Il contributo analizza il tema della vigilanza del collegio sindacale sulla adozione dell’intelligenza artificiale nelle nuove linee guida del CNDCEC alla luce del dibattito anche internazionale e delle novità prefigurate dalla riforma del TUF.
1. Introduzione
L’emanazione delle Linee guida di vigilanza del collegio sindacale sulla adozione dell’intelligenza artificiale da parte del Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili (CNDCEC), avvenuta il 3 dicembre 2025, offre l’occasione per riflettere sulle ultime tendenze in tema di CorpTech, sia dal punto di vista operativo che giuridico, nella duplice prospettiva legislativa e di autodisciplina.
Dal punto di vista strutturale, il documento è organizzato in sette sezioni dedicate a temi diversi, dalla valutazione strategica dell’IA sino alla compliance normativa e regolamentare. In ciascuna di tali sezioni, peraltro, le indicazioni offerte al collegio sindacale – cui è dedicato il documento – si accompagnano a preziosi suggerimenti con riferimento al ruolo degli amministratori, nella consapevolezza che le attività dell’organo di controllo debbono necessariamente incastonarsi in un sistema di governance che risulti nel suo complesso in grado di gestire le sfide sistemiche presentate dall’IA. Di particolare pregio metodologico, poi, la scelta di corredare la trattazione con diciannove use cases, che chiudono ciascuna sezione declinando in concreto i principi generali dapprima descritti a livello teorico.
Ad ogni modo, piuttosto che offrire un mero riassunto del documento – che, per inciso, può ormai essere ottenuto più efficacemente dalla stessa tecnologia di cui si discorre – si è ritenuto di soffermarsi su due punti qualificanti trasversali: da un lato, l’attenzione riservata alla dimensione strategica dell’IA, quale fattore potenzialmente trasformativo dell’intera attività d’impresa; dall’altro, l’analisi dedicata all’ingresso dell’IA nell’attività degli stessi organi sociali, di amministrazione come di controllo.
Infine, in considerazione del momento in cui le linee guida vengono ad iscriversi, è parso utile richiamare alcune, significative, disposizioni presenti nel testo di riforma del Testo Unico della Finanza approvato preliminarmente dal Consiglio dei Ministri[1]. Tali novità normative, che introducono definizioni e obblighi di disclosure specifici in materia di IA e rischi informatici, si pongono in diretta sintonia sia con le trasformazioni tecnologiche in corso, sia con quanto tracciato nelle linee guida del CNDCEC, delineando un quadro regolatorio d’avanguardia volto a coniugare l’efficienza dei mercati con la trasparenza degli assetti di governo.
2. La dimensione strategica dell’IA
Come accennato, le linee guida si caratterizzano, anzitutto, per il pieno riconoscimento della dimensione strategica dell’IA. Tale impostazione è del tutto condivisibile: chi scrive da tempo sostiene che sia necessario superare — o, quanto meno, temperare — la diffusa ricostruzione che vede un progressivo ingresso dell’intelligenza artificiale nelle realtà aziendali, a valle, e negli organi sociali, a monte. Tale ricostruzione risulta, invero, parziale e riduttiva: non è l’intelligenza artificiale ad entrare nelle imprese, ma sono le imprese che entrano in un sistema che è già in sé pervaso dalla intelligenza artificiale, una infosfera che si connota in misura vieppiù marcata per il ruolo che le decisioni automatizzate vengono ad assumere in ogni aspetto della vita, a cominciare dalla riorganizzazione degli assetti socio-economici determinata dalla convergenza tra strumenti analitici (sempre più) intelligenti, da un lato, e accesso a data (sempre più) big, dall’altro. Tale convergenza segna l’elemento di discontinuità — o, più nettamente, di disruption — rispetto al passato, divenendo il motore di una società che si struttura, e si auto-definisce, per effetto di determinazioni automatizzate[2].
I problemi e le valutazioni sollevate dal tempo presente sono dunque radicali: non è richiesto (solo) un mero adattamento dei processi operativi, come potrebbe accadere per l’integrazione nei fattori produttivi di una promettente tecnologia settoriale, ma un’opera valutativa che si colloca, a pieno diritto, nel perimetro dell’alta amministrazione. E dunque, in altre parole, nel novero delle scelte strategiche, configurandosi forse – quasi sicuramente, per le società operanti nei settori a più elevato gradiente tecnologico – come il tema strategicamente più importante del tempo presente.
Le linee guida condivisibilmente partono da tale assunto per rimarcare – nel rispetto delle consuete attribuzioni di competenze e responsabilità – l’importanza di un’attenta vigilanza dell’organo di controllo, che verifichi che tali fondamentali decisioni siano assunte dagli amministratori al termine di un processo deliberativo adeguato, informato e documentato. Tale vigilanza, peraltro, non deve coinvolgere esclusivamente il momento deliberativo, ma anche due altri aspetti che si collocano, rispettivamente, prima e dopo la singola decisione strategica.
In primo luogo, il documento accenna all’importanza della c.d. AI literacy, che costituisce il presupposto di ogni efficace supervisione e, in generale, decisione in tema di IA. Tale concetto è stato, peraltro, recentemente definito dagli artt. 3 e 4 dell’AI Act. In particolare, ai sensi dell’AI Act gli utilizzatori di sistemi di IA devono adottare misure per garantire per quanto possibile un livello sufficiente di alfabetizzazione in materia di IA da parte dei singoli utenti, «prendendo in considerazione le loro conoscenze tecniche, la loro esperienza, istruzione e formazione»[3]; e tra i requisiti fondamentali per assicurare il rispetto del principio di non esclusività figura, all’art. 14, la capacità degli utenti di «comprendere correttamente le capacità e i limiti» dei sistemi utilizzati, nonché «essere in grado di monitorarne debitamente il funzionamento».
Seguendo la medesima impostazione, le linee guida affermano la necessità per gli utilizzatori di IA aziendali di conoscere almeno alcuni «elementi essenziali» di tale tecnologia: «funzionamento e limiti dell’AI, la differenza tra dato, inferenza e generazione e la necessità di supervisione umana»; «rischi principali, errori, bias, allucinazioni, uso improprio di dati, cybersecurity, dipendenza dai fornitori, decision capture»; «AI Act, principi fondamentali» (§ 3.2.5); aggiungendosi il suggerimento di sviluppare programmi di formazione per sensibilizzare tutti i livelli dell’organizzazione aziendale, ivi inclusi i componenti del consiglio (e, si può aggiungere, i componenti dello stesso collegio sindacale), al fine ultimo di promuovere una «cultura aziendale incentrata sull’uso strategico dell’intelligenza artificiale».
A latere, può osservarsi che nella prospettiva di una corporate governance contraddistinta in misura crescente dall’utilizzo di strumenti di IA a fini decisionali, e in ogni caso dalla penetrazione dell’IA nelle realtà aziendali, il sistema c.d. tradizionale di amministrazione e controllo sembra, forse, rivelarsi meno funzionale rispetto al sistema c.d. monistico, maggiormente adatto a consentire la presenza di adeguate competenze su entrambi i fronti (utilizzo e monitoraggio) e, dunque, sia nel consiglio di amministrazione come plenum che nel comitato per il controllo sulla gestione. Tale aspetto potrebbe, anche alla luce della recente proposta di riforma del TUF, che implicherà un vero e proprio cambio di paradigma nella disciplina dei tre sistemi, contribuire a rendere più appetibile l’adozione del sistema monistico a discapito del tradizionale. Ed è appena il caso di rilevare che in quella prospettiva evolutiva, molte delle indicazioni offerte dal documento in esame risultano suscettibili di trasposizione, con gli opportuni adattamenti, al sistema monistico, che vede oggi le sue punte di diamante ai vertici del nostro sistema bancario ed è del resto, come noto, il più diffuso su scala planetaria.
Indipendentemente dal modello di governance prescelto, resta fermo che la vigilanza dell’organo di controllo non deve – e non può – arrestarsi alla singola deliberazione, poiché il tema dell’IA richiede una pianificazione ed esecuzione di lungo termine che devono essere inevitabilmente oggetto di monitoraggio. Ciò comporta la necessità – ben posta in rilievo nelle linee guida – di richiedere aggiornamenti periodici al consiglio, nonché di verificare la coerenza tra strategia e singole deliberazioni nel corso degli anni (§ 2.3).
Tra le decisioni strategiche più delicate, con un impatto a lungo termine, vengono correttamente segnalate quelle relative alla scelta dei fornitori dei sistemi di IA. Al di là dei profili prettamente regolatori – come noto, l’AI Act attribuisce obbligazioni precise e differenziate ai “fornitori” e ai “deployer” di sistemi di IA – il tema è quello della necessità di dedicare particolare attenzione alla scelta dei fornitori di sistemi di IA, qualora risulti impossibile sviluppare sistemi integralmente in-house. Peraltro, la scelta di un fornitore esterno non esonera gli organi sociali dalle proprie responsabilità: al contrario, essa impone un dovere di due diligence rafforzata che investe non solo l’affidabilità tecnica del sistema, ma anche la robustezza dei protocolli di cybersicurezza e la trasparenza degli algoritmi utilizzati.
Assume inoltre un rilievo cruciale la distinzione tra l’impiego di soluzioni disponibili sul mercato e lo sviluppo di sistemi proprietari o personalizzati. Se i primi offrono vantaggi in termini di costi e rapidità di implementazione, diffusa è ormai la consapevolezza dei rischi che presentano per quanto concerne la riservatezza dei dati immessi. Pertanto, la scelta strategica del fornitore deve riflettere un bilanciamento consapevole: l’affidamento all’esterno deve essere mediato da clausole contrattuali che garantiscano all’impresa il controllo sugli output e la possibilità di monitorare, nel tempo, l’assenza di bias o derive algoritmiche che potrebbero inficiare la correttezza delle decisioni aziendali e, di riflesso, esporre l’organo di controllo a profili di responsabilità per omessa vigilanza sugli assetti.
3. L’utilizzo dell’IA da parte degli organi sociali: la CorpTech
Particolarmente interessante è la trattazione del tema dell’utilizzo dell’IA da parte degli stessi organi sociali, cui è dedicata la sesta sezione del documento. Nel tempo, infatti, il crescente ricorso a strumenti di IA ha innescato un processo di progressiva irradiazione dei processi informatizzati dalla dimensione esterna dell’attività d’impresa a quella degli assetti organizzativi, sino a coinvolgere il funzionamento degli organi sociali – in primis il consiglio di amministrazione.
L’IA, in tale prospettiva, non è (solo) oggetto di decisioni, ma anche supporto degli organi sociali nell’elaborazione di una serie indefinita di decisioni dai contenuti più diversi. Con tale penetrazione delle logiche automatizzate dell’IA nelle pieghe del funzionamento societario interno e dei suoi organi si conclude la parabola dell’internalizzazione di sistemi automatizzati nella realtà d’impresa: una parabola che, iniziata con l’ingresso di questi dalla «porta esterna» dei mercati finanziari (FinTech) e consolidatasi con la loro successiva incorporazione sul piano regolatorio (RegTech), si completa infine con l’accesso di tali strumenti nelle dinamiche del governo societario. Si tratta di un fenomeno che registra una decisa accelerazione in questi ultimi anni, caratterizzati da un crescente ricorso all’intelligenza artificiale nella strutturazione degli assetti societari e nella elaborazione delle strategie imprenditoriali, e che viene sinteticamente definito come CorpTech[4].
Da tale angolo prospettico, l’espressione “governance dell’intelligenza artificiale” vale a sottolineare, innanzitutto, il ruolo di primo piano che l’intelligenza artificiale è destinato a rivestire – e in parte già oggi riveste – nel contribuire a un più efficiente governo dell’impresa.
L’integrazione dell’IA negli assetti societari genera anche rischi specifici che risultano amplificati, conferendo alle risultanze algoritmiche una portata sistemica, capace di riflettersi sull’intera architettura societaria e di condizionare l’indirizzo strategico dell’ente con una capillarità e una pervasività senza precedenti. A partire da tale considerazione, si è già avuto modo di osservare[5] come l’espressione “governance dell’intelligenza artificiale” possa essere intesa come genitivo soggettivo, nel senso già descritto – l’IA come contributo al governo societario –, ma deve essere intesa anche come genitivo oggettivo, alludendo all’IA quale oggetto di governo e di regolamentazione da parte di chi è chiamato a gestire l’impresa e a monitorare tale gestione[6].
Tale doppia accezione vale a sottolineare come queste tecnologie possano costituire un effettivo ausilio al governo dell’impresa solo se ed in quanto opportunamente governate. Si tratta, da un lato, di esaminare le opportunità della intelligenza artificiale come strumento di governo dell’impresa, a supporto delle decisioni degli amministratori; dall’altro, di considerare i rischi che il ricorso a tali tecnologie può determinare, facendone dunque oggetto di una puntuale regolamentazione volta a governarli e, per quanto possibile, mitigarli.
Le linee guida del CNDCEC si mostrano perfettamente consapevoli di tale dualismo, dedicando la sesta sezione non solo agli “ambiti in cui l’AI può supportare le funzioni degli organi societari” (§ 6.1), ma anche, e soprattutto, ai rischi associati a tale supporto e ai presidi necessari per contenere i medesimi (§§ 6.2 e 6.3).
Così, in primo luogo, si indica correttamente che l’IA può essere utilizzata a diversi livelli per supportare l’attività del consiglio: per «compiti istruttori e di analisi di dati o documenti»; per «amplia[re] la capacità informativa del board mediante analisi predittive o scenari alternativi»; per «incid[ere] sulle valutazioni strategiche e sulle decisioni d’investimento». Si tratta, evidentemente, di un’elencazione organizzata secondo un criterio di intensità crescente: un climax ascendente che muove dal mero ausilio tecnico alla partecipazione per irradiarsi sino alle scelte dell’organo di indirizzo. Se tale progressione promette di elevare la qualità del governo societario, essa comporta parallelamente un innalzamento della soglia di rischio: quanto più l’algoritmo penetra nel nucleo delle decisioni strategiche, tanto più l’impatto di eventuali criticità può amplificarsi radialmente e rapidamente.
Vi è, poi, un intero paragrafo (il § 6.4) dedicato al tema dell’utilizzo dell’IA da parte del collegio sindacale, con indicazioni di stampo operativo. Sulla falsariga dell’espressione “governance dell’IA”, richiamata prima, potrebbe leggersi anche l’espressione “vigilanza dell’IA” come genitivo soggettivo e oggettivo: non solo l’IA deve essere oggetto di attenta vigilanza da parte dell’organo di controllo, ma essa può anche fornire un contributo a tale organo per una migliore esecuzione della vigilanza stessa – nel rispetto, evidentemente, di cautele rafforzate.
4. AI Act e prime indicazioni di diritto comparato: The use of artificial intelligence within the supervisory board
Le linee guida risultano particolarmente utili ad operatori e studiosi della materia, anche tenendo conto della situazione di obiettiva incertezza che contraddistingue il settore.
Da un lato, infatti, sul fronte del diritto positivo non si rinvengono interventi al riguardo. L’AI Act – spesso immaginato come pervasivo e applicabile a ogni utilizzo dell’IA – non assume invero rilevanza diretta con riferimento alla CorpTech, in quanto il suo ristretto perimetro applicativo non comprende anche sistemi di IA di tal genere, quantomeno in generale (e salvi peculiari profili, come il credit scoring di persone fisiche o la definizione del perimetro dei dipendenti da assumere o licenziare)[7]. E la medesima constatazione vale, nel panorama nazionale, con riferimento alla recente legge n. 132 del 23 settembre 2025.
D’altra parte, l’autoregolamentazione – che riveste da sempre un significativo ruolo di guida e di avanguardia nel diritto societario – sembra ignorare del tutto il fenomeno, tanto che l’endiadi “intelligenza artificiale” non si rinviene in nessuno dei codici di Corporate Governance. Gli unici riferimenti espliciti all’utilizzo di strumenti tecnologici contenuti all’interno dei codici di autodisciplina europei si rinvengono nel Código de buen gobierno de las sociedades cotizadas spagnolo, che estende i compiti del comitato audit, chiamato anche alla verifica dei “rischi operativi, tecnologici, sociali, ambientali, politici e reputazionali, utile alla verifica della conformità della gestione ai requisiti normativi”, e nel Codice di Corporate Governance olandese, dove si sottolinea che la long term value creation impone una consapevolezza e un’anticipazione degli sviluppi tecnologici e delle connesse trasformazioni dei modelli di business. Sulla base di questa premessa, il Codice olandese richiede all’audit committee un continuo monitoraggio in relazione all’utilizzo degli strumenti di information and communication technology, con particolare attenzione ai rischi riguardanti la cybersicurezza (principio 1.5.1), ponendo in risalto l’importanza che tra i consiglieri siano presenti competenze adeguate “per individuare tempestivamente opportunità e rischi” associati a modelli di business innovativi e alle tecnologie sui quali questi ultimi si articolano.
Anche ampliando l’analisi oltre i confini dell’Unione europea, i codici di corporate governance che fanno riferimento alle opportunità e/o ai rischi legati all’evoluzione tecnologica non menzionano esplicitamente l’intelligenza artificiale: è il caso dei codici ucraino, australiano, brasiliano, argentino e malesiano, i quali, pur con diverse sensibilità, convergono in tale mancata inclusione. A fronte di tale diffuso silenzio spicca l’eccezione di Singapore: l’autorità di vigilanza competente ha recentemente avviato un percorso di riforma del codice per ricomprendere anche i nuovi rischi legati all’IA, segnalando una prima possibile evoluzione nel breve periodo[8].
In tale contesto, merita segnalazione un recente studio della Commissione di corporate governance tedesca (Regierungskommission Deutscher Corporate Governance Kodex). Pur non avendo, ad oggi, adombrato alcun aggiornamento del codice di corporate governance, infatti, nel settembre 2025 la Commissione ha pubblicato un breve documento dal titolo “Practical Impulse: The use of artificial intelligence within the supervisory board”[9], enucleando alcuni suggerimenti pratici per le società che intendano evolvere le proprie pratiche di governance nel senso di una maggiore integrazione dell’IA. Si tratta di un documento che è sotto diversi punti di vista assimilabile alle linee guida in commento, pur con alcune differenze.
Innanzitutto, com’è naturale, la prospettiva è quella del sistema c.d. dualistico, tipicamente germanico, in cui la corporate governance è imperniata su due organi: un supervisory board e un management board – nella disciplina italiana, rispettivamente, consiglio di sorveglianza e consiglio di gestione (artt. 2409-octies ss. c.c.). È assente, dunque, il collegio sindacale, sostituito da un organo – il consiglio di sorveglianza – che assomma in sé sia le funzioni di controllo tipiche del collegio sindacale, sia alcune funzioni solitamente riservate all’assemblea ordinaria, nonché competenze strategiche riconducibili alla sfera dell’alta amministrazione.
Al di là di tale differenza strutturale, l’idea principale dello studio – che trova riscontro anche nelle linee guida del CNDCEC – è che l’integrazione dell’IA nella corporate governance non rappresenti un tema di esclusiva competenza del management assumendo, piuttosto, estrema rilevanza anche per l’organo di controllo, in primis quale oggetto di supervisione ma anche come strumento di potenziamento della stessa.
La Commissione, infatti, individua alcune direttrici che dovrebbero orientare l’adozione aziendale dell’IA richiedendo, al contempo, un’attenta vigilanza. In primo luogo, a monte, vi è la necessità di rispettare integralmente il quadro giuridico applicabile, con particolare riferimento al GDPR e, naturalmente all’AI Act. Non solo: si suggerisce anche l’elaborazione di precise regole interne (guardrails) che vadano oltre tali limiti giuridici, per assicurare che l’utilizzo dell’IA avvenga secondo standard etici minimi condivisi all’interno della singola impresa ed elaborati anche mediante consultazione con i rappresentanti dei lavoratori.
Come si accennava, però, la parte più originale e interessante dello studio risiede nell’attenzione dedicata alla necessità che lo stesso supervisory board vigili attentamente anche sul proprio uso dell’IA: così come esso accompagna criticamente lo sviluppo di una AI governance aziendale, allo stesso modo deve dotarsi di regole, presidi e procedure per disciplinare l’impiego dell’IA nelle proprie attività. In questo senso, il documento suggerisce un percorso progressivo di adozione: se gli utilizzi più immediati e a basso rischio sono relativi ai casi in cui l’IA opera come assistente per attività di routine, tale tecnologia può essere anche utilizzata come “lente d’ingrandimento intelligente” (“intelligent magnifying glass”) capace di analizzare grandi moli di dati e documenti, sino a fungere da catalizzatore, in un terzo livello evolutivo, di riflessioni strategiche all’interno del board. Come correttamente osservato, peraltro, tali impieghi riguardano tanto la dimensione individuale (nella lettura e preparazione personale della documentazione) quanto quella collegiale, con possibili applicazioni nelle dinamiche deliberative dell’organo.
Il documento, peraltro, non trascura due profili operativi di particolare rilievo. Da un lato le esigenze di riservatezza, raccomandando che gli strumenti disponibili gratuitamente sul mercato siano utilizzati immettendo soltanto informazioni non confidenziali, dedicando soluzioni proprietarie e sicure ai dati riservati. Dall’altro lato il tema delle competenze, cui si è già accennato a proposito delle linee guida, osservando che, pur non esistendo un obbligo di presenza nel board di esperti di IA, sia necessaria quantomeno una consapevolezza di base diffusa di caratteristiche, rischi e limiti dei sistemi, da conseguire anche attraverso sessioni mirate di formazione.
Nel silenzio dell’autodisciplina e dei legislatori si intravede, allora, una diffusa esigenza di orientamento e supporto degli emittenti, cui documenti come le linee guida del CNDCEC e il Practical Impulse della Commissione tedesca cercano di dare risposta, offrendo criteri operativi che anticipano possibili futuri approdi regolatori e consentono, sin d’ora, una gestione proattiva e non meramente reattiva dell’innovazione tecnologica.
5. La CorpTech nella riforma del TUF
Se la rapidità dell’evoluzione tecnologica non ha ancora consentito l’elaborazione di interventi normativi in tema di CorpTech, l’intensità e la pervasività dei fenomeni in atto rendono improbabile, nel tempo, l’assenza di una pur minima cornice normativa. In tale contesto, le considerazioni dapprima svolte suggeriscono di dedicare alcune considerazioni al cantiere aperto dalla Legge Capitali, che offre un’occasione per introdurre – primo ordinamento nel mondo, a quanto consta – una cornice normativa di fonte primaria in tema di CorpTech, configurandosi anche come potenziale volano per successivi interventi di autodisciplina dal carattere più puntuale.
L’intervento prefigurato nello schema di decreto approvato dal Consiglio dei Ministri in data 8 ottobre 2025, in particolare, sarebbe destinato ad incidere in termini molto selettivi sulla disciplina della governance delle società quotate, sollecitando – ed incentivando – gli operatori a dotarsi di sistemi tecnologicamente adeguati, senza porre limiti od oneri che possano scoraggiare l’innovazione.
Innanzitutto, in via preliminare, il testo emenderebbe il TUF per inserire le definizioni di “intelligenza artificiale” e di “rischi informatici” all’interno dell’art. 1, così da delimitare precisamente il significato dei concetti introdotti con le modifiche di cui si propone l’inserimento nella parte quarta[10].
Puntualizzate in tal modo le definizioni, è stata prospettata una integrazione della Relazione sul governo societario, arricchendo il secondo comma dell’art. 123-bis con due nuove lettere che hanno ispirato, peraltro, alcuni spunti contenuti nelle stesse linee guida, di cui è bene dar subito conto. Come noto, le società di maggiori dimensioni, e segnatamente quelle quotate, hanno ormai integrato nei propri assetti una pluralità di policy e codici interni, recependo modelli di governance di matrice prevalentemente statunitense volti a proceduralizzare i processi decisionali e i flussi informativi. In tale contesto, parte della dottrina ha suggerito da anni l’opportunità di elaborare policy anche con riferimento all’utilizzo dell’IA, data la necessità di governare il fenomeno in maniera organica e coerente nei vari livelli d’impresa[11]. In questo senso, le linee guida del CNDCEC sollecitano espressamente l’adozione di policy di tal genere, che definiscano regole chiare sull’inserimento di dati riservati nei sistemi e sulla documentazione dei risultati ottenuti. Tale regolamentazione interna deve mirare, tra le altre cose, a contrastare il rischio di “Shadow AI”, ovvero l’impiego spontaneo e non autorizzato di strumenti algoritmici al di fuori del perimetro dei controlli aziendali, e a prevenire l’automation bias, che potrebbe indurre i decisori ad affidarsi acriticamente agli output algoritmici. Tale approccio, peraltro, rispecchia quanto suggerito dalla Commissione di corporate governance tedesca, la quale nel documento prima citato ha chiarito che il management board deve sviluppare regole chiare per l’utilizzo aziendale dell’IA e che il supervisory board deve, a sua volta, stabilire una governance analoga per il proprio utilizzo interno di tale tecnologia, armonizzandola con quella operativa dell’intera società.
Appare, allora, opportuna la proposta di inserimento di una nuova lettera d-ter) nell’art. 123-bis, co. 2, TUF, che imporrebbe alle società quotate di comunicare al mercato le proprie politiche in materia di utilizzo e di monitoraggio delle nuove tecnologie (e in particolare di sistemi di IA) negli assetti societari[12]. Tale disclosure, infatti, garantirebbe una maggiore trasparenza nei confronti del mercato relativamente a scelte che hanno, ormai, assunto una significativa rilevanza.
Nella medesima prospettiva verrebbe a iscriversi l’inserimento di nuova lettera d-quater) dello stesso art. 123-bis del TUF – nella quale si richiederebbe di fornire al mercato, “ove adottate, una descrizione delle politiche di gestione e di monitoraggio dei rischi informatici, inclusi i rischi di sicurezza cibernetica e i rischi derivanti dall’integrazione di nuove tecnologie negli assetti amministrativi, organizzativi e contabili”. Per gran parte delle società quotate tale disposizione dovrebbe introdurre un semplice obbligo di disclosure di politiche e scelte già preparate ed effettuate periodicamente dall’organo gestorio. Sembra, allora, opportuno che politiche e scelte adottate al riguardo, per il loro crescente rilievo, siano rese note al mercato, così da consentire ad azionisti e detentori di altri strumenti finanziari visibilità su un tema tanto delicato (anche al fine di premiare gli operatori più virtuosi).
In entrambi i casi, peraltro, si tratterebbe di obblighi informativi cui adempiere solo nel caso in cui tali politiche siano state effettivamente adottate, senza porre indebiti vincoli sul piano della discrezionalità gestoria e organizzativa.
Le proposte appena descritte con riferimento all’art. 123-bis appaiono in linea con quanto suggerito dai Principi di Corporate Governance dell’OCSE, e in particolare dai Principi IV.A.8 e I.F. In virtù del Principio IV.A.8, infatti, il mercato dovrebbe ricevere adeguata informazione su tutti i “reasonable foreseeable material risks”, che, nella formulazione dell’OCSE, possono includere anche i “digital security risks”[13]. Più specificamente con riguardo all’utilizzo delle nuove tecnologie, il Principio I.F. riconosce l’utilità dell’inserimento di tecnologie digitali (anche con espresso riferimento all’IA e ai sistemi di decisione algoritmici) negli assetti societari di monitoraggio e supervisione, affermando d’altra parte l’importanza di un adeguato monitoraggio dei rischi derivanti da tale inserimento[14]. Peraltro, lo stesso Principio richiama l’esigenza di adottare a livello legislativo un approccio che sia neutralmente tecnologico e non scoraggi l’innovazione; l’approccio proposto sembra possedere tale caratteristica, incoraggiando, anzi, l’adozione di tecnologie aggiornate e innovative[15].
Con le integrazioni prima descritte le società quotate sarebbero obbligate a fornire un’adeguata informazione su tali temi e, ancor prima, ad adottare politiche adeguate e conformi al quadro regolatorio in vigore e alle best practices stabilite nel mercato e settore di appartenenza.
Su un piano distinto, ma consonante, si collocherebbe un intervento integrativo e programmatico sul piano dei controlli interni, volto a ribadire, anche con riferimento ai sistemi automatizzati, la necessità del rispetto dei criteri di adeguatezza e proporzionalità degli assetti. Il riferimento è in particolare alla proposta di introdurre un novello art. 149-ter TUF, del seguente tenore: “Qualora ai fini del controllo interno siano adottati sistemi di monitoraggio continuo e strumenti di controllo automatici e predittivi, essi devono essere adeguati e proporzionati alla natura e alle dimensioni dell’impresa e ai rischi ai quali essa è esposta”. Tale precisazione pare opportuna in ragione della crescente complessità tecnologica che connota i moderni sistemi di controllo interni e in generale la governance societaria. Essa è stata, inoltre, già recepita nelle linee guida del CNDCEC (cfr. la parte finale del § 3.2.6).
Com’è evidente, la ratio sottesa a queste nuove disposizioni, così come alle linee guida, risiede non già nel tentativo di imbrigliare l’utilizzo delle nuove tecnologie, tentativo che rischierebbe di invadere lo spazio della libera iniziativa economica e del progresso tecnologico, ma nella sempre più avvertita necessità di intervenire per incoraggiare un adeguato governo dei rischi tecnologici: da un lato, grazie a un controllo più incisivo da parte del mercato, posto nella condizione di poter conoscere aspetti ormai fondamentali nella valutazione della qualità della governance societaria; dall’altro lato, precisando che l’evoluzione tecnologica dei sistemi di governance non può non estendersi anche ai controlli interni. Si tratterebbe di un tassello ulteriore coerente con la spinta riformatrice che ispira l’elaborazione del nuovo prospettato “Codice dei Mercati Finanziari”, che non solo allineerebbe la nostra disciplina a quella dei principali ordinamenti stranieri, ma porrebbe il nostro ordinamento all’avanguardia su scala planetaria, concorrendo anche sotto questo profilo a una maggior attrattività del nostro ordinamento finanziario.
[1] Il riferimento è allo schema di decreto legislativo approvato dal Consiglio dei Ministri in data 8 ottobre 2025, frutto dei lavori preparatori della Commissione Ministeriale di cui l’autore di questa presentazione è stato componente.
[2] Per queste considerazioni, ed essenziali riferimenti alla (peraltro ormai vastissima) bibliografia in argomento, v. Abriani e Schneider, Diritto delle imprese e intelligenza artificiale. Dalla Fintech alla Corptech, Bologna, 2021, 290 ss.; e v. anche 12 ss., ove si richiama la riflessione di Remo Bodei su ulteriori effetti collaterali della coesistenza con macchine (non più “intelligenti”, ma) per molti versi più “performanti” rispetto alla capacità dell’uomo, determina, riprendendo e integrando la nota scansione freudiana, una quarta potenziale “ferita narcisistica”, intaccando nuovamente — dopo l’umiliazione cosmologica dell’eliocentrismo, l’umiliazione biologica del darwinismo e l’umiliazione psicologica della psicoanalisi — la convinzione dell’umanità di essere la specie eletta tra tutte le altre e creando inquietudini non meno profonde delle tre che l’hanno preceduta (Bodei, Dominio e sottomissione. Schiavi, animali, macchine, intelligenza artificiale, Bologna, 2019).
[3] Art. 4. Il concetto di «alfabetizzazione in materia di IA» è poi definito all’art. 3, n. 56, come «le competenze, le conoscenze e la comprensione che consentono ai fornitori, ai deployer e alle persone interessate, tenendo conto dei loro rispettivi diritti e obblighi nel contesto del presente regolamento, di procedere a una diffusione informata dei sistemi di IA, nonché di acquisire consapevolezza in merito alle opportunità e ai rischi dell’IA e ai possibili danni che essa può causare».
[4] Nella bibliografia in materia di Corptech vanno innanzi tutto richiamati gli studi antesignani di F. Möslein, Robots in the Boardroom: Artificial Intelligence and Law, in Research Handbook on the Law of Artificial Intelligence, a cura di W. Barfield e U. Pagallo, Cheltenham, 2018, 649 ss.; Id., Digitalisierung im Gesellschaftsrecht: Unternehmensleitung durch Algorithmen und künstliche Intelligenz?, in ZIP, 2018, 204; M. Petrin, Corporate Management in the Age of AI, in Columbia Business Law Review, 2019, 965 ss.; J. Armour e H. Eidenmüller, Selbstfahrende Kapitalgesellschaften?, in ZHR, 2019, 169 ss.; D. Zetzsche,, Corporate Technologies – Digitalisierung im Aktienrecht, in AG, 2019. 1 ss.; L. Enriques e D. Zetzsche, Corporate Technologies and the Tech Nirvana Fallacy, in Hastings Law Journal, 2020, 72, 55 ss. Nella dottrina italiana si vedano – oltre al citato studio di N. Abriani e G. Schneider, Diritto delle imprese e intelligenza artificiale, alle relazioni al Convegno di Firenze del 12 e 13 maggio 2022, pubblicate in Diritto societario, digitalizzazione e intelligenza artificiale, a cura di Abriani e Costi, Milano, 2023 e ai contributi di N. Abriani, Picciau e G. Schneider in La rivoluzione dell’intelligenza artificiale: profili giuridici, a cura di F. Donati, A. Pajno e A. Perrucci, Bologna 2022 – gli scritti di G.D. Mosco, Roboboard. L’intelligenza artificiale nei consigli di amministrazione, in AGE, 1/2019, 247 ss.; Id., AI and Boards of Directors: Preliminary Notes from the Perspective of Italian Corporate Law, in European Company Law Journal, 2020; N. Abriani La corporate governance nell’era dell’algoritmo. Prolegomeni a uno studio sull’impatto dell’intelligenza artificiale sulla corporate governance, in NDS, 2020, 261 ss.; Id., L’impatto dell’intelligenza artificiale sulla governance societaria tra sostenibilità e creazione di valore nel lungo termine, in Contratto e impresa Europa, 2022, 87 ss.; Id., Le categorie della moderna cibernetica societaria tra algoritmi e androritmi: “fine” della società e “fini” degli strumenti tecnologici, in Studi in onore di Montalenti, Torino, 2022 e in Giur. comm., 2022, I, 743 ss.; Id., Intelligenza artificiale e rischi di discriminazione, in Riv. dir. impr, 2023, 443 ss.; Id., Responsabilidad corporativa digital, in Problemas actuales del gobierno corporativo, cit., 425 ss.; N. Abriani e G. Schneider, Il diritto societario incontra il diritto dell’informazione: IT, corporate governance e Corporate Social Responsibility, in Riv. soc., 2020, 1361 ss.; G. Schneider, La responsabilità regolatoria d’impresa oltre la compliance, in Riv. dir. impr., 2022, 119 ss.; Ead., Intelligenza artificiale, governance societaria e responsabilità sociale d’impresa: rischi e opportunità, in Nuova giust. civ. comm., 2022, 925 ss.; U. Tombari, Intelligenza artificiale e corporate governance nella società quotata, Riv. soc., 2021, 1431 ss.; C. Sandei, Intelligenza artificiale e funzionamento degli organi sociali, in Riv. dir. civ., 2022, 698 ss.; L. Marchegiani, Automazione della governance societaria e discrezionalità amministrativa, ivi, 2022, 99 ss.; R. Santagata, Intelligenza artificiale, adeguatezza degli assetti “tecnici” e principio di precauzione nell’amministrazione delle società quotate, in Riv. dir. impr., 2022, 207 ss.; L. Enriques e A. Zorzi, Intelligenza artificiale e responsabilità degli amministratori, in RDS, 2023, 16 ss.; M.L. Montagnani, Il ruolo dell’intelligenza artificiale nel funzionamento del consiglio di amministrazione delle società per azioni, cit.; M.L. Montagnani e M.L. Passador, Il consiglio di amministrazione nell’era dell’intelligenza artificiale: tra corporate reporting, composizione e responsabilità, in Riv. soc., 2021, 121 ss.; M.L. Passador, Il consiglio di amministrazione nell’era dell’intelligenza artificiale: tra corporate reporting, composizione e responsabilità, in Riv. soc., 2021, 121 ss.; Ead, Exploring Governance Gambits and Business Judgment in In/Out-Sourcing Tactics, 30 aprile 2024, su ssrn.com, passim C. Picciau, The (Un)Predictable Impact of Technology on Corporate Governance, in Hastings Business Law Journal, 17, 2021, 1, 114 ss.; Ead., Intelligenza artificiale, scelte gestorie e organizzazione delle società per azioni, in NDS, 2022, 1258 ss.; F. Pacileo, “Scelte d’impresa” e doveri degli amministratori nell’impiego dell’intelligenza artificiale, in RDS, 2022, 539 ss.; A. Sacco Ginevri, Intelligenza artificiale e corporate governance, in Il diritto nell’era digitale. Persona, Mercato, Amministrazione, Giustizia, a cura di R. Giordano, A. Panzarola, A. Police, S. Preziosi, M. Proto, Milano, 2022, 429 ss.; G. Scarchillo, “Corporate governance” e intelligenza artificiale, in Nuova giur. civ. comm., 2019, 881 ss.; F. Pernazza, Informatisasion des enterpises et droit européen des sociétés, in Dir. comm. int., 2020, 183 ss. ; R.M. Agostino, Intelligenza artificiale e processi decisionali. La responsabilità degli amministratori di società – Artificial intelligence and decision-making processes. The responsibility of company directors, in Mercato concorrenza regole, 2020, 371 ss.; A. Catania, Dirigenza apicale e intelligenza artificiale, in Giur. it., 2022, 2005 ss.; G. Nuzzo, Impresa e società nell’era digitale (appunti), in Banca, borsa, 2022, 417 ss. ; B.M. Scarabelli, L’intelligenza artificiale e i flussi informativi all’interno del consiglio di amministrazione, in NDS, 2022, 599 ss.; A. Triscornia, Il futuro della società quotata tra nuove tecnologie e declino del mercato regolamentato, in P. Marchetti, S. Pietra Rossi, G. Strampelli, F. Urbani e M. Ventoruzzo (a cura di), La s.p.a. nell’epoca della sostenibilità e della transizione tecnologica, cit., 1389 ss.; L. Benedetti, Il paradosso dell’AI come strumento (necessario) di adempimento e come causa di violazione dei doveri degli amministratori nell’artificial intelligence-based corporate governance, in corso di pubblicazione in Giur. comm., 2025. Con particolare attenzione alla materia della crisi, S. Mansoldo, Adeguatezza degli assetti organizzativi, amministrativi e contabili nella gestione della crisi di società per azioni, in Contr. e impr., 2021, 4, 1288 ss.; L.E. Perriello, Intelligenza artificiale e allerta: l’uso degli algoritmi per l’analisi e la stima del rischio di insolvenza, in Dir. fall., 2023, I, 643 ss.; L. Sicignano, Profili di crisi degli early warning tools. Spunti di riflessione dall’intelligenza artificiale, ivi, 2024, I, 886 ss.
[5] V., da ultimo, N. Abriani, voce Intelligenza artificiale e diritto societario, in C. Angelici (a cura di), Enciclopedia del diritto, IX, Società, Milano, 2025, 619 ss.
[6] Per una ridefinizione di questa doppia prospettiva in termini di governance with artificial intelligence e governance of artificial intelligence, v. M.M. Rahim e P. Dey, Directors in Artificial Intelligence-Based Corporate Governance – An Australian Perspective, papers.ssrn.com/sol3/papers.cfm?abstract_id=4239263; e v. anche L. Benedetti, op. loc. ult. cit. e N. Abriani, Strumenti finanziari partecipativi: utilizzo e futuro della raccolta “ibrida” di fondi, in P. Marchetti, S. Pietra Rossi, G. Strampelli, F. Urbani, M. Ventoruzzo (a cura di), La S.p.A. nell’epoca della sostenibilità e della transizione tecnologica, 2024, II, 939 ss. e in RDS, 2025, 3 ss.
[7] Sul punto v. ancora N. Abriani, voce Intelligenza artificiale e diritto societario, cit.
[8] Al momento, la Monetary Authority of Singapore ha pubblicato un consultation paper dal titolo “Guidelines for Artificial Intelligence (AI) Risk Management”, dedicato al settore finanziario. La consultazione si concluderà il 31 gennaio 2026.
[9] Ivi vengono suggeriti tre step progressivi per l’adozione dell’IA (p. 5): l’IA come assistente per attività di routine; come assistente nell’analisi di grandi moli di dati e di documenti (configurandosi come “intelligent magnifying glass”); come catalizzatore di considerazioni strategiche nel board.
[10] Per coerenza sistemica tali definizioni sono state tratte dalla normativa europea e, in particolare, all’art. 3, n. 1, dell’AI Act, per la definizione di intelligenza artificiale, e all’art. 3, n. 5, del Regolamento (UE) 2022/2554 (c.d. DORA, “Digital Operational Resilience Act”) per la definizione di rischi informatici.
[11] Cfr., in particolare, G.D. Mosco, Roboboard. L’intelligenza artificiale nei consigli di amministrazione, in AGE, 2019, 1, 247 ss.
[12] “Ove adottate, una descrizione delle politiche della società in materia di utilizzo e di monitoraggio delle nuove tecnologie, e in particolare dei sistemi di intelligenza artificiale, negli assetti amministrativi, organizzativi e contabili”.
[13] “Users of financial information and market participants need information on reasonably foreseeable material risks that may include: […] digital security risks”.
[14] “Digital technologies can enhance the supervision and implementation of corporate governance requirements, but supervisory and regulatory authorities should give due attention to the management of associated risks”.
[15] “At the same time, regulators in most jurisdictions espouse the value of a technology neutral approach that does not discourage innovation and the adoption of alternative technological solutions. As technologies evolve and may serve to strengthen corporate governance practices, the regulatory framework may require review and adjustments to facilitate their use”.
