Con il D.Lgs. 27 marzo 2026, n. 47, pubblicato nella Gazzetta Ufficiale n. 86 del 14 aprile 2026 ed entrato in vigore il 29 aprile 2026, l’intelligenza artificiale entra formalmente nel Testo Unico della Finanza.

Tra le modifiche apportate, il decreto introduce anzitutto due nuove definizioni: quella di “sistema di intelligenza artificiale”, mediante rinvio all’art. 3, punto 1), del Reg. (UE) 2024/1689, e quella di “rischi informatici”, intesi come qualunque circostanza ragionevolmente identificabile, connessa all’uso di sistemi informatici e di rete, che possa comprometterne la sicurezza o incidere su strumenti, processi, operazioni o servizi, con effetti avversi nell’ambiente digitale o fisico.

Su queste definizioni si innesta la modifica dell’art. 123-bis TUF, dedicato alla relazione sul governo societario e gli assetti proprietari degli emittenti. In particolare, al comma 2 sono introdotte le nuove lettere d-ter) e d-quater).

  • La prima richiede di includere nella relazione, ove adottate, una descrizione delle politiche della società in materia di utilizzo e monitoraggio delle nuove tecnologie e, in particolare, dei sistemi di intelligenza artificiale negli assetti amministrativi, organizzativi e contabili.
  • La seconda richiede di descrivere, sempre ove adottate, le politiche di gestione e monitoraggio dei rischi informatici, inclusi i rischi di sicurezza cibernetica e quelli derivanti dall’integrazione di nuove tecnologie nei medesimi assetti.

Il legislatore ha poi esteso il perimetro della verifica del revisore o della società di revisione: il controllo riguarda la presenza, nella relazione, anche delle informazioni richieste dalle nuove lettere d-ter) e d-quater).

Il decreto interviene poi sul sistema dei controlli interni con il nuovo art. 149-ter TUF. La disposizione stabilisce che, qualora ai fini del controllo interno siano adottati sistemi di monitoraggio continuo e strumenti di controllo automatici e predittivi, essi devono essere adeguati e proporzionati alla natura e alle dimensioni dell’impresa e ai rischi ai quali essa è esposta.

L’IA viene così inquadrata in una duplice prospettiva: come tecnologia da presidiare e come possibile leva per rendere i controlli più continui, tempestivi e proporzionati.

La riforma si innesta su un mercato in cui l’IA è già operativa, ma la governance resta disomogenea, come emerge dal rapporto OCSE/Banca d’Italia 2026, che fotografa l’adozione dell’IA nel settore finanziario italiano e nei mercati finanziari. Secondo l’indagine, condotta nel secondo trimestre del 2025 su 450 risposte, il 39% degli intervistati utilizza l’IA nell’operatività quotidiana; tra gli operatori dei mercati finanziari il tasso di adozione è pari al 31%. I casi d’uso più frequenti riguardano l’ottimizzazione dei processi interni, l’analisi dei dati, la generazione e sintesi di contenuti testuali, l’AML/CFT, la prevenzione delle frodi e l’assistenza alla clientela.

Il dato più rilevante riguarda però la distanza tra adozione tecnologica e maturità organizzativa: solo il 16% degli intervistati ha introdotto assetti specifici di governance dell’IA, mentre altri hanno adattato presidi già esistenti. Il rapporto rileva inoltre che quasi metà degli operatori non ha ancora adottato misure specifiche contro le minacce informatiche emergenti legate all’IA.

Il report segnala, infine, ostacoli regolamentari e organizzativi: incertezza sul rapporto tra AI Act, DORA, protezione dei dati, proprietà intellettuale e disciplina finanziaria, ma anche carenza di competenze, costi, qualità dei dati e opacità dei modelli di terzi. Su questo punto, il Digital Omnibus dovrebbe contribuire a una maggiore chiarezza, mirando a semplificare il quadro digitale in materia di dati, cybersicurezza e IA, anche attraverso un punto unico di ingresso per le segnalazioni, al fine di ridurre sovrapposizioni tra diversi obblighi di reporting.

In definitiva, la modifica del TUF non introduce semplicemente nuovi obblighi informativi, ma segnala un cambio di prospettiva: quando l’IA entra negli assetti organizzativi, nei processi di controllo e nella gestione dei dati, diventa un tema di governance. È una lettura coerente con quanto emerge dal rapporto OCSE/Banca d’Italia, che evidenzia un’adozione già diffusa dell’IA a fronte di assetti di governance ancora disomogenei.

_______

*Rebecca Pupella, POLLICINO & PARTNERS AIDVISORY

Riproduzione riservata Ⓒ