L’approvazione, da parte della Camera dei Deputati, del disegno di legge in materia di intelligenza artificiale, avvenuta il 25 giugno 2025, rappresenta un momento cruciale nella regolamentazione della responsabilità da reato degli enti secondo il D.Lgs. 231/2001.
Il legislatore, con l’obiettivo di fornire una risposta organica all’impiego crescente delle tecnologie intelligenti in contesti economici e sociali, ha introdotto modifiche normative che, sebbene inizialmente limitate nell’estensione del catalogo dei reati presupposto, richiedono un ripensamento significativo della struttura e dei contenuti dei Modelli Organizzativi e di Gestione (MOG).
Reati AI, cosa dice la legge
Il nuovo articolo 61 n. 11-decies c.p., introdotto dal disegno di legge, stabilisce una aggravante comune applicabile a qualsiasi reato commesso “mediante sistemi di intelligenza artificiale che ne abbiano aggravato le conseguenze, ostacolato la difesa o costituito mezzo particolarmente insidioso”. Questa disposizione presenta implicazioni conformative anche sul piano organizzativo delle imprese. La semplice possibilità che una condotta penalmente rilevante possa essere aggravata attraverso strumenti intelligenti impone all’ente, ai sensi dell’art. 6, comma 2, lett. b) del D.Lgs. 231/2001, di implementare protocolli in grado di identificare e prevenire questo nuovo rischio: il rischio algoritmico.
Accanto all’aggravante comune, il disegno di legge introduce aggravanti specifiche per alcuni reati già presenti nel catalogo 231. Ad esempio, per l’aggiotaggio e la manipolazione del mercato è previsto un incremento della pena se commessi con l’ausilio di tecnologie intelligenti. Anche se alcune aggravanti originariamente proposte per i reati di riciclaggio sono state eliminate dal testo finale, l’aggravante comune resta e si presta a un’applicazione crescente, soprattutto nei contesti digitali, industriali e finanziari.
Il disegno di legge introduce, inoltre, nuove fattispecie autonome di reato, quali la diffusione illecita di deepfake (art. 613-quater c.p.) e l’abuso di tecniche di scraping o data mining su opere protette da diritto d’autore (art. 171 L. 633/1941). Sebbene tali condotte non siano attualmente incluse tra i reati presupposto del D.Lgs. 231/2001, rappresentano chiari segnali di una tendenza espansiva. La delega al Governo contenuta nel disegno di legge autorizza l’introduzione, in via regolamentare, di ulteriori reati derivanti dalla violazione del Regolamento UE 2024/1689 (AI Act), che includono l’utilizzo o la commercializzazione di sistemi di IA vietati, come il social scoring, la sorveglianza biometrica in tempo reale o la manipolazione subliminale. Qualora tali ipotesi venissero incluse nel catalogo dei reati 231, ciò implicherebbe un aggiornamento radicale dei MOG, non più centrati esclusivamente sulla condotta umana, ma estesi alla catena decisionale automatizzata.
Come ripensare i protocolli organizzativi
La dimensione algoritmica della responsabilità penale richiede una revisione profonda dell’architettura dei MOG. I protocolli organizzativi devono essere ripensati per includere non solo il controllo umano sui processi, ma anche forme di audit tecnico sulle decisioni automatizzate. Saranno necessari strumenti per la tracciabilità, la registrazione e la validazione degli output. Sarà fondamentale prevedere presidi sulla qualità dei dataset, separare i ruoli nello sviluppo e nel controllo del codice, implementare meccanismi di alert automatici in caso di anomalie e predisporre registri degli algoritmi utilizzati nei processi aziendali. Tali strumenti evolveranno il concetto stesso di “protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente”, come richiamato dall’art. 6, comma 2, lett. b) del Decreto.
L’importanza della formazione
In aggiunta, è necessaria una maggiore cultura organizzativa sul rischio tecnologico. Ciò include dalla formazione continua del personale alla creazione di comitati etici interni, dall’assegnazione di un responsabile per l’IA al coinvolgimento diretto del top management nei processi decisionali ad alto rischio algoritmico. La governance dell’IA deve diventare parte integrante della compliance aziendale, al pari di tradizionali presidi contabili, contrattuali e antifrode. Le imprese devono implementare barriere culturali, oltre a firewalls e antivirus, attraverso audit multidisciplinari, un dialogo costante tra legal, compliance, IT e vertici aziendali, oltre a una selezione accurata degli organi di controllo e all’adeguamento dei modelli di formazione a una nuova realtà in cui il rischio non è più solo umano, ma computazionale.
MOG e AI, le conseguenze
Un ente che ignora, delega o tace riguardo l’uso di sistemi automatizzati si espone a responsabilità ex D.Lgs. 231/2001. Quando un reato viene commesso nell’ambito di una relazione organica tra soggetto agente e struttura, e viene facilitato da un uso improprio o incontrollato dell’intelligenza artificiale, la responsabilità si estende all’organizzazione che non ha saputo prevedere, contenere o neutralizzare il rischio. La colpa di organizzazione evolve, non essendo più limitata all’omissione di controllo sul comportamento umano, ma includendo anche l’assenza di presidi tecnici, documentali e formativi riguardo l’intelligenza artificiale. Sebbene l’algoritmo di per sé non possa delinquere, può diventare uno strumento di reato; è pertanto l’ente, come suo utilizzatore consapevole o negligente, a doverne rispondere.
Pertanto, la compliance non è più soltanto giuridica, ma, a pieno titolo, digitale.
