AI Act e la riforma del TUF

Un ampio capitolo del documento è dedicato alla conformità legale, un ambito in cui il quadro regolatorio si sta stratificando a livello sovranazionale. Il punto di riferimento inderogabile è l'AI Act dell'Unione Europea, che introduce un impianto basato sul rischio, vietando determinate pratiche e imponendo severi obblighi per i sistemi qualificati "ad alto rischio".

Il Collegio Sindacale deve verificare che la mappatura aziendale dei sistemi di IA sia rigorosa e costantemente aggiornata rispetto alle categorie di rischio previste dal legislatore europeo. In presenza di sistemi ad alto rischio, i sindaci devono accertarsi dell'avvenuta effettuazione delle valutazioni di impatto sui diritti fondamentali, della presenza di sistemi di gestione della qualità dei dati di addestramento e dell'attivazione di presidi di cybersicurezza dedicati.

Inoltre, l'analisi del CNDCEC si inserisce in perfetta sintonia con le evoluzioni del diritto societario e dei mercati finanziari, incluse le novità prefigurate dalla riforma del TUF (Testo Unico della Finanza). Le nuove disposizioni normative introducono obblighi di informativa (disclosure) e trasparenza sempre più stringenti in materia di utilizzo dell’intelligenza artificiale e di gestione dei rischi informatici per gli emittenti. Le Linee Guida evidenziano come la trasparenza verso il mercato non sia solo un adempimento formale, ma un pilastro della reputazione aziendale. Il Collegio Sindacale ha il compito di vigilare sulla coerenza tra i sistemi di IA effettivamente operativi all'interno dell'organizzazione e le informazioni rese pubbliche nelle relazioni sulla governance e nei report di sostenibilità.

La CorpTech: l’Intelligenza Artificiale al servizio dell’organo di controllo

Se da un lato l'IA rappresenta un oggetto di vigilanza complessa, dall'altro le Linee Guida del CNDCEC ne promuovono l'adozione come strumento sussidiario per gli stessi organi di controllo e direzione, inaugurando la stagione della cosiddetta CorpTech (Corporate Governance Technology).

L'utilizzo di strumenti algoritmici avanzati da parte del Collegio Sindacale viene apertamente incoraggiato dal documento, poiché può elevare in modo significativo l'efficacia e la capillarità delle verifiche campionarie tradizionali. Le applicazioni potenziali includono:

• Supporto informativo e documentale: per l'analisi rapida e l'estrazione di dati da moli ingenti di verbali, contratti e delibere societarie;
• Analisi predittiva e simulazioni: per testare la tenuta dei piani industriali o dei budget aziendali attraverso la creazione di scenari di stress-test alternativi;
• Monitoraggio esterno e sorveglianza sul rischio cyber: per intercettare tempestivamente segnali di anomalie nei flussi finanziari, transazioni sospette o vulnerabilità nei sistemi di sicurezza delle informazioni.

Tuttavia, il CNDCEC fissa paletti rigidissimi per questa transizione. I sindaci che scelgono di avvalersi di soluzioni di IA devono presidiare con assoluto rigore i rischi legati alla riservatezza, all'indipendenza e al segreto d'ufficio. È fondamentale che il fornitore del modello algoritmico garantisca contrattualmente la non utilizzazione dei dati aziendali caricati dall'organo di controllo per finalità di addestramento (training) del modello. Inoltre, permane l'obbligo per i sindaci di evitare l'automation bias interno: l'IA può velocizzare l'estrazione delle evidenze, ma la valutazione finale sulla gravità di un'anomalia o sull'inadeguatezza di un assetto organizzativo deve rimanere l'esito di un giudizio professionale esclusivamente umano ed eticamente guidato.

Conclusioni: il nuovo volto del Sindaco nell'era algoritmica

In conclusione, le “Linee Guida di vigilanza del Collegio sindacale sulla adozione dell’Intelligenza artificiale” elaborate dalla Commissione di studio del CNDCEC segnano una svolta metodologica epocale per la cultura dei controlli societari in Italia. 

Il documento chiarisce in modo definitivo che la vigilanza sull’innovazione tecnologica non è una competenza "accessoria" o delegabile interamente a specialisti esterni, ma fa parte integrante del dovere fondamentale di vigilanza sugli assetti organizzativi, amministrativi e contabili stabilito dall’art. 2086 del Codice Civile.

Per i professionisti che siedono nei Collegi Sindacali si apre una stagione di profondo e strutturato aggiornamento delle competenze. Non si tratta di trasformarsi in ingegneri del software o in esperti di data science, bensì di acquisire quell'alfabetizzazione algoritmica necessaria per porre le domande giuste al management, per sfidare le assunzioni dei modelli predittivi e per verificare la reale tenuta delle barriere di protezione contro i rischi emergenti. Solo attraverso una vigilanza proattiva, informata e strutturata, il Collegio Sindacale potrà assolvere alla propria alta funzione di garanzia, proteggendo il valore aziendale e accompagnando il sistema produttivo verso una transizione tecnologica che sappia coniugare innovazione, etica e legalità.