Comitato AI interno per PMI 100-500 dipendenti: composizione, mandati, agenda della prima riunione

Fino a 80-100 dipendenti, la governance AI di una PMI italiana può ancora vivere in modo informale: il CTO decide, il DPO valida, l'HR comunica al personale. Oltre quella soglia, il modello informale si rompe. Le decisioni AI iniziano a impattare aree diverse — selezione del personale, customer service, marketing, prodotto — e nessuna persona da sola ha la visibilità per decidere senza creare attriti.

La risposta strutturata è il comitato AI interno. Non un organo di rappresentanza, non un focus group, non una task force temporanea. Un comitato permanente, mensile, con composizione chiara e mandati operativi. Per una PMI tra i 100 e i 500 dipendenti, il comitato AI è la struttura che permette di adempiere agli obblighi dell'AI Act e di prendere decisioni AI velocemente — non in alternativa, ma insieme.

Composizione: cinque persone, non di più

Un comitato AI funziona con cinque persone, sei al massimo. Sotto le quattro non hai abbastanza prospettive funzionali. Sopra le sei le riunioni diventano dibattiti senza decisioni. La composizione che funziona nelle PMI è ricorrente.

• Chief Technology Officer o IT Manager: responsabilità sui sistemi tecnici, valutazione di feasibility e sicurezza. Voce dominante sulle decisioni di adozione.
• Data Protection Officer (interno o consulente esterno designato): responsabilità su GDPR e AI Act, valutazione del rischio legale. Voce di veto su sistemi a rischio alto.
• HR Director o People Manager: responsabilità su impatto organizzativo, formazione, AI Literacy. Voce dominante sulle policy interne.
• Legal Counsel o General Counsel (interno o consulente legale): valutazione contrattuale con fornitori AI, gestione delle clausole AI nei contratti clienti.
• Business Unit Representative: una persona della BU più impattata dall'adozione AI, a rotazione semestrale tra le BU principali. Porta il punto di vista operativo concreto.

Il sesto componente, opzionale, è il CEO o un suo delegato del top management. Presenza non obbligatoria a ogni riunione, ma diritto di partecipazione per decisioni di impatto strategico. Includerlo sempre nelle convocazioni, lasciare a lui la scelta di partecipare. Questo modello funziona meglio della partecipazione obbligatoria.

Cadenza: mensile, 90 minuti, agenda fissa

Cadenza mensile, sempre lo stesso giorno della settimana (es. primo martedì del mese), sempre lo stesso orario (es. 14:30-16:00), agenda standardizzata. Le PMI che provano a far funzionare il comitato a cadenza variabile o con agenda libera lo vedono morire entro sei mesi — i partecipanti smettono di prepararsi, le riunioni diventano disinformative, il comitato perde rilevanza.

Agenda fissa di 90 minuti che funziona, testata in produzione.

1. 15 minuti — review degli action item della riunione precedente, stato avanzamento.
2. 20 minuti — aggiornamento del registro AI: nuovi sistemi censiti, sistemi dismessi, anomalie d'uso.
3. 20 minuti — incidenti e quasi-incidenti del mese: cosa è successo, root cause, azioni correttive.
4. 20 minuti — richieste di approvazione di nuovi sistemi AI: presentazione, discussione, decisione.
5. 10 minuti — orizzonte regolatorio: aggiornamenti normativi rilevanti, sentenze, linee guida del Garante.
6. 5 minuti — definizione action item della prossima riunione e nomina responsabili.

Verbale obbligatorio, condiviso in Drive entro 48 ore, firmato dai cinque partecipanti. Il verbale è documento legale: in caso di controllo da parte del Garante o di una richiesta di un cliente enterprise, è la prova che la governance AI è viva e operativa.

I cinque mandati operativi del comitato

Il comitato AI ha cinque mandati. Niente di più, niente di meno. Restringere lo scope è ciò che lo rende efficace.

Mandato 1 — Approvazione di nuovi sistemi AI

Nessun sistema AI entra in azienda senza passaggio in comitato. La richiesta arriva da una BU, viene presentata in 10 minuti, valutata su quattro criteri (rischio AI Act, conformità GDPR, costo TCO, impatto organizzativo), approvata o respinta a maggioranza semplice. Il DPO ha potere di veto solo su sistemi a rischio alto. Tempo medio dalla richiesta alla decisione: 30 giorni.

Mandato 2 — Manutenzione del registro AI

Il registro AI interno è il documento vivo dei sistemi in uso. Il comitato lo aggiorna mensilmente: nuovi inserimenti, sistemi dismessi, cambi di versione o configurazione, cambi di fornitore. Il registro va condiviso con il DPO e disponibile per ispezione da parte del CdA in qualsiasi momento. Senza registro aggiornato, l'accountability GDPR e AI Act è scoperta.

Mandato 3 — Monitoraggio incidenti

Tutti gli incidenti AI rilevati nel mese — exfiltration di dati, output errato che ha generato impatto verso cliente, errore di sistema che ha causato fermo — vengono presentati in comitato con root cause analysis. Il comitato decide le azioni correttive e ne traccia l'implementazione. I quasi-incidenti contano quanto gli incidenti: misurare solo i breach reali fa perdere il segnale di rischio strutturale.

Mandato 4 — Aggiornamento policy e AI Literacy

La policy AI dell'azienda viene rivisitata almeno una volta l'anno (mandato del comitato, non dell'HR da solo). Il piano annuale di AI Literacy viene approvato dal comitato a inizio anno e monitorato trimestralmente. Tutte le sessioni di formazione AI devono essere documentate con elenco partecipanti e materiale didattico, archiviato a cura dell'HR.

Mandato 5 — Risposta a richieste esterne

Richieste di clienti enterprise sulla AI policy, audit da parte di certificatori, richieste istruttorie del Garante: tutte passano attraverso il comitato per coordinare la risposta. Una sola voce verso l'esterno, una sola narrativa, niente contraddizioni tra funzioni diverse. Per richieste con SLA stretti (es. risposta entro 7 giorni), il comitato si riunisce in convocazione straordinaria.

Cinque errori che uccidono il comitato

I comitati AI che falliscono nelle PMI italiane falliscono per gli stessi cinque motivi. Tutti evitabili.

• Troppi partecipanti (oltre sei): il comitato si trasforma in un'assemblea, le decisioni non arrivano, le persone smettono di partecipare.
• Agenda libera: senza struttura, le riunioni diventano sfogo o chiacchiera, e in tre mesi nessuno le prende sul serio.
• Nessun mandato decisionale chiaro: se il comitato 'consiglia' senza decidere, il CdA non capisce a cosa serve e lo smonta.
• Assenza di verbali firmati: senza tracciabilità documentale, il comitato non produce evidenze utilizzabili in caso di controllo o audit.
• Composizione fissa per anni: senza la rotazione del BU representative, il comitato perde il polso operativo dell'azienda.

“Un comitato AI senza verbali firmati è teatro. Un comitato AI con verbali ma senza mandati decisionali è burocrazia. Un comitato AI con verbali, mandati e rotazione delle BU è infrastruttura di governance — e in caso di controllo del Garante o di richiesta di un cliente enterprise, è la prova oggettiva che l'azienda governa l'AI.”

L'agenda della prima riunione

La prima riunione del comitato AI ha un'agenda diversa dalle successive — è una riunione di set-up, non una di esercizio. Durata 2 ore, una sola volta. Convocata dal CEO, con presenza obbligatoria di tutti i cinque-sei membri.

1. 15 minuti — apertura del CEO: perché si istituisce il comitato, scopo, aspettative.
2. 20 minuti — presentazione dei cinque mandati e accettazione formale degli stessi da parte dei membri.
3. 20 minuti — review dello stato attuale: censimento provvisorio dei sistemi AI in uso, lacune note rispetto alla compliance AI Act/GDPR.
4. 15 minuti — definizione delle modalità operative: cadenza, orario fisso, strumenti di lavoro condivisi, modalità di convocazione straordinaria.
5. 15 minuti — definizione delle prime tre priorità del comitato per i prossimi 90 giorni.
6. 20 minuti — definizione dei tre action item della prossima riunione e nomina dei responsabili.
7. 15 minuti — formalizzazione del comitato in delibera del CdA, da preparare dopo la riunione.

Se stai pensando di istituire un comitato AI nella tua PMI, o ne hai uno che non sta funzionando come dovrebbe, prendiamoci trenta minuti per confrontarci. Abbiamo accompagnato l'istituzione di quattro comitati AI negli ultimi diciotto mesi, sappiamo dove si annida l'inerzia e come ribaltarla. Chiamata gratuita, senza vincoli, e ti raccontiamo cosa funziona davvero nelle PMI italiane.