L’intelligenza artificiale ormai si sta diffondendo in modo capillare all’interno di tutte le organizzazioni, incluse le aziende di dimensioni più importanti, relativamente alle quali l’attività di vigilanza è assegnata a un Collegio sindacale. Ma quali sono i doveri specifici di vigilanza, con particolare riferimento all’implementazione dell’AI nei vari comparti dell’impresa?
La risposta è arrivata dal Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili con le “Linee guida di vigilanza del collegio sindacale sulla adozione dell’intelligenza artificiale”, pubblicate lo scorso 3 dicembre 2025, le quali inseriscono ufficialmente l’AI all’interno del perimetro della vigilanza societaria.
Il documento ha il pregio importante di chiarisce fin da subito che non intende introdurre nuovi obblighi, né trasformare il Collegio sindacale in un revisore tecnologico, in grado di svolgere test o rielaborare modelli o algoritmi. Tuttavia, il suo impatto ridefinisce il modo in cui il sindaco deve guardare ad alcun aspetti peculiari dell’adozione dell’AI in azienda, quali:
- strategia della transizione verso l’AI e valutazione strategica dell’AI;
- supervisione della governance interna;
- gestione dei rischi legati all’implementazione dell’AI;
- gestione della compliance alle norme e ai regolamenti attuativi;
- l’utilizzo degli strumenti AI da parte degli organi di gonvernance.
Il documento peraltro è corredato da alcuni User case che, come lo stesso CNDCEC ha precisato, non vanno presi come check list definitive, bensì come esempi operativi dai quali trarre beneficio in termini pratici.
La transizione verso l’AI: valutazioni strategiche.
Il primo tassello dei doveri dell’organo di controllo in materia di AI si concretizza nel vigilare che l’organo amministrativo abbia valutato tutti gli effetti dell’intelligenza artificiale sui processi e sulle persone, tenendo conto anche di clienti, fornitori e mercato del lavoro. Il documento del CNDCEC pone l’attenzione sulle ricadute dell’implementazione di sistemi di AI in azienda, nell’ambito dei quali il ruolo del Collegio sindacale è quello di verificare che la transizione del personale da funzioni ripetitive a funzioni a più alto valore aggiunto avvenga nell’ambito di un “percorso ordinato”. Tra l’altro, nell’impatto sulle risorse umane non si possono tralasciare gli aspetti normativi in termini di obbligo di informativa a dipendenti e collaboratori.
L’organo di controllo sarà inoltre chiamato a verificare l’impatto dell’AI sulla strategia aziendale (il CNDCEC si focalizza sull’AI come “leva di crescita e di innovazione”) e il livello di coinvolgimento degli stakeholders interni.
La supervisione della governance interna.
Il CNDCEC insiste sul fatto che l’AI non è un qualsiasi tool informatico, bensì un qualcosa di integrante la governance aziendale. Si rende quindi necessaria una policy approvata dall’organo amministrativo che formalizzi:
- obiettivi e principi generali dell’adozione dell’AI;
- ruoli e responsabilità delle funzioni aziendali coinvolte;
- linee di indirizzo dell’organo amministrativo in tema di AI;
- sistemi identificati come “ad alto rischio”;
- modalità di attuazione e aggiornamento della policy
L’organo amministrativo non si limita ad approvare detta policy, ma anche a darne concreta attuazione, oltre che curarne le revisioni periodiche.
La gestione dei rischi.
L’organo di controllo deve verificare che l’organo amministrativo abbia inserito, nella tassonomia dei rischi dell’azienda, anche quelli legati all’implementazione dell’AI, con particolare riferimento ai rischi tecnici, ai rischi di bias e ai rischi reputazionali. Su questo fronte, il CNDCEC chiede all’organo di controllo l’acquisizione periodica della reportistica e delle evidenze delle verifiche sulla qualità e affidabilità dei dati riportati.
La compliance a norme e regolamenti.
In questo caso, il CNDCEC fa espresso riferimento all’AI Act, invitando l’organo di controllo a monitorare la conformità all’AI Act delle azioni intraprese dall’azienda per implementare l’uso dell’AI, sollecitando aggiornamenti continui su tematiche critiche, promuovendo il coordinamento tra organi di governance e organi deputati alla gestione della privacy e del GDPR, monitorando i rischi e formulando osservazioni.
L’utilizzo degli strumenti AI da parte della governance.
Da ultimo, l’organo di controllo dovrà monitorare l’impatto dell’AI all’interno del processo deliberativo dell’organo amministrativo, in termini di :
- supporto informativo e documentale;
- analisi predittiva e creazione di simulazioni e scenari;
- monitoraggio esterno;
- attività di vigilanza e controllo;
- sorveglianza sul rischio di attacchi informatici e sulla sicurezza delle informazioni.
Ma il Collegio sindacale può, a sua volta, utilizzare l’AI nello svolgimento delle sue funzioni? La risposta fornita dal CNDCEC è ovviamente positiva, a condizione che l’organo di controllo monitori i seguenti rischi:
- automation bias del controllore; evitare quindi di delegare tutti i controlli all’AI senza un minimo spirito critico o una revisione comunque “umana”;
- informazioni incomplete, in quanto erroneamente filtrate;
- protezione delle informazioni riservate.
Alberto Frate – Centro Studi CGN
