Con il D.Lgs. 27 marzo 2026, n. 47, pubblicato nella Gazzetta Ufficiale n. 86 del 14 aprile 2026 ed entrato in vigore il 29 aprile 2026, il legislatore ha collocato espressamente l’intelligenza artificiale nel perimetro del Testo Unico della Finanza. L’intervento non ha un valore meramente ricognitivo: ridefinisce il modo in cui l’innovazione tecnologica incide sugli assetti societari, sui controlli interni e sulla tutela dell’integrità informativa degli emittenti.
La scelta normativa mostra una precisa impostazione di sistema. L’IA non è trattata come strumento accessorio, ma come componente che può incidere sull’organizzazione dell’impresa, sulla qualità delle decisioni e sulla gestione dei rischi connessi all’operatività digitale e fisica.
Le nuove nozioni introdotte nel TUF
Il decreto interviene anzitutto sul piano definitorio, inserendo nel TUF due concetti destinati a orientare l’interpretazione delle ulteriori previsioni.
Il sistema di intelligenza artificiale
La prima definizione riguarda il “sistema di intelligenza artificiale”, costruita mediante rinvio all’art. 3, punto 1), del Regolamento (UE) 2024/1689, noto come AI Act. Il rinvio consente di coordinare la disciplina finanziaria con il quadro europeo di settore, evitando sovrapposizioni e assicurando uniformità applicativa.
I rischi informatici
La seconda nozione è quella di “rischi informatici”, identificati in qualsiasi circostanza ragionevolmente identificabile, collegata all’utilizzo di sistemi informatici e di rete, idonea a compromettere la sicurezza oppure a incidere negativamente su strumenti, processi, operazioni o servizi, sia nel dominio digitale sia in quello fisico. Il riferimento è ampio e volutamente operativo, così da intercettare anche le criticità generate dall’interazione tra automazione, dati e infrastrutture tecnologiche.
La relazione sul governo societario diventa anche documento di trasparenza tecnologica
Il cuore dell’intervento si coglie nella modifica dell’art. 123-bis TUF, dedicato alla relazione sul governo societario e sugli assetti proprietari. Il comma 2 viene integrato con le lettere d-ter) e d-quater), che ampliano il contenuto informativo dovuto al mercato.
Le politiche sull’uso delle nuove tecnologie
La nuova lettera d-ter) richiede di indicare, ove adottate, le politiche relative all’utilizzo e al monitoraggio delle nuove tecnologie e, in particolare, dei sistemi di intelligenza artificiale impiegati negli assetti amministrativi, organizzativi e contabili della società. Ne deriva un obbligo che non si esaurisce nella mera presenza di strumenti digitali, ma impone di rendere comprensibile il relativo presidio interno.
La gestione dei rischi informatici
La lettera d-quater) introduce invece l’obbligo di descrivere le politiche di gestione e monitoraggio dei rischi informatici, includendo tanto i profili di sicurezza cibernetica quanto quelli derivanti dall’integrazione di nuove tecnologie nei processi aziendali. La prospettiva è quella di una trasparenza sostanziale, capace di offrire al mercato elementi utili per valutare la solidità del modello organizzativo.
In parallelo, la riforma estende il perimetro delle verifiche affidate al revisore legale o alla società di revisione, chiamati a controllare anche la presenza, nella relazione sul governo societario, delle informazioni richieste dalle nuove disposizioni.
Il nuovo art. 149-ter TUF e la funzione dei controlli automatizzati
Un ulteriore tassello è rappresentato dall’introduzione del nuovo art. 149-ter TUF, che incide direttamente sul sistema dei controlli interni. La disposizione stabilisce che, in caso di adozione di sistemi di monitoraggio continuo oppure di strumenti di controllo automatici e predittivi, tali soluzioni debbano risultare adeguate e proporzionate rispetto alla natura dell’impresa, alle sue dimensioni e ai rischi a cui essa è esposta.
La norma riconosce così una duplice valenza dell’intelligenza artificiale. Da un lato, essa costituisce un fattore di rischio che richiede specifici presidi organizzativi; dall’altro, può rafforzare la capacità dell’impresa di intercettare tempestivamente anomalie, criticità operative e segnali di allerta. La tecnologia entra quindi nella sfera dei controlli non come elemento neutro, ma come variabile che incide sull’effettività del sistema di governance.
Il contesto applicativo: le evidenze del rapporto OCSE/Banca d’Italia 2026
La scelta del legislatore si inserisce in uno scenario in cui l’impiego dell’IA nel settore finanziario è già ampiamente diffuso, pur in presenza di modelli organizzativi non ancora omogenei. Il rapporto OCSE/Banca d’Italia 2026 rileva infatti un utilizzo dell’intelligenza artificiale in numerosi ambiti dell’operatività quotidiana, tra cui l’analisi dei dati, l’ottimizzazione dei processi interni, la generazione e sintesi di contenuti testuali, le attività di antiriciclaggio, la prevenzione delle frodi e l’assistenza alla clientela.
Il punto critico non riguarda soltanto l’adozione della tecnologia, ma la qualità della sua integrazione nei modelli di governo societario. Secondo il rapporto, solo una quota limitata degli operatori ha predisposto assetti specificamente dedicati alla governance dell’IA, mentre una parte significativa continua a fare leva su presidi tradizionali, semplicemente adattati alle nuove esigenze.
Lo stesso documento segnala inoltre che molti operatori non hanno ancora implementato misure dedicate a fronteggiare le minacce informatiche emergenti connesse all’uso dell’intelligenza artificiale. Il dato rafforza l’esigenza di una disciplina che accompagni l’innovazione con obblighi di organizzazione, controllo e rendicontazione.
L’IA come tema di governance, non solo di innovazione
La nuova disciplina conferma che l’intelligenza artificiale non può essere letta soltanto come evoluzione tecnologica. Quando viene incorporata nei processi decisionali, nei sistemi di monitoraggio e nell’architettura dei controlli interni, essa assume rilievo diretto per la corporate governance e per la responsabilità degli organi sociali.
Il D.Lgs. 27 marzo 2026, n. 47, valorizza proprio questa dimensione, richiedendo agli emittenti di dimostrare non solo di utilizzare strumenti avanzati, ma di governarli in modo coerente con i principi di adeguatezza, proporzionalità e presidio del rischio. In questa prospettiva, l’innovazione entra stabilmente nella struttura della vigilanza interna e nella qualità delle informazioni rese al mercato.
Il testo dell’art. 123-bis TUF, con le nuove lettere d-ter) e d-quater), e il nuovo art. 149-ter TUF delineano un assetto nel quale la tecnologia diventa parte integrante delle responsabilità organizzative degli emittenti e dei relativi controlli.
L’articolo Dall’innovazione alla governance: l’intelligenza artificiale entra nel Testo Unico della Finanza proviene da Iusletter.