Chi governa davvero l’AI in azienda? Il contributo della UNI 11621-8
Negli ultimi mesi molte aziende hanno iniziato a utilizzare strumenti di Intelligenza Artificiale in modo sempre più esteso. ChatGPT, Copilot, Gemini, assistenti virtuali, sistemi di generazione automatica di contenuti, strumenti di analisi documentale e funzionalità AI integrate nei software gestionali stanno entrando progressivamente nei processi aziendali.
La velocità di adozione è sorprendente.
Molto più lenta, invece, è la capacità delle organizzazioni di governare questi strumenti.
Dall’utilizzo dell’AI alla governance dell’AI
La UNI 11621-8 come framework metodologico
Un tema che riguarda anche Data Controller e Data Processor
Le aree fondamentali del framework
Le nuove competenze richieste dall’Intelligenza Artificiale
Un ponte verso la ISO/IEC 42001
La vera domanda che ogni azienda dovrebbe porsi
Domande Chiave
Se domani un cliente, un auditor, un organismo di certificazione o un’autorità di controllo chiedesse di dimostrare come vengono utilizzati i sistemi di Intelligenza Artificiale all’interno della vostra organizzazione, sapreste esattamente cosa rispondere?
Sapreste indicare chi può utilizzare determinati strumenti?
Sapreste dimostrare quali dati possono essere inseriti nei sistemi di AI e quali invece devono essere esclusi?
Sapreste spiegare chi verifica gli output generati dall’Intelligenza Artificiale e chi risponde in caso di errore?
Sono domande che fino a pochi anni fa sembravano teoriche. Oggi rappresentano questioni concrete che coinvolgono imprenditori, manager, Data Controller, Data Processor e professionisti di ogni settore.
La vera sfida non consiste più nel decidere se utilizzare l’Intelligenza Artificiale oppure no.
La sfida consiste nel governarla.
Dall’utilizzo dell’AI alla governance dell’AI
Molte organizzazioni stanno affrontando l’adozione dell’Intelligenza Artificiale come un tema prevalentemente tecnologico.
Si valuta quale strumento acquistare.
Si confrontano le funzionalità disponibili.
Si analizzano costi, benefici e produttività.
Tutto corretto.
Ma questa prospettiva rischia di trascurare un elemento fondamentale: ogni sistema di AI introduce nuovi processi decisionali, nuovi rischi operativi e nuove responsabilità organizzative.
L’AI Act, il GDPR, la cybersecurity e le più recenti evoluzioni normative stanno infatti convergendo verso un principio comune:
non basta utilizzare correttamente una tecnologia; occorre dimostrare di averne assunto il governo.
Ed è proprio in questo contesto che la UNI 11621-8 assume particolare interesse.
La UNI 11621-8 come framework metodologico
La UNI 11621-8:2026 non deve essere letta esclusivamente come una norma tecnica destinata agli specialisti dell’Intelligenza Artificiale.
Può essere interpretata come un vero e proprio framework metodologico per aiutare le organizzazioni a costruire una governance dell’AI coerente, documentata e sostenibile.
L’aspetto più interessante è che la norma non si concentra soltanto sulla tecnologia.
L’attenzione viene posta sulle persone, sui ruoli, sulle competenze e sui processi necessari per introdurre l’Intelligenza Artificiale all’interno delle organizzazioni in modo controllato.
In altre parole, la domanda non è più:
“Quale AI utilizziamo?”
Ma piuttosto:
“Chi governa l’AI che utilizziamo?”
Un tema che riguarda anche Data Controller e Data Processor
Per molti anni il GDPR ha insegnato alle organizzazioni che la conformità non si ottiene soltanto attraverso documenti e informative.
Servono ruoli definiti.
Servono responsabilità.
Servono controlli.
Servono evidenze.
L’Intelligenza Artificiale sta producendo un effetto molto simile.
Un Data Controller che utilizza sistemi AI per supportare processi decisionali, attività di marketing, gestione documentale o relazioni con i clienti deve comprendere quali rischi possano derivare dall’utilizzo di tali strumenti.
Allo stesso modo, un Data Processor che tratta dati per conto di terzi non può limitarsi a dichiarare genericamente di utilizzare sistemi sicuri.
Sempre più clienti iniziano infatti a chiedere:
- quali strumenti AI vengono utilizzati;
- quali dati vengono elaborati;
- quali controlli sono stati implementati;
- quali competenze possiedono le persone coinvolte;
- quali misure di governance sono state adottate.
La UNI 11621-8 aiuta proprio a costruire risposte credibili a queste domande.
Le aree fondamentali del framework
L’approccio proposto dalla norma si sviluppa attorno ad alcune aree particolarmente rilevanti.
Quadro normativo e standard
L’Intelligenza Artificiale non opera più in un vuoto normativo.
AI Act, GDPR, cybersecurity, gestione del rischio e standard internazionali stanno creando un ecosistema regolatorio sempre più articolato.
Comprendere questo quadro è il primo passo per evitare errori che potrebbero trasformarsi in problemi operativi o di conformità.
Risk Management
Ogni sistema AI introduce opportunità ma anche rischi.
Rischi per la sicurezza.
Rischi per la protezione dei dati personali.
Rischi reputazionali.
Rischi legati alla qualità delle decisioni.
La capacità di identificare, classificare e gestire tali rischi rappresenta uno degli elementi centrali di qualsiasi modello di governance.
Governance e applicazione
La governance dell’AI non può rimanere confinata a documenti teorici.
Deve tradursi in regole operative.
Chi può utilizzare gli strumenti?
Per quali finalità?
Con quali controlli?
Chi approva nuovi strumenti?
Chi verifica gli output?
Chi gestisce eventuali incidenti?
Sono tutte domande che richiedono risposte organizzative prima ancora che tecnologiche.
Le nuove competenze richieste dall’Intelligenza Artificiale
Uno degli aspetti più interessanti della UNI 11621-8 riguarda l’attenzione dedicata alle competenze professionali.
Molte organizzazioni stanno scoprendo che l’adozione dell’AI non richiede soltanto nuovi software.
Richiede anche nuove figure e nuove competenze.
Non necessariamente specialisti tecnici.
Più spesso servono professionisti capaci di collegare tecnologia, organizzazione, processi, compliance e gestione del rischio.
Per questo motivo la norma può rappresentare un utile punto di riferimento per aziende che desiderano prepararsi a modelli di governance più maturi e a futuri percorsi di certificazione delle competenze legate all’Intelligenza Artificiale.
Un ponte verso la ISO/IEC 42001
Per molte organizzazioni la UNI 11621-8 può inoltre rappresentare un primo passo verso modelli più strutturati di gestione dell’Intelligenza Artificiale.
La crescente attenzione verso la ISO/IEC 42001 dimostra infatti che il mercato si sta orientando verso sistemi di gestione capaci di governare l’AI in modo sistematico e documentato.
In questo percorso, la UNI 11621-8 può aiutare le imprese a comprendere quali ruoli, competenze e responsabilità siano necessari per costruire un modello organizzativo credibile.
La vera domanda che ogni azienda dovrebbe porsi
Molte organizzazioni si stanno chiedendo se utilizzare o meno l’Intelligenza Artificiale.
Forse la domanda corretta è un’altra.
Non si tratta più di decidere se l’AI entrerà nei processi aziendali.
In molti casi è già entrata.
La vera domanda è:
“Chi sta governando l’AI?”
Perché il rischio più grande non è utilizzare l’Intelligenza Artificiale.
È utilizzarla senza sapere chi ne controlla realmente dati, processi, decisioni e responsabilità.
Ed è proprio qui che la UNI 11621-8 offre il suo contributo più importante: trasformare l’adozione dell’AI da semplice scelta tecnologica a processo organizzativo consapevole, documentato e governato.
Puoi approfondire l’argomento qui AI ACT: governare i fornitori AI prima che governino te
