Con l'intelligenza artificiale il Data Protection Officer non sarà un semplice supervisore tecnico, ma un catalizzatore di visioni
Nel 1950, Alan Turing pubblica un articolo destinato a diventare una pietra miliare del pensiero moderno: “Computing Machinery and Intelligence”, apparso sulla rivista Mind. La sua mossa geniale non è quella di dare una definizione assolutistica di intelligenza artificiale, impresa che alimenterà decenni di dispute terminologiche e che ancora oggi non trova univoca interpretazione, ma quella di proporre un criterio empirico e provocatorio: il Gioco dell’Imitazione, oggi noto come Test di Turing.

Lo scenario è semplice nella forma, rivoluzionario nella sostanza. Tre partecipanti in stanze separate: un interrogatore umano, un essere umano e una macchina. L’interrogatore comunica con gli altri due soltanto tramite messaggi di testo. Il suo compito è distinguere chi sia l’umano e chi la macchina. Il compito della macchina è ingannarlo. Turing sostenne che se una macchina fosse riuscita a farsi passare per umana nel 70% dei casi dopo cinque minuti di conversazione, avremmo dovuto smettere di chiederci “le macchine possono pensare?” e accettare semplicemente che stessero esibendo un comportamento intelligente.
Premesso che un criterio altrettanto valido potrebbe essere individuare il partecipante umano in quello che piange vedendo il finale di Toy Story 3, resta il fatto che il Test di Turing ha costituito un cambio di paradigma profondo. Prima di Turing, si cercava la scintilla dell’intelligenza nell’essenza delle cose: l’anima, la coscienza, il “quid” metafisico. Turing disse: se si comporta come un essere intelligente, allora lo è. Il trionfo del comportamento sull’essenza. Intuendo, con decenni di anticipo, che il linguaggio naturale sarebbe stato il test definitivo per la cognizione: gestire l’ironia, il contesto, le sfumature emotive richiede una complessità enorme, quella che oggi ritroviamo nei Large Language Models.
La Stanza Cinese: quando la sintassi non diventa semantica - Eppure il sogno di Turing ha un limite, e il filosofo John Searle lo ha messo a nudo con un esperimento mentale diventato celebre: la Stanza Cinese. Immaginate una persona chiusa in una stanza che riceve messaggi scritti in cinese. Non conosce la lingua, ma ha a disposizione un manuale di regole dettagliatissimo che le dice esattamente quale simbolo restituire in risposta a ogni simbolo ricevuto. Dall’esterno, chi legge le risposte giurerà di stare comunicando con qualcuno che capisce il cinese. Ma dentro la stanza non c’è comprensione: c’è solo manipolazione di simboli.
Gli LLM sono, in un certo senso, Stanze Cinesi straordinariamente sofisticate. Predicono la parola successiva più probabile sulla base di calcoli statistici di una complessità senza precedenti. Non “capiscono” ciò che dicono nel senso in cui lo intendiamo noi. La distinzione tra sintassi, la manipolazione di simboli secondo regole e semantica, il significato autentico, rimane il confine filosofico irrisolto dell’intelligenza artificiale.
Ma allora è questo un motivo per diffidarne? Non necessariamente. Ed è qui che la riflessione filosofica deve cedere il passo al pragmatismo.
(Nella foto: Marco Berlanda, speaker al Privacy Symposium 2026 nel panel di Federprivacy)
L’opportunità: anche gli uomini sbagliano - Nella mia esperienza quotidiana come Data Protection Officer nel settore bancario, mi sono trovato più volte a fare i conti con una domanda apparentemente banale ma in realtà fondamentale: dobbiamo rinunciare all’AI perché sbaglia? La risposta è no e il motivo è semplice: anche gli uomini sbagliano.
L’AI è uno strumento straordinario a supporto delle attività quotidiane: non si tratta soltanto di automatizzare compiti routinari come la reportistica o la produzione di slide, liberando tempo prezioso in un mondo sempre più veloce.
Si tratta della possibilità di adottare sistemi di Knowledge Management avanzati: piattaforme che recuperano in pochissimo tempo precedenti pareri, normativa aggiornata, best practice condivise dal team. Non per sostituire il nostro giudizio, ma per accelerare la ricerca e moltiplicare la qualità delle analisi.
E poco importa, in fondo, se il sistema AI “pensa” davvero o produce soltanto output statisticamente affidabili. Quello che conta è l'efficacia del risultato nel contesto in cui viene utilizzato. Un avvocato può sbagliare una ricerca giurisprudenziale. Un analista può perdere un dettaglio critico in un contratto di cento pagine. Un medico può non ricordare un’interazione farmacologica rara. L’AI può sbagliare anch’essa ma offre una capacità di sintesi e una velocità di screening su volumi massivi di dati che l’umano, per limiti fisiologici, non può eguagliare.
Tuttavia, questo non significa che la macchina sia 'migliore' tout court. Se l’IA eccelle nella scansione dell'ordinario e nella gestione dei grandi volumi, l'intervento umano resta insostituibile nelle attività “di fino”: lì dove l'intuizione, la comprensione delle sfumature etiche o la gestione di un'eccezione non codificata fanno la differenza tra una risposta corretta e una decisione saggia.
L’approccio risk-based: la supervisione umana come leva, non come freno - Il punto non è quanto supervisionare, ma dove e quanto intensamente farlo. Chiunque abbia una posizione di responsabilità lo fa già ogni giorno, anche senza saperlo: non dedica la stessa attenzione a ogni decisione. Firma automaticamente le spese di rimborso sotto una certa soglia, ma legge con cura ogni clausola di un contratto strategico. Delega all’assistente la bozza delle comunicazioni interne, ma scrive personalmente la lettera al regolatore.
Con l’AI funziona allo stesso modo. Un approccio risk-based intelligente significa calibrare il livello di supervisione umana in funzione dell’impatto potenziale dell’errore. Facciamo un esempio concreto dal mondo bancario: l’analisi preliminare di un contratto standard con un fornitore marginale, con clausole ripetitive, può essere delegata all’AI per una prima scrematura. Se ci sono imprecisioni, l’impatto è contenuto e facilmente correggibile. Ma l’analisi di un contratto critico, pensiamo a un accordo con un fornitore cloud che gestisce dati altamente riservati, con clausole complesse, rischi interpretativi e implicazioni transfrontaliere, richiede fin dall’inizio l’intervento umano pieno, non una supervisione ex post.
Questo è l’approccio risk-based applicato al lavoro stesso: identificare le attività operative ripetitive, che richiedono più precisione esecutiva che giudizio critico, e delegarle all’AI con supervisione periodica. Tutto il resto, le valutazioni complesse, le decisioni ad alto impatto, le situazioni che richiedono interpretazione, mediazione, esperienza, resta saldamente presidiato dall’uomo fin dall’inizio.
Non si tratta di una semplice spunta delle caselle, di quella che potremmo chiamare una “margherita della compliance”. Si tratta di un processo continuo di valutazione del rischio connesso a ogni nuova soluzione, misurandone il peso effettivo e orientando di conseguenza le scelte organizzative e tecniche. In altre parole: supervisione massima dove le conseguenze di un errore sono gravi; supervisione minima, ma non assente, dove le conseguenze sono contenute e i vantaggi in termini di efficienza sono evidenti.
Il Data Protection Officer come Abilitatore Consapevole - Nel settore bancario, dove l'AI si integra sempre più nei processi core, dal credit scoring alla gestione del rischio, dalla prevenzione frodi al customer service, questa logica diventa ancora più urgente. L'AI Act richiede esplicitamente human oversight per i sistemi ad alto rischio. Ma l'oversight non può essere una foglia di fico formale: deve essere reale, competente, dotata di strumenti adeguati e di vera autorità di intervento.
Il rischio di marginalizzazione per chi governa questi processi, il DPO, il compliance officer, il risk manager, esiste, ma solo per chi non evolve. Chi rimane ancorato al controllo manuale di task ripetitivi per non perdere il controllo si marginalizza da solo. Chi invece abbraccia l'AI come strumento e investe il tempo liberato per diventare consulente strategico, interfacciarsi con il business, formare le persone, diventa indispensabile.
Il vero valore non sta nel saper dire solo "no", né nel diventare "yes-man strategico" che abdica al ruolo di vigilanza. Sta nel saper dire "sì, ma così": proporre alternative conformi, suggerire salvaguardie praticabili, bilanciare innovazione e protezione. Da controllori a posteriori ad architetti della compliance by design.
Tra cinque anni, il DPO non sarà un semplice supervisore tecnico, ma un catalizzatore di visioni: colui che trasforma il "rumore" dei vincoli tecnici e legali in una melodia strategica. Ma per arrivare a quel ruolo, il percorso non è privo di ostacoli.
La sfida principale è navigare quello che definirei un viaggio tra Scilla e Cariddi: l'immobilismo dettato dalla prudenza da un lato, la spinta all'innovazione acritica dall'altro. La rotta giusta passa per l'approccio risk-based: non come formalità burocratica, ma come metodo di lavoro. Un metodo che è, in fondo, lo stesso che ogni professionista responsabile adotta ogni giorno, bilanciando velocità ed efficienza con attenzione e giudizio.
Proprio come nella Stanza Cinese di Searle, l'AI può gestire la "sintassi" della conformità e dei dati, ma spetta all'uomo dare la "semantica": il senso, l'etica e la direzione. La conformità non deve essere vista come un freno, ma come la leva competitiva fondamentale per costruire una banca che sia, prima di tutto, degna di fiducia.
In conclusione, poco importa se la macchina "pensa" davvero o se sta semplicemente giocando al Gioco dell'Imitazione di Turing. Ciò che conta è la nostra capacità di integrare questi strumenti in un quadro di responsabilità consapevole, dove l'innovazione non è fine a sé stessa, ma è guidata dall'uomo, per l'uomo.







