Compliance aziendale ed Intelligenza Artificiale: le nuove prospettive della responsabilità dell’ente
L’evoluzione dell’intelligenza artificiale sta profondamente trasformando l’organizzazione aziendale, i processi produttivi e le modalità decisionali, comportando non solo opportunità di efficientamento ma anche nuovi rischi di commissione di reati. Ecco perché si parla sempre più spesso di integrazione tra AI governance e Modello 231, del ruolo che l’intelligenza artificiale può assumere all’interno della governance aziendale, in un’ottica di prevenzione del rischio penale.
In tema di compliance aziendale, infatti, l’intelligenza artificiale, pur non essendo soggetto di diritto, può generare condotte penalmente rilevanti attraverso decisioni automatizzate, e costituire, quindi, un concreto ed effettivo fattore di rischio giuridico-organizzativo per le imprese. Ne deriva la necessità di adottare protocolli specifici che permettano di mappare il rischio tecnologico e tracciare le decisioni prese dall’algoritmo al fine di evitare che l’ente possa rispondere, ai sensi del D.Lgs. 231/01, di reati commessi nel suo interesse o vantaggio qualora non abbia posto in essere azioni tese a prevenire o prevedere i rischi legati ad uso improprio dell’IA.
A tal proposito il Disegno di Legge sull’intelligenza artificiale, attuativo dell’AI Act (Regolamento UE 2024/1689), si propone di promuovere un uso responsabile, trasparente e antropocentrico dell’IA. Il DDL introduce, infatti, tra le novità più rilevanti, nuove aggravanti comuni e specifiche per reati commessi con l’ausilio dell’Intelligenza Artificiale, nonché fattispecie penali autonome legate alla diffusione illecita di contenuti generati da tali sistemi, idonei ad allargare anche il novero dei reati presupposto del Decreto 231. La normativa, soprattutto per i sistemi “ad alto rischio”, prevede specifici obblighi stringenti di trasparenza, documentazione, valutazione delle conformità, supervisione umana, obblighi che si affiancano agli adempimenti dettati in tema di privacy e sicurezza sul lavoro, e che incidono direttamente sull’operatività ed efficienza dei modelli organizzativi previsti dal D.Lgs. 231/01.
L’intelligenza artificiale, infatti, soprattutto se impiegata in ambiti decisionali (selezione del personale, pricing, profilazione, gestione documentale, controllo di qualità), espone l’ente a responsabilità indirette ma concrete, dove il confine tra errore tecnico e colpa organizzativa diventa labile. Molteplici sono le ipotesi di reato presupposto che possono collegarsi ad un uso improprio, distorto o negligente dell’IA in contesti aziendali: violazioni in materia di sicurezza sul lavoro (art. 25-septies) come incidenti causati da algoritmi (es. guida autonoma), reati informatici (art. 24-bis), trattamento illecito di dati personali (art. 24), frodi commerciali, reati contro la pubblica amministrazione, discriminazioni in fase di assunzione, generazione di decisioni commerciali dannose, manipolazione di mercato tramite IA, uso illecito nei processi produttivi o decisionali.
Da qui la necessità per le aziende di adottare un Modello 231 aggiornato che preveda un risk assessment specifico per le tecnologie IA, e quindi: mappare tutti i processi aziendali che utilizzano, sviluppano o integrano soluzioni IA; individuare i rischi correlati a ciascun uso (es. rischio di discriminazione, errata classificazione, esposizione a manipolazioni); definire protocolli operativi specifici sui rischi legati all’IA; predisporre meccanismi di controllo trasparente e verificabile delle decisioni algoritmiche. Questi protocolli devono essere documentati, aggiornati e accessibili, per consentire un monitoraggio continuo e verificabile, anche in sede ispettiva o giudiziaria.
La IA, inoltre, attesa la sua pregnante interazione con i sistemi aziendali, ove utilizzata, deve costituire oggetto di specifica formazione obbligatoria, soprattutto per i soggetti apicali, il team di sviluppo e IT, direzione HR e compliance, fornitori e partner tecnologici.
In definitiva l’integrazione di tecnologie basate sull’IA nei contesti aziendali implica, necessariamente, una revisione sostanziale dei Modelli Organizzativi e di Gestione previsti dal d.lgs. 231/2001, i quali devono essere aggiornati per intercettare i profili di rischio di commissione di reati attraverso strumenti di intelligenza artificiale, integrandoli con specifici protocolli di controllo sull’uso dell’IA e prevedendo una formazione ah hoc del personale e verifiche periodiche dell’efficacia delle misure adottate.
