Se l’AI sbaglia, potreste evidenziare la vostra oversight?
In sintesi
Il punto non è più solo se lo strumento abbia commesso un errore.
Il punto è se l’institution può evidenziare oversight, ownership e human review.
Board AskConfirm whether the institution can evidence oversight for material AI use cases.
Situazione
Assume the following situation.
Uno strumento supportato da AI assiste un processo regolamentato. Riassume informazioni cliente, prepara una risk view, supporta una control assessment o redige una decision rationale. Alcune settimane dopo, l’output viene challenged da un cliente, auditor o supervisor.
Il punto non è più solo se lo strumento abbia commesso un errore.
Il punto è se l’institution può evidenziare oversight, ownership e human review.
Management summary
L’utilizzo dell’AI nel banking europeo non è più marginale: la BCE ha dichiarato nel febbraio 2026 che più dell’85% delle grandi banche sotto supervisione europea utilizza già AI in qualche forma.
Il board non deve conoscere ogni parametro del modello, ma ha bisogno di evidence che i material AI use cases siano owned, reviewed e controlled.
Una strong answer è specifica, current ed evidenced; una weak answer resta ancorata a policy, project status o vendor responsibility.
Management report panel
Answer quality calibration
The RAG status calibrates the quality of the answer. It does not judge the institution.
Chi deve rispondere
Accountability note:
Technology may own the platform. The business owns the decision impact. Control functions must be able to challenge the answer. Internal Audit must be able to review the evidence.
Evidenze che il board dovrebbe richiedere
- 01AI use-case inventory
- 02Risk classification by use case
- 03Ownership map
- 04Data classification and permitted-use view
- 05Human oversight design
- 06AI literacy evidence by role
- 07Exception, override and incident log
- 08Third-party dependency map
- 09Board reporting dashboard
- 10Decision log for scale, restrict, retrain or retire
Segnali di allarme
Le seguenti risposte possono sembrare rassicuranti, ma non sono ancora decision-grade:
- “We have an AI policy.”
- “This is managed by IT.”
- “The provider is responsible.”
- “The tool is only used internally.”
- “No incident has happened so far.”
- “We have no high-risk AI use cases.”
- “Training has been completed.”
- “This will be clarified during implementation.”
Nessuna di queste affermazioni è necessariamente sbagliata.
Semplicemente, non costituiscono evidence sufficiente per board-level reliance.
Percorso verso green
La risposta diventa GREEN solo quando il board può vedere:
- dove AI è utilizzata e quali use cases sono material;
- chi owns ogni use case e ogni decision impact;
- quale human review è richiesta ed evidenced;
- quali data, model e provider dependencies esistono;
- quali exceptions, overrides e incidents sono monitored;
- chi può decidere di scale, restrict, retrain o retire il use case.
GREEN is not a policy status.
GREEN is an evidence status.
Prossima domanda suggerita
Which AI use case would create the greatest accountability issue if a client, auditor or supervisor asked us to explain it tomorrow?
Selected Source Base
- ECB Banking Supervision, “Technology is neutral, governance is not: AI adoption in the banking sector”, February 2026.
- ECB Banking Supervision, Supervisory priorities 2026–28.
- ECB Banking Supervision, “ECB streamlines supervisory guidance to improve clarity and transparency”, June 2026.
- European Commission, AI Literacy Questions & Answers.
- ESMA, Public Statement on AI and investment services, May 2024.
Expert commentary — 4 min di lettura
L’AI oversight viene spesso discussa come se la domanda centrale fosse se un’institution abbia una AI policy, un AI committee o un AI inventory.
Questi elementi contano. Ma non sono il punto finale.
Per un management board, la domanda rilevante è se l’oversight possa essere evidenced in practice. Questo è coerente con l’attuale direzione supervisory della BCE sull’AI. Le supervisory priorities 2026–28 della BCE affermano che le banche che usano nuove tecnologie, in particolare AI, dovrebbero avere strategie che riflettano sia opportunities sia risks e dovrebbero stabilire robust governance e risk controls.
Il draft guide 2024 della BCE su governance and risk culture utilizzava anche una struttura di good practices e red flags per la governance assessment. Nel giugno 2026, la BCE ha annunciato che questo draft guide sarà sostituito da un good-practices report previsto per il primo trimestre 2027. Il punto utile per questo briefing non è quindi il legal status del draft guide, ma la management logic: la governance deve essere visible in practice, non solo descritta in policy.
Questo conta perché l’AI cambia l’evidence standard.
In un processo tecnologico convenzionale, un board può chiedere se un sistema è approvato, se esistono controls e se la function rilevante owns il processo. In un processo AI-supported, le stesse domande non bastano più. Il board deve anche capire cosa fa l’AI system, quale decision o workflow supporta, dove resta richiesto human judgement, chi è competente per review l’output e se le exceptions sono visibili.
Per questo “this sits with IT” non è una board-grade answer.
Technology può gestire la platform. Ma il decision impact si trova dove il use case modifica work, judgement, communication, control o client interaction. Se un AI tool supporta un credit process, fraud process, investment-service process, control review, legal assessment o customer communication, ownership non può essere ridotta a system administration.
ESMA ha posto lo stesso punto per investment services. Nel suo public statement su AI e investment services, ESMA afferma che le firms che usano AI nella prestazione di investment services devono continuare a rispettare gli obblighi MiFID II relativi a organisational requirements, conduct e best interest del cliente.
Questa è la logica pratica dietro il RAG panel.
Una risposta GREEN non è forte perché utilizza un linguaggio sofisticato. È forte perché è concreta.
Una risposta AMBER può essere corretta nella direzione, ma non ancora affidabile per board reliance. L’institution può avere un inventory, ma potrebbe non includere embedded AI nei third-party tools. Può avere training, ma non by role. Può avere una policy, ma nessun exception log. Può avere use-case approval, ma nessuna chiara decision rule per scaling o stopping.
Una risposta RED è diversa. Non è necessariamente falsa. Semplicemente non basta.
Questa distinzione è particolarmente importante sotto l’EU AI Act. La Commissione europea spiega che l’Article 4 è entrato in applicazione il 2 febbraio 2025 e che le supervision and enforcement rules si applicano dal 3 agosto 2026.
La governance conclusion è diretta. AI oversight non è un documento.
È una accountability chain.
Questa chain inizia con inventory e classification. Continua con ownership, data governance, human review, literacy, monitoring, exceptions e decision rights. Termina con board-level evidence che l’institution può spiegare come AI viene usata e come resta controlled.
La board question corretta quindi non è se AI venga usata. È se il board possa fare affidamento sulla risposta che riceve. E reliance richiede evidence.