BOARD BRIEFING REPORTEuropean Banking & Financial MarketsDomanda al consiglio di amministrazione · Per discussione

Se l’AI sbaglia, potreste evidenziare la vostra oversight?

TopicAI Oversight
AudienceManagement Board · Supervisory Board · Executive Committee
Read Time6 minutes
Target StatusGREEN — once oversight is owned, evidenced and reviewable

In sintesi

Il punto non è più solo se lo strumento abbia commesso un errore.

Il punto è se l’institution può evidenziare oversight, ownership e human review.

Board AskConfirm whether the institution can evidence oversight for material AI use cases.

Situazione

Assume the following situation.

Uno strumento supportato da AI assiste un processo regolamentato. Riassume informazioni cliente, prepara una risk view, supporta una control assessment o redige una decision rationale. Alcune settimane dopo, l’output viene challenged da un cliente, auditor o supervisor.

Il punto non è più solo se lo strumento abbia commesso un errore.

Il punto è se l’institution può evidenziare oversight, ownership e human review.

Management summary

L’utilizzo dell’AI nel banking europeo non è più marginale: la BCE ha dichiarato nel febbraio 2026 che più dell’85% delle grandi banche sotto supervisione europea utilizza già AI in qualche forma.

Il board non deve conoscere ogni parametro del modello, ma ha bisogno di evidence che i material AI use cases siano owned, reviewed e controlled.

Una strong answer è specifica, current ed evidenced; una weak answer resta ancorata a policy, project status o vendor responsibility.

Management report panel

Situation in One Sentence
AI is moving from experimentation into regulated workflows; oversight must now be evidenced in practice.
Key Issue
Board reliance is not supported by policy alone. It requires ownership, human oversight, literacy, monitoring and evidence.
Primary Risk
AI output influences a process, communication or decision, but accountability and review evidence remain unclear.
Board Ask
Confirm whether the institution can evidence oversight for material AI use cases.
Target RAG
GREEN when the answer is owned, documented, tested and reviewable.

Answer quality calibration

GREEN Decision-Grade Answer
AMBER Partially Evidenced
RED Not Decision-Grade
InventoryCurrent AI use-case inventory exists.
InventoryInventory exists but is incomplete.
Inventory“We have an AI policy.”
OwnershipClear owner assigned per use case.
OwnershipOwnership exists at project level, not operating-model level.
Ownership“This sits with IT.”
Human OversightHuman oversight is defined and evidenced.
Human OversightOversight is described, but evidence is not retained consistently.
Human Oversight“The provider is responsible.”
LiteracyAI literacy is role-based and documented.
LiteracyTraining exists, but not by role, risk or use case.
Literacy“Training has been completed.”
MonitoringExceptions, overrides and incidents are monitored.
MonitoringMonitoring exists, but reporting is fragmented.
Monitoring“No incident has happened so far.”
Board ReportingBoard reporting shows risk, value and control evidence.
Board ReportingBoard receives status updates, but not decision-grade evidence.
Board Reporting“It is only a copilot.”

The RAG status calibrates the quality of the answer. It does not judge the institution.

Chi deve rispondere

CIOCTOCROCOOCISOComplianceLegalData ProtectionChief Data OfficerBusiness OwnerModel Risk / ValidationInternal Audit

Accountability note:
Technology may own the platform. The business owns the decision impact. Control functions must be able to challenge the answer. Internal Audit must be able to review the evidence.

Evidenze che il board dovrebbe richiedere

  1. 01AI use-case inventory
  2. 02Risk classification by use case
  3. 03Ownership map
  4. 04Data classification and permitted-use view
  5. 05Human oversight design
  6. 06AI literacy evidence by role
  7. 07Exception, override and incident log
  8. 08Third-party dependency map
  9. 09Board reporting dashboard
  10. 10Decision log for scale, restrict, retrain or retire

Segnali di allarme

Le seguenti risposte possono sembrare rassicuranti, ma non sono ancora decision-grade:

  • “We have an AI policy.”
  • “This is managed by IT.”
  • “The provider is responsible.”
  • “The tool is only used internally.”
  • “No incident has happened so far.”
  • “We have no high-risk AI use cases.”
  • “Training has been completed.”
  • “This will be clarified during implementation.”

Nessuna di queste affermazioni è necessariamente sbagliata.

Semplicemente, non costituiscono evidence sufficiente per board-level reliance.

Percorso verso green

La risposta diventa GREEN solo quando il board può vedere:

  • dove AI è utilizzata e quali use cases sono material;
  • chi owns ogni use case e ogni decision impact;
  • quale human review è richiesta ed evidenced;
  • quali data, model e provider dependencies esistono;
  • quali exceptions, overrides e incidents sono monitored;
  • chi può decidere di scale, restrict, retrain o retire il use case.

GREEN is not a policy status.
GREEN is an evidence status.

Prossima domanda suggerita

Which AI use case would create the greatest accountability issue if a client, auditor or supervisor asked us to explain it tomorrow?

Expert commentary — 4 min di lettura

L’AI oversight viene spesso discussa come se la domanda centrale fosse se un’institution abbia una AI policy, un AI committee o un AI inventory.

Questi elementi contano. Ma non sono il punto finale.

Per un management board, la domanda rilevante è se l’oversight possa essere evidenced in practice. Questo è coerente con l’attuale direzione supervisory della BCE sull’AI. Le supervisory priorities 2026–28 della BCE affermano che le banche che usano nuove tecnologie, in particolare AI, dovrebbero avere strategie che riflettano sia opportunities sia risks e dovrebbero stabilire robust governance e risk controls.

Il draft guide 2024 della BCE su governance and risk culture utilizzava anche una struttura di good practices e red flags per la governance assessment. Nel giugno 2026, la BCE ha annunciato che questo draft guide sarà sostituito da un good-practices report previsto per il primo trimestre 2027. Il punto utile per questo briefing non è quindi il legal status del draft guide, ma la management logic: la governance deve essere visible in practice, non solo descritta in policy.

Questo conta perché l’AI cambia l’evidence standard.

In un processo tecnologico convenzionale, un board può chiedere se un sistema è approvato, se esistono controls e se la function rilevante owns il processo. In un processo AI-supported, le stesse domande non bastano più. Il board deve anche capire cosa fa l’AI system, quale decision o workflow supporta, dove resta richiesto human judgement, chi è competente per review l’output e se le exceptions sono visibili.

Per questo “this sits with IT” non è una board-grade answer.

Technology può gestire la platform. Ma il decision impact si trova dove il use case modifica work, judgement, communication, control o client interaction. Se un AI tool supporta un credit process, fraud process, investment-service process, control review, legal assessment o customer communication, ownership non può essere ridotta a system administration.

ESMA ha posto lo stesso punto per investment services. Nel suo public statement su AI e investment services, ESMA afferma che le firms che usano AI nella prestazione di investment services devono continuare a rispettare gli obblighi MiFID II relativi a organisational requirements, conduct e best interest del cliente.

Questa è la logica pratica dietro il RAG panel.

Una risposta GREEN non è forte perché utilizza un linguaggio sofisticato. È forte perché è concreta.

  • Può mostrare gli use cases.
  • Può nominare gli owners.
  • Può spiegare il decision impact.
  • Può evidenziare human oversight.
  • Può mostrare role-based AI literacy.
  • Può dimostrare monitoring.
  • Può produrre logs, dashboards e decision records.

Una risposta AMBER può essere corretta nella direzione, ma non ancora affidabile per board reliance. L’institution può avere un inventory, ma potrebbe non includere embedded AI nei third-party tools. Può avere training, ma non by role. Può avere una policy, ma nessun exception log. Può avere use-case approval, ma nessuna chiara decision rule per scaling o stopping.

Una risposta RED è diversa. Non è necessariamente falsa. Semplicemente non basta.

  • “We have a policy” non evidenzia oversight.
  • “The provider is responsible” non evidenzia internal accountability.
  • “It is only a copilot” non spiega data exposure, decision impact o human reliance.
  • “Training has been completed” non mostra se le persone giuste hanno la competenza giusta per il use case giusto.

Questa distinzione è particolarmente importante sotto l’EU AI Act. La Commissione europea spiega che l’Article 4 è entrato in applicazione il 2 febbraio 2025 e che le supervision and enforcement rules si applicano dal 3 agosto 2026.

La governance conclusion è diretta. AI oversight non è un documento.
È una accountability chain.

Questa chain inizia con inventory e classification. Continua con ownership, data governance, human review, literacy, monitoring, exceptions e decision rights. Termina con board-level evidence che l’institution può spiegare come AI viene usata e come resta controlled.

La board question corretta quindi non è se AI venga usata. È se il board possa fare affidamento sulla risposta che riceve. E reliance richiede evidence.

Selected Source Base

← Tutti i briefing