Negli ultimi vent’anni le organizzazioni hanno affrontato ogni nuova regolazione seguendo uno schema ormai consolidato. Una nuova norma significava un nuovo progetto, un nuovo presidio, spesso una nuova funzione, nuovi processi, nuove procedure e, negli anni più recenti, anche una nuova piattaforma tecnologica.
Dal Modello 231 al GDPR, dalla disciplina sul whistleblowing alla NIS2, da DORA all’AI Act, il sistema dei controlli si è progressivamente arricchito di nuovi livelli, costruiti per rispondere a esigenze specifiche e in momenti diversi. Un percorso che ha consentito alle imprese di adeguarsi a un contesto regolatorio sempre più articolato, ma che ha prodotto anche un effetto meno evidente: la stratificazione di modelli organizzativi, sviluppati in tempi diversi, da funzioni differenti e non sempre progettati per dialogare tra loro.
Per questo motivo, la sfida che oggi si trovano ad affrontare molte organizzazioni non sembra essere l’arrivo dell’ennesima norma. La vera domanda è un’altra: ha ancora senso continuare a progettare la governance seguendo la stessa logica con cui evolve il quadro normativo?
È una riflessione che prende spunto dall’intervento di Andrea Reghelin, Partner di P4I – Digital360 Advisory, durante la Advisory Week organizzata da Digital360 Advisory. Il punto non è semplicemente integrare nuovi obblighi regolatori all’interno di strutture già esistenti, ma interrogarsi sull’architettura complessiva della governance. Se ogni nuova disciplina continua a generare nuovi processi, nuovi controlli e nuovi strumenti, il rischio non è soltanto quello di aumentare la complessità, ma di rendere progressivamente più difficile governarla.
In questa prospettiva cambia anche il modo di leggere l’evoluzione normativa. GDPR, NIS2, DORA, AI Act, Data Act o whistleblowing disciplinano ambiti differenti, ma condividono numerosi elementi strutturali: gestione del rischio, accountability, controlli, formazione, monitoraggio, gestione degli incidenti, flussi informativi, reporting e tracciabilità. Continuare a gestire ciascun adempimento come un universo autonomo rischia di produrre duplicazioni, sovrapposizioni e una crescente frammentazione organizzativa.
La vera evoluzione, quindi, non consiste semplicemente nell’integrare funzioni diverse, ma nel progettare una governance capace di mettere in relazione ciò che oggi è ancora separato. Significa costruire un’infrastruttura comune nella quale Compliance, Risk Management, Internal Audit, Legal, Privacy, Cyber Security e Corporate Affairs condividano metodologie, processi, informazioni e linguaggi, pur mantenendo responsabilità e competenze distinte. È un passaggio che sposta l’attenzione dalla gestione delle singole norme alla progettazione del sistema che le governa.
Anche l’intelligenza artificiale, osservata da questa prospettiva, assume un significato diverso. Non rappresenta l’origine del cambiamento, ma ne accelera una dinamica già in corso. Gli strumenti AI possono generare valore solo se trovano processi coerenti, dati affidabili, repository strutturati e responsabilità chiaramente definite. In altre parole, rendono evidente una criticità che esisteva già: non basta digitalizzare la compliance se prima non si ripensa l’architettura della governance.
Quando il dibattito si allontana dalle singole norme e dalle soluzioni tecnologiche per concentrarsi su metodo, organizzazione, patrimonio informativo e responsabilità, significa che qualcosa sta cambiando. È un cambio di prospettiva che racconta il livello di maturità raggiunto dalle organizzazioni: la governance non viene più costruita aggiungendo nuovi livelli di controllo, ma ripensando l’architettura che li tiene insieme.