Sentiamo spesso parlare di rischi legati ai dati, etica dei dati e sovranità dei dati. Ma è importante capire quanto tutto questo sarà determinante per il futuro delle imprese e delle nostre vite. Se le Nazioni Unite hanno ragione, l’IA diventerà un mercato globale da 4,8 trilioni di dollari entro il 2033. Una mole immensa di dati — e di rischi — da gestire. Le pressioni sulle aziende per gestire la qualità, la provenienza e la sicurezza dei dati stanno crescendo con la stessa rapidità dell’IA. Ma senza fiducia nei dati, nessuna strategia di IA può evolvere in modo responsabile. Senza governance, le aziende passeranno più tempo a correggere gli errori dell’IA che a creare valore. Forse un giorno, quella del ‘Retro Data Manager’ diventerà una professione del futuro. Ecco perché la regolamentazione si è dovuta adeguare rapidamente. L’AI Act dell’Unione Europea, ad esempio, rappresenta il primo tentativo al mondo di definire norme complete nell’ambito dell’intelligenza artificiale. Stabilisce requisiti rigorosi per i sistemi ad alto rischio, obblighi specifici per i modelli di uso generale e sanzioni per le aziende che non sono in grado di dimostrare controllo e trasparenza. Per le aziende europee e per chiunque commerci con loro, è fondamentale sapere dove risiedono i propri dati, come fluiscono e come si comportano i loro modelli. La governance perciò deve essere integrata nella piattaforma fin dall’inizio, seguendo i dati e i modelli attraverso cloud, edge e processi aziendali.
Per molte aziende, tutto ciò si traduce in una sfida. Vediamo tre aree di fallimento ricorrenti che minano la governance e la fiducia. La prima è legata alle lacune in materia di residenza e sovranità dei dati.
Molte piattaforme non riescono a stabilire dove risiedono o come si muovono i dati quando i carichi di lavoro si estendono tra SaaS, hyperscaler ed edge. La situazione sta diventando insostenibile. L’EU Data Act, in vigore da settembre 2025, pone l’accento su portabilità, accesso e verificabilità. Se a ciò si aggiungono le iniziative nazionali di ‘sovereign AI’ (da Bruxelles e Londra), diventa chiaro che le aziende hanno bisogno di controlli che non si limitino a conservare i dati in sicurezza bensì che dimostrino anche dove e come vengono elaborati.
La seconda area di criticità è l’implementazione frettolosa dei Large Language Model (LLM). Questi modelli vengono messi in produzione più velocemente di quanto ci voglia per essere validati. Senza una supervisione rigorosa, tendono ad “allucinare“, a deviare dalle intenzioni iniziali o a non allinearsi alle policy aziendali. Anche le autorità di regolamentazione hanno notato questo problema, come dimostra l’attenzione specifica dell’AI Act dell’UE sull’intelligenza artificiale di uso generale e la creazione del nuovo AI Safety Institute nel Regno Unito dedicato al testing dei modelli. Implementare modelli senza una governance adeguata è un rischio per la reputazione aziendale.
Il terzo problema è rappresentato dai punti ciechi nel ciclo di vita dei dati. Ciò accade quando la mancanza di strumenti integrati per applicare le policy – dall’ingestione all’addestramento, al deployment fino all’inferenza – compromette la supervisione e la verificabilità. Di conseguenza, le aziende non possono dimostrare la conformità end-to-end. E quando si verifica un problema, come una violazione dei dati, segnalazione di bias o un’ispezione normativa, queste aziende si ritrovano a gestire registri frammentati e dati incompleti.
Qual è l’approccio vincente?
Se le lacune nella governance generano rischi, un approccio vincente prevede che la sovranità, la validazione e la gestione del rischio siano integrate nella piattaforma di IA fin dalla sua progettazione e non semplicemente aggiunte in un secondo momento. Non è più sufficiente affermare che i dati sono “conservati in modo sicuro”. Le aziende devono dimostrare dove si trovano, come si muovono e chi li gestisce, in tutti gli ambienti multicloud ed edge. Ciò si traduce nella necessità di una tracciabilità verificabile, uno storage e una gestione geolocalizzati nonché controlli che seguano i dati ovunque si spostino.
Un approccio vincente richiede anche una validazione continua per gli LLM. L’accuratezza è solo un punto di partenza, non un traguardo finale. Gli LLM devono essere monitorati costantemente per identificare problemi come la deviazione dalle intenzioni originali, bias e allucinazioni con la tecnica di Retrieval-Augmented Generation (RAG) e l’audit trail, che rafforzano la fiducia nei risultati. Le autorità di regolamentazione hanno già chiarito che la presenza di pipeline dedicate alla trasparenza e alla valutazione saranno requisiti obbligatori.
Il terzo elemento di un approccio vincente è una governance integrata in ogni livello dell’infrastruttura. La gestione del rischio deve pervadere l’intero stack tecnologico. Ciò si traduce nella necessità di avere metadati attivi per tracciare la provenienza dei dati, controlli di accesso per dati e modelli, monitoraggio dell’utilizzo per intercettare comportamenti non autorizzati e policy-as-code per garantire la coerenza degli ambienti. Con nuovi schemi di certificazione come l’EU Cloud Services Scheme (EUCS) e l’inasprimento delle aspettative delle autorità di controllo di settore, le aziende che integrano una governance sin da subito si troveranno in una posizione di vantaggio.
La sfida per i responsabili aziendali risiede nel tradurre i principi di governance in pratiche operative quotidiane. Alcune priorità emergono chiaramente:
- Adottare un framework riconosciuto. Standard come ISO/IEC 42001 (il primo sistema di gestione per l’IA al mondo) e il NIST AI Risk Management Framework offrono a consigli di amministrazione, revisori e autorità di controllo un linguaggio comune per la gestione dei rischi legati all’IA. Il loro utilizzo dimostra un impegno concreto e crea una struttura chiara per la supervisione.
- Rendere portabili le policy. Le policy devono essere tradotte in codice e applicate automaticamente durante ogni fase del processo – ingestione, addestramento, deployment e inferenza – e in ogni ambiente cloud ed edge.
- Investire nella valutazione e nell’osservabilità. Creare pipeline dedicate per tracciare le deviazioni dei modelli, i bias e le allucinazioni, e basare i loro output sui dati aziendali con l’uso del RAG (Retrieval-Augmented Generation). Abbinare a ciò audit trail end-to-end, in modo da poter dimostrare la conformità e non solo dichiararla.
- Pianificare la sovranità. Eseguire simulazioni “what if..”. Cosa accade se le leggi sulla localizzazione dei dati cambiano? Se gli schemi di certificazione come l’EUCS diventano più severi? Se i fornitori modificano i termini e le condizioni? Disporre di piani di uscita e controlli di sovranità verificabili riduce l’esposizione al rischio e rafforza la resilienza aziendale.
La governance non rallenta l’IA. Se implementata correttamente, rende l’innovazione sostenibile e affidabile. Considerando il previsto boom dei sistemi agentici, preparare i dati e adottare i framework adeguati fin da subito permetterà di risparmiare tempo e difficoltà in futuro, consentendo alle imprese di sfruttare appieno le opportunità che verranno.
A cura di Sammy Zoghlami, Senior Vice President di Nutanix
