“Non è una compliance per vecchi” è il titolo del talk ospitato da EY che ha messo attorno allo stesso tavolo esperienze e prospettive diverse, accomunate da un punto di fondo: la sensazione che il modo in cui la compliance è stata costruita non sia più sufficiente a leggere ciò che sta accadendo.
Ad aprire il confronto è stato Fabrizio Santaloja, Managing Partner Europe West Region EY forensic & Integrity services, richiamando il senso della provocazione contenuta nel titolo e la distanza tra il modello tradizionale di compliance e le sfide attuali. A confrontarsi sono stati Daria Angelini, Head of Compliance di Giorgio Armani, Andrea Cirillo, Head of Audit Data and Advanced Analytics, Data Scientist di Intesa Sanpaolo, Marianna Lamolinara, Partner EY Forensic & Integrity Services, e Matteo Pedica, Head of Integrated Compliance & DPO di Fastweb + Vodafone. A moderare il dibattito Piero Di Michele, Partner EY Forensic & Integrity Services.
Il confronto si è sviluppato anche alla luce di cosa significa oggi parlare di compliance integrata, a partire dalla presentazione del volume “Compliance Integrata”, con il contributo dei co-autori Nicoletta Pia Di Cagno, Vice President Risk & Compliance di STACK Infrastructure, ed Enrico Napoletano, Professore di Diritto Ambientale all’Università degli Studi di Roma Tor Vergata.
La provocazione contenuta nel titolo non riguarda l’età, né introduce una contrapposizione generazionale. Intercetta piuttosto una frattura sempre più evidente tra l’impianto su cui la compliance è cresciuta e le condizioni in cui oggi si trova a operare.
Negli ultimi anni il contesto ha cambiato passo. Non è solo una questione di norme più articolate, ma di una trasformazione che attraversa tecnologia, dati, instabilità dei mercati e, soprattutto, il modo in cui si distribuiscono responsabilità e decisioni all’interno delle organizzazioni.
In questo scenario, la compliance non può più limitarsi a presidiare un perimetro. È chiamata, spesso senza averlo scelto, a entrare nella costruzione dei modelli operativi. Ed è proprio qui che si manifesta la prima vera tensione.
Il passaggio più evidente è quello da un modello verticale a uno orizzontale. Il compliance officer, per come si è affermato negli anni, era un “disegnatore di recinti”: delimitava ambiti, costruiva modelli, garantiva coerenza normativa. Oggi quel ruolo non basta più.
Le norme chiedono sempre meno applicazione e sempre più interpretazione. Richiedono valutazioni, scelte, capacità di adattare controlli e presidi al contesto reale. Non è più sufficiente conoscere la norma: serve tradurla, innestarla nei processi, renderla operativa dentro decisioni che si formano altrove.
La compliance si sposta così in una posizione meno definita ma più esposta. Non presidia soltanto il rischio normativo, ma si colloca tra rischio e business, contribuendo, spesso in modo implicito, a orientare le scelte.
Questo spostamento incide direttamente sulle competenze. Continuare a cercare profili costruiti su modelli che hanno funzionato in passato rischia di produrre un disallineamento strutturale. Non perché quelle competenze non servano più, ma perché da sole non bastano. Diventano centrali la capacità di muoversi tra funzioni diverse, di leggere contesti non lineari, di ampliare continuamente il proprio perimetro.
AI: non un ambito, ma una linea di frattura
L’intelligenza artificiale si inserisce in questo quadro non come tema aggiuntivo, ma come elemento che rende visibili contraddizioni già presenti.
L’errore più diffuso è trattarla come un dominio separato: da un lato la “compliance sull’AI”, dall’altro l’uso dell’AI nella compliance”. In realtà, questa distinzione regge sempre meno.
Non si possono presidiare sistemi che non si comprendono, né utilizzare strumenti senza interrogarsi sugli effetti che producono. Ne deriva un’esigenza di integrazione tra competenze giuridiche, tecniche e organizzative che non può più essere rimandata.
Cambia anche il modo di intendere il controllo. Il passaggio da verifiche ex post a logiche ex ante non è un’evoluzione teorica, ma una necessità operativa. Quando i sistemi producono effetti difficilmente reversibili, intervenire dopo non è più sufficiente.
Allo stesso tempo, emerge un rischio concreto: usare l’AI per fare più velocemente le stesse cose di prima. Automatizzare la reportistica, accelerare attività esistenti, senza mettere in discussione il modello di funzionamento. È una scorciatoia comprensibile, ma limitata.
Il punto non è fare meglio ciò che già esiste, ma interrogarsi su cosa non dovrebbe più essere fatto nello stesso modo. Ripensare il ciclo operativo, anche accettando una maggiore esposizione nelle fasi iniziali dei processi.
Responsabilità: il limite del “fare bene i compiti”
Un altro nodo riguarda la responsabilità. Il paradigma tradizionale che ha guidato l’impostazione dei sistemi di controllo interno e conformità in azienda, da sempre, si è fondato su un presupposto implicito: fiducia nei processi e, in ultima istanza, nelle persone che li governano.
L’introduzione di sistemi complessi e dell’AI incrina questo schema. Non tanto per il rischio tecnologico in sé, quanto per la necessità di dover operare un patto di fiducia verso l’ignoto: l’algoritmo e le sue logiche di funzionamento, le applicazioni sui cui esso è sviluppato, i sistemi operativi su cui queste applicazioni girano, le logiche di interrogazione ed interpretazione dell’AI non sempre comprese fino in fondo.
In questo contesto, “fare bene i compiti” potrebbe non bastare più. La qualità formale di modelli e procedure resta necessaria, ma non garantisce più, da sola, la tenuta complessiva.
Il valore si sposta altrove: nella capacità di costruire framework che rendano i processi leggibili, che permettano di capire dove si formano le decisioni e su quali basi vengono prese. Non si tratta di estendere i controlli, ma di cambiarne la natura. Andare oltre la dimensione documentale, introdurre livelli di analisi capaci di intercettare ciò che non emerge dalle evidenze formali.
Compliance integrata: più realtà che scelta
La complessità attuale impone una lettura coordinata dei rischi. Non come obiettivo teorico, ma come condizione operativa.
Eppure, questo passaggio fatica a essere riconosciuto pienamente, soprattutto al di fuori delle funzioni di controllo. La compliance continua spesso a essere valutata con categorie che appartengono a una fase precedente, mentre il contesto richiede altro.
Una trasformazione ancora sospesa
La compliance si sta muovendo, ma non ha ancora concluso il passaggio da presidio a componente dei processi decisionali. Le competenze si stanno ampliando, ma il modo di interpretare il ruolo resta in parte ancorato a logiche consolidate. La tecnologia apre possibilità, ma rischia di essere assorbita senza modificare davvero il funzionamento.
È in questo spazio intermedio che si gioca la partita.
Non si tratta di aggiungere strumenti o rafforzare ulteriormente i controlli. Il punto è portare a compimento un cambio di prospettiva già avviato, ma non ancora stabilizzato. Ed è proprio questa distanza tra ciò che è iniziato e ciò che non è ancora diventato prassi a rendere la provocazione iniziale meno retorica di quanto sembri.