Dove l'AI è autorizzata ad agire senza approvazione umana?
In sintesi
Il punto non è più solo l'output del modello.
Il punto è il confine d'azione.
Board AskDove l'AI è autorizzata ad agire?
Situation
L'AI passa dalla raccomandazione all'azione.
Il punto non è più solo l'output del modello.
Il punto è il confine d'azione.
Un workflow supportato dall'AI non produce più soltanto testi, sintesi o raccomandazioni. Può attivare uno step di workflow, aggiornare un record, escalare un alert, redigere una comunicazione al cliente, prioritizzare un caso, raccomandare una risposta di controllo o preparare un'azione per l'esecuzione.
Management Summary
L'agentic AI cambia la domanda di governance. La governance AI tradizionale chiede se un modello sia accurato, spiegabile, monitorato e controllato. L'agentic AI aggiunge un'altra domanda: cosa è autorizzata a fare l'AI?
La capacità non è permesso. Un modello può essere tecnicamente capace di agire autonomamente. Questo non decide dove è autorizzato ad agire. Il permesso deve essere determinato da materialità, reversibilità, impatto cliente, effetto legale e risk appetite.
La Human Oversight deve essere progettata. Una risposta forte non è "there is a human in the loop". Una risposta forte mostra dove l'AI propone, dove esegue solo dopo approvazione, dove è permessa autonomia bounded e dove l'azione autonoma non è consentita.
Management Report Panel
Calibrazione della qualità della risposta
GREEN is not a human-in-the-loop label. GREEN is an evidenced control boundary.
La scala di autonomia
L'autonomia AI non è un interruttore binario. Deve essere calibrata secondo materialità e reversibilità.
Il livello di autonomia segue la materialità e la reversibilità dell'azione. Non segue la capacità del modello.
Chi dovrebbe rispondere
Nota di responsabilità:
Technology può abilitare autonomia.
Il Business possiede l'impatto dell'azione.
Il Board deve vedere il confine.
Prove che il consiglio dovrebbe richiedere
- 01AI Action Inventory
- 02Autonomy Level Classification
- 03Action Boundary Map
- 04Human Approval Matrix
- 05Tool / API Permission Register
- 06Decision Rights Map
- 07Exception and Override Log
- 08Client / Conduct Impact View
- 09Testing and Simulation Evidence
- 10Stop / Rollback Protocol
Segnali di allarme
- “It only recommends.”
- “A human is in the loop.”
- “The workflow is internal.”
- “The user can override it.”
- “The model has no final decision right.”
- “The vendor controls the permissions.”
- “We will define human approval during rollout.”
- “This is only a productivity tool.”
Nessuna di queste affermazioni è necessariamente falsa. Semplicemente, non costituiscono evidence sufficiente per board-level reliance.
Percorso verso il verde
- Diritti d'azione visibili
- Autonomia classificata
- Approvazione umana meaningful
- Permissions controllate
- Azioni ricostruibili
- Stop mechanism testato
GREEN is not a human-in-the-loop label.
GREEN is an evidenced control boundary.
Prossima domanda suggerita
Quale workflow supportato dall'AI creerebbe domani il maggiore problema di accountability se agisse senza approvazione umana esplicita — e possiamo dimostrare il confine che lo impedisce?
Base di fonti selezionata
- EU AI Act, in particolare Articles 12, 14, 15, 19, 26 e Annex III.
- GDPR, in particolare Article 22 sulle decisioni automatizzate.
- DORA, in particolare requisiti di ICT governance, logging, detection e continuity.
- ESMA, Public Statement on AI and Investment Services, maggio 2024.
- IOSCO, Supervisory Toolkit for AI Use in Capital Markets, 2026.
- NIST AI Risk Management Framework and Generative AI Profile.