Nel panorama italiano della trasformazione digitale, il Polo Strategico Nazionale (PSN) rappresenta un progetto strategico: una joint venture nata nel 2022 per offrire alla pubblica amministrazione un’infrastruttura cloud sicura e localizzata sul territorio italiano. Ne fanno parte Leonardo, TIM, Sogei e CDP Equity e la missione è chiara — garantire la sovranità digitale dei dati del Paese.
A raccontare come si struttura e si evolve la compliance in un contesto così innovativo è Federica Amati, Chief Legal & Compliance Officer di PSN, con una lunga esperienza nel settore legale e regolatorio maturata prima nello Studio Chiomenti e poi all’interno di CDP e del gruppo CDP.
Il dipartimento Legal & Compliance è articolato in tre funzioni: Legal Affairs, Corporate Governance e Compliance, con competenze che abbracciano anche la privacy, secondo un modello integrato mutuato da precedenti esperienze.
Una compliance strategica: consulenziale, non burocratica
«La compliance in PSN è stata concepita come uno strumento abilitante, pensato per affiancare il business e supportarne lo sviluppo, piuttosto che limitarlo», spiega Amati. «La scelta di PSN di costituire una funzione di compliance, attualmente affidata a Annalisa Trigona, risponde alla volontà dell’azienda di adottare un modello proattivo, orientato alla prevenzione e alla consulenza, capace di integrarsi trasversalmente nei processi aziendali». In questo contesto, la compliance non si limita a un ruolo di vigilanza, ma assume una funzione strategica, contribuendo alla solidità operativa e alla sostenibilità delle decisioni aziendali.
«Quando sono arrivata in PSN», spiega Amati, «la compliance non era ancora sotto la mia responsabilità. Mi è stato chiesto di integrarla nel dipartimento legale, con l’obiettivo di costruire un modello efficace ma non paralizzante per un’azienda nata da poco e con una missione strategica». L’approccio adottato è stato fortemente ex ante e consulenziale, non di mera vigilanza. Ho preferito costruire una compliance orizzontale, utile ai processi e capace di supportare il business, piuttosto che limitarlo».
Come Chief Legal & Compliance Officer, il mio obiettivo è quello di collaborare trasversalmente con tutte le funzioni aziendali, per garantire che la compliance non sia un freno, ma un acceleratore. Per farlo, è essenziale passare da un approccio reattivo a uno proattivo, dove la conformità è parte integrante della strategia aziendale. In sintesi, la compliance strategica è un investimento. Un investimento in sostenibilità, in reputazione, e in competitività. E come ogni investimento, richiede visione, leadership e impegno condiviso.
Governance e funzioni: un modello di governance complesso
Nonostante PSN non sia una società vigilata o quotata, il suo assetto di governance è sofisticato: «Abbiamo cinque comitati endoconsiliari, tra cui uno dedicato alla compliance», racconta Amati. Soprattutto in contesti non vigilati, la compliance assume anche un ruolo reputazionale, rafforzando la fiducia degli stakeholder e facilitando rapporti con partner istituzionali. Il fatto che PSN abbia adottato un comitato endoconsiliare dedicato alla compliance, su iniziativa dei soci, è indicativo di una cultura aziendale orientata alla responsabilità e alla gestione del rischio.
Compliance e tecnologia: un equilibrio complesso
PSN si qualifica quale unico operatore multicloud dedicato alla pubblica amministrazione; in questo contesto, le aree di rischio assumono una natura prevalentemente tecnologica e legale: sicurezza dei dati, adeguamento alle normative digitali, aggiornamento costante della piattaforma. «Il nostro primo presidio è la compliance alla Convenzione con il Dipartimento per la Trasformazione Digitale», chiarisce Amati. «Per noi vale quanto un quadro regolatorio primario: è la bussola che guida l’intera attività aziendale». Tra le sfide emergenti c’è naturalmente quella dell’intelligenza artificiale: «Le norme sono in costante evoluzione, e il nostro compito è valutarne l’impatto reale sul business, integrando competenze legali, ingegneristiche e di sicurezza informatica».
La nascita della “compliance digitale”
Secondo Amati, uno dei temi più urgenti per il futuro è la formazione di una nuova generazione di professionisti in grado di interpretare la compliance nel mondo digitale. «C’è tanto sulla 231, ma pochissimo sulla compliance digitale integrata. Non esiste ancora una figura formata per presidiare normative su AI, cybersecurity, data governance e trasformazione digitale insieme. Bisogna costruirla sul campo». Da qui la sua riflessione: «La compliance non deve più essere solo tecnica. Deve diventare manageriale, capace di leggere il rischio con la testa di domani e di gestire progetti complessi come farebbe un project manager. È questo il salto di qualità che dobbiamo favorire nel sistema Paese».
Un network per la compliance del futuro
Amati crede fortemente nel valore del confronto e della condivisione: «La mission di PSN è unica e di interesse nazionale. Vista la unicità del progetto credo molto nel networking oltre che con i Soci di PSN tra società digitali e funzioni di controllo relative. Lo scambio di idee genera innovazione, e la compliance — soprattutto quella digitale — può essere un terreno comune su cui costruire nuove competenze e collaborazioni».