Linee guida CNDCEC: il collegio sindacale vigila sull’adozione responsabile dell’IA nelle società quotate

Il Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili (CNDCEC) ha pubblicato le “Linee guida di vigilanza del collegio sindacale sulla adozione dell’intelligenza artificiale”, un documento orientativo che supporta gli organi di controllo nella supervisione strategica e operativa dell’IA nelle imprese, in particolare quelle quotate. Approvate il 3 dicembre 2025 dalla Commissione di studio presieduta da Riccardo Losi, con contributi di Gian Luca Ancarani, Maurizio Masini ed Eliana Quintili, le linee enfatizzano il ruolo proattivo del collegio sindacale nel verificare l’adeguatezza degli assetti organizzativi, la gestione dei rischi e la compliance normativa, senza introdurre obblighi aggiuntivi rispetto alla legge.

Gestione strategica e valutazione dell’IA – Il consiglio di amministrazione guida la transizione verso l’IA definendo obiettivi e piani di reskilling per mitigare impatti su processi e risorse umane, mentre il collegio sindacale esercita oversight sulla correttezza decisionale e sull’integrazione nei piani strategici aziendali. La valutazione strategica richiede analisi di impatti competitivi, coinvolgimento di stakeholder interni come CIO e definizioni di obiettivi SMART, con pianificazione a lungo termine allineata all’AI Act e alla norma ISO/IEC 42001. Use case esemplificativi illustrano transizioni ordinate nel back-office o risposte a rischi competitivi, evidenziando la necessità di indicatori misurabili per monitorare avanzamenti.

Governance interna e rischi specifici – La supervisione della governance interna prevede policy AI approvate dal board, con ruoli chiari (provider/deployer ex AI Act) e presidi contro bias algoritmici, decision capture e vulnerabilità di sicurezza. La gestione dei rischi copre una tassonomia esaustiva (tecnici, bias, legali, operativi), con inventari di sistemi, scoring, piani di trattamento e monitoraggio via KPI/KRI, inclusa due diligence su fornitori per prevenire shadow AI. Il collegio sindacale verifica flussi informativi, audit e resilienza, sollecitando azioni correttive in caso di scostamenti.

Compliance e uso dell’IA negli organi societari – La compliance normativa integra AI Act (divieti dal febbraio 2025, high risk dal 2026), GDPR e riforme TUF, con piani di conformità, interlocuzione con AgID/ACN e deliverable come registri incidenti. Gli organi di governance possono usare IA per analisi documentali o monitoraggio, ma con AI literacy, supervisione umana e policy interne per evitare automation bias. Il documento chiude con evoluzioni regolatorie e un glossario, auspicando un approccio proporzionato e value-oriented.