AI Governance Lead

Il nostro cliente è una piattaforma no-code e self-provisioning che consente di creare agenti e modelli di intelligenza artificiale in tempo reale, destinati a istituzioni finanziarie, fintech e piattaforme di digital asset. L’azienda fornisce modelli decisionali agentic AI, spiegazioni audit-ready e avanzate capacità di modellazione per ambiti quali credit scoring, rilevazione frodi, risk modelling, churn prediction, customer retention, customer rating e molto altro.

La loro missione è portare nel mondo TradFi e DeFi soluzioni decisionali basate su IA trasparenti, conformi, pronte per l’AI Act e ad alte prestazioni. Per utilizzare il prodotto non sono richieste competenze tecniche o di data science.

Panoramica del Ruolo

Siamo alla ricerca di una figura senior, operativa e hands-on che assuma la piena responsabilità della progettazione, implementazione e gestione dei programmi di sicurezza delle informazioni, resilienza operativa e governance dell’intelligenza artificiale.

Il ruolo ha responsabilità end-to-end e copre l’intero ciclo di vita dei framework di compliance e certificazione, con un forte orientamento all’integrazione nei processi aziendali.

Ambiti di responsabilità principali:

- Progettazione e gestione dell’Information Security Management System (ISMS)
- Conduzione della certificazione ISO/IEC 27001 e degli audit di sorveglianza
- Implementazione della DORA e integrazione della resilienza operativa ICT
- Implementazione della conformità all’EU AI Act su prodotti e operazioni
- Progettazione e certificazione dell’AI Management System (ISO/IEC 42001)

Questo ruolo non è una funzione di compliance isolata: la conformità è integrata nei processi aziendali, non aggiunta a posteriori.

Contesto Organizzativo e Collaborazioni

La persona selezionata opererà con il supporto diretto di:

- CEO – sponsorship esecutiva, allineamento strategico, autorità in ambito audit
- CTO – architettura tecnica, controlli di sicurezza, processi di ingegneria
- System Administrator / Infrastructure Lead – cloud, accessi, operazioni
- Head of Data Science – ciclo di vita dell’AI, governance dei modelli, validazione
- Consulenti esterni

Roadmap di Certificazione e Regolamentazione (Obiettivo Primario)

Il ruolo guiderà la realizzazione dei seguenti obiettivi, in sequenza:

1. ISO/IEC 27001 – certificazione iniziale, messa in esercizio dell’ISMS e audit readiness
2. DORA – gestione del rischio ICT, test di resilienza, incident reporting
3. EU AI Act – governance dell’AI basata sul rischio, controlli di lifecycle e post-market monitoring
4. ISO/IEC 42001 – certificazione e mantenimento dell’AI Management System

Responsabilità Principali

1. Information Security Management System (ISO/IEC 27001)

Ownership dell’ISMS

- Progettare, implementare e mantenere l’ISMS in conformità alla ISO/IEC 27001
- Definire ambito, contesto e parti interessate dell’ISMS in collaborazione con il management
- Stabilire e mantenere:

- Statement of Applicability (SoA)

- Metodologia di risk assessment e risk treatment

- Obiettivi di sicurezza e KPI

Risk Management

- Condurre valutazioni del rischio di sicurezza delle informazioni con il contributo di:

- CTO e team di ingegneria

- System administration e infrastruttura

- Mantenere risk register e piani di trattamento del rischio

Policy & Controlli

- Redigere e aggiornare policy e procedure di sicurezza
- Collaborare con CTO e System Admin per garantire l’effettiva applicazione tecnica dei controlli
- Assicurare che policy e controlli siano pratici, implementati e auditabili

Audit e Certificazione

- Guidare gli audit di certificazione ISO 27001 (Stage 1 e Stage 2)
- Essere il punto di contatto principale per auditor ed enti di certificazione
- Coordinare le management review
- Gestire e chiudere le non conformità

2. Digital Operational Resilience Act (DORA)

Rischio ICT e Resilienza

- Implementare la gestione del rischio ICT conforme a DORA
- Definire e testare procedure di resilienza, backup e disaster recovery

Incident Management & Reporting

- Progettare processi di classificazione ed escalation degli incidenti
- Coordinare la risposta agli incidenti con i team tecnici
- Garantire il rispetto delle tempistiche di segnalazione regolamentare

Third-Party Risk

- Collaborare con procurement, CTO e legal per la gestione del rischio dei fornitori ICT
- Garantire la supervisione dei fornitori ICT critici

3. Conformità all’EU AI Act

Framework di AI Governance

- Definire il framework di governance dell’AI insieme all’Head of Data Science
- Classificare i sistemi AI e definirne lo scopo previsto
- Stabilire meccanismi di human oversight e controlli di mitigazione del rischio

Lifecycle & Monitoring

- Integrare la governance AI in:

- Sviluppo dei modelli

- Pipeline di deployment

- Processi di change management

- Coordinare la gestione degli incidenti AI e il post-market monitoring

4. AI Management System (ISO/IEC 42001)

Ownership dell’AIMS

- Progettare e mantenere l’AI Management System
- Allineare l’AIMS all’ISMS per il riuso dei controlli
- Collaborare con l’Head of Data Science sulla governance del ciclo di vita dell’AI

Certificazione e Audit

- Guidare gli audit di certificazione ISO/IEC 42001
- Coordinare la raccolta delle evidenze e il coinvolgimento degli stakeholder
- Promuovere il miglioramento continuo

5. Integrazione tra Framework Normativi

- Allineare e riutilizzare i controlli tra:

- ISO/IEC 27001

- DORA

- EU AI Act

- ISO/IEC 42001

- Evitare duplicazioni attraverso un unico framework di controllo
- Garantire tracciabilità tra requisiti normativi e controlli

6. Tooling, Documentazione e Integrazione nei Processi

- Gestire strumenti GRC (es. Drata)
- Creare e mantenere:

- Policy

- Procedure

- Risk register

- Evidenze di controllo

- Integrare la compliance in:

- Ingegneria

- Sviluppo prodotto

- Onboarding fornitori

- Incident response

- Formare i team e diffondere la consapevolezza

Requisiti ed Esperienza

Requisiti Obbligatori

- 3+ anni di esperienza in sicurezza delle informazioni, GRC o risk management
- Esperienza comprovata nella certificazione ISO/IEC 27001 end-to-end
- Solida conoscenza di:

- Framework di risk management

- Sicurezza cloud

- Software Development Lifecycle (SDLC)

- Esperienza di lavoro diretto con auditor e regolatori

Requisiti Preferenziali

- Esperienza pratica nell’implementazione della DORA
- Esperienza in AI governance o AI risk management
- Familiarità con ISO/IEC 42001 o framework AI equivalenti
- Esperienza in settori regolamentati (fintech, SaaS, prodotti AI-driven)

Competenze Chiave

- Profonda conoscenza degli standard dei sistemi di gestione
- Capacità di tradurre requisiti normativi in controlli operativi
- Eccellenti capacità di documentazione e scrittura di policy
- Forte stakeholder management
- Approccio pragmatico e risk-based (non orientato al semplice adempimento)
- Comfort nel lavorare a stretto contatto con team di ingegneria e prodotto

Indicatori di Successo (12–18 mesi)

- ISO/IEC 27001 certificata e operativa
- Controlli DORA integrati nei processi aziendali
- Framework di conformità EU AI Act attivo e auditabile
- Certificazione ISO/IEC 42001 ottenuta
- Audit prevedibili, a basso attrito e ripetibili

- Ruolo ad alta ownership in startup in rapida crescita.
- Flessibilità, possibilità di full remote.
- RAL offerta: circa 15% in più rispetto alla retribuzione attuale.
- Trasferte (2 giorni al mese ravvicinati) per meeting di team a Milano.
- Possibile partecipazione a workshop con clienti o conferenze a Milano.