Nella narrativa consulenziale poco rassicurante della governance tecnologica, dove le aziende amano raccontarsi storie di controllo, audit e compliance, il recente lavoro del MIT introduce una crepa che non è semplicemente accademica ma strutturale, quasi esistenziale. Il punto non è che i modelli di governance dell’intelligenza artificiale siano incompleti; il punto è che molti di essi sono già morti prima ancora di essere implementati. Una morte silenziosa, burocratica, perfettamente documentata e quindi ancora più inquietante.
Il cuore di questa frattura emerge con chiarezza osservando il MIT AI Risk Navigator, uno strumento che, se preso sul serio, distrugge anni di narrativa aziendale sul “controllo responsabile” dell’AI. Non si tratta di un semplice framework, ma di una mappa viva che connette rischi, incidenti reali e modelli di governance in un’unica tassonomia. Una sorta di specchio impietoso. E come ogni specchio ben posizionato, rivela ciò che le organizzazioni preferirebbero non vedere.
La prima evidenza è brutale nella sua semplicità. I rischi dell’intelligenza artificiale non sono teorici, non sono futuristici, non sono confinati ai white paper. Sono già catalogati in un database che supera i 1700 casi, organizzati per causa, dominio e impatto (MIT AI Risk Repository). Questo significa che il problema non è la mancanza di conoscenza, ma la sua mancata integrazione nei sistemi decisionali. In altre parole, il rischio non è ignoto; è ignorato.
Il secondo elemento, ancora più corrosivo, riguarda la disconnessione sistemica tra governance e realtà operativa. Il MIT ha analizzato oltre 1000 documenti di governance dell’AI, evidenziando lacune evidenti nella copertura dei rischi reali, soprattutto quelli emergenti e socioeconomici (AI For Developing Countries Forum). Tradotto in termini manageriali: le aziende stanno costruendo sistemi di controllo basati su una rappresentazione incompleta del problema. È come progettare una diga ignorando metà del fiume.
Nel frattempo, il mondo reale si muove con una velocità che ricorda più i mercati finanziari ad alta frequenza che la regolamentazione pubblica. I dati più recenti mostrano che gli incidenti legati all’AI, in particolare quelli legati alla gestione dei dati e alla sicurezza, sono più che raddoppiati negli ultimi anni (IT Pro). Questo non è un dettaglio statistico. È un segnale strutturale. Ogni incidente non è solo un errore tecnico, ma una failure di governance.
Il problema, tuttavia, non è solo quantitativo. È qualitativo, e qui la questione diventa quasi filosofica. Una delle categorie più sottovalutate nel repository del MIT riguarda l’interazione uomo-macchina, un dominio che include rischi come la perdita di autonomia decisionale, la manipolazione cognitiva e la dipendenza sistemica (arXiv). In altre parole, il rischio non è solo ciò che l’AI fa, ma ciò che induce gli umani a smettere di fare.
Questa omissione è particolarmente interessante, quasi ironica. Le aziende investono milioni in modelli predittivi, ma ignorano sistematicamente l’impatto di questi modelli sul comportamento umano. È una forma sofisticata di miopia organizzativa. Si ottimizza il sistema e si degrada l’utente. Un paradosso perfetto per l’era dell’automazione.
La realtà è che la maggior parte delle organizzazioni continua a operare con framework statici, checklist rassicuranti e audit periodici che ricordano più la compliance finanziaria degli anni Novanta che un sistema adattivo. Questo approccio non è solo inefficiente; è pericoloso. La governance statica presuppone un mondo stabile. L’intelligenza artificiale, soprattutto quella agentica, vive invece in un ecosistema dinamico, non lineare, spesso imprevedibile.
Il MIT, implicitamente, suggerisce un cambio di paradigma. Non si tratta più di definire regole, ma di costruire sistemi di osservazione continua. Non si tratta di compliance, ma di feedback loop. Non si tratta di prevenire ogni rischio, ma di sviluppare la capacità di adattarsi rapidamente agli incidenti.
Questo shift ricorda, per chi ha memoria storica, la transizione dalla gestione tradizionale del rischio finanziario ai modelli di risk analytics post-2008. Prima della crisi, le banche credevano nei modelli. Dopo la crisi, hanno iniziato a temerli. L’AI governance oggi è esattamente in quella fase pre-crisi, ancora innamorata delle proprie astrazioni.
Il concetto di “framework isolati” è forse la critica più devastante. Le aziende adottano linee guida, standard, certificazioni, spesso senza alcuna connessione con dati empirici sugli incidenti. È governance senza realtà. Una simulazione di controllo. Una performance organizzativa che rassicura il board ma non protegge il sistema.
In questo contesto, l’idea di un sistema attivo di gestione del rischio, come suggerito da approcci emergenti tipo l’Agentic RAI Blueprint, non è una scelta strategica ma una necessità evolutiva. Un sistema attivo implica monitoraggio continuo, integrazione dei dati sugli incidenti, aggiornamento dinamico delle policy e, soprattutto, una visione sistemica del rischio.
La parola chiave è integrazione. Il MIT AI Risk Navigator esiste proprio per questo: collegare ciò che oggi è frammentato. Rischi, incidenti, governance. Tre dimensioni che le aziende trattano separatamente e che invece dovrebbero essere parte di un unico sistema decisionale.
A questo punto emerge una domanda che raramente viene posta nei board meeting, forse perché scomoda: come stiamo validando i nostri framework di rischio rispetto agli incidenti reali? Non rispetto agli standard, non rispetto alle best practice, ma rispetto a ciò che sta effettivamente accadendo nel mondo.
La risposta, nella maggior parte dei casi, è imbarazzante. Non lo stiamo facendo.
Questa lacuna non è solo tecnica, ma culturale. Le organizzazioni sono progettate per minimizzare l’incertezza, mentre l’AI la amplifica. La governance tradizionale è costruita per ambienti stabili, mentre l’AI opera in contesti emergenti. Il risultato è una dissonanza strutturale.
Un CEO con trent’anni di esperienza riconosce immediatamente questo schema. È lo stesso errore che si è visto nell’adozione di internet, nel cloud, nella cybersecurity. Ogni volta, le aziende hanno cercato di applicare modelli vecchi a problemi nuovi. Ogni volta, il sistema ha risposto con una crisi.
L’intelligenza artificiale non farà eccezione. Anzi, probabilmente accelererà il ciclo.
Una frase che dovrebbe essere incisa nelle sale riunioni è semplice: “Il rischio che non misuri è quello che ti distruggerà.” Nel contesto dell’AI, questa frase assume un significato ancora più radicale. Non basta misurare. Bisogna collegare, interpretare, adattare.
Il MIT, con il suo lavoro, non offre solo un database o un tool. Offre un cambio di prospettiva. Una sfida implicita alle organizzazioni che continuano a trattare la governance come un esercizio documentale.
Il vero problema non è l’AI. È l’illusione di controllo.
E come ogni illusione ben costruita, funziona perfettamente fino al momento in cui smette di funzionare. Poi, improvvisamente, diventa evidente. Troppo evidente.
A. Dina
