A cura di Luca Pozzoli, Managing Director Risk, Audit & Compliance Advisory Services, NTT DATA Italia
Viviamo un’epoca segnata da crisi globali, tensioni geopolitiche e innovazioni sempre più rapide: in un mondo dominato dalla complessità, la gestione del rischio non può più essere considerata una mera funzione difensiva, ma deve diventare un motore strategico per creare valore, guidare le decisioni e sostenere la crescita, anticipando il futuro. In questo contesto, l’Intelligenza Artificiale rappresenta il catalizzatore di questa trasformazione, così come Internet ha rivoluzionato l’accesso all’informazione e lo smartphone ha ridisegnato la comunicazione.
La maturità nella gestione del rischio è oggi uno dei principali indicatori di resilienza organizzativa e di capacità di innovazione. L’AI sta democratizzando l’accesso a strumenti analitici avanzati, permettendo anche alle realtà medio-piccole di adottare modelli predittivi e migliorare la propria capacità di anticipazione.
Il Risk Management nell’era della complessità
Negli ultimi anni le imprese si sono trovate a operare in un contesto segnato da una profonda discontinuità: crisi sanitarie, shock energetici e, soprattutto, l’arrivo dell’Intelligenza Artificiale come fattore trasformativo. Il concetto stesso di rischio è stato ridefinito, facendo emergere la sua gestione non più come una funzione relegata al controllo e alla difesa, ma come una leva strategica per anticipare i cambiamenti, sostenere la crescita e garantire la resilienza organizzativa.
Il risk management è oggi un processo circolare e continuo che non si limita alla semplice identificazione e mitigazione dei rischi, ma prevede una loro valutazione dinamica e un monitoraggio costante. Questo approccio richiede una governance trasversale, in cui tutte le funzioni aziendali – dal finance all’IT, dalla compliance alle operations – condividono informazioni, obiettivi e linguaggi, adottando una visione comune del rischio.
Con l’ingresso dell’AI, il risk management si è inoltre arricchito di strumenti predittivi avanzati, in grado di analizzare grandi quantità di dati, individuare pattern e anomalie, e supportare decisioni più informate e tempestive. Tuttavia, l’utilizzo dell’intelligenza artificiale ha introdotto anche nuove sfide e rischi legati a bias algoritmici, errori di correlazione, dipendenza dalla qualità dei dati e necessità di garantire trasparenza, spiegabilità e controllo umano sui processi automatizzati.
Il nuovo paradigma del risk management si fonda quindi su un equilibrio tra innovazione tecnologica e responsabilità etica, dove la capacità di anticipare e gestire l’incertezza diventa un elemento distintivo di competitività. Le organizzazioni più mature, infatti, non solo adottano modelli e piattaforme digitali integrate per il governo dei rischi, ma promuovono anche una cultura diffusa della gestione del rischio, coinvolgendo attivamente tutte le risorse e valorizzando il giudizio umano accanto agli strumenti digitali. In questo contesto, la vera differenza la fa chi riesce a trasformare il rischio da semplice minaccia a opportunità di crescita, adottando un approccio proattivo e sistemico che sia in grado di evolversi al passo con i tempi e con la tecnologia.
Il contesto italiano
Il 2024 ha segnato una ripresa significativa della percezione del rischio e una evoluzione da funzione difensiva a leva strategica, con il 46% delle aziende italiane considera il risk management una leva di crescita e competitività[1]. Resta tuttavia un divario tra le grandi aziende e le PMI, divario che tecnologie emergenti e modelli di gestione basati sull’AI potranno colmare, portando a una democratizzazione del Risk Management. Oltre il 60% dei Risk Manager ritiene infatti che l’intelligenza artificiale diventerà entro tre anni lo strumento principale per l’analisi predittiva e la valutazione dei rischi complessi[2]. Parallelamente, l’AI è già usata per correlare dati eterogenei e individuare anomalie operative precocemente.
Le piattaforme integrate di Risk Management e AI Governance stanno diventando la norma tra le imprese più innovative, abilitando una governance adattiva, in cui i modelli di rischio si aggiornano dinamicamente. Tuttavia, l’innovazione non elimina la responsabilità: la coesistenza tra uomo e macchina introduce nuovi rischi – bias, errori di correlazione, dipendenza dai dati – che richiedono governance solida, etica e trasparenza. Non a caso, l’Allianz Risk Barometer 2025 colloca i rischi da uso non controllato dell’AI tra le prime cinque minacce per le aziende europee.
Regolamentazione del Risk Management
La regolamentazione del risk management sta vivendo una profonda trasformazione per rispondere alle nuove sfide poste dall’intelligenza artificiale, evolvendo da un approccio reattivo a uno che accompagna e guida l’innovazione. Un cambiamento fondamentale è rappresentato dall’introduzione dell’AI Act europeo, che ha introdotto un sistema di gestione del rischio proporzionato al livello di impatto dei sistemi intelligenti. È la traduzione normativa del principio secondo cui non esiste innovazione senza responsabilità.
Questo significa che le tre funzioni di controllo – Risk, Audit e Compliance – non possono più operare come presidi distinti, ma convergono in un ecosistema integrato di fiducia e la tecnologia diventa parte del controllo, in cui gli algoritmi vengono addestrati non solo a eseguire decisioni, ma a rispettare valori, principi e regole di conformità.
Alla luce di questo cambiamento, gli standard internazionali stanno quindi cambiando forma. Il principio del Risk-based thinking introdotto dalla ISO 31000 e confermato dal Framework CoSO ERM, si è esteso introducendo il concetto di AI-risk-based thinking. Così come autorità di vigilanza come EBA ed EIOPA sottolineano ora la necessità di human oversight e di audit continuo sui modelli automatizzati. Un nuovo ecosistema in cui la compliance non è più statica ma dinamica, data-driven e predittiva, passando da un modello di vigilanza attiva a uno di governance adattiva, con una centralità crescente della compliance: non più una funzione a valle e meramente formale, ma una componente attiva e strategica del governo aziendale, in grado di anticipare i rischi emergenti, di integrare etica e performance e di guidare l’adozione responsabile delle nuove tecnologie.
Approccio di NTT DATA
L’approccio di NTT DATA è fondato su una visione proattiva e sistemica del rischio, integrando innovazione tecnologica e responsabilità etica per trasformare l’incertezza in un motore di crescita sostenibile, e si basa sul modello ERM-AI, un metodo strutturato e integrato che consente di identificare, valutare, mitigare e monitorare in modo proattivo minacce e opportunità. Questo modello riduce incertezza e aumenta la resilienza, migliora la qualità delle decisioni, ottimizza l’allocazione delle risorse e rafforza la fiducia degli stakeholder.
Elemento chiave dell’approccio è il framework H2RAI – Human to Responsible AI, che traduce i requisiti regolatori in processi concreti e fornisce un modello operativo per la governance responsabile dell’AI. È un framework che integra i pilastri della gestione del rischio, della resilienza digitale e della conformità etica, costruendo un’architettura di fiducia applicabile anche da PMI grazie a modelli scalabili e processi calibrati sui rischi effettivi.
Un approccio che ha come beneficio lo sviluppo di una cultura del rischio diffusa e l’adozione di processi avanzati di risk management anche da parte di organizzazioni con risorse limitate, a conferma che la trasformazione attraverso l’AI è realtà implementabile a patto che l’uomo resti al centro della rivoluzione tecnologica.
La responsabilità del giudizio umano per una nuova gestione del rischio
Il Risk Management non è più solo un insieme di controlli, ma il codice sorgente della fiducia. In un mondo in cui l’AI ridisegna i confini del rischio e della decisione, la governance deve comprendere, guidare e anticipare. La vera trasformazione da mettere in atto è quindi culturale e le organizzazioni devono passare dalla reazione alla consapevolezza, integrando intelligenza artificiale e giudizio umano. L’AI rappresenta senza dubbio un’opportunità perché rende la gestione del rischio più veloce e precisa, ma la responsabilità deve restare umana. Il futuro del Risk Management sarà quindi definito non dalla potenza delle macchine, ma dalla capacità delle persone di dare significato alle decisioni automatizzate.
Fonte: White Paper “Dal controllo al governo dell’AI: verso un Risk Management etico e sostenibile”
[1] Assonime e Università Bocconi 2024 – Rapporto sulla Governance nelle imprese italiane
[2] Cineas Consorzio Universitario per l’Ingegneria delle Assicurazioni – Osservatorio Risk Management 2024
