CIO, CISO e Board nell’era dell’AI

La metamorfosi del ruolo dei direttori informatici e dei responsabili della sicurezza informatica all’interno delle organizzazioni aziendali non è più soltanto una questione di competenze tecniche, ma una trasformazione culturale e strategica che ridefinisce i vertici dell’impresa.

In occasione del primo incontro dell’Empowerment Program, il percorso formativo volto a consolidare le competenze delle comunità dei CIO e dei CISO verso l’appuntamento autunnale con i Digital360 Awards 2026 e i Cybersecurity360 Awards, il dibattito si è concentrato sulle complesse dinamiche di interazione tra le funzioni tecnologiche e i consigli di amministrazione.

I dati emersi da un’indagine esclusiva, uniti alle testimonianze dirette di amministratori delegati e consiglieri di amministrazione indipendenti, offrono una fotografia nitida delle barriere linguistiche, delle sfide regolatorie e delle opportunità di crescita legate all’adozione dell’intelligenza artificiale e la gestione dei rischi.

Il paradosso della presenza: i dati della survey sulla governance

I risultati della ricerca condotta su un campione rappresentativo di 136 professionisti, composto da 120 CIO e circa quindici CISO, evidenziano una netta discrepanza tra la frequenza di accesso ai tavoli decisionali e l’effettivo impatto esercitato quando si ottiene l’ascolto del vertice.

Alla domanda sulla partecipazione diretta al consiglio di amministrazione della propria azienda, il 45% dei rispondenti ha dichiarato di non avervi mai preso parte, mentre il restante 55% vi accede con frequenze variabili: il 32% vi partecipa qualche volta, il 15% una o due volte all’anno, e solo una ristretta minoranza del 7% dichiara di presenziatovi spesso.

La percezione dei tecnici sul livello di competenza dei Board

Questa limitata frequentazione trova una parziale spiegazione nella percezione che i responsabili tecnologici hanno del livello di comprensione dei temi informatici e di sicurezza da parte dei consiglieri.

Più della metà dei partecipanti ritiene infatti che il livello sia insufficiente o parziale, con un 11% che dichiara come il consiglio non comprenda per nulla le tematiche cyber, un 34% che si attesta su livelli medi e solo un ridotto 8% che riconosce un’alta comprensione.

L’impatto reale: le raccomandazioni che orientano la strategia

Il vero elemento di sorpresa emerge tuttavia dall’analisi delle risposte fornite dai 75 manager che hanno avuto almeno un’occasione di confronto con l’organo direttivo.

In questo caso, il 90% dichiara che le proprie raccomandazioni e indicazioni hanno influenzato le decisioni del consiglio di amministrazione o del Comitato Rischi.

Esiste, quindi, un potenziale di forte impatto strategico, condizionato però dalla capacità di superare le barriere comunicative e di presentare la tecnologia non come una scatola nera isolata, ma come un fattore abilitante per il business.

Oltre il gergo tecnico: l’evoluzione del linguaggio aziendale

Per incidere realmente sulle scelte del vertice aziendale, i responsabili dei sistemi informativi e della sicurezza devono operare una profonda traduzione terminologica ed espositiva.

Durante la tavola rotonda, Maximo Ibarra, manager con una lunga esperienza alla guida di grandi realtà del settore telecomunicazioni e tecnologico come Wind Tre, KPN, Sky ed Engineering, ha evidenziato le difficoltà strutturali dei consiglieri di fronte a relazioni eccessivamente specialistiche.

Nel presentare la propria esperienza da amministratore delegato, Ibarra ha spiegato l’importanza della preparazione dei materiali informativi, ammettendo che «i C-level capiscono un terzo di quello che voi cercate di dire».

Di conseguenza, lo sforzo principale richiesto a chi governa l’IT consiste nel favorire la proattività piuttosto che la reattività, evitando di limitarsi alla compilazione di documentazione enciclopedica per concentrarsi sulla trasmissione di una visione strategica e pro-futuro.

Il fattore tempo nelle audizioni direttive

Questo punto di vista è condiviso dai professionisti che operano direttamente all’interno delle prime linee aziendali. Vincenzo Meduri, esponente del Gruppo Mondadori, ha sottolineato l’importanza critica della gestione del tempo e della reputazione professionale nei pochi minuti concessi durante le sedute direttive.

Secondo la sua testimonianza, occorre «cercare di trasmettere con un linguaggio semplice e chiaro dei contenuti che possono essere recepiti dai tuoi interlocutori, che non necessariamente sono tecnici», pena il rischio che le raccomandazioni non trovino un terreno fertile per tramutarsi in attività operative.

Smontare la “black box” finanziaria dell’Information Technology

La necessità di un cambiamento nell’approccio narrativo investe in particolar modo la gestione finanziaria della tecnologia.

Antonella Ambriola, professionista formatasi nella ricerca sull’intelligenza artificiale e con una carriera da direttrice tecnologica in realtà come Vodafone e Wind Tre, prima di dedicarsi interamente all’attività di consigliere indipendente, ha messo in guardia la platea da quella che definisce la trappola della black box.

Quando il consiglio non comprende i meccanismi di spesa dell’IT e non vede trasparenza sul ritorno dell’investimento, il gergo tecnico genera irritazione o timore.

Il suggerimento operativo di Ambriola consiste nel tradurre le metriche infrastrutturali in obiettivi commerciali immediati: «invece di parlare di migrazione al cloud, parlate di riduzione del time-to-market o di uptime, parametri legati al P&L».

Un’ulteriore asimmetria riguarda i tempi di esecuzione, poiché il consiglio valuta i risultati sui ritmi della trimestrale finanziaria, mentre i grandi progetti tecnologici richiedono spesso sessioni di sviluppo pluriennali, imponendo pianificazioni a rilasci progressivi per preservare la fiducia della governance.

Gestione dei rischi e l’impatto delle nuove normative europee

Il quadro normativo continentale sta agendo da acceleratore per l’ingresso delle tematiche di sicurezza e resilienza operativa all’interno delle agende dei consigli di amministrazione, estendendo la responsabilità dei membri della governance.

Disposizioni come la Direttiva NIS 2 e il regolamento DORA introducono infatti profili di responsabilità penale e civile diretta per gli amministratori.

Chiara Rocca, esponente dell’area di sicurezza di Edison, ha confermato come l’azienda stia ridefinendo i contatti diretti con l’organo amministrativo proprio in virtù degli obblighi di approvazione dei programmi di sicurezza e della formazione imposti dalla NIS 2.

L’obiettivo strategico si sposta dall’analisi puramente tecnologica alla valutazione degli impatti reputazionali, competitivi ed economici delle minacce informatiche.

Indicatori di rischio e continuità nel rapporto con i consiglieri

La crescita dell’attenzione verso i rischi tecnologici è particolarmente evidente nei settori regolamentati.

Marco Giorgino, docente di istituzioni finanziarie e rischi presso il Politecnico di Milano e presidente del Comitato Rischi in Mediobanca e Terna, ha evidenziato come l’interazione con i CIO e i CISO sia ormai solida e strutturata, guidata sia da parametri di prestazione (KPI) sia da indicatori chiave di rischio (KRI) costantemente monitorati dalla vigilanza.

Un contributo essenziale alla discussione sul metodo è giunto anche da Giuseppe Galati, esponente di Mediobanca, il quale ha ricordato…