Il costo dell’AI “non governata” sta crescendo a una velocità che molte aziende non hanno ancora metabolizzato. Il problema, infatti, non è più soltanto tecnologico, né confinato alla cybersecurity o alla privacy, ma riguarda anche la compliance, una variabile che sta cambiando davvero il perimetro decisionale dei CIO. Gartner stima che entro il 2030 la regolamentazione sull’intelligenza artificiale diventerà quattro volte più frammentata rispetto a oggi e si estenderà fino a coprire il 75% delle economie mondiali, generando circa 1 miliardo di dollari di spesa complessiva per adeguamento.

Nell’infrastruttura aziendale, le piattaforme di AI governance stanno così passando da una componente opzionale a una critica, al pari di un SIEM o di un sistema di identity management. Non è un caso che la spesa in AI data governance venga stimata a 492 milioni di dollari nel 2026, con l’obiettivo di superare il miliardo entro il 2030. Un settore che cresce perché le aziende stanno iniziando a misurare, con numeri e incident report, quanto può costare un sistema AI lasciato senza controllo operativo.

Lauren Kornutick, Director Analyst di Gartner, sintetizza il tema con il fatto che i tradizionali strumenti GRC (Governance, Risk Management & Compliance) non sono progettati per gestire i rischi tipici dell’AI. I GRC classici sono infatti ottimi nel tracciare policy, audit, controlli documentali, processi di approvazione e catene di responsabilità, ma l’AI introduce variabili nuove come automazione decisionale in tempo reale, modelli che cambiano comportamento nel tempo, rischio di bias sistemico, possibilità di misuse interno o esterno e, soprattutto, agenti che interagiscono con dati sensibili e che possono prendere iniziative autonome.

La conseguenza è che, anche nelle aziende più strutturate, il GRC tradizionale finisce per coprire solo una parte del rischio, lasciando scoperta la dimensione runtime, cioè quella in cui il sistema AI opera davvero. Kornutick sottolinea che è proprio questo vuoto a generare una domanda crescente di piattaforme specializzate, capaci di centralizzare la supervisione e di offrire una compliance continua su tutti gli asset AI (modelli proprietari, sistemi embedded, soluzioni di terze parti, componenti integrate in prodotti commerciali).

AI governance

Crediti: Shutterstock

Il dato più interessante arriva da un recente sondaggio Gartner su 360 organizzazioni, secondo il quale le aziende che hanno adottato piattaforme di AI governance risultano 3,4 volte più propense a raggiungere un livello di governance AI considerato altamente efficace rispetto a chi non le utilizza. Un indicatore importante perché suggerisce che la differenza non è marginale ma rappresenta un vero salto di maturità.

Il motivo non è difficile da comprendere. Le normative che stanno emergendo richiedono infatti aggiornamenti continui e il concetto di audit periodico, che storicamente ha funzionato in molti ambiti regolatori, diventa insufficiente quando i sistemi AI vengono aggiornati, riaddestrati e riconfigurati, o quando vengono inseriti in pipeline più ampie con agenti e automazioni. In parallelo, la regolamentazione è destinata a cambiare per aree geografiche, settori e categorie di rischio, costringendo le aziende a dimostrare conformità in modo dinamico, non statico.

Ecco perché Gartner insiste su alcune capacità che diventano non negoziabili. La prima è un inventario centralizzato degli asset AI, perché senza una mappa aggiornata non esiste governance (non si può controllare ciò che non si sa di avere). La seconda è un motore di risk management e compliance capace di supportare framework come EU AI Act, NIST AI RMF e ISO 42001, con enforcement automatico delle policy a runtime.

C’è poi il tema dell’evidenza. Le aziende dovranno produrre documentazione audit-ready su uso dei dati, catene decisionali, controlli applicati e misure di mitigazione. A tal proposito, Gartner stima che tecnologie di governance efficaci potrebbero ridurre i costi regolatori del 20%, liberando risorse per innovazione e crescita e comprimendo il costo strutturale della compliance.

Infine, c’è un punto che torna sempre più spesso nei tavoli enterprise: la sovranità digitale. In uno scenario normativo imprevedibile e frammentato come quello attuale, costruire governance AI con attenzione a dove risiedono dati, modelli e controlli è un modo per ridurre esposizione regolatoria e aumentare libertà strategica. Un vantaggio competitivo che nel 2026 molte aziende stanno iniziando a capire e cercare.

(Immagine in apertura: Shutterstock)