Ai Governance Lead...

Il nostro cliente è una piattaforma no-code e self-provisioning che consente di creare agenti e modelli di intelligenza artificiale in tempo reale, destinati a istituzioni finanziarie, fintech e piattaforme di digital asset.L'azienda fornisce modelli decisionali agentic AI, spiegazioni audit-ready e avanzate capacità di modellazione per ambiti quali credit scoring, rilevazione frodi, risk modelling, churn prediction, customer retention, customer rating e molto altro.La loro missione è portare nel mondo TradFi e DeFi soluzioni decisionali basate su IA trasparenti, conformi, pronte per l'AI Act e ad alte prestazioni.Per utilizzare il prodotto non sono richieste competenze tecniche o di data science.Panoramica del RuoloSiamo alla ricerca di una figura senior, operativa e hands-on che assuma la piena responsabilità della progettazione, implementazione e gestione dei programmi di sicurezza delle informazioni, resilienza operativa e governance dell'intelligenza artificiale.Il ruolo ha responsabilità end-to-end e copre l'intero ciclo di vita dei framework di compliance e certificazione, con un forte orientamento all'integrazione nei processi aziendali.Ambiti di responsabilità principali:- Progettazione e gestione dell'Information Security Management System (ISMS)- Conduzione della certificazione ISO/IEC ***** e degli audit di sorveglianza- Implementazione della DORA e integrazione della resilienza operativa ICT- Implementazione della conformità all'EU AI Act su prodotti e operazioni- Progettazione e certificazione dell'AI Management System (ISO/IEC *****)Questo ruolo non è una funzione di compliance isolata: la conformità è integrata nei processi aziendali, non aggiunta a posteriori.Contesto Organizzativo e CollaborazioniLa persona selezionata opererà con il supporto diretto di:- CEO – sponsorship esecutiva, allineamento strategico, autorità in ambito audit- CTO – architettura tecnica, controlli di sicurezza, processi di ingegneria- System Administrator / Infrastructure Lead – cloud, accessi, operazioni- Head of Data Science – ciclo di vita dell'AI, governance dei modelli, validazione- Consulenti esterniRoadmap di Certificazione e Regolamentazione (Obiettivo Primario)Il ruolo guiderà la realizzazione dei seguenti obiettivi, in sequenza:1. ISO/IEC ***** – certificazione iniziale, messa in esercizio dell'ISMS e audit readiness2. DORA – gestione del rischio ICT, test di resilienza, incident reporting3. EU AI Act – governance dell'AI basata sul rischio, controlli di lifecycle e post-market monitoring4. ISO/IEC ***** – certificazione e mantenimento dell'AI Management SystemResponsabilità Principali1. Information Security Management System (ISO/IEC *****)Ownership dell'ISMS- Progettare, implementare e mantenere l'ISMS in conformità alla ISO/IEC *****- Definire ambito, contesto e parti interessate dell'ISMS in collaborazione con il management- Stabilire e mantenere:- Statement of Applicability (SoA)- Metodologia di risk assessment e risk treatment- Obiettivi di sicurezza e KPIRisk Management- Condurre valutazioni del rischio di sicurezza delle informazioni con il contributo di:- CTO e team di ingegneria- System administration e infrastruttura- Mantenere risk register e piani di trattamento del rischioPolicy & Controlli- Redigere e aggiornare policy e procedure di sicurezza- Collaborare con CTO e System Admin per garantire l'effettiva applicazione tecnica dei controlli- Assicurare che policy e controlli siano pratici, implementati e auditabiliAudit e Certificazione- Guidare gli audit di certificazione ISO ***** (Stage 1 e Stage2)- Essere il punto di contatto principale per auditor ed enti di certificazione- Coordinare le management review- Gestire e chiudere le non conformità2. Digital Operational Resilience Act (DORA)Rischio ICT e Resilienza- Implementare la gestione del rischio ICT conforme a DORA- Definire e testare procedure di resilienza, backup e disaster recoveryIncident Management & Reporting- Progettare processi di classificazione ed escalation degli incidenti- Coordinare la risposta agli incidenti con i team tecnici- Garantire il rispetto delle tempistiche di segnalazione regolamentareThird-Party Risk- Collaborare con procurement, CTO e legal per la gestione del rischio dei fornitori ICT- Garantire la supervisione dei fornitori ICT critici3. Conformità all'EU AI ActFramework di AI Governance- Definire il framework di governance dell'AI insieme all'Head of Data Science- Classificare i sistemi AI e definirne lo scopo previsto- Stabilire meccanismi di human oversight e controlli di mitigazione del rischioLifecycle & Monitoring- Integrare la governance AI in:- Sviluppo dei modelli- Pipeline di deployment- Processi di change management- Coordinare la gestione degli incidenti AI e il post-market monitoring4. AI Management System (ISO/IEC *****)Ownership dell'AIMS- Progettare e mantenere l'AI Management System- Allineare l'AIMS all'ISMS per il riuso dei controlli- Collaborare con l'Head of Data Science sulla governance del ciclo di vita dell'AICertificazione e Audit- Guidare gli audit di certificazione ISO/IEC *****- Coordinare la raccolta delle evidenze e il coinvolgimento degli stakeholder- Promuovere il miglioramento continuo5. Integrazione tra Framework Normativi- Allineare e riutilizzare i controlli tra:- ISO/IEC *****- DORA- EU AI Act- ISO/IEC *****- Evitare duplicazioni attraverso un unico framework di controllo- Garantire tracciabilità tra requisiti normativi e controlli6. Tooling, Documentazione e Integrazione nei Processi- Gestire strumenti GRC (es. Drata)- Creare e mantenere:- Policy- Procedure- Risk register- Evidenze di controllo- Integrare la compliance in:- Ingegneria- Sviluppo prodotto- Onboarding fornitori- Incident response- Formare i team e diffondere la consapevolezzaRequisiti ed EsperienzaRequisiti Obbligatori- 3+ anni di esperienza in sicurezza delle informazioni, GRC o risk management- Esperienza comprovata nella certificazione ISO/IEC ***** end-to-end- Solida conoscenza di:- Framework di risk management- Sicurezza cloud- Software Development Lifecycle (SDLC)- Esperienza di lavoro diretto con auditor e regolatoriRequisiti Preferenziali- Esperienza pratica nell'implementazione della DORA- Esperienza in AI governance o AI risk management- Familiarità con ISO/IEC ***** o framework AI equivalenti- Esperienza in settori regolamentati (fintech, SaaS, prodotti AI-driven)Competenze Chiave- Profonda conoscenza degli standard dei sistemi di gestione- Capacità di tradurre requisiti normativi in controlli operativi- Eccellenti capacità di documentazione e scrittura di policy- Forte stakeholder management- Approccio pragmatico e risk-based (non orientato al semplice adempimento)- Comfort nel lavorare a stretto contatto con team di ingegneria e prodottoIndicatori di Successo ****** mesi)- ISO/IEC ***** certificata e operativa- Controlli DORA integrati nei processi aziendali- Framework di conformità EU AI Act attivo e auditabile- Certificazione ISO/IEC ***** ottenuta- Audit prevedibili, a basso attrito e ripetibili- Ruolo ad alta ownership in startup in rapida crescita.- Flessibilità, possibilità di full remote.- RAL offerta: circa 15% in più rispetto alla retribuzione attuale.- Trasferte (2 giorni al mese ravvicinati) per meeting di team a Milano.- Possibile partecipazione a workshop con clienti o conferenze a Milano.