L’intelligenza artificiale è ormai entrata nei processi aziendali con una velocità che, fino a pochi anni fa, sarebbe stata difficile da immaginare. In molte imprese non si parla più soltanto di sperimentazione, ma di strumenti già integrati nella gestione quotidiana: piattaforme per analizzare documenti, software predittivi, sistemi di automazione, chatbot, applicazioni per la selezione del personale, strumenti per classificare pratiche, valutare dati, generare report o supportare decisioni commerciali e operative.
Il punto critico è che spesso questi strumenti non entrano in azienda attraverso un unico percorso controllato. In alcuni casi vengono scelti dal management, con un progetto definito e un budget dedicato. In altri casi, invece, vengono adottati in modo frammentato dai singoli reparti: marketing, risorse umane, vendite, customer care, amministrazione, procurement, compliance, sicurezza informatica. Il risultato è una mappa difficile da ricostruire, fatta di più fornitori, più piattaforme, più dati trattati e più output generati da sistemi che non sempre sono stati valutati con la necessaria attenzione.
Questa situazione apre un tema centrale per le imprese: non basta chiedersi se uno strumento AI sia utile, performante o conveniente. Occorre capire se sia governabile. Significa sapere quali dati utilizza, dove vengono conservati, chi può accedervi, come vengono prodotti gli output, quali decisioni possono essere influenzate, quali controlli umani sono previsti e quale responsabilità resta in capo all’azienda che decide di adottarlo.
In questo scenario, la due diligence tecnologica sui fornitori AI diventa un passaggio essenziale. Non è un adempimento formale, ma uno strumento di protezione aziendale. Serve a evitare che l’impresa diventi dipendente da soluzioni opache, difficili da verificare o non adeguatamente documentate.
L’intelligenza artificiale non è un software come gli altri
Per anni l’acquisto di tecnologie aziendali è stato valutato soprattutto su alcuni criteri classici: funzionalità, costo, integrazione con i sistemi esistenti, sicurezza informatica, assistenza, continuità del servizio e facilità d’uso. Con l’intelligenza artificiale questa valutazione non è più sufficiente.
Un software tradizionale, in genere, consente di archiviare dati, automatizzare procedure o gestire operazioni. Un sistema AI può fare qualcosa di più delicato: può interpretare informazioni, classificare contenuti, generare testi, assegnare punteggi, suggerire priorità, individuare anomalie, prevedere comportamenti, proporre decisioni o influenzare il modo in cui un operatore umano legge una determinata situazione.
La differenza è sostanziale. Quando un sistema AI entra in un processo aziendale, non si limita sempre a eseguire un comando. In molti casi contribuisce a orientare una scelta. Può suggerire quale candidato approfondire, quale cliente considerare più rischioso, quale pratica trattare con urgenza, quale segnalazione archiviare, quale documento considerare rilevante, quale risposta fornire a un utente.
Proprio per questo, il procurement tecnologico deve diventare anche un presidio di governance. Acquistare una soluzione AI significa valutare non solo la qualità tecnica dello strumento, ma anche la sua trasparenza, la tracciabilità delle operazioni, la documentazione disponibile, le garanzie contrattuali e la possibilità di ricostruire le decisioni influenzate dal sistema.
La domanda da porre a ogni fornitore è semplice, ma decisiva: questo strumento permette all’azienda di spiegare come è stato generato un risultato?
Se la risposta è vaga, il rischio aumenta. Una piattaforma può funzionare bene in fase dimostrativa, apparire innovativa e promettere risparmi di tempo significativi. Ma la sua reale affidabilità emerge solo quando vengono analizzati documentazione, log, gestione dei dati, controlli, aggiornamenti, limiti dichiarati e responsabilità del provider.
AI Act e imprese: perché il 2026 è una soglia da non sottovalutare
Il quadro normativo europeo sull’intelligenza artificiale rende questo tema ancora più rilevante. L’AI Act introduce un sistema di regole basato sul rischio e prevede obblighi diversi a seconda del ruolo dell’operatore e dell’utilizzo concreto dello strumento.
Molte aziende non saranno produttrici di sistemi AI, ma utilizzatrici di soluzioni messe a disposizione da fornitori terzi. Questo ruolo, però, non le esonera da responsabilità. Quando un’impresa integra uno strumento AI nei propri processi, soprattutto se lo utilizza in ambiti sensibili, deve essere in grado di dimostrare di averlo adottato e gestito in modo corretto.
La data del 2 agosto 2026 rappresenta una soglia importante perché segna l’applicazione di una parte significativa delle regole previste dal Regolamento europeo, incluse quelle relative a diversi sistemi ad alto rischio, agli obblighi di trasparenza e ai meccanismi di controllo da parte delle autorità competenti.
Per le imprese, attendere l’ultimo momento sarebbe un errore. La compliance AI non si costruisce in poche settimane. Richiede una mappatura degli strumenti già utilizzati, una classificazione dei rischi, una revisione dei fornitori, un controllo dei contratti e una definizione chiara dei ruoli interni.
Il tema non riguarda soltanto le grandi multinazionali. Anche una PMI può utilizzare strumenti AI integrati in software gestionali, piattaforme HR, sistemi CRM, tool di marketing automation, servizi cloud, chatbot o applicazioni per l’analisi documentale. In molti casi l’intelligenza artificiale è già presente nei processi, anche se l’azienda non l’ha ancora censita formalmente.
Dove l’AI può generare i rischi maggiori
Non tutti gli utilizzi dell’intelligenza artificiale hanno lo stesso livello di rischio. Uno strumento usato per riassumere testi interni ha un impatto diverso da un sistema che valuta candidati, clienti, lavoratori, debitori o controparti commerciali.
Le aree più delicate sono quelle in cui l’AI incide su persone fisiche, diritti, accesso a servizi, credito, lavoro, sicurezza, reputazione o decisioni ad alto impatto.
Una prima area sensibile riguarda le risorse umane. I sistemi utilizzati per selezionare candidati, filtrare curriculum, valutare performance, assegnare mansioni o supportare decisioni su promozioni e cessazioni del rapporto di lavoro devono essere analizzati con particolare attenzione. Il rischio non è soltanto tecnico, ma anche organizzativo e reputazionale. Un algoritmo può amplificare bias, interpretare male dati incompleti o produrre valutazioni difficili da contestare se non esiste una tracciabilità adeguata.
Una seconda area riguarda credito, solvibilità e valutazione economica. Strumenti che supportano attività di scoring, analisi del rischio, valutazione dell’affidabilità o gestione delle posizioni debitorie possono incidere in modo significativo su decisioni commerciali e patrimoniali. In questi casi è fondamentale sapere quali dati sono stati utilizzati, quale peso hanno avuto nell’elaborazione e quale controllo umano è intervenuto prima della decisione finale.
Una terza area riguarda customer care e interazione con il pubblico. Chatbot, assistenti virtuali e sistemi generativi possono migliorare la velocità di risposta, ma devono essere gestiti con trasparenza. L’utente deve poter comprendere quando interagisce con un sistema automatizzato e l’azienda deve mantenere il controllo sui contenuti prodotti, sulle informazioni fornite e sugli eventuali errori.
Una quarta area riguarda sicurezza, compliance e investigazioni interne. L’AI può essere molto utile nell’analisi di anomalie, flussi documentali, segnalazioni, comportamenti digitali o rischi aziendali. Tuttavia, proprio in questi ambiti, è indispensabile definire finalità, limiti, accessi autorizzati, conservazione dei dati, controllo umano e coordinamento con privacy, diritto del lavoro e sicurezza informatica.
Due diligence tecnologica: le domande da fare prima di scegliere un fornitore
Una due diligence efficace parte dalla classificazione dell’utilizzo previsto. Prima ancora di valutare il prezzo o le funzionalità, l’impresa dovrebbe chiedersi a cosa servirà concretamente lo strumento AI, quali reparti lo useranno e quali dati verranno trattati.
Il fornitore deve essere in grado di spiegare la finalità del sistema, il ruolo che ricopre nella catena del valore, le categorie di dati coinvolte, i soggetti interessati, le integrazioni con altri strumenti e l’eventuale classificazione del sistema in base al livello di rischio.
Il secondo aspetto riguarda la documentazione. Un provider affidabile dovrebbe fornire istruzioni d’uso chiare, descrizione del funzionamento, limiti noti, misure di sicurezza, livelli di accuratezza dichiarati, modalità di monitoraggio, gestione degli aggiornamenti, policy sui dati e procedure in caso di incidenti.
Il terzo punto riguarda la gestione dei dati. L’azienda deve sapere dove vengono conservati, se vengono trasferiti a terzi, quali subfornitori intervengono, se possono essere utilizzati per addestrare modelli, come vengono protetti, per quanto tempo vengono conservati e in che modo possono essere cancellati o esportati.
Il quarto punto riguarda la tracciabilità. Se un sistema AI genera output che influenzano decisioni aziendali, devono restare disponibili elementi utili a ricostruire il processo: input rilevanti, output prodotti, versione del sistema, timestamp, utenti coinvolti, interventi umani, modifiche, escalation e incidenti.
Il quinto punto riguarda la supervisione umana. Non basta prevedere che una persona “controlli” il risultato. Occorre che quella persona abbia competenza, autorità e informazioni sufficienti per intervenire davvero. Un controllo umano puramente formale non riduce il rischio: lo sposta soltanto su un operatore che potrebbe non avere gli strumenti per valutare correttamente l’output generato dal sistema.
Il contratto con il fornitore AI deve diventare più preciso
La due diligence non deve restare confinata alla fase preliminare. Deve tradursi nel contratto.
Le clausole ordinarie su prezzo, durata, assistenza, livelli di servizio, recesso e responsabilità non bastano più. Nel caso dei fornitori AI servono previsioni specifiche su documentazione, audit, log, dati, subfornitori, aggiornamenti del modello, sicurezza, incidenti, cancellazione delle informazioni, supporto regolatorio, gestione delle modifiche e continuità operativa.
Un tema particolarmente delicato riguarda gli aggiornamenti. I sistemi AI cambiano nel tempo. Possono essere introdotte nuove funzionalità, nuovi modelli, nuove fonti, nuovi criteri di ranking, nuove integrazioni o nuovi subprocessor. Ogni modifica può incidere sul livello di rischio dello strumento. Per questo il contratto dovrebbe prevedere obblighi di comunicazione, possibilità di test, documentazione delle versioni e facoltà per l’azienda di sospendere o rivalutare l’utilizzo in caso di cambiamenti rilevanti.
Anche l’uscita dal rapporto contrattuale deve essere regolata con attenzione. L’impresa deve poter cambiare fornitore senza perdere dati, log, documenti, evidenze e continuità operativa. La portabilità delle informazioni, i tempi di cancellazione, la conservazione delle prove e il supporto in caso di contestazioni sono elementi che devono essere considerati prima dell’acquisto, non quando il rapporto è già compromesso.
Una clausola generica sull’obbligo di rispettare la normativa applicabile ha scarso valore operativo. Serve una disciplina concreta: chi fa cosa, con quali dati, con quali controlli, con quali tempi, con quali evidenze e con quali responsabilità.
Tracciabilità: il vero presidio contro decisioni opache
L’intelligenza artificiale viene spesso adottata per accelerare processi. Ma la velocità può diventare un problema quando supera la capacità dell’azienda di spiegare cosa è accaduto.
Un report generato automaticamente, una classificazione, un punteggio, una sintesi o una raccomandazione sono utili solo se possono essere collegati a una fonte, a un contesto, a un modello, a una versione, a una finalità e a un controllo umano.
La tracciabilità consente di ricostruire il percorso decisionale. In ambito creditizio, permette di capire perché una controparte è stata considerata più rischiosa. In ambito HR, consente di verificare quale ruolo abbia avuto il sistema nella valutazione di un candidato o di un dipendente. In ambito compliance, permette di distinguere tra segnale automatico, verifica umana e decisione finale. Nel customer care, aiuta a comprendere quando una risposta automatizzata ha prodotto un effetto concreto sull’utente.
Senza log e senza documentazione, la decisione perde memoria. E quando una decisione perde memoria, diventa difficile difenderla, correggerla o dimostrare che sia stata presa in modo corretto.
Per questo la qualità di un sistema AI non si misura soltanto dalla sua capacità di produrre output rapidi. Si misura anche dalla possibilità di controllare, verificare e ricostruire quegli output.
AI e sicurezza economica dell’impresa
L’adozione dell’intelligenza artificiale apre anche un tema di sicurezza economica. I dati aziendali non sono semplici informazioni operative: rappresentano un patrimonio.
Clienti, fornitori, contratti, dossier, posizioni creditorie, segnalazioni interne, pratiche legali, strategie commerciali, documenti riservati e informazioni reputazionali sono asset che devono essere protetti. Quando entrano in un sistema AI, l’impresa deve chiedersi quale valore sta trasferendo al fornitore e quale controllo mantiene su quel patrimonio informativo.
Le catene tecniche dei provider possono essere complesse. Dietro una piattaforma apparentemente semplice possono esserci infrastrutture cloud, API, modelli di terze parti, subfornitori, sistemi di elaborazione esterni e aggiornamenti continui. Senza una due diligence adeguata, l’azienda rischia di non sapere dove finiscono i propri dati, chi li tratta e per quali finalità.
Questo non significa rinunciare all’AI. Significa usarla con metodo. L’intelligenza artificiale può migliorare l’analisi documentale, la gestione delle pratiche, l’individuazione di anomalie, la lettura di grandi quantità di dati e il supporto alle decisioni. Ma il valore resta solido solo se l’impresa conserva il governo della catena informativa.
La mappa interna degli strumenti AI già utilizzati
Prima di valutare nuovi fornitori, molte aziende dovrebbero fare un passo preliminare: censire gli strumenti AI già presenti.
Spesso l’intelligenza artificiale è stata attivata senza un progetto centrale. Può essere integrata in software già in uso, acquistata da singoli reparti, utilizzata tramite account personali o sperimentata su dati aziendali senza una procedura formalizzata.
La mappa interna dovrebbe indicare quali strumenti vengono utilizzati, da quale funzione aziendale, per quali finalità, con quali dati, quali output producono, quali persone coinvolgono, quali decisioni possono influenzare, se esistono log, se è previsto un controllo umano e se vengono trattate informazioni relative a lavoratori, clienti o altri soggetti.
Questa attività non è solo amministrativa. È una forma di intelligence interna. Permette al management di capire dove l’informazione entra, dove viene trasformata, dove produce effetti e dove resta traccia.
Una volta costruita la mappa, gli utilizzi devono essere classificati per livello di rischio. Alcuni strumenti avranno impatto minimo. Altri richiederanno obblighi di trasparenza. Altri ancora potranno rientrare in aree più sensibili o potenzialmente ad alto rischio. La classificazione consente di stabilire priorità e di concentrare le verifiche dove il rischio è maggiore.
Perché agire prima della scadenza normativa
La soglia del 2026 dovrebbe essere vista come un’occasione per mettere ordine. Le imprese dovrebbero arrivarci con un inventario degli usi AI, una lista dei fornitori, una classificazione dei rischi, contratti aggiornati, log disponibili, ruoli di supervisione definiti e processi di escalation chiari.
La governance dell’AI non riguarda soltanto legal, compliance o IT. Coinvolge procurement, direzione aziendale, risorse umane, commerciale, sicurezza, privacy e tutte le funzioni operative che utilizzano strumenti basati su intelligenza artificiale.
Il punto decisivo è la responsabilità. L’AI può suggerire, classificare, generare e velocizzare. Ma l’organizzazione che la utilizza resta responsabile delle decisioni che prende, dei dati che conferisce, dei fornitori che sceglie e degli effetti che produce.
La due diligence tecnologica sui fornitori AI serve proprio a trasformare questa responsabilità in metodo. Evita che l’acquisto resti confinato alla demo commerciale e porta la valutazione sul terreno più importante: affidabilità, tracciabilità, sicurezza, controllo, documentazione e sostenibilità dell’uso.
In materia di intelligenza artificiale, la maturità di un’impresa si vede dalla qualità delle domande che pone prima di adottare una tecnologia. Chiedere come funziona un sistema, quali dati usa, quali limiti ha, quali prove conserva e quali responsabilità assume il fornitore non è prudenza eccessiva. È governo del rischio.
L’AI può accelerare molti processi aziendali. Ma senza controllo, può accelerare anche errori, dipendenze operative, opacità decisionali e vulnerabilità informative. Per questo la due diligence sui fornitori non è più un’attività accessoria: è una condizione essenziale per usare l’intelligenza artificiale in modo realmente utile, sicuro e sostenibile.
