L’AI non è più soltanto una questione tecnologica. È sempre più un tema di governance, accountability e organizzazione. Dall’AI Act alla diffusione dei sistemi agentici, le imprese sono chiamate ad affrontare nuove responsabilità e nuovi modelli di controllo.
Su questi temi ComplianceDesign.it ha intervistato Alessandra Corigliano, Legal Lead Italy di Microsoft, per comprendere come sta evolvendo la governance dell’intelligenza artificiale e quali sfide attendono le funzioni Legal e Compliance.
L’intelligenza artificiale è ormai diventata un tema di governance oltre che di tecnologia. Dal vostro osservatorio, qual è il cambiamento più significativo che questa evoluzione sta imponendo alle organizzazioni?
Il cambiamento più significativo non riguarda la diffusione della tecnologia, ma il passaggio da una domanda sull’efficienza a una domanda sull’accountability.
La governance deve certamente concentrarsi sull’assicurare un accesso e un utilizzo ampi e inclusivi, ma deve anche interrogarsi sul rischio: cosa può andare storto? Quali sono gli usi più sensibili di questa tecnologia? Sono parole di Brad Smith, Vice Chairman e Presidente di Microsoft, che sintetizzano con grande efficacia la sfida che oggi ogni organizzazione – e non soltanto quelle tecnologiche – è chiamata ad affrontare.
Sul piano normativo, questa trasformazione trova oggi una traduzione giuridica concreta (legge n. 132 del 23 settembre 2025). La governance dell’AI non rappresenta più un investimento opzionale: è diventata un vero e proprio obbligo giuridico.
Microsoft sviluppa tecnologie AI, le utilizza internamente e accompagna migliaia di organizzazioni nella loro adozione. Come si è evoluto il vostro modello di governance?
Questa triplice veste non rappresenta soltanto un vantaggio competitivo, ma soprattutto una responsabilità ancora maggiore.
L’aspetto che ritengo più significativo è la progressiva integrazione della governance all’interno dell’ingegneria stessa dei prodotti. Microsoft ha ripensato l’intera pipeline, dalla definizione delle policy fino all’implementazione, coinvolgendo policy team, gruppi di ingegneria e strumenti automatizzati per incorporare i controlli di compliance direttamente nei flussi di sviluppo. Parallelamente, continua ad allineare questo modello di governance interno ai principali framework normativi, tra cui l’AI Act dell’Unione europea.
Nel 2025 è stato inoltre introdotto il Frontier Governance Framework, una risposta diretta alla crescente complessità dei cosiddetti modelli di Frontier AI. La supervisione è assicurata anche a livello di Consiglio di Amministrazione attraverso una comunità distribuita composta da Responsible AI CVP, Division Lead e Responsible AI Champions.
A questo si aggiunge un dato particolarmente significativo: il 99% dei dipendenti ha completato il modulo Trust Code. Non si tratta di un semplice indicatore amministrativo, ma della misura di quanto profondamente la governance dell’AI sia stata incorporata nella cultura aziendale.
Come sta cambiando il ruolo delle funzioni Legal e Compliance? Quali responsabilità sono oggi diventate centrali?
Le funzioni Legal e Compliance stanno vivendo un’evoluzione profonda. Oggi operano in un contesto in cui regolamentazione, geopolitica, data governance e rischi reputazionali sono sempre più interconnessi. È un’impostazione che Microsoft ha sviluppato nel tempo e che rappresenta un modello cui si stanno progressivamente ispirando anche molte altre organizzazioni.
Le responsabilità che assumono oggi un ruolo centrale sono essenzialmente tre: la valutazione preventiva degli impatti, la trasparenza nei confronti degli stakeholder e la garanzia di un’effettiva supervisione umana nei processi decisionali automatizzati.
Queste attività non rappresentano più un presidio successivo all’innovazione, ma costituiscono un elemento essenziale per accompagnarne lo sviluppo in modo responsabile. La sfida non è rallentare l’innovazione, bensì renderla sostenibile, affidabile e coerente con il quadro normativo e con le aspettative di clienti, istituzioni e mercato.
Quali sono gli errori che le organizzazioni commettono più spesso nella governance dell’AI? E quali insegnamenti possono trarre dall’esperienza di Microsoft?
L’errore più diffuso, e probabilmente anche il più pericoloso, è quello che definirei una governance retrospettiva: interrogarsi su come governare i sistemi di AI soltanto dopo che sono stati adottati e integrati nei processi critici. Le domande sull’accountability, sulla supervisione umana e sulla valutazione del rischio arrivano quando il sistema è già operativo. A quel punto intervenire diventa infinitamente più costoso, non solo dal punto di vista economico, ma anche sotto il profilo reputazionale e legale.
Microsoft ha scelto un approccio diverso, integrando sicurezza, responsabilità e conformità direttamente nel processo di progettazione e sviluppo delle tecnologie. Parallelamente, ha rafforzato i sistemi di verifica e valutazione dei rischi, estendendoli non solo ai contenuti testuali, ma anche a immagini, audio e agli altri formati generati dall’intelligenza artificiale.
Un secondo errore molto frequente è affrontare la governance in modo frammentato, affidandola esclusivamente a una singola funzione – IT, Legal o Compliance – senza una visione realmente multidisciplinare. Il modello Microsoft, invece, si basa su una rete distribuita che attraversa l’intera organizzazione.
Infine, c’è il rischio di considerare la conformità come un’attività una tantum. La governance dell’AI è, per sua natura, un processo adattivo: un programma in continua evoluzione, non un progetto con una data di inizio e una di fine.
In questo percorso, la formazione rappresenta una condizione abilitante e non un semplice complemento. Nessuna policy, per quanto ben scritta, può essere realmente efficace se non viene compresa e applicata da tutte le persone coinvolte.
Nei prossimi tre-cinque anni quale sarà, a suo avviso, la trasformazione più importante per le funzioni Legal e Compliance?
La trasformazione che considero più rilevante – e forse anche la più sottovalutata nel dibattito attuale – riguarda ciò che saranno chiamate a fare con l’AI e, soprattutto, con l’AI agentica.
Nei prossimi tre-cinque anni i sistemi di AI agentica, capaci di agire in modo autonomo ed eseguire catene di azioni senza una supervisione umana continua, diventeranno sempre più presenti nei processi aziendali. Questo apre una questione giuridica di frontiera: chi è responsabile quando un agente AI compie un’azione che produce conseguenze giuridicamente rilevanti?
Sul piano normativo, la direzione è già tracciata. L’estensione della responsabilità degli enti ai sensi del D.Lgs. 231/2001 ai rischi connessi all’intelligenza artificiale richiederà una revisione profonda dei modelli organizzativi.
La vera trasformazione riguarda quindi le competenze. Le funzioni Legal e Compliance dovranno essere in grado di comprendere, almeno nelle loro linee fondamentali, come funziona un sistema di AI, cosa significa classificazione del rischio ai sensi dell’AI Act e come si struttura un’Impact Assessment. Non per sostituire gli ingegneri, ma per dialogare con loro in modo informato e contribuire consapevolmente alle decisioni di governance.
C’è un tema sul rapporto tra AI, governance e funzioni di controllo che ritiene ancora poco discusso e sul quale le piacerebbe richiamare l’attenzione?
Molto si discute di chi risponda dei danni causati dall’AI – il produttore, il deployer o l’utente finale – e di come strutturare le funzioni Legal e Compliance nell’ambito della AI Governance. Molto meno, invece, si riflette su una questione che considero fondamentale: quali sono i doveri deontologici quando si utilizzano sistemi di intelligenza artificiale nello svolgimento della propria attività professionale?
La risposta intuitiva – “verifico sempre io” – non è più sufficiente in un contesto nel quale volume e velocità del lavoro rendono di fatto impossibile una verifica umana sistematica di ogni output prodotto dall’AI.
Occorre quindi costruire una risposta più strutturata: definire quali siano le soglie di autonomia che possono essere affidate ai sistemi di AI, individuare i momenti nei quali la supervisione umana qualificata è indispensabile e stabilire modalità chiare per documentare questo processo.
Credo che questa sarà una delle grandi sfide dei prossimi anni. Prima ancora di stabilire cosa l’intelligenza artificiale può fare, dovremo definire con precisione quali responsabilità continueranno a rimanere in capo alle persone.

