Il nostro cliente è una piattaforma no-code e self-provisioning che consente di creare agenti e modelli di intelligenza artificiale in tempo reale, destinati a istituzioni finanziarie, fintech e piattaforme di digital asset. L’azienda fornisce modelli decisionali agentic AI, spiegazioni audit-ready e avanzate capacità di modellazione per ambiti quali credit scoring, rilevazione frodi, risk modelling, churn prediction, customer retention, customer rating e molto altro.

La loro missione è portare nel mondo TradFi e DeFi soluzioni decisionali basate su IA trasparenti, conformi, pronte per l’AI Act e ad alte prestazioni. Per utilizzare il prodotto non sono richieste competenze tecniche o di data science.

Panoramica del Ruolo

Siamo alla ricerca di una figura senior, operativa e hands-on che assuma la piena responsabilità della progettazione, implementazione e gestione dei programmi di sicurezza delle informazioni, resilienza operativa e governance dell’intelligenza artificiale.

Il ruolo ha responsabilità end-to-end e copre l’intero ciclo di vita dei framework di compliance e certificazione, con un forte orientamento all’integrazione nei processi aziendali.

Ambiti di responsabilità principali:

• Progettazione e gestione dell’Information Security Management System (ISMS)
• Conduzione della certificazione ISO/IEC 27001 e degli audit di sorveglianza
• Implementazione della DORA e integrazione della resilienza operativa ICT
• Implementazione della conformità all’EU AI Act su prodotti e operazioni
• Progettazione e certificazione dell’AI Management System (ISO/IEC 42001)

Questo ruolo non è una funzione di compliance isolata: la conformità è integrata nei processi aziendali, non aggiunta a posteriori.

Contesto Organizzativo e Collaborazioni

La persona selezionata opererà con il supporto diretto di:

• CEO – sponsorship esecutiva, allineamento strategico, autorità in ambito audit
• CTO – architettura tecnica, controlli di sicurezza, processi di ingegneria
• System Administrator / Infrastructure Lead – cloud, accessi, operazioni
• Head of Data Science – ciclo di vita dell’AI, governance dei modelli, validazione
• Consulenti esterni

Roadmap di Certificazione e Regolamentazione (Obiettivo Primario)

Il ruolo guiderà la realizzazione dei seguenti obiettivi, in sequenza:

1. ISO/IEC 27001 – certificazione iniziale, messa in esercizio dell’ISMS e audit readiness
2. DORA – gestione del rischio ICT, test di resilienza, incident reporting
3. EU AI Act – governance dell’AI basata sul rischio, controlli di lifecycle e post-market monitoring
4. ISO/IEC 42001 – certificazione e mantenimento dell’AI Management System

Responsabilità Principali

1. Information Security Management System (ISO/IEC 27001)

Ownership dell’ISMS

• Progettare, implementare e mantenere l’ISMS in conformità alla ISO/IEC 27001
• Definire ambito, contesto e parti interessate dell’ISMS in collaborazione con il management
• Stabilire e mantenere:
  • Statement of Applicability (SoA)
  • Metodologia di risk assessment e risk treatment
  • Obiettivi di sicurezza e KPI

Risk Management

• Condurre valutazioni del rischio di sicurezza delle informazioni con il contributo di:
  • CTO e team di ingegneria
  • System administration e infrastruttura
• Mantenere risk register e piani di trattamento del rischio

Policy & Controlli

• Redigere e aggiornare policy e procedure di sicurezza
• Collaborare con CTO e System Admin per garantire l’effettiva applicazione tecnica dei controlli
• Assicurare che policy e controlli siano pratici, implementati e auditabili

Audit e Certificazione

• Guidare gli audit di certificazione ISO 27001 (Stage 1 e Stage 2)
• Essere il punto di contatto principale per auditor ed enti di certificazione
• Coordinare le management review
• Gestire e chiudere le non conformità

2. Digital Operational Resilience Act (DORA)

Rischio ICT e Resilienza

• Implementare la gestione del rischio ICT conforme a DORA
• Definire e testare procedure di resilienza, backup e disaster recovery

Incident Management & Reporting

• Progettare processi di classificazione ed escalation degli incidenti
• Coordinare la risposta agli incidenti con i team tecnici
• Garantire il rispetto delle tempistiche di segnalazione regolamentare

Third-Party Risk

• Collaborare con procurement, CTO e legal per la gestione del rischio dei fornitori ICT
• Garantire la supervisione dei fornitori ICT critici

3. Conformità all’EU AI Act

Framework di AI Governance

• Definire il framework di governance dell’AI insieme all’Head of Data Science
• Classificare i sistemi AI e definirne lo scopo previsto
• Stabilire meccanismi di human oversight e controlli di mitigazione del rischio

Lifecycle & Monitoring

• Integrare la governance AI in:
  • Sviluppo dei modelli
  • Pipeline di deployment
  • Processi di change management
• Coordinare la gestione degli incidenti AI e il post-market monitoring

4. AI Management System (ISO/IEC 42001)

Ownership dell’AIMS

• Progettare e mantenere l’AI Management System
• Allineare l’AIMS all’ISMS per il riuso dei controlli
• Collaborare con l’Head of Data Science sulla governance del ciclo di vita dell’AI

Certificazione e Audit

• Guidare gli audit di certificazione ISO/IEC 42001
• Coordinare la raccolta delle evidenze e il coinvolgimento degli stakeholder
• Promuovere il miglioramento continuo

5. Integrazione tra Framework Normativi

• Allineare e riutilizzare i controlli tra:
  • ISO/IEC 27001
  • DORA
  • EU AI Act
  • ISO/IEC 42001
• Evitare duplicazioni attraverso un unico framework di controllo
• Garantire tracciabilità tra requisiti normativi e controlli

6. Tooling, Documentazione e Integrazione nei Processi

• Gestire strumenti GRC (es. Drata)
• Creare e mantenere:
  • Policy
  • Procedure
  • Risk register
  • Evidenze di controllo
• Integrare la compliance in:
  • Ingegneria
  • Sviluppo prodotto
  • Onboarding fornitori
  • Incident response
• Formare i team e diffondere la consapevolezza

Requisiti ed Esperienza

Requisiti Obbligatori

• 3+ anni di esperienza in sicurezza delle informazioni, GRC o risk management
• Esperienza comprovata nella certificazione ISO/IEC 27001 end-to-end
• Solida conoscenza di:
  • Framework di risk management
  • Sicurezza cloud
  • Software Development Lifecycle (SDLC)
• Esperienza di lavoro diretto con auditor e regolatori

Requisiti Preferenziali

• Esperienza pratica nell’implementazione della DORA
• Esperienza in AI governance o AI risk management
• Familiarità con ISO/IEC 42001 o framework AI equivalenti
• Esperienza in settori regolamentati (fintech, SaaS, prodotti AI-driven)

Competenze Chiave

• Profonda conoscenza degli standard dei sistemi di gestione
• Capacità di tradurre requisiti normativi in controlli operativi
• Eccellenti capacità di documentazione e scrittura di policy
• Forte stakeholder management
• Approccio pragmatico e risk-based (non orientato al semplice adempimento)
• Comfort nel lavorare a stretto contatto con team di ingegneria e prodotto

Indicatori di Successo (12–18 mesi)

• ISO/IEC 27001 certificata e operativa
• Controlli DORA integrati nei processi aziendali
• Framework di conformità EU AI Act attivo e auditabile
• Certificazione ISO/IEC 42001 ottenuta
• Audit prevedibili, a basso attrito e ripetibili

• Ruolo ad alta ownership in startup in rapida crescita.
• Flessibilità, possibilità di full remote.
• RAL offerta: circa 15% in più rispetto alla retribuzione attuale.
• Trasferte (2 giorni al mese ravvicinati) per meeting di team a Milano.
• Possibile partecipazione a workshop con clienti o conferenze a Milano.