1. Introduzione
L’AI può mettere nei guai l’ente, sebbene non abbia personalità giuridica né capacità penale. Un algoritmo non può essere autore materiale di un reato, può rappresentare il mezzo attraverso cui vengono realizzati comportamenti illeciti, con ricadute dirette sulla responsabilità dell’organizzazione.
In un contesto normativo che impone agli enti di prevenire i reati commessi nel proprio interesse o vantaggio, diventa imprescindibile dotarsi di strumenti capaci di identificare i rischi tecnologici, tracciare le decisioni automatizzate e garantire trasparenza nei processi gestiti da sistemi di IA. È quindi necessario un approccio preventivo, strutturato su protocolli specifici, che consenta di integrare il controllo degli strumenti intelligenti nei Modelli 231.
2. Il perimetro della responsabilità ai sensi del D.Lgs. 231/2001
Il D.Lgs. 231/2001 introduce un regime di responsabilità “parapenale” per l’ente, qualora taluni reati siano commessi da soggetti apicali o subordinati, nell’interesse o a vantaggio dell’ente stesso. I reati presupposto elencati nel Decreto si sono ampliati nel tempo, includendo oggi tra gli altri:
-
- Reati contro la pubblica amministrazione;
-
- Reati informatici e trattamento illecito dei dati;
-
- Reati societari;
-
- Reati ambientali;
-
- Reati in materia di salute e sicurezza sul lavoro.
L’adozione di modelli di organizzazione, gestione e controllo idonei a prevenire i reati (Modelli 231), unitamente all’istituzione di un Organismo di Vigilanza (OdV), costituisce il principale strumento per l’esonero da responsabilità.
3. L’intelligenza artificiale come fonte di rischio penalmente rilevante
L’uso dell’IA, in particolare delle tecnologie di machine learning, algoritmi predittivi e sistemi decisionali automatizzati, può determinare l’insorgenza di nuovi rischi di natura penale e para-penale, che impattano direttamente sull’ambito di applicazione del Decreto 231. Alcuni scenari esemplificativi:
-
- Reati informatici e violazione della privacy: sistemi IA non correttamente configurati o addestrati potrebbero elaborare dati personali in violazione del GDPR, causando accessi abusivi a sistemi informatici, trattamento illecito di dati o omissioni nell’adozione di misure di sicurezza.
-
- Reati contro la PA: l’uso di algoritmi nei rapporti con enti pubblici (es. in gare o affidamenti) potrebbe condurre a condotte fraudolente, falsificazione documentale o turbative d’asta.
-
- Reati societari: l’automazione nella redazione di bilanci o nella gestione contabile potrebbe essere strumentalizzata per falsificare dati economici.
-
- Discriminazioni algoritmiche: decisioni automatizzate discriminatorie (es. nell’HR o nel credito al consumo) potrebbero integrare fattispecie penali o civilistiche, con ricadute anche reputazionali.
Inoltre, la recente proposta di AI Act a livello europeo prevede obblighi rigorosi per le imprese che sviluppano o impiegano sistemi di IA ad alto rischio, accrescendo l’importanza di un approccio sistematico alla compliance.
4. Modelli 231 e governance dell’IA: un’integrazione necessaria
Alla luce dei nuovi rischi emergenti, i Modelli 231 dovranno essere aggiornati per includere specifici presìdi di controllo relativi all’utilizzo dell’intelligenza artificiale. Le imprese dovrebbero:
-
- Effettuare una mappatura dei rischi IA in relazione ai reati presupposto del D.Lgs. 231/2001;
-
- Introdurre policy aziendali sull’uso etico e conforme dell’IA, definendo ruoli, responsabilità e processi di audit;
-
- Prevedere formazione specifica per i soggetti apicali e i dipendenti coinvolti nell’uso o nello sviluppo di soluzioni AI;
-
- Aggiornare i sistemi di whistleblowing per includere anche segnalazioni relative a malfunzionamenti o abusi dei sistemi di IA;
-
- Coinvolgere l’OdV nella verifica dell’adeguatezza dei controlli sull’IA e nel monitoraggio periodico del rischio.
Tali misure consentono non solo di ridurre il rischio di commissione dei reati, ma anche di rafforzare la cultura aziendale della legalità e dell’innovazione responsabile.
5. L’approccio delle autorità e la giurisprudenza emergente
Ad oggi, la giurisprudenza italiana non ha ancora offerto casi rilevanti di responsabilità 231 direttamente connessi all’uso dell’IA. Tuttavia, le autorità di vigilanza, come il Garante Privacy e la Commissione Europea, hanno iniziato a fornire indicazioni sull’accountability e la trasparenza dei sistemi automatizzati. Inoltre, si osserva un crescente interesse delle procure verso i reati informatici e verso l’attribuibilità della responsabilità in caso di decisioni “automatizzate”.
In assenza di una normativa specifica, le imprese devono fare affidamento su principi generali di due diligence tecnologica, impiegando strumenti come le IA impact assessment, l’analisi dei bias e i codici etici.
6. Conclusioni
L’integrazione dell’intelligenza artificiale nei processi aziendali apre nuove opportunità ma, al contempo, impone una riflessione profonda sul piano della responsabilità giuridica. Il D.Lgs. 231/2001, pur nato in un contesto pre-digitale, resta uno strumento flessibile e attuale, idoneo a fronteggiare anche i rischi emergenti legati all’IA, a condizione che venga aggiornato nei suoi contenuti e nella sua applicazione pratica.
Proprio perché l’AI può mettere ne guai l’ente, l’adozione di Modelli 231 che incorporino un’efficace governance dell’intelligenza artificiale non rappresenta solo un obbligo giuridico, ma anche una scelta strategica in termini di gestione del rischio, tutela della reputazione e sostenibilità dell’innovazione.
Contatta uno dei nostri esperti in materia di Compliance 231