GUARDA QUIhttps://accademiaitalianaprivacy.it/areaprivata/foto/3376/01.jpg
giovedì 16 luglio 2026
di Avv. Gianni Dell'Aiuto

Carneade. Chi era costui? Ve lo ricordate il Manzoni?
Don Abbondio si arrovella su quel nome letto per caso, senza riuscire a collocarlo. È uno dei momenti più citati dei Promessi Sposi, e forse il più utile per capire cosa sta succedendo oggi nelle sale riunioni di mezza Italia.
Perché se in un consiglio di amministrazione, oggi, si pronuncia "articolo 2086", la reazione è proprio quella di Don Abbondio. Un nome che suona vagamente familiare, e nessuno che sappia davvero collocarlo. Eppure, tutti stanno discutendo di AI Act, GDPR, NIS2, Data Act, Data Governance Act, cybersecurity, intelligenza artificiale.
Fermi tutti. Prima ancora di tutto questo, dal 16 marzo 2019 esiste una norma che impone agli amministratori, che spesso coincidono con la proprietà, di dotare l'impresa di un assetto organizzativo adeguato. Quella norma è l'articolo 2086, secondo comma, del Codice civile. E quasi tutti continuano a ragionare come se non esistesse.
Sono pronto a scommettere che anche qualche commercialista avrebbe difficoltà a ricordarlo. L'intelligenza artificiale ha prodotto un curioso effetto collaterale. Più aumenta il numero delle norme dedicate alla tecnologia, più dimentichiamo quella che dovrebbe guidarle tutte.
Stiamo discutendo di prompt, di modelli linguistici, di AI Act, di chatbot, di agenti intelligenti. Ma quasi nessuno si pone una domanda molto più semplice: l'azienda che sta introducendo tutto questo possiede davvero un assetto organizzativo adeguato?
Perché l'articolo 2086 non chiede una policy, una DPIA, un registro dei trattamenti. Chiede qualcosa di infinitamente più difficile: governare.
Il testo è chiaro, e vale la pena rileggerlo per intero, perché nella sua sobrietà dice più di molte pagine di linee guida: l'imprenditore che operi in forma societaria o collettiva ha il dovere di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell'impresa, anche in funzione della rilevazione tempestiva della crisi dell'impresa e della perdita della continuità aziendale, nonché di attivarsi senza indugio per l'adozione e l'attuazione degli strumenti previsti dall'ordinamento per il superamento della crisi.
La stessa logica è ribadita, per l'imprenditore collettivo, dall'articolo 3 del Codice della crisi d'impresa e dell'insolvenza. Non un archivio. Un'organizzazione capace di accorgersi in tempo che qualcosa sta andando storto.
E qui arrivo a una tesi che, a mio avviso, oggi quasi nessuno espone in questi termini: l'AI Act non ha cambiato il modo di amministrare un'impresa. Ha semplicemente reso evidente che molti amministratori non hanno mai preso sul serio l'articolo 2086.
Perché se un'organizzazione non era già in grado, nel 2019, di rilevare tempestivamente i segnali di una crisi economico-finanziaria, come potrà oggi accorgersi che un sistema di intelligenza artificiale sta prendendo decisioni distorte, sta esponendo l'azienda a un rischio reputazionale, o sta silenziosamente violando un diritto di terzi? La domanda non è nuova. È la stessa di sei anni fa, applicata a un rischio diverso. E non sempre nuovo.
Negli ultimi anni abbiamo trasformato la compliance in una collezione di documenti. Ma il legislatore, con l'articolo 2086, già chiedeva un'altra cosa: non l'archivio, ma il sistema che quell'archivio dovrebbe servire. Forse abbiamo passato cinque anni a costruire documenti, quando il Codice civile ci chiedeva di costruire organizzazioni capaci di prevedere.
È qui che GDPR, NIS2 e AI Act smettono di sembrare tre discipline distinte e diventano tre declinazioni della stessa idea. L'accountability del GDPR non chiede all'impresa di produrre un registro dei trattamenti fine a sé stesso, ma di dimostrare di aver costruito un sistema capace di gestire il rischio sui dati. La NIS2 non chiede un piano di sicurezza da archiviare, ma un'organizzazione in grado di rilevare un incidente prima che diventi una crisi. L'AI Act non chiede una valutazione d'impatto da fare una volta e dimenticare, ma un monitoraggio continuo di sistemi che cambiano nel tempo.
Tre norme diverse, un'unica architettura concettuale: quella che l'articolo 2086 aveva già disegnato, per la crisi d'impresa, sei anni prima che arrivasse ChatGPT.
Forse abbiamo letto tutte le norme nuove e dimenticato quella fondamentale. Non è una provocazione gratuita. È una tesi giuridica, prima ancora che manageriale: l'amministratore deve costruire un'organizzazione capace di prevedere, intercettare e governare il rischio. E non limitarsi a reagire quando il danno si è già verificato.
Questo, credo, è il punto che nessuno sta dicendo ad alta voce: non abbiamo bisogno di un'ennesima policy sull'intelligenza artificiale. Abbiamo bisogno di amministratori che, per la prima volta dal 2019, prendano sul serio l'articolo 2086.
Perché Carneade, alla fine, non era uno sconosciuto. Era solo un nome che nessuno aveva mai avuto motivo di ricordare. Finché qualcuno non lo ha letto per caso, e ha scoperto che era sempre stato lì.
mercoledì 15 luglio 2026
Leggi tutto...
CONDIVIDI QUESTA PAGINA!