L’intelligenza artificiale entra nel TUF: la governance digitale diventa un obbligo strategico

Con il Decreto Legislativo 27 marzo 2026, n. 47, pubblicato nella Gazzetta Ufficiale del 14 aprile ed entrato in vigore il 29 aprile, l’intelligenza artificiale fa il suo ingresso formale nel Testo Unico della Finanza. Un passaggio che segna un’evoluzione significativa nel rapporto tra innovazione tecnologica, governance societaria e sistemi di controllo interno.

Il provvedimento introduce anzitutto due nuove definizioni destinate ad avere un impatto rilevante sul settore finanziario. La prima riguarda il “sistema di intelligenza artificiale”, richiamato secondo la definizione prevista dal regolamento europeo sull’IA. La seconda riguarda invece i “rischi informatici”, intesi come tutte quelle circostanze connesse all’utilizzo di sistemi e reti digitali che possano compromettere sicurezza, processi operativi o servizi, con effetti negativi tanto nell’ambiente digitale quanto in quello fisico.

Le modifiche più rilevanti intervengono sull’articolo 123-bis del TUF, relativo alla relazione sul governo societario e sugli assetti proprietari degli emittenti. Da ora, le società dovranno indicare — qualora adottate — le politiche relative all’utilizzo e al monitoraggio delle nuove tecnologie e, in particolare, dei sistemi di IA impiegati negli assetti amministrativi, organizzativi e contabili.

Accanto a questo obbligo, il decreto impone anche la descrizione delle politiche di gestione e controllo dei rischi informatici, inclusi quelli legati alla cybersicurezza e all’integrazione delle nuove tecnologie nei processi aziendali. Cambia inoltre il ruolo del revisore o della società di revisione, chiamati a verificare la presenza nella relazione societaria anche delle nuove informazioni richieste dalla normativa.

La riforma tocca poi il sistema dei controlli interni attraverso l’introduzione del nuovo articolo 149-ter del TUF. La disposizione stabilisce che, qualora vengano adottati strumenti di monitoraggio continuo o sistemi di controllo automatici e predittivi, questi dovranno essere adeguati e proporzionati alle dimensioni dell’impresa e ai rischi ai quali essa è esposta.

L’intelligenza artificiale viene quindi collocata in una doppia prospettiva: da un lato tecnologia da presidiare e regolamentare, dall’altro leva per rendere i controlli più continui, tempestivi ed efficienti.

Il nuovo quadro normativo arriva in un contesto in cui l’IA è già largamente presente nel settore finanziario, ma con livelli di governance ancora molto disomogenei. A evidenziarlo è il rapporto 2026 realizzato da OCSE e Banca d’Italia sull’adozione dell’intelligenza artificiale nei mercati finanziari italiani.

Secondo l’indagine, condotta nel secondo trimestre del 2025 su 450 operatori, il 39% degli intervistati utilizza già sistemi di IA nelle attività quotidiane, mentre tra gli operatori dei mercati finanziari il tasso di adozione si attesta al 31%. Le applicazioni più diffuse riguardano l’ottimizzazione dei processi interni, l’analisi dei dati, la produzione e sintesi di contenuti testuali, la prevenzione delle frodi, le attività antiriciclaggio e l’assistenza alla clientela.

Il dato più significativo, tuttavia, riguarda il divario tra innovazione tecnologica e maturità organizzativa. Solo il 16% degli operatori ha introdotto strutture specifiche di governance dedicate all’IA, mentre molti soggetti si limitano ad adattare sistemi di controllo già esistenti. Inoltre, quasi la metà degli intervistati non ha ancora adottato misure specifiche per contrastare le nuove minacce informatiche collegate all’utilizzo dell’intelligenza artificiale.

Il report richiama anche le criticità legate alla frammentazione normativa e alla complessità regolatoria. Tra i principali ostacoli vengono indicati i dubbi interpretativi sul coordinamento tra AI Act, disciplina DORA, protezione dei dati personali, proprietà intellettuale e normativa finanziaria, oltre alla carenza di competenze specialistiche, ai costi di implementazione e all’opacità dei modelli sviluppati da fornitori terzi.

In questo scenario, il cosiddetto “Digital Omnibus” europeo dovrebbe contribuire a una maggiore semplificazione del quadro digitale, riducendo sovrapposizioni normative e obblighi duplicati di reporting.

La modifica del TUF, dunque, non si limita ad aggiungere nuovi adempimenti formali. Il legislatore sembra piuttosto voler affermare un principio destinato a incidere profondamente sulla governance delle imprese: quando l’intelligenza artificiale entra nei processi organizzativi, nella gestione dei dati e nei sistemi di controllo, smette di essere soltanto una questione tecnologica e diventa un tema strategico di responsabilità aziendale.

---

LEGGI ANCHE