Un modello organizzativo della compliance che non è più basato esclusivamente su una funzione centrale, ma capace di distribuire ruoli e responsabilità nei punti in cui i rischi nascono e si manifestano. Lo scopo è dotarsi di una cabina di regia che definisca regole, metodologie, controlli e priorità, aumentando al tempo stesso l’efficacia dell’azione di presidio attraverso una rete diffusa di referenti nelle diverse business unit. Non più accentramento, quindi, ma un sistema capillare e coordinato, capace di coniugare controllo, prevenzione ed efficacia operativa.
È questo l’approccio descritto da Matteo Pedica, Head of Integrated Compliance di Fastweb + Vodafone, che ha incontrato ComplianceDesign.it: una compliance non più ancorata strettamente all’emissione delle policy, ma impegnata nella costruzione di un sistema aziendale in grado di prevenire i rischi e, soprattutto, di “gestire la fiducia”.
Il punto di partenza è infatti culturale. “Dobbiamo essere i primi a capire che non gestiamo solo regole, ma gestiamo fiducia”, osserva Pedica. La compliance non è più soltanto adempimento normativo o produzione documentale, ma uno degli elementi chiave che sostiene, con azioni concrete, la relazione tra azienda e stakeholder: clienti, autorità e management.
In un contesto normativo e tecnologico in costante evoluzione, il rischio principale è quello di restare ancorati a un modello di compliance basato sull’adozione di policy astratte e sul perseguimento di standard formali più orientati a ottenere una certificazione che a produrre un risultato concreto. “Non possiamo parlare solo di certificazioni e documenti, o rischiamo di essere certificati, ma inefficaci”, sottolinea.
Questo significa anche ridefinire il posizionamento e la percezione della funzione: non più freno o ostacolo, costo obbligato per l’azienda, ma interlocutore capace di contribuire alla costruzione di soluzioni di business etiche, sostenibili e conformi, partecipando alla definizione delle scelte sin dall’origine e rendendole conformi by design, anziché limitarsi a valutarle a posteriori.
La complessità organizzativa richiede coerenza e integrazione. Per questo, nel modello Fastweb + Vodafone, le aree di compliance convergono in un unico dipartimento: un sistema integrato che consente di gestire in modo sinergico ambiti sempre più interconnessi tra loro, ad esempio Data Protection, Compliance 231, AI Compliance, Data Governance, Anticorruzione, Trade & Sanctions.
L’obiettivo è costruire una compliance proattiva: una funzione che non interviene a valle, ma anticipa i rischi, orienta le scelte e contribuisce a progettare processi e soluzioni già coerenti con il quadro regolatorio e con gli obiettivi aziendali.
Questo trasforma la compliance in una cabina di regia di un sistema aziendale più ampio, in cui le responsabilità operative sono distribuite, ma il disegno complessivo resta unitario. La compliance centrale mantiene il ruolo di indirizzo e coordinamento, ma si affida a una rete di referenti distribuiti nelle business unit.
Queste figure, competence center o punti di riferimento locali, svolgono controlli di primo livello, supporto ai manager e monitoraggio dei rischi. Operano secondo linee guida comuni, ma con una vicinanza operativa che la funzione centrale non potrebbe avere, perché inserite direttamente nei processi e nelle attività quotidiane delle singole aree.
Il risultato è un sistema più capillare ed efficace, in grado di intercettare i rischi nel momento in cui si generano, anziché intervenire successivamente. “Meglio un modello diffuso che un team centrale sovradimensionato”: questa la sintesi.
Questa struttura consente anche maggiore scalabilità e una più chiara dimostrazione dell’impegno aziendale in ambito compliance, elemento sempre più rilevante nei confronti delle autorità, anche in termini di accountability.
Policy concrete e formazione
Il primo livello di azione resta quello delle policy, ma con un approccio radicalmente diverso. I documenti vanno definiti, ma devono essere operativi. Devono definire ruoli, responsabilità e comportamenti chiari, evitando formulazioni generiche o puramente formali e traducendosi in indicazioni effettivamente applicabili nei processi.
“Se scriviamo una policy, deve servire davvero”, osserva Pedica. L’efficacia si misura nella capacità di essere applicata, non nella sua completezza formale.
A questo si affianca un investimento in formazione e awareness. Non solo percorsi obbligatori, ma attività mirate e continue, costruite sulle specificità dei diversi team e sui rischi concreti che li riguardano. L’obiettivo è rendere la compliance comprensibile, concreta e presente nella quotidianità aziendale.
Anche le iniziative di engagement giocano un ruolo: mantenere viva l’attenzione, stimolare il coinvolgimento e trasformare la compliance in un tema riconosciuto e condiviso, non percepito come distante o meramente formale.
Controlli reali e conoscenza del business
Il passaggio decisivo è poi quello dei controlli. Non basta definirli: devono essere eseguiti, monitorati e adattati nel tempo.
Accanto ai controlli previsti, emerge l’importanza di quelli “non scritti”: verifiche sui sistemi, analisi dei processi, attività ispettive sul campo. È qui che la compliance diventa efficace, perché si confronta direttamente con il funzionamento reale dell’organizzazione.
“Se perdiamo il contatto con il business, perdiamo efficacia”, sottolinea Pedica. “Solo comprendendo i processi è possibile individuare i rischi e intervenire in modo tempestivo”.
AI e nuove opportunità
In parallelo, il tema della compliance by design assume una nuova centralità. Le evoluzioni normative, in particolare nell’ambito dell’intelligenza artificiale, rappresentano un’occasione per ripensare i processi.
Non si tratta di adattare modelli esistenti, ma di progettare sistemi in cui la gestione del rischio sia integrata fin dall’inizio, evitando interventi correttivi successivi.
La sfida è evitare approcci formali e cogliere il potenziale innovativo delle nuove normative, trasformandole in leve di cambiamento organizzativo e in strumenti per rendere i processi più robusti ed efficaci.
Proprio in questa logica – progettare sistemi di AI in cui la gestione del rischio sia incorporata sin dalla fase di ideazione – Fastweb + Vodafone si è dotata di una piattaforma per la valutazione integrata del rischio by design e per la valorizzazione economica dei progetti di intelligenza artificiale.
In conformità con l’ambizione della funzione, il sistema di AI Governance & Compliance effettua una valutazione integrata del rischio lungo l’intero framework normativo applicabile, includendo AI Act, GDPR, Legge 90/2024 e disciplina sul diritto d’autore. Per ciascun ambito viene attribuito un risk score dedicato; l’insieme dei risk score compone il profilo di rischio complessivo del progetto.
Sulla base di tale profilo, la piattaforma individua automaticamente una prima base di misure di mitigazione necessarie a ridurre il rischio residuo. Per ciascuna misura è obbligatorio censire lo stato di implementazione; laddove una misura non venga attuata, è richiesta una giustificazione documentata secondo una logica di comply or explain.
A chiusura del processo, il sistema prevede la sottoscrizione di un verbale di collaudo che certifica la conformità complessiva del progetto e garantisce piena dimostrabilità nel tempo.
In questo modo, la compliance non resta un presidio esterno al ciclo di sviluppo, ma diventa parte integrante della progettazione. È il passaggio da un modello di controllo successivo a un modello di governo preventivo: più vicino al business, più tracciabile e più capace di generare fiducia.
di Matteo Rizzi