Il Business Process Management (BPM) non è una tecnologia, bensì una disciplina di governo. Nella sua accezione più matura, esso si definisce come l’insieme sistematico di metodi, strumenti e tecnologie finalizzati alla modellazione, all’esecuzione, al controllo e al miglioramento continuo dei processi organizzativi, intesi come sequenze strutturate di attività che producono valore per clienti interni ed esterni.[2]
Il tratto distintivo del BPM rispetto ai tradizionali approcci di gestione per funzioni risiede nella visione orizzontale dell’organizzazione: il BPM attraversa i silos dipartimentali, abbraccia l’intero ciclo di vita di una transazione o di un servizio, e genera dati strutturati su tempi, responsabilità, eccezioni e output. Questa visibilità processuale costituisce oggi la condizione necessaria per qualsiasi strategia strutturata di compliance normativa.
Sul piano del valore di business, i benefici sono quantificabili: riduzione dei tempi di ciclo (cycle time), abbattimento degli errori umani nelle attività ripetitive, incremento della capacità di audit, ottimizzazione dell’allocazione delle risorse e miglioramento dell’esperienza utente nei processi di front-office.
Le organizzazioni che adottano il BPM in modo maturo – secondo modelli di Process Maturity quali CMMI o BPMM[3] – registrano ROI medi compresi tra il 15% e il 30% già nel primo anno di implementazione sistemica.[4][5]
Indice degli argomenti:
Le fasi chiave del BPM: dalla mappatura all’automazione intelligente
Il ciclo di vita del BPM si articola in cinque fasi sequenziali e iterative, ciascuna caratterizzata da deliverable specifici e strumenti dedicati.
1. Discovery e mappatura (as-is)
La fase di analisi prevede la raccolta sistematica delle informazioni sui processi esistenti attraverso interviste strutturate, osservazione diretta, analisi dei log di sistema e workshop facilitati. L’output è una mappa visiva del processo – tradizionalmente elaborata in notazione BPMN 2.0 (Business Process Model and Notation)[6] – che fotografa attività, decisioni, flussi di dati, attori coinvolti e punti critici: colli di bottiglia, ridondanze, aree di rischio di non-conformità.[7]
2. Analisi e progettazione (to-be)
Sulla base dell’analisi as-is, il team progetta il processo ottimizzato, eliminando ridondanze, ridisegnando i flussi approvativi e identificando le attività candidabili all’automazione. In questa fase sono integrate le analisi di rischio – sia in senso giuridico che operativo – con particolare attenzione ai trattamenti di dati personali soggetti al GDPR[8] e ai processi decisionali automatizzati che potrebbero ricadere nell’ambito dell’AI Act.[9]
3. Implementazione e deploy
La fase esecutiva prevede la configurazione delle piattaforme BPM (BPMS), la definizione delle regole di business, l’integrazione con i sistemi legacy (ERP, CRM, HRMS) tramite API o middleware, e l’attivazione dei meccanismi di audit trail nativo. La tracciabilità non deve essere configurata come add-on: deve essere progettata by design sin da questa fase.
4. Monitoraggio e controllo
In produzione, il BPM genera dati in tempo reale su KPI di processo: tempo medio di completamento, tasso di eccezioni, violazioni degli SLA, distribuzione del carico tra gli attori. I moderni strumenti di Process Mining – come Celonis EMS, UiPath Process Mining e Apromore – consentono di confrontare il processo reale con il modello normativo e di rilevare automaticamente le deviazioni significative.[10]–[11]
5. Ottimizzazione continua
Il ciclo si chiude con l’analisi dei dati raccolti per identificare nuove opportunità di miglioramento, attraverso cicli di feedback a cadenza trimestrale o semestrale. In un contesto regolatorio dinamico – dove le norme evolvono, le interpretazioni mutano e nuove minacce emergono – questa fase diventa il presidio principale della conformità prospettica.
Intelligenza artificiale e gestione dei processi aziendali: opportunità e limiti
L’integrazione dell’intelligenza artificiale nel BPM non è più un’ipotesi futura: è una realtà operativa che ridefinisce i confini tra automazione ordinaria e automazione cognitiva. Il passaggio da sistemi rule-based – che eseguono istruzioni predeterminate – a sistemi AI-driven – che apprendono dai dati e adattano il proprio comportamento – apre scenari di efficienza inediti, ma introduce al contempo nuove categorie di rischio giuridico e organizzativo che le imprese non possono ignorare.
Come l’AI potenzia il BPM: casi d’uso e strumenti emergenti
Process Mining avanzato. Gli algoritmi di machine learning applicati al process mining consentono di ricostruire automaticamente il processo reale a partire dai log di sistema, identificando varianti, anomalie e pattern nascosti che l’analisi manuale non potrebbe rilevare. Le più recenti piattaforme offrono dashboard predittive che anticipano le deviazioni dal processo ottimale prima che si traducano in non-conformità.[12]
Intelligent Document Processing (IDP). Nei processi documentali – particolarmente rilevanti in ambito legale, finance e healthcare – i sistemi IDP basati su NLP e computer vision automatizzano la classificazione, l’estrazione di dati strutturati e il routing verso i flussi approvativi corretti. La riduzione dell’errore umano nell’inserimento dati è misurabile; la tracciabilità del percorso documentale è garantita by design.[13]
Decisioning automatizzato. Nei processi di credito, onboarding clienti, gestione reclami e valutazione del rischio, i motori di decision-making AI analizzano insiemi di variabili complessi e producono output decisionali in millisecondi. Il vantaggio operativo è evidente; il rischio, però, è altrettanto reale: una decisione automatizzata che impatta i diritti individuali rientra nel perimetro dell’art. 22 GDPR[14] e, qualora si basi su modelli ad alto rischio, nel perimetro dell’AI Act.[15]
Chatbot e AI agent nei processi di front-office. L’automazione del contatto con clienti, fornitori e dipendenti tramite agenti conversazionali AI incrementa l’efficienza nei processi di servizio, ma genera obblighi informativi ai sensi degli artt. 13-14 GDPR[16], potenziali rischi di bias nella gestione delle richieste e necessità di supervisione umana (human oversight) che le organizzazioni devono presidiare con procedure operative documentate.
I limiti di un approccio non governato
I limiti dell’AI applicata al BPM non devono essere minimizzati. La dipendenza da dati storici può cristallizzare inefficienze o discriminazioni nel processo ottimizzato. La mancanza di esplainability nei modelli black-box rende difficile documentare le basi decisionali richieste dalle norme. E la velocità di deployment dei sistemi AI spesso supera la capacità delle organizzazioni di aggiornare policy, controlli interni e documentazione di conformità. Un approccio maturo al BPM AI-driven richiede che queste tensioni siano governate con metodo, non semplicemente ignorate.[17]
Compliance normativa nella gestione dei processi aziendali: dal GDPR all’AI Act
La conformità normativa non è più un vincolo esterno da soddisfare a posteriori: è una dimensione che deve essere incorporata nel disegno stesso dei processi aziendali. Le due normative europee che più direttamente incidono sulla gestione processuale sono il Regolamento (UE) 2016/679 (GDPR) e il Regolamento (UE) 2024/1689 (AI Act), entrambi fondati sui principi di accountability, trasparenza e tracciabilità che il BPM – se correttamente implementato – è in grado di soddisfare in modo strutturale.[18][19]
GDPR e processi aziendali: requisiti essenziali
Il GDPR non regola soltanto il dato personale in sé, ma il trattamento, ovvero ogni operazione che coinvolge il dato, dalla raccolta all’archiviazione, dalla comunicazione alla cancellazione. Ogni processo aziendale che maneggi dati personali costituisce un trattamento e deve rispettare i principi sanciti dall’art. 5: legalità, correttezza e trasparenza; limitazione delle finalità; minimizzazione dei dati; esattezza; limitazione della conservazione; integrità e riservatezza; accountability.[20]
Sul piano operativo, la mappatura dei processi BPM costituisce la base naturale del Registro dei Trattamenti previsto dall’art. 30 GDPR[21]: ogni attività mappata genera le informazioni necessarie per identificare titolare, finalità, categorie di dati, destinatari, tempi di conservazione e misure di sicurezza adottate. Un BPMS configurato correttamente può alimentare il registro in modo semi-automatico, riducendo il rischio di omissioni e garantendo l’aggiornamento continuo in caso di modifica dei processi.
Cruciale è anche la gestione delle richieste degli interessati ai sensi degli artt. 15-22 GDPR[22]: i processi di risposta a richieste di accesso, rettifica, cancellazione e portabilità devono essere formalizzati, tracciati e rispettare le scadenze normative – ordinariamente un mese, prorogabile fino a tre. Senza un BPM che governi questi flussi, il rischio di violazione è elevato, come dimostrano le numerose sanzioni irrogate dal Garante italiano per ritardi o omissioni nella gestione degli interessati.
Infine, il principio di privacy by design e by default ex art. 25 GDPR[23] impone che le misure di protezione dei dati siano incorporate nel processo sin dalla fase di progettazione. Questo rende il BPM non soltanto uno strumento di efficienza, ma un presidio strutturale di conformità.[24]
AI Act e processi automatizzati: sfide e obblighi
Il Regolamento (UE) 2024/1689 sull’Intelligenza Artificiale[25], entrato in vigore nell’agosto 2024 con applicazione progressiva fino al 2027,[26] introduce un approccio risk-based alla regolamentazione dei sistemi AI che impatta direttamente i processi aziendali automatizzati. La classificazione dei sistemi AI in categorie di rischio – inaccettabile, alto, limitato, minimo – determina gli obblighi applicabili a ciascun caso d’uso.
I processi aziendali più esposti sono quelli che impiegano sistemi AI ad alto rischio ai sensi dell’Allegato III del Regolamento[27]: scoring creditizio, valutazione dei lavoratori, selezione del personale, decisioni in materia di accesso a servizi essenziali. Per questi sistemi, l’AI Act prevede obblighi severi: valutazione della conformità ex ante, documentazione tecnica completa, registrazione nei sistemi di log, supervisione umana effettiva, trasparenza verso gli utenti e misure di robustezza e accuratezza.
La sfida più rilevante per le organizzazioni consiste nell’integrazione di tali obblighi nel processo BPM esistente. Non è sufficiente documentare il sistema AI in sede di acquisto o sviluppo: è necessario garantire che ogni attivazione del sistema nel processo lasci una traccia auditabile, che le decisioni automatizzate siano revisionate periodicamente per verificarne l’accuratezza, e che i responsabili del processo siano formati per riconoscere le situazioni che richiedono l’intervento umano. Il BPM diventa il framework operativo entro cui gli obblighi dell’AI Act si traducono in procedure verificabili.[28]
Sul piano della governance, si impone la creazione di un ruolo specifico – che alcune organizzazioni stanno già denominando AI Compliance Officer o AI Governance Lead – con responsabilità trasversali tra IT, legal e operations. Le sanzioni previste dal Regolamento, fino al 7% del fatturato globale annuo per le pratiche vietate e al 3% per la non conformità relativa ai sistemi ad alto rischio, rendono questo rischio concretamente intollerabile.[29]
Strumenti e tecnologie per una gestione processuale compliance-oriented
Il mercato degli strumenti BPM ha subito una trasformazione profonda negli ultimi cinque anni: dalle suite monolitiche di Business Process Management Systems (BPMS) si è passati a ecosistemi ibridi che integrano Process Mining, RPA (Robotic Process Automation), piattaforme Low-Code/No-Code e moduli di AI governance. La scelta dello stack tecnologico non è neutra rispetto alla compliance: alcune piattaforme supportano nativamente la tracciabilità e l’audit, altre richiedono configurazioni significative per raggiungere il medesimo risultato.[30]
Le piattaforme leader di mercato – Appian, Pega, IBM Business Automation Workflow, ServiceNow e la suite di Camunda – offrono funzionalità integrate di audit trail, version control dei processi, gestione delle eccezioni e reporting normativo. SAP Signavio e Celonis[31], forti nelle grandi organizzazioni enterprise, consentono di mappare i processi in tempo reale confrontandoli con benchmark di settore e policy di compliance predefinite.
Per le organizzazioni di dimensioni medie – come le PMI manifatturiere o le strutture sanitarie che ricadono nel perimetro NIS2[32] – esistono soluzioni più accessibili: Kissflow, monday.com Work OS, Nintex e Bizagi offrono funzionalità BPM con layer di compliance configurabili, a costi e complessità di implementazione sensibilmente inferiori rispetto alle suite enterprise.
Un elemento trasversale, spesso sottovalutato, è l’integrazione con i sistemi di Identity & Access Management (IAM): garantire che solo i soggetti autorizzati possano accedere a determinate fasi del processo, con log delle autenticazioni e delle azioni eseguite, è un requisito sia di sicurezza informatica sia di compliance GDPR[33], particolarmente rilevante per le organizzazioni soggette a NIS2.[34]
Tracciabilità e audit dei processi con tecnologie digitali
La tracciabilità è il filo conduttore che connette BPM, GDPR, AI Act e sicurezza informatica. Un processo è realmente audit-ready quando soddisfa tre condizioni: ogni azione è registrata con timestamp, identità dell’attore e contesto operativo; ogni deviazione dal processo normativo è rilevata e segnalata; ogni dato prodotto o consumato nel processo è associato al corrispondente trattamento GDPR.[35]
Le tecnologie che abilitano questa tracciabilità sono mature e disponibili: i log strutturati in formato standard (CEF, JSON), integrati con sistemi SIEM (Security Information and Event Management) come Splunk o Microsoft Sentinel, consentono di correlare eventi di processo con eventi di sicurezza in modo retroattivo. I workflow engine moderni generano automaticamente audit trail immutabili – in alcuni casi archiviati su blockchain permissioned per garantirne l’integrità – esportabili in formato standard per audit interni, ispezioni regolatorie e contenziosi.
Una pratica emergente di particolare efficacia è l’implementazione del Process Conformance Checking automatizzato: algoritmi che confrontano in tempo reale il log di esecuzione del processo con il modello normativo atteso, generando alert al rilevamento di deviazioni significative.[36]–[37]–[38] Questo approccio trasforma il controllo della compliance da attività periodica e reattiva a presidio continuo e proattivo, in linea con la logica di accountability che permea sia il GDPR che l’AI Act.
Rischi e ostacoli nella digitalizzazione dei processi: come superarli
L’implementazione di un BPM maturo non è priva di ostacoli. La letteratura specializzata[39] e l’esperienza sul campo evidenziano pattern di fallimento ricorrenti che conviene anticipare.
Resistenza organizzativa
La mappatura dei processi mette in luce inefficienze, responsabilità poco chiare e zone di comfort consolidate. La resistenza del middle management – che spesso percepisce il BPM come strumento di controllo anziché di empowerment – rappresenta il principale fattore di fallimento nei progetti di trasformazione processuale. Il superamento richiede un approccio di change management strutturato, con comunicazione trasparente degli obiettivi, coinvolgimento precoce degli stakeholder e formazione mirata.
Shadow IT e processi non mappati
In molte organizzazioni, una quota significativa dei processi reali avviene al di fuori dei sistemi ufficiali: fogli di calcolo condivisi, applicazioni non autorizzate, comunicazioni su canali non tracciabili. Questi processi “shadow” sono invisibili agli audit, non rispettano i requisiti GDPR[40] e generano dati non governati. La discovery processuale deve includere un’analisi attiva dello shadow IT, eventualmente supportata da strumenti di Network Access Control (NAC) e di monitoraggio delle applicazioni.
Complessità dell’integrazione tecnologica
L’integrazione di un BPMS con i sistemi legacy aziendali – spesso eterogenei, non documentati e fondati su tecnologie obsolete – è una delle principali cause di ritardo e aumento dei costi nei progetti BPM. Un approccio API-first e l’adozione di middleware di integrazione (iPaaS, come MuleSoft o Dell Boomi) riducono significativamente questa complessità, a condizione che venga affrontata sin dalla fase di progettazione to-be.
Governance della compliance in ambienti multi-cloud
Le organizzazioni che operano su infrastrutture multi-cloud o ibride affrontano sfide specifiche in termini di localizzazione dei dati (data residency), visibilità sui processi che attraversano più ambienti e coerenza dei meccanismi di audit. Il GDPR impone che il titolare del trattamento sappia sempre dove si trovano i dati e chi vi ha accesso[41]: in un ambiente distribuito, questa consapevolezza richiede strumenti di Cloud Security Posture Management (CSPM) e di Data Governance integrati con il BPM.
Casi reali di BPM tracciabile e compliant
I tre casi di seguito illustrati sono rappresentativi di altrettanti ambiti settoriali in cui il BPM ha operato come framework di conformità prima ancora che di efficienza.
1 – Manifatturiero: gestione degli ordini e NIS2
Un’azienda manifatturiera italiana di medie dimensioni, operante nella componentistica per automotive, ha avviato un progetto BPM per la digitalizzazione del processo order-to-cash. In fase di analisi as-is è emerso che il processo coinvolgeva dati personali di dipendenti e referenti commerciali in modo non strutturato, con scambi via email non tracciati e archiviazione su file server locali non presidiati. Il progetto ha consentito di centralizzare il processo su una piattaforma integrata, implementare l’audit trail nativo, segmentare gli accessi per ruolo e aggiornare il Registro dei Trattamenti ex art. 30 GDPR.[42]
Contestualmente, il processo è stato allineato ai requisiti NIS2 in materia di gestione degli incidenti e business continuity, con la definizione di procedure di escalation documentate e testate.[43]
2 – Healthcare: gestione dei consensi e decisioni automatizzate
Una struttura sanitaria privata ha implementato un sistema BPM per la gestione del ciclo di vita del consenso informato dei pazienti. Il processo, precedentemente gestito su carta con archiviazione fisica, è stato digitalizzato con firma digitale qualificata, conservazione sostitutiva a norma e workflow automatizzato per la gestione delle revoche. Il sistema di AI integrato per la prioritizzazione delle prenotazioni è stato classificato come ad alto rischio ai sensi dell’AI Act[44]e assoggettato a una procedura di conformità specifica, con documentazione tecnica, log delle attività e supervisione umana nelle casistiche borderline.[45]
3 – Financial Services: onboarding clienti e compliance AML/GDPR
Una società di intermediazione finanziaria ha ridisegnato il processo di onboarding dei clienti retail integrando BPM, AI per il riconoscimento documentale e automazione delle verifiche AML (Anti-Money Laundering). La tracciabilità end-to-end del processo – dalla raccolta del documento d’identità all’apertura del conto – ha consentito di rispondere a un’ispezione dell’Autorità di Vigilanza in meno di 48 ore, esportando automaticamente i log di ogni interazione con il cliente e le relative decisioni di accettazione o rifiuto. Il caso evidenzia come il BPM non sia soltanto uno strumento di efficienza, ma un presidio concreto di difesa legale e regolatoria.[46]
Evoluzione del BPM verso l’hyperautomation: trend, metriche e governance
Il termine hyperautomation – coniato da Gartner e incluso nelle sue Top Strategic Technology Trends a partire dal 2020[47] – descrive l’approccio disciplinato all’identificazione, al vetting e all’automazione del maggior numero possibile di processi aziendali attraverso l’orchestrazione combinata di tecnologie: AI/ML, RPA, BPMS, iPaaS, Process Mining e sviluppo Low-Code. Non si tratta di una tecnologia singola, bensì di una filosofia operativa che porta il BPM alla sua evoluzione naturale.
In un contesto di hyperautomation, il confine tra processo umano e processo automatizzato diventa fluido e dinamico: il sistema apprende dall’esecuzione, adatta il routing, gestisce le eccezioni con autonomia crescente e coinvolge l’operatore umano solo nei casi in cui la complessità o il rischio lo richiedano. Questo modello genera efficienza straordinaria – con previsioni di riduzione dei costi operativi fino al 30%[48] e un mercato software che raggiungerà 1,07 trilioni USD entro il 2028[49] – ma amplifica al contempo i rischi di compliance.[50]
Le metriche chiave dell’hyperautomation
Le organizzazioni mature misurano l’efficacia dell’hyperautomation attraverso un set integrato di KPI operativi, finanziari e di compliance: automazione ratio (percentuale di attività completamente automatizzate sul totale del processo), exception rate (frequenza delle deviazioni che richiedono intervento umano), audit coverage (percentuale di processi con audit trail completo e conforme), time-to-comply (tempo medio per rispondere a una richiesta di audit o di accesso agli atti) e compliance drift index (indicatore dello scostamento progressivo tra il processo reale e il modello normativo).
Governance dell’hyperautomation: il ruolo del legal e del DPO
In un ecosistema di hyperautomation, il presidio legale e di compliance non può più essere esercitato a valle – come controllo sui processi già in produzione. Deve diventare upstream: integrato nelle fasi di design, nelle policy di deploy e nei meccanismi di monitoraggio continuo. Il DPO, il Legal counsel e il CISO devono partecipare attivamente ai review board dei processi automatizzati, validando i modelli AI prima del go-live, verificando la conformità dei flussi dati e aggiornando la documentazione normativa in modo continuativo.[51]
Questa convergenza – tra BPM, AI governance, cybersecurity e compliance legale – rappresenta la frontiera più avanzata della gestione aziendale contemporanea. Le organizzazioni che la governano con metodo ottengono un vantaggio competitivo strutturale: non solo producono di più e meglio, ma lo fanno in modo dimostrabile, difendibile e scalabile. In un contesto in cui le sanzioni per non-conformità si collocano nell’ordine del 2-4% del fatturato globale, e in cui la reputazione è un asset più fragile che mai, la compliance tracciabile non è un costo: è un investimento nel futuro dell’impresa.[52]
Conclusioni: il BPM come infrastruttura di compliance
La gestione dei processi aziendali non è mai stata così centrale come oggi. La convergenza tra automazione intelligente, regolamentazione europea pervasiva e aspettative crescenti di trasparenza da parte di regolatori, clienti e mercati impone alle organizzazioni di ripensare il BPM non come funzione di supporto, bensì come infrastruttura abilitante della compliance, dell’innovazione responsabile e della resilienza operativa.
L’hyperautomation offre strumenti potenti.[53] Il GDPR e l’AI Act definiscono i confini del loro utilizzo lecito.[54][55] Il BPM, nella sua evoluzione più matura, è il framework dentro cui questi elementi si incontrano, si integrano e si governano. Adottarlo con consapevolezza – investendo nella mappatura, nella tracciabilità, nella governance e nella formazione – è oggi una scelta strategica obbligata per qualsiasi organizzazione che voglia competere nell’economia digitale europea.
Riferimenti bibliografici
Normativa
[1] Parlamento Europeo e Consiglio UE. Regolamento (UE) 2016/679 (GDPR). EUR-Lex. In vigore: 25 maggio 2018. https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32016R0679
[2] Comitato Europeo per la Protezione dei Dati (EDPB). Guidelines, Recommendations and Best Practices. https://www.edpb.europa.eu/our-work-tools/general-guidance/guidelines-recommendations-best-practices_en
[3] Parlamento Europeo e Consiglio UE. Regolamento (UE) 2024/1689 (AI Act). EUR-Lex. In vigore: 1° agosto 2024. https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32024R1689
[4] Commissione Europea. AI Act: Shaping Europe’s Digital Future. https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
[5] Agenzia per la Cybersicurezza Nazionale (ACN). D.Lgs. 138/2024 – La normativa NIS2 italiana. In vigore: 16 ottobre 2024. https://www.acn.gov.it/portale/nis/la-normativa
Letteratura accademica e report di settore
[6] van der Aalst, W.M.P. Process Mining: Data Science in Action. 2a ed. Springer, Heidelberg, 2016.
[7] “Achieving GDPR Compliance of BPMN Process Models”. International Conference on BPM, 2019. https://www.researchgate.net/publication/333312868
[8] “Artificial intelligence in conformance checking: state of the art and research agenda”. Process Science, Springer, maggio 2025. https://link.springer.com/article/10.1007/s44311-025-00015-7
[9] “Reviewing uses of regulatory compliance monitoring”. Software and Systems Modeling, Springer, novembre 2025. https://link.springer.com/article/10.1007/s10270-025-01338-6
[10] “On Enabling GDPR Compliance in Business Processes Through Data-Driven Solutions”. SN Computer Science, Springer, 2023. https://link.springer.com/article/10.1007/s42979-020-00215-x
[11] EY (Ernst & Young). The European Union Artificial Intelligence Act – Overview e compliance guide. White Paper, luglio 2024.
[12] Gartner. Definition of Hyperautomation. IT Glossary. https://www.gartner.com/en/information-technology/glossary/hyperautomation
[13] Gartner. Forecast Analysis: Hyperautomation Enabling Software, Worldwide. 2024.
[14] Gartner. Hype Cycle for I&O Automation 2024. Settembre 2024.
[15] Gartner. Market Share Analysis: Process Mining Software, Worldwide 2024.
[16] Celonis. Gartner Magic Quadrant for Process Mining Platforms 2024 – Leader. Comunicato stampa, maggio 2024.
[17] Technavio. Global Business Process Management Market Analysis 2024-2028. 2024.
[18] Market Reports World. Business Process Management Market Size, Share – Forecast to 2033. 2024.
[19] SAP Community. “Navigating Compliance and BPM: Challenges & Solutions”. Marzo 2024.
[20] PRIME BPM. “Business Process Management Trends 2024 and Beyond”. Settembre 2024.
[21] QPR Software. “Conformance Analysis with Process Mining”. QPR ProcessAnalyzer Blog, 2023.
[22] BPMInstitute.org. “GDPR is a Process Issue”. 2018. https://www.bpminstitute.org/resources/articles/gdpr-process-issue
Parlamento Europeo e Consiglio UE, Regolamento (UE) 2024/1689 (AI Act), EUR-Lex, Gazzetta Ufficiale UE, entrato in vigore il 1° agosto 2024. ↑
* L’autore: fellow dell’ISLC (information Society Law Center dell’Università degli Studi di Milano) specializzato in corporate governance&liability, cybersecurity e compliance normativa, con focus su NIS2, AI Act, MDR e Cyber Resilience Act, è Legal Specialist presso CCLEX (Studio Legale Associato Colombo Caramori) e Head Of Legal presso Rights Chain Ltd -London ↑
W.M.P. van der Aalst, Process Mining: Data Science in Action, 2a ed., Springer, Heidelberg, 2016. Opera fondativa della disciplina del process mining, di riferimento per il framework teorico del BPM, del conformance checking e dell’analisi di performance dei processi. ↑
La maturità dei processi rappresenta l’indicatore dello stato di salute di un’organizzazione e misura quanto le sue attività siano definite, controllate e orientate alla generazione di valore. Un’azienda raggiunge un’elevata maturità quando i suoi processi non sono solo documentati e compresi dai dipendenti, ma sono anche standardizzati tra i vari team, misurati tramite KPI e soggetti a un miglioramento continuo. A differenza delle realtà a basso livello di maturità, dove i team operano in modo ad hoc, reattivo e sacrificano spesso la qualità per la quantità, le organizzazioni mature si distinguono per processi: Definiti ed Efficaci: le fasi sono delineate e producono costantemente i risultati previsti. Efficienti e Automatizzati: le attività superflue sono eliminate e ogni fase idonea è gestita tramite tecnologia. Proattivi: i dipendenti anticipano i cambiamenti del mercato anziché limitarsi a reagire alle emergenze. Per mappare questo percorso di crescita si utilizzano i Modelli di Maturità del Processo, che possono avere finalità descrittive (analisi dello stato attuale), prescrittive (guida verso l’ottimizzazione) o comparative (confronto con i competitor). Tra i framework più rilevanti figurano: Il Capability Maturity Model (CMM): nato negli anni ’80 in ambito software, si focalizza sulla ripetibilità dei processi e sulla gestione dei progetti. Il Business Process Maturity Model (BPMM): focalizzato sul miglioramento a livello aziendale complessivo. Il BPMM viene utilizzato per valutare la prontezza tecnologica e l’efficienza dei fornitori attraverso diverse tipologie di audit (iniziale, di progresso, dei fornitori o di conferma). ↑
Market Reports World, Business Process Management (BPM) Market Size, Share – Forecast to 2033, 2024. Il 76% delle enterprise globali ha implementato almeno una soluzione BPM; il settore BFSI guida con il 25% del mercato, seguito dall’healthcare con il 18%. ↑
Technavio, Global Business Process Management (BPM) Market Analysis 2024–2028, 2024. Il mercato BPM è stimato in crescita di 10,6 miliardi USD tra il 2023 e il 2028, con CAGR del 10,87%. Il 42% delle organizzazioni ha rinviato l’adozione del BPM a causa di preoccupazioni relative alla sicurezza dei dati. ↑
BPMN 2.0 (Business Process Model and Notation) è lo standard internazionale (ISO/IEC 19510) per la modellazione grafica dei processi aziendali. Fornisce una notazione universale, basata su simboli chiari, per creare diagrammi di flusso di lavoro comprensibili sia dagli utenti aziendali che dagli sviluppatori tecnici, facilitando l’analisi, la comunicazione e l’automazione dei processi. Cfr. https://www.ibm.com/it-it/think/topics/bpmn. ↑
W.M.P. van der Aalst, Process Mining: Data Science in Action, 2a ed., Springer, Heidelberg, 2016. Opera fondativa della disciplina del process mining, di riferimento per il framework teorico del BPM, del conformance checking e dell’analisi di performance dei processi. ↑
Parlamento Europeo e Consiglio UE, Regolamento (UE) 2016/679 (GDPR), art. 5 (Principi applicabili al trattamento di dati personali), EUR-Lex, Gazzetta Ufficiale UE, in vigore dal 25 maggio 2018. ↑
Parlamento Europeo e Consiglio UE, Regolamento (UE) 2024/1689 (AI Act), EUR-Lex, Gazzetta Ufficiale UE, entrato in vigore il 1° agosto 2024. ↑
Celonis, Gartner Magic Quadrant for Process Mining Platforms 2024 – Leader (2° anno consecutivo), comunicato stampa, maggio 2024; Solutions Review, Key Takeaways: 2024 Gartner Magic Quadrant for Process Mining Platforms, maggio 2024. Il mercato process mining ha superato 1,1 miliardi USD nel 2024, con crescita del 31,7% su base annua. ↑
Gartner, Market Share Analysis: Process Mining Software, Worldwide 2024. Celonis detiene il 47,4% di quota di mercato, seguito da SAP e ARIS. La previsione Gartner stima che il 25% delle global enterprise adotterà il process mining per i digital twin entro il 2026. ↑
Springer Nature / Process Science Journal, “Artificial intelligence in conformance checking: state of the art and research agenda”, maggio 2025. La revisione sistematica analizza l’applicazione di ML, deep learning e LLM alla rilevazione di deviazioni tra modelli di processo e log reali. ↑
ResearchGate, “Achieving GDPR Compliance of BPMN Process Models”, International Conference on BPM, 2019. Il paper introduce patterns per: data breach, consenso, minimizzazione dati, accesso; i modelli sono valutati su case study sanitari e finanziari con metriche di accuratezza 0,95, 0,94 e 0,86. ↑
Ibidem, art. 22 (Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione). Il diritto di non essere sottoposti a decisioni basate unicamente su trattamenti automatizzati è soggetto a eccezioni, che tuttavia impongono garanzie specifiche. ↑
Parlamento Europeo e Consiglio UE, Regolamento (UE) 2024/1689 (AI Act), EUR-Lex, Gazzetta Ufficiale UE, entrato in vigore il 1° agosto 2024. ↑
Ibidem, artt. 13–14 (Informazioni da fornire all’interessato al momento della raccolta dei dati o qualora i dati siano ottenuti da terzi). Gli obblighi informativi si applicano integralmente ai sistemi conversazionali AI che interagiscono con utenti persone fisiche. ↑
PRIME BPM, “Business Process Management Trends 2024 and Beyond”, PRIME BPM Blog, settembre 2024. Analisi dei sei trend chiave del BPM nel 2024: crescita della compliance, low-code/no-code, real-time analytics, sostenibilità, AI integration. ↑
Parlamento Europeo e Consiglio UE, Regolamento (UE) 2016/679 (GDPR), art. 5 (Principi applicabili al trattamento di dati personali), EUR-Lex, Gazzetta Ufficiale UE, in vigore dal 25 maggio 2018. ↑
Parlamento Europeo e Consiglio UE, Regolamento (UE) 2024/1689 (AI Act), EUR-Lex, Gazzetta Ufficiale UE, entrato in vigore il 1° agosto 2024. ↑
Parlamento Europeo e Consiglio UE, Regolamento (UE) 2016/679 (GDPR), art. 5 (Principi applicabili al trattamento di dati personali), EUR-Lex, Gazzetta Ufficiale UE, in vigore dal 25 maggio 2018. ↑
Ibidem, art. 30 (Registro delle attività di trattamento). L’obbligo riguarda sia i titolari che i responsabili del trattamento con almeno 250 dipendenti, nonché le organizzazioni più piccole che trattino dati sensibili o a rischio elevato. ↑
Ibidem, artt. 15–22 (Diritti dell’interessato: accesso, rettifica, cancellazione, limitazione del trattamento, portabilità, opposizione, diritti in materia di processi decisionali automatizzati). Il termine ordinario per la risposta è di un mese, prorogabile fino a tre mesi per casi complessi. ↑
Ibidem, art. 25 (Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita – privacy by design e by default). Cfr. anche BPMInstitute.org, “GDPR is a Process Issue”, 2018, che argomenta come la privacy by design corrisponda operativamente a un processo by design. ↑
Comitato Europeo per la Protezione dei Dati (EDPB), Guidelines, Recommendations and Best Practices, edpb.europa.eu, aggiornamento continuo. Le linee guida EDPB forniscono l’interpretazione autentica degli obblighi GDPR per i trattamenti automatizzati e le DPIA. ↑
Parlamento Europeo e Consiglio UE, Regolamento (UE) 2024/1689 (AI Act), EUR-Lex, Gazzetta Ufficiale UE, entrato in vigore il 1° agosto 2024. ↑
Commissione Europea, AI Act: Shaping Europe’s Digital Future, digital-strategy.ec.europa.eu, aggiornamento continuo (ultima verifica: febbraio 2026). Timeline di applicazione progressiva: divieti in vigore da febbraio 2025; obblighi GPAI da agosto 2025; sistemi ad alto rischio incorporati in prodotti regolamentati da agosto 2027. ↑
Ibidem, Allegato III: Sistemi di IA ad alto rischio di cui all’articolo 6, paragrafo 2. L’elenco comprende: scoring creditizio, valutazione dei lavoratori, selezione del personale, decisioni su accesso a servizi essenziali, decisioni in materia di migrazione e asilo. ↑
Commissione Europea, AI Act: Shaping Europe’s Digital Future, digital-strategy.ec.europa.eu, aggiornamento continuo (ultima verifica: febbraio 2026). Timeline di applicazione progressiva: divieti in vigore da febbraio 2025; obblighi GPAI da agosto 2025; sistemi ad alto rischio incorporati in prodotti regolamentati da agosto 2027. ↑
EY (Ernst & Young), The European Union Artificial Intelligence Act – Overview e compliance guide, EY Global White Paper, luglio 2024. Le sanzioni previste dal Regolamento ammontano fino al 7% del fatturato globale annuo per le pratiche vietate e al 3% per la non conformità relativa ai sistemi ad alto rischio. ↑
PRIME BPM, “Business Process Management Trends 2024 and Beyond”, PRIME BPM Blog, settembre 2024. Analisi dei sei trend chiave del BPM nel 2024: crescita della compliance, low-code/no-code, real-time analytics, sostenibilità, AI integration. ↑
Celonis, Gartner Magic Quadrant for Process Mining Platforms 2024 – Leader (2° anno consecutivo), comunicato stampa, maggio 2024; Solutions Review, Key Takeaways: 2024 Gartner Magic Quadrant for Process Mining Platforms, maggio 2024. Il mercato process mining ha superato 1,1 miliardi USD nel 2024, con crescita del 31,7% su base annua. ↑
Agenzia per la Cybersicurezza Nazionale (ACN), Direttiva NIS2: D.Lgs. 138/2024 – La normativa italiana, acn.gov.it. Il decreto ha recepito la Direttiva (UE) 2022/2555 ed è entrato in vigore il 16 ottobre 2024, con obbligo di registrazione sulla piattaforma ACN a partire dal 1° dicembre 2024. ↑
Parlamento Europeo e Consiglio UE, Regolamento (UE) 2016/679 (GDPR), art. 5 (Principi applicabili al trattamento di dati personali), EUR-Lex, Gazzetta Ufficiale UE, in vigore dal 25 maggio 2018. ↑
Agenzia per la Cybersicurezza Nazionale (ACN), Direttiva NIS2: D.Lgs. 138/2024 – La normativa italiana, acn.gov.it. Il decreto ha recepito la Direttiva (UE) 2022/2555 ed è entrato in vigore il 16 ottobre 2024, con obbligo di registrazione sulla piattaforma ACN a partire dal 1° dicembre 2024. ↑
Springer Nature, “On Enabling GDPR Compliance in Business Processes Through Data-Driven Solutions”, SN Computer Science, settembre 2023. Il paper propone un framework data-driven per la GDPR compliance nei processi: process mining applicato al “right to be forgotten” (RTBF), pseudonimizzazione ex art. 5 GDPR, event log sanitization per privacy-aware process discovery. ↑
Springer Nature / Process Science Journal, “Artificial intelligence in conformance checking: state of the art and research agenda”, maggio 2025. La revisione sistematica analizza l’applicazione di ML, deep learning e LLM alla rilevazione di deviazioni tra modelli di processo e log reali. ↑
Springer Nature / Software and Systems Modeling, “Reviewing uses of regulatory compliance monitoring (conformance checking + compliance checking)”, novembre 2025. La ricerca sistematica copre 4 database scientifici con analisi della letteratura fino a maggio 2024. ↑
QPR Software, Conformance Analysis with Process Mining – Guida operativa, QPR ProcessAnalyzer Blog, 2023. Descrizione del confronto operativo tra process blueprint (to-be) e log di esecuzione reale (as-is) estratti da sistemi ERP, CRM e BPM. ↑
SAP Community, “Navigating Compliance and BPM: Challenges & Solutions”, SAP Community Blog, marzo 2024. L’analisi identifica i pattern ricorrenti di fallimento nell’integrazione compliance-BPM e le best practice per GDPR, HIPAA e Sarbanes-Oxley. ↑
Parlamento Europeo e Consiglio UE, Regolamento (UE) 2016/679 (GDPR), art. 5 (Principi applicabili al trattamento di dati personali), EUR-Lex, Gazzetta Ufficiale UE, in vigore dal 25 maggio 2018. ↑
Ibidem, art. 30 (Registro delle attività di trattamento). L’obbligo riguarda sia i titolari che i responsabili del trattamento con almeno 250 dipendenti, nonché le organizzazioni più piccole che trattino dati sensibili o a rischio elevato. ↑
Ibidem, art. 30 (Registro delle attività di trattamento). L’obbligo riguarda sia i titolari che i responsabili del trattamento con almeno 250 dipendenti, nonché le organizzazioni più piccole che trattino dati sensibili o a rischio elevato. ↑
Agenzia per la Cybersicurezza Nazionale (ACN), Direttiva NIS2: D.Lgs. 138/2024 – La normativa italiana, acn.gov.it. Il decreto ha recepito la Direttiva (UE) 2022/2555 ed è entrato in vigore il 16 ottobre 2024, con obbligo di registrazione sulla piattaforma ACN a partire dal 1° dicembre 2024. ↑
Ibidem, Allegato III: Sistemi di IA ad alto rischio di cui all’articolo 6, paragrafo 2. L’elenco comprende: scoring creditizio, valutazione dei lavoratori, selezione del personale, decisioni su accesso a servizi essenziali, decisioni in materia di migrazione e asilo. ↑
Parlamento Europeo e Consiglio UE, Regolamento (UE) 2024/1689 (AI Act), EUR-Lex, Gazzetta Ufficiale UE, entrato in vigore il 1° agosto 2024. ↑
Parlamento Europeo e Consiglio UE, Regolamento (UE) 2016/679 (GDPR), art. 5 (Principi applicabili al trattamento di dati personali), EUR-Lex, Gazzetta Ufficiale UE, in vigore dal 25 maggio 2018. ↑
Gartner, Definition of Hyperautomation, IT Glossary, aggiornamento continuo. Definizione ufficiale: “approccio disciplinato orientato al business che le organizzazioni usano per identificare, valutare e automatizzare il maggior numero possibile di processi IT e aziendali, combinando tecnologie quali AI/ML, RPA, BPM, iPaaS, process mining e low-code development”. ↑
Gartner Press Release, aprile 2021: “Entro il 2024, le organizzazioni ridurranno i costi operativi del 30% combinando tecnologie di Hyperautomation con processi operativi ridisegnati” (Fabrizio Biscotti, VP Research Gartner). L’Hyperautomation è qualificata come “condizione di sopravvivenza” per le imprese. ↑
Gartner, Forecast Analysis: Hyperautomation Enabling Software, Worldwide, 2024. Previsione: il mercato software per l’Hyperautomation raggiungerà 1,07 trilioni USD entro il 2028, con CAGR del 13,9%. Driver principali: efficienza operativa, digital transformation e cambiamenti regolatori nel settore bancario. ↑
Gartner, Hype Cycle for I&O Automation 2024, settembre 2024. L’Hyperautomation è confermata disciplina fondamentale per il 90% delle grandi imprese; la previsione indica che il 30% delle enterprise automatizzerà più della metà delle attività di rete entro il 2026. ↑
Comitato Europeo per la Protezione dei Dati (EDPB), Guidelines, Recommendations and Best Practices, edpb.europa.eu, aggiornamento continuo. Le linee guida EDPB forniscono l’interpretazione autentica degli obblighi GDPR per i trattamenti automatizzati e le DPIA. ↑
EY (Ernst & Young), The European Union Artificial Intelligence Act – Overview e compliance guide, EY Global White Paper, luglio 2024. Le sanzioni previste dal Regolamento ammontano fino al 7% del fatturato globale annuo per le pratiche vietate e al 3% per la non conformità relativa ai sistemi ad alto rischio. ↑
Gartner, Definition of Hyperautomation, IT Glossary, aggiornamento continuo. Definizione ufficiale: “approccio disciplinato orientato al business che le organizzazioni usano per identificare, valutare e automatizzare il maggior numero possibile di processi IT e aziendali, combinando tecnologie quali AI/ML, RPA, BPM, iPaaS, process mining e low-code development”. ↑
Parlamento Europeo e Consiglio UE, Regolamento (UE) 2016/679 (GDPR), art. 5 (Principi applicabili al trattamento di dati personali), EUR-Lex, Gazzetta Ufficiale UE, in vigore dal 25 maggio 2018. ↑
