[Intelligenza artificiale e governance societaria nel nuovo TUF: il D.Lgs. 27 marzo 2026, n. 47 tra AI Act, cybersicurezza e controlli interni]

L’ingresso dell’intelligenza artificiale nel Testo Unico della Finanza

Con l’entrata in vigore del D.Lgs. 27 marzo 2026, n. 47, pubblicato nella Gazzetta Ufficiale n. 86 del 14 aprile 2026, il legislatore italiano compie un passaggio destinato ad incidere profondamente sulla disciplina della corporate governance e dei sistemi di controllo interno delle società quotate: l’intelligenza artificiale entra formalmente nel Testo Unico della Finanza (TUF).

L’intervento normativo assume una rilevanza sistematica particolarmente significativa, poiché colloca l’IA non soltanto nell’ambito dell’innovazione tecnologica, ma all’interno delle strutture organizzative, amministrative e di compliance degli emittenti. La riforma, infatti, supera una concezione meramente tecnica dell’intelligenza artificiale, riconoscendone l’impatto diretto sugli assetti societari, sulla gestione dei rischi e sulle responsabilità degli organi di amministrazione e controllo.

Dal punto di vista giuridico, il decreto si pone in linea di continuità con il quadro europeo delineato dal Regolamento (UE) 2024/1689 (AI Act), dal Regolamento DORA in materia di resilienza operativa digitale e dalla crescente centralità attribuita alla cybersecurity quale componente essenziale della stabilità dei mercati finanziari.

Le nuove definizioni introdotte dal D.Lgs. n. 47/2026

Il decreto legislativo introduce anzitutto nel TUF due definizioni fondamentali.

La prima riguarda il “sistema di intelligenza artificiale”, definito mediante rinvio all’art. 3, punto 1), del Regolamento (UE) 2024/1689. Il richiamo alla disciplina europea consente di uniformare il lessico normativo nazionale alla nuova architettura regolatoria dell’Unione, evitando fenomeni di frammentazione interpretativa.

La seconda concerne i “rischi informatici”, individuati come qualsiasi circostanza ragionevolmente identificabile connessa all’uso di sistemi informatici e di rete, suscettibile di compromettere la sicurezza o incidere negativamente su strumenti, processi, operazioni o servizi, sia nell’ambiente digitale sia in quello fisico.

Tale definizione assume una portata particolarmente ampia e riflette la progressiva estensione della nozione di rischio aziendale verso dimensioni cyber, algoritmiche e tecnologiche. Non si tratta più soltanto di protezione dei dati o sicurezza delle infrastrutture IT, ma di presidio dell’intera filiera decisionale automatizzata.

La modifica dell’art. 123-bis TUF e la relazione sul governo societario

Uno degli aspetti più innovativi della riforma riguarda la modifica dell’art. 123-bis TUF, relativo alla relazione sul governo societario e sugli assetti proprietari.

Il legislatore introduce infatti le nuove lettere d-ter) e d-quater) al comma 2, imponendo agli emittenti specifici obblighi informativi concernenti:

• le politiche di utilizzo e monitoraggio delle nuove tecnologie e dei sistemi di intelligenza artificiale negli assetti amministrativi, organizzativi e contabili;
• le politiche di gestione e monitoraggio dei rischi informatici, compresi i rischi di cybersicurezza e quelli derivanti dall’integrazione delle nuove tecnologie.

La previsione normativa appare particolarmente rilevante sotto il profilo della trasparenza societaria. L’adozione di sistemi di IA non viene più considerata una scelta organizzativa neutra, bensì un elemento idoneo ad incidere sull’assetto di governance dell’impresa e, conseguentemente, sulle informazioni dovute al mercato e agli investitori.

In tale prospettiva, la relazione sul governo societario diventa uno strumento di disclosure tecnologica, funzionale a rendere conoscibili le modalità con cui la società governa algoritmi, automazione decisionale e rischi digitali.

Il ruolo del revisore e l’estensione dei controlli

La riforma amplia altresì il perimetro delle verifiche demandate al revisore legale o alla società di revisione.

Il controllo dovrà infatti riguardare anche la presenza, nella relazione sul governo societario, delle informazioni previste dalle nuove lettere d-ter) e d-quater).

L’estensione delle verifiche introduce un ulteriore livello di responsabilizzazione degli organi di controllo e rafforza il principio secondo cui la governance dell’intelligenza artificiale costituisce parte integrante della compliance societaria.

Si apre, pertanto, una nuova stagione per la revisione legale, nella quale competenze giuridiche, tecnologiche e organizzative tendono progressivamente ad integrarsi. Il revisore sarà chiamato non solo a verificare l’esistenza formale delle informazioni richieste, ma anche a confrontarsi con processi automatizzati, sistemi predittivi e strumenti di controllo algoritmico.

Il nuovo art. 149-ter TUF e i controlli automatici e predittivi

Il D.Lgs. n. 47/2026 introduce inoltre il nuovo art. 149-ter TUF, dedicato ai sistemi di controllo interno basati su monitoraggio continuo e strumenti automatici e predittivi.

La norma stabilisce che tali sistemi debbano essere “adeguati e proporzionati” rispetto:

• alla natura dell’impresa;
• alle dimensioni aziendali;
• ai rischi ai quali la società è esposta.

Il riferimento alla proporzionalità richiama direttamente i principi cardine dell’AI Act europeo e del diritto della compliance bancaria e finanziaria.

L’intelligenza artificiale viene così considerata in una duplice prospettiva:

1. come fattore di rischio da presidiare;
2. come strumento idoneo a rafforzare l’efficienza dei controlli interni.

L’IA può infatti consentire attività di monitoraggio continuo, analisi predittive, rilevazione automatica di anomalie, prevenzione delle frodi e gestione avanzata dei rischi operativi. Tuttavia, proprio l’affidamento crescente su sistemi automatizzati impone nuove forme di accountability, supervisione umana e governance algoritmica.

IA, mercati finanziari e governance: il rapporto OCSE/Banca d’Italia 2026

La riforma del TUF si inserisce in un contesto economico nel quale l’intelligenza artificiale risulta già ampiamente utilizzata dagli operatori finanziari.

Secondo il rapporto OCSE/Banca d’Italia 2026 sull’adozione dell’IA nel settore finanziario italiano, basato su un’indagine svolta nel secondo trimestre del 2025 su 450 risposte:

• il 39% degli intervistati utilizza sistemi di IA nell’operatività quotidiana;
• tra gli operatori dei mercati finanziari il tasso di adozione raggiunge il 31%.

I principali ambiti applicativi riguardano:

• ottimizzazione dei processi interni;
• analisi avanzata dei dati;
• generazione e sintesi di contenuti testuali;
• sistemi AML/CFT;
• prevenzione delle frodi;
• assistenza alla clientela.

Il dato più significativo riguarda tuttavia la distanza tra diffusione tecnologica e maturità organizzativa.

Solo il 16% degli operatori ha infatti introdotto specifici assetti di governance dell’IA, mentre molti soggetti si limitano ad adattare sistemi di controllo già esistenti. Ancora più rilevante appare il dato secondo cui quasi la metà degli operatori non ha adottato misure specifiche contro le nuove minacce informatiche connesse all’utilizzo dell’intelligenza artificiale.

Emergono dunque criticità non solo tecnologiche, ma soprattutto organizzative e regolamentari.

AI Act, DORA e Digital Omnibus: il problema del coordinamento normativo

Il rapporto OCSE/Banca d’Italia evidenzia inoltre le persistenti incertezze interpretative derivanti dall’interazione tra:

• AI Act;
• Regolamento DORA;
• normativa privacy;
• disciplina della proprietà intellettuale;
• regolazione finanziaria.

Tale frammentazione normativa rappresenta oggi uno dei principali ostacoli all’adozione di sistemi di IA pienamente compliant.

In questo scenario assume rilievo il progetto di Digital Omnibus europeo, volto a semplificare il quadro normativo digitale attraverso una maggiore integrazione tra obblighi di reporting, cybersicurezza, gestione dei dati e regolazione dell’intelligenza artificiale.

L’obiettivo perseguito dal legislatore europeo appare chiaro: evitare sovrapposizioni regolatorie e favorire un modello unitario di governance digitale delle imprese.

La governance dell’intelligenza artificiale come nuovo paradigma della compliance societaria

La modifica del TUF segna un passaggio culturale prima ancora che normativo.

Quando l’intelligenza artificiale entra negli assetti organizzativi, nei processi decisionali e nei sistemi di controllo, essa cessa di essere una mera tecnologia di supporto e diventa un tema di governance societaria.

Ne deriva una progressiva trasformazione delle responsabilità degli amministratori, dei sindaci, dei revisori e delle funzioni di compliance. Le imprese saranno sempre più chiamate a dimostrare:

• tracciabilità delle decisioni automatizzate;
• supervisione umana sui sistemi algoritmici;
• gestione dei rischi cyber;
• adeguatezza dei controlli interni;
• conformità ai principi europei di trasparenza, accountability e sicurezza.

L’intelligenza artificiale assume così la natura di fattore strutturale della corporate governance contemporanea.

Le competenze dello Studio Legale Bonanni Saraceno in materia di IA, governance e compliance finanziaria

Lo Studio Legale Bonanni Saraceno presta assistenza altamente qualificata in materia di diritto delle nuove tecnologie, compliance regolatoria, governance societaria e responsabilità derivanti dall’utilizzo di sistemi di intelligenza artificiale.

L’attività professionale dello Studio si concentra, in particolare, su:

• adeguamento degli assetti organizzativi alle nuove disposizioni del TUF;
• implementazione di modelli di AI governance;
• gestione dei rischi informatici e cyber risk assessment;
• compliance con AI Act, DORA e normativa privacy;
• responsabilità degli organi societari per utilizzo di sistemi automatizzati;
• predisposizione di procedure interne e policy aziendali sull’uso dell’IA;
• assistenza nei controlli interni e nella revisione dei sistemi di monitoraggio automatizzato;
• contenzioso in materia di responsabilità tecnologica e danni da sistemi algoritmici.

Grazie ad un approccio interdisciplinare che integra competenze giuridiche, regolatorie e tecnologiche, lo Studio Legale Bonanni Saraceno supporta imprese, intermediari finanziari e società quotate nell’adeguamento ai nuovi obblighi normativi derivanti dalla trasformazione digitale e dall’introduzione dell’intelligenza artificiale nei processi societari e finanziari.