L’intelligenza artificiale entra nei processi aziendali con una velocità che le strutture di controllo non riescono a seguire. Le imprese adottano modelli generativi, sistemi di automazione e strumenti agentici in grado di eseguire compiti con margini di autonomia sempre più ampi. Il punto critico, però, non è più soltanto l’adozione. Oggi conta la capacità di dimostrare che questi sistemi operano in modo affidabile, che restano tracciabili nel tempo e che possono essere verificati quando producono decisioni, azioni o errori.
In questo quadro si colloca l’iniziativa annunciata da Codema, organizzazione internazionale attiva nello sviluppo di standard e rating in campo tecnologico e della sostenibilità. L’ente ha avviato due nuovi Technical Committee, TC23 e TC24, con l’obiettivo di costruire metodologie di assessment e audit fondate su matrici standardizzate e protocolli condivisi. Il traguardo dichiarato è ambizioso: rendere l’intelligenza artificiale misurabile, verificabile e governabile lungo l’intero ciclo di vita, non solo al momento del rilascio di un prodotto o della certificazione iniziale.

Andrea Sacchi, executive director di Codema, sintetizza così il senso dell’operazione: “L’intelligenza artificiale sta entrando nei processi decisionali di imprese e organizzazioni a una velocità senza precedenti, ma la capacità di governarla non sta crescendo con la stessa rapidità. Oggi il vero tema non è più la disponibilità della tecnologia, ma la possibilità di dimostrarne il funzionamento, la conformità e l’affidabilità”. Sacchi aggiunge: “Con TC23 e TC24 vogliamo costruire una metodologia condivisa che trasformi principi come trasparenza, gestione del rischio e supervisione umana in criteri di assessment concreti, misurabili e verificabili. Perché la fiducia nell’intelligenza artificiale non nasce dalle dichiarazioni, ma dalla capacità di dimostrare, con evidenze oggettive, come i sistemi vengono governati”.
Indice degli argomenti:
L’adozione corre più della governance
I numeri spiegano bene il problema. Secondo il report “The State of AI: Global Survey 2025” di McKinsey, pubblicato nel novembre 2025, l’88% delle organizzazioni dichiara di utilizzare l’AI in almeno una funzione aziendale. La stessa indagine rileva che l’uso di agenti AI è già in fase di sperimentazione o di scala in una quota significativa di imprese: il 23% riferisce di avere sistemi agentici già in espansione almeno in una funzione, mentre un ulteriore 39% sta sperimentando. Accanto a questa diffusione, però, la maturità dei controlli resta bassa.
Sempre McKinsey, nel report “State of AI trust in 2026: Shifting to the agentic era”, pubblicato il 25 marzo 2026, segnala che solo circa il 30% delle organizzazioni raggiunge un livello di maturità pari o superiore a tre nelle dimensioni di strategia, governance e controlli per l’AI agentica.
Deloitte, nel report “State of AI in the Enterprise 2026”, fotografa una dinamica simile: quasi tre aziende su quattro prevedono di introdurre agenti AI entro due anni, ma solo il 21% dichiara di avere un modello maturo di governance per gli agenti autonomi.
Il risultato è un divario sempre più netto. Da una parte ci sono sistemi che diventano più autonomi, più opachi e più radicati nelle attività operative. Dall’altra ci sono procedure di audit nate per tecnologie più statiche, meno adattive e più facili da ispezionare. In mezzo si apre uno spazio che oggi pesa su compliance, reputazione, responsabilità interna e fiducia del mercato.
Perché i controlli tradizionali non bastano più
La logica classica della certificazione si fonda su verifiche puntuali. Si controlla un sistema in una fase determinata, si accerta il rispetto di requisiti definiti e si produce una valutazione riferita a quel momento. Questo schema funziona quando l’oggetto da esaminare cambia poco nel tempo o quando le variazioni sono limitate e documentabili con facilità.
L’intelligenza artificiale, soprattutto nei modelli che apprendono, si aggiornano, interagiscono con altri sistemi o vengono integrati in catene decisionali distribuite, sfugge a questa impostazione. Un modello può mantenere invariata la sua architettura ma cambiare comportamento a seconda dei dati in ingresso, delle regole di orchestrazione, degli strumenti collegati, del ruolo attribuito agli operatori umani e delle soglie impostate per l’automazione. Valutare una sola fotografia del sistema rischia quindi di dire poco sulla sua condotta nel tempo.
Codema interviene proprio su questo punto. La proposta supera il controllo episodico e punta a un modello di assessment continuo, nel quale la raccolta delle evidenze avviene lungo tutto il ciclo di vita del sistema AI. Non si tratta soltanto di verificare la conformità formale a un insieme di principi, ma di costruire meccanismi che rendano osservabili performance, anomalie, decisioni, supervisione umana e gestione delle eccezioni. In altre parole, l’audit viene spostato più vicino al funzionamento reale della tecnologia.
L’idea di “audit as a layer”
Al centro del progetto c’è un approccio che Codema definisce “Audit as a Layer”. L’espressione indica un livello di controllo integrato direttamente nei sistemi e nei processi, capace di produrre in modo continuo dati, tracce ed evidenze verificabili. Non più soltanto controlli esterni e successivi, ma un’infrastruttura che accompagna l’operatività dell’AI e rende più solida la possibilità di ispezionarla.
Questo passaggio ha almeno tre implicazioni concrete. La prima riguarda la tracciabilità. Se un sistema prende decisioni o formula raccomandazioni rilevanti, serve poter ricostruire che cosa è accaduto, con quali input, con quali regole e con quali margini di intervento umano.
La seconda riguarda la gestione del rischio. I controlli continui consentono di individuare deviazioni, anomalie e segnali di malfunzionamento prima che producano effetti più ampi.
La terza riguarda la dimostrazione della conformità. In un mercato segnato da regole più stringenti e da richieste crescenti di accountability, le organizzazioni hanno bisogno di mostrare non soltanto di avere policy interne, ma di saperle applicare e documentare.
L’idea ha anche un rilievo operativo. Auditor, organismi di certificazione, imprese e stakeholder non lavorano più su una documentazione costruita ex post, ma su una base di evidenze raccolte con continuità. È qui che il progetto di Codema prova a trasformare nozioni spesso astratte, come trasparenza o supervisione umana, in criteri osservabili e quindi discutibili, migliorabili, certificabili.
Due comitati, due livelli di verifica
I due nuovi comitati tecnici sono stati disegnati per affrontare parti diverse dello stesso problema.
- TC23 lavora sulla dimensione tecnica dei sistemi AI. Il suo compito è sviluppare metodologie per valutare performance, affidabilità, monitoraggio delle anomalie e tracciabilità. In sostanza, si concentra sul comportamento del sistema: come risponde, quanto è stabile, come segnala errori, quali dati produce per rendere leggibili le sue decisioni.
- TC24 si occupa invece dell’integrazione dell’AI nei processi aziendali. Qui il fuoco si sposta dal modello al contesto d’uso. Entrano in gioco la supervisione umana, la gestione delle eccezioni, le evidenze richieste per dimostrare che i processi restano verificabili e che il ricorso all’automazione non cancella le responsabilità organizzative. È una distinzione importante, perché molti problemi di governance non nascono dal sistema AI in sé, ma dal modo in cui viene inserito in una catena di decisioni, autorizzazioni e controlli.
La separazione tra i due livelli risponde a un’esigenza concreta del mercato. Le imprese hanno bisogno di capire sia se il sistema funziona in modo affidabile, sia se il suo utilizzo dentro i processi rispetta soglie di controllo accettabili. Un modello tecnicamente accurato può generare rischi elevati se viene adottato senza supervisione, con ruoli poco chiari o senza procedure per fermarlo quando produce esiti anomali.
La “stakeholderization” come metodo
Codema lega il lavoro dei comitati a un ecosistema aperto di imprese, auditor, organismi di certificazione, esperti, università e comunità scientifica. L’organizzazione usa il termine “stakeholderization” per descrivere questo metodo. Il concetto, al di là dell’etichetta, punta a trasformare esigenze diverse in criteri condivisi di assessment, matrici di controllo e protocolli di audit.
Il passaggio non è secondario. La governance dell’intelligenza artificiale non può essere costruita da un solo attore. Le imprese conoscono i vincoli operativi, gli auditor hanno familiarità con le logiche di verifica, il mondo accademico offre basi metodologiche e la comunità scientifica può contribuire a definire soglie, indicatori e limiti tecnici. Senza una sintesi tra queste competenze, il rischio è produrre standard troppo astratti per essere applicati oppure troppo aderenti a singoli casi per diventare riferimento di mercato.
L’obiettivo di Codema è mettere a terra una lingua comune. Questo significa arrivare a criteri che non restino formulazioni di principio, ma entrino nella pratica di chi sviluppa, acquista, integra, controlla e certifica sistemi AI. La partita si gioca qui: nella possibilità di passare dai valori dichiarati ai requisiti verificabili.
La spinta delle regole e la domanda del mercato
La nascita dei due comitati arriva mentre imprese e istituzioni devono misurarsi con un quadro normativo e reputazionale più esigente. Chi adotta AI in processi sensibili, o in attività con impatti su clienti, lavoratori, cittadini e partner, deve già oggi affrontare richieste precise: documentare i flussi decisionali, chiarire il ruolo umano, raccogliere evidenze, garantire livelli minimi di affidabilità e rendere leggibile la gestione del rischio.
Per molte organizzazioni il problema non è la mancanza di principi generali. Trasparenza, accountability, human oversight e risk management sono formule ormai note. La difficoltà sta nel trasformarle in procedure, controlli e indicatori spendibili davanti a regulator, investitori, clienti e organismi di verifica. È su questo terreno che si misura il valore dell’iniziativa di Codema. Se TC23 e TC24 riusciranno a definire matrici condivise e protocolli applicabili, il mercato potrebbe disporre di uno strumento utile per colmare uno dei vuoti più evidenti della fase attuale.
Un test per il mercato dell’AI affidabile
Il lancio di TC23 e TC24 non chiude il problema della governance dell’intelligenza artificiale. Apre però una direzione precisa: spostare il dibattito dalla sola adozione alla dimostrazione del controllo. Per imprese, auditor e organismi di certificazione questo significa lavorare su standard che accompagnino sistemi dinamici e non soltanto prodotti finiti. Per il mercato, significa provare a costruire fiducia su basi verificabili.
Il nodo resta aperto e riguarda l’intero ecosistema dell’AI. Se l’innovazione continua a correre più della capacità di controllo, la diffusione dei sistemi intelligenti rischia di allargare l’area di incertezza invece di ridurla. Se invece maturano criteri condivisi di assessment continuo, l’AI può diventare più leggibile, più contestabile e più governabile. È su questo passaggio che si misurerà la credibilità della prossima fase.






Partecipa alla community