Compliance e AI: una nuova alleanza tra università e professionisti

 

Introduzione

Negli ultimi due anni la compliance è entrata in una fase nuova: non è più soltanto “adeguamento” a norme e standard, ma diventa sempre più una capacità organizzativa di governare processi complessi — dove tecnologia, diritto, responsabilità e dati si intrecciano in modo strutturale. [1]

In questo scenario l’intelligenza artificiale porta un doppio effetto: da un lato è oggetto di regolazione (con un calendario di interventi già in corso nell’UE e un quadro nazionale italiano rafforzato), dall’altro è strumento operativo capace di rendere più efficaci risk assessment, monitoraggio e produzione di evidenze.

Il punto, però, non è “adottare l’AI” in astratto, ma scegliere dove inserirla (e a quali condizioni) nei processi di governance e controllo, riducendo il rischio di una digitalizzazione che accelera il lavoro ma non migliora la qualità delle decisioni.

Proprio per questo, la collaborazione tra mondo accademico e professionisti non è un orpello reputazionale: è un asset di credibilità, perché consente di mettere insieme metodo, sperimentazione, casi reali e formazione continua. È questo lo spirito alla base della convenzione DISA-MIS/CO.DE: costruire un ponte stabile tra ricerca e pratica per trasformare la “compliance con l’AI” in un percorso verificabile, replicabile e utile alle organizzazioni, non in uno slogan.

 

La convenzione DISA-MIS/CO.DE

La convenzione nasce come accordo-quadro di collaborazione tra l’Università degli Studi di Salerno e la CO.DE S.r.l. a Socio Unico, attiva nella consulenza e formazione su compliance, governance, sostenibilità e sistemi di gestione. In particolare, il Dipartimento di Scienze Aziendali – Management & Innovation Systems (DISA-MIS) dell’Università di Salerno persegue l’obiettivo di favorire il trasferimento di conoscenze verso le imprese e il territorio, in coerenza con la propria vocazione a formare professionalità in grado di affrontare la crescente complessità dei sistemi economico-sociali. [2]

Dal lato aziendale, CO.DE comunica una missione esplicita: trasformare la compliance da obbligo a motore di crescita sostenibile, con specializzazione su temi come 231, GDPR, ESG ed AI Act, con un orientamento verso PMI e pubbliche amministrazioni. [3]

Cosa prevede l’accordo

Di seguito alcuni elementi “architetturali” della convenzione che, letti in chiave strategica, definiscono il vero perimetro di lavoro.

Oggetto: formazione e attività scientifica in comune. L’accordo definisce la collaborazione per attività formative e scientifiche su materie di compliance, governance, etica d’impresa e sostenibilità, includendo esplicitamente l’uso di tecnologie avanzate come l’AI.

Progetto cornice: “Accessible & Smart Compliance”. La convenzione indica la possibile attuazione di un progetto denominato “Accessible & Smart Compliance”, fondato sulla collaborazione tra università, professionisti e PMI, con obiettivi operativi molto “RegTech”: sperimentare modelli di compliance automatizzata e intelligente, favorire adozione di strumenti digitali e promuovere piattaforme formative.

Tirocini e ponte verso competenze. È prevista la possibilità che CO.DE ospiti studenti in tirocinio curriculare (anche da remoto), con eventuale riconoscimento di crediti formativi secondo i regolamenti universitari: un pezzo importante perché lega “ricerca e sviluppo” a competenze e talent pipeline, cioè alla sostenibilità operativa del progetto.

Prossimi passi realistici

L’accordo, per sua natura, è una cornice. Il valore di un tale progetto si materializzerà nelle sperimentazioni misurabili, con risultati che potranno essere validati (lato accademico) e riutilizzati (lato professionale). Per rendere l’impianto “eseguibile” già nel 2026, i prossimi passi saranno:

1. definire una roadmap di casi d’uso (3–5 use case “pilota”) coerenti con gli ambiti citati nella convenzione e con una logica “accessible” per PMI. Infatti, più che puntare subito a sistemi complessi, conviene partire da processi ad alta ripetitività e alto carico documentale, dove l’AI può ridurre tempi e aumentare tracciabilità;
2. stabilire una metodologia comune di validazione (scientifica e operativa). Criteri di efficacia (tempo, qualità, riduzione errori), criteri di conformità (privacy, sicurezza, non-discriminazione, trasparenza), criteri di auditabilità. Qui diventa naturale usare framework riconosciuti (ISO/IEC 42001) come “linguaggio condiviso” tra ricerca, management e controllo interno;
3. mettere a terra un piano di AI literacy mirato per professionisti e stakeholder, perché la competenza non è accessoria. Nel quadro europeo l’AI literacy è entrata tra le prime disposizioni applicabili dell’AI Act (insieme al divieto di pratiche proibite).

 

Il ruolo del professionista nell’era dell’AI: da interprete a governatore

Già in altri articoli e contributi pubblicati su Code4Com ho avuto modo di analizzare il ruolo del professionista nell’era dell’AI: il professionista della compliance non è più solo un interprete di norme, ma diventa un governatore di processi tecno-giuridici, in cui la componente digitale è parte integrante della conformità e non un “supporto esterno”. [4]

Il contesto macro dà solidità a questa tesi. Il World Economic Forum[5] segnala che, nel periodo 2025–2030, in media il 39% delle skill dei lavoratori sarà trasformato o diventerà obsoleto e che analytical thinking resta la competenza più richiesta, mentre AI and big data guidano la crescita tra le skill. [6]

Dal lato “lavoro reale”, Microsoft [7] descrive la nascita di organizzazioni “Frontier Firm” basate su team ibridi human + agents, e collega questo passaggio a indicatori su pressione produttiva e strategie di sviluppo competenze (upskilling) e lavoro digitale. [8]

La trasformazione non è tanto l’automazione di singoli task, quanto la riconfigurazione di interi workflow come partnership tra persone, agenti e (dove presente) robot, con impatti su modelli operativi e leadership.

Cosa cambia davvero, nella pratica quotidiana

Il cambiamento più profondo è che l’AI sposta il baricentro: riduce il costo di produzione di testi, sintesi, classificazioni e prime analisi, ma aumenta il valore (e la responsabilità) di chi sa impostare il processo, definire assunzioni, controllare l’output e rendere la decisione difendibile.

È qui che torna la mia linea di continuità: “l’AI redige, il professionista governa”. È la stessa logica che nel white paper ho descritto come paradigma ibrido: expertise umana che si affianca alla capacità computazionale della macchina, dove il valore si misura nella proattività della compliance (monitoraggio continuo, controlli più rapidi e data-driven), non nel semplice risparmio di tempo. [9]

AI literacy e accountability diventano parte del mestiere

Un elemento spesso sottovalutato è che “saper usare l’AI” non è solo un vantaggio competitivo: diventa parte del presidio di conformità. Il calendario dell’AI Act (Regolamento UE 2024/1689, recepito in Italia attraverso la legge del 23 settembre 2025, n. 132), riportato dalla Commissione europea, indica che dal 2 febbraio 2025 sono entrate in applicazione sia le regole sulle pratiche proibite sia gli obblighi di AI literacy; inoltre, dal 2 agosto 2025 sono applicabili le regole di governance e le obbligazioni sui modelli di AI a uso generale (GPAI). [10]

Questo rende coerente (e urgente) l’evoluzione del professionista: non basta conoscere norme “di settore”, serve comprendere come tradurle in requisiti operativi per sistemi socio-tecnici — e saper dimostrare, in caso di audit o contenzioso, che la propria organizzazione ha adottato misure ragionevoli di controllo, formazione e supervisione. [11]

 

Come progettare casi d’uso di AI in compliance: metodo e guardrail

Se la compliance è governo dei processi, allora il tema dei casi d’uso non può essere affrontato come elenco di idee, ma come metodo di progettazione. Un buon caso d’uso AI in compliance risponde a tre domande:

• quale rischio o obbligo sto presidiano (e con quale “evidenza” lo dimostro)?
• quale parte del processo è automatizzabile senza abbassare la qualità del controllo?
• quali guardrail rendono l’uso dell’AI auditabile, sicuro e coerente con norme e policy?

Perché serve un approccio “risk-based”

La regolazione europea ha esplicitato un impianto risk-based per i sistemi AI, e la Commissione sta pubblicando linee di supporto per l’applicazione pratica delle prime regole (ad esempio, chiarendo la definizione di “AI system” proprio per facilitare l’applicazione).

Questa impostazione è perfettamente allineata con la compliance integrata: non tutti i casi d’uso hanno lo stesso livello di rischio (privacy, sicurezza, impatti su diritti, affidabilità), e dunque non devono avere lo stesso livello di controllo.

Cosa ci dicono gli osservatori sul campo: adozione rapida, ma cauta

Un dato utile per comprendere la traiettoria (anche se settoriale) arriva da European Insurance and Occupational Pensions Authority: nella survey 2025 sul mercato assicurativo europeo, EIOPA segnala che l’adozione di GenAI è “widespread and growing”. Il 65% delle imprese rispondenti dichiara utilizzo attivo, ma la maggior parte dei casi d’uso resta in fase di proof-of-concept. Le principali barriere riportate includono privacy e sicurezza dei dati, compliance regolatoria (es. GDPR) e mancanza di talenti specializzati. Tra i rischi emergono in primis le “hallucinations”, oltre a cybersecurity, data protection e mancanza di explainability. [12]

Due implicazioni per la compliance sono immediate: – i primi casi d’uso tendono a concentrarsi su applicazioni assistive e back-office (dove l’umano resta in controllo); – la governance non deve inseguire l’innovazione, piuttosto deve essere incorporata nella progettazione del caso d’uso.

Tre pattern di casi d’uso ad alto impatto (e “compliance-friendly”)

Nel white paper ho richiamato esempi pratici che ci aiutano a costruire una tassonomia utile: verbalizzazione assistita, risk assessment dinamico, accesso guidato ai sistemi di governance, e più in generale la transizione da sistemi statici a piattaforme di compliance interattive e adattive.

Rileggendo questi esempi con un criterio di metodo, emergono tre pattern ricorrenti.

Il primo è AI per documentazione ed evidenze: sintesi di riunioni, generazione di draft di verbali/report, indicizzazione di allegati, ricerca semantica in policy e procedure. È spesso il punto di ingresso più sostenibile perché crea valore immediato (tempo, standardizzazione) mantenendo il professionista come revisore/approvatore.

Il secondo è AI per monitoraggio e anomaly detection: identificazione di scostamenti, alert su trend di non conformità, prioritarizzazione di verifiche, triage di segnalazioni (con controlli forti su privacy e sicurezza). In ambito finanziario, autorità come l’European Banking Authority stanno raccogliendo dati su testing e uso di GPAI nelle banche UE, segnale del fatto che l’adozione è ormai un tema di supervisione strutturata, non episodica. [13]

Il terzo è AI per trasparenza e ispezionabilità: strumenti che aiutano a verificare la presenza/assenza di obblighi e a rendere confrontabili le evidenze tra organizzazioni, come dimostra il caso TrasparenzAI. [14]

I guardrail: quando l’AI è “utilizzabile” in compliance

Un caso d’uso è “compliance-ready” se incorpora controlli riconoscibili e spiegabili. Due riferimenti utili sono:

• il framework del National Institute of Standards and Technology [15] per la gestione dei rischi AI (AI RMF), nato per aiutare organizzazioni a gestire rischi lungo il ciclo di vita, promuovendo affidabilità e uso responsabile; [16]
• lo standard ISO/IEC 42001, descritto dall’International Organization for Standardization come guida integrata per gestire progetti AI responsabilmente (dal risk assessment al trattamento dei rischi), attraverso un sistema di gestione. [17]

Tradotto operativamente, significa progettare casi d’uso con: – human-in-the-loop esplicito (chi controlla, quando e con quali criteri); – tracciabilità (input, output, versioni, revisioni, approvazioni); – governance dei dati (minimizzazione, basi giuridiche, retention, sicurezza); – gestione dell’errore (come intercetto e correggo output errati); – misure di formazione (AI literacy per chi usa o supervisiona).

 

Focus ActaNow: dal rischio “burocrazia” al presidio di governance

Un buon caso d’uso di compliance non è quello più “smart” tecnologicamente. È quello che:

1. intercetta un pain point reale e costoso;
2. riduce il lavoro a basso valore;
3. aumenta qualità e auditabilità delle evidenze.

La verbalizzazione delle riunioni dell’OdV 231 è un esempio perfetto: è un’attività necessaria, ricorrente, ad alta intensità di tempo e ad alta sensibilità documentale.

Perché la verbalizzazione è un tema di compliance, non di segreteria

Le Linee guida del Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili (novembre 2025) dedicano attenzione esplicita a questioni operative della prassi dell’OdV, includendo “la corretta verbalizzazione delle riunioni” e l’integrazione della vigilanza 231 con altri presidi (privacy, anticorruzione, cybersicurezza, intelligenza artificiale). [18]

Questa frase, letta bene, dice due cose: primo, il verbale è parte del presidio (non un allegato neutro); secondo, l’OdV è sempre più in un contesto di compliance integrata, quindi, la qualità e la gestione del documento contano anche per interoperare con altri sistemi di controllo.

Cosa propone ActaNow, in sintesi

ActaNow si presenta come piattaforma AI che trasforma la redazione dei verbali dell’OdV in un processo “automatico, sicuro e professionale”. Il flusso è semplice: registrazione in piattaforma o caricamento di audio/appunti/documenti, generazione del verbale completo in 5–10 minuti, e gestione della cancellazione dei file usati (con attestazione). [19]

Nella logica “AI redige, tu controlli” dichiarata, emerge una scelta di design coerente con i requisiti di governance: non si punta a eliminare il professionista, ma a spostarlo su attività a più alto valore (analisi, decisione, azioni).

Elementi operativi rilevanti:

• riduzione del tempo di redazione (fino al 90% );
• dashboard e controllo di stato avanzamento;
• output editabile per revisione/approvazione dell’OdV;
• cancellazione automatica post-elaborazione e gestione del ciclo di vita del documento (inclusa auto-cancellazione del verbale dopo un periodo indicato).

Questi dettagli non sono “feature”: sono pezzi di un sistema di controllo (tracciabilità, gestione documentale, minimizzazione dei dati, segregazione tra generazione e approvazione), e quindi sono esattamente ciò che serve per trasformare un automation tool in un caso d’uso di compliance difendibile.

Perché ActaNow è coerente con il “posizionamento” espresso nei miei articoli

Nell’articolo “Il consulente nell’era dell’AI”, il punto centrale è che l’AI libera tempo e aumenta efficienza, ma il valore del professionista emerge nella capacità di supervisionare, contestualizzare e assumersi responsabilità (accountability).

ActaNow rende tangibile quella tesi: sposta ore di scrittura e consolidamento in minuti di produzione assistita, ma, allo stesso tempo, lascia la responsabilità decisionale e la validazione all’OdV/professionista. È un esempio di come un prodotto RegTech possa essere progettato in modo compatibile con il principio pratico che la compliance richiede: accelerare senza perdere controllo.

 

Avv. Adamo Brunetti