L’approvazione da parte della Camera dei Deputati, in data 25 giugno 2025, del disegno di legge in materia di intelligenza artificiale segna un punto di svolta nella disciplina della responsabilità da reato degli enti ai sensi del D.Lgs. 231/2001.
Il legislatore, nel tentativo di fornire una risposta organica all’uso sempre più pervasivo delle tecnologie intelligenti in ambito economico e sociale, ha previsto una serie di modifiche normative che, sebbene in parte ancora limitate sotto il profilo dell’immediata estensione del catalogo dei reati presupposto, impongono fin d’ora un ripensamento profondo della struttura e dei contenuti dei Modelli Organizzativi e di Gestione (MOG).
La tua casa è in procedura esecutiva?
sospendi la procedura con la legge sul sovraindebitamento
Reati AI, cosa dice la legge
Il nuovo art. 61 n. 11-decies c.p., introdotto dal disegno di legge, prevede una aggravante comune applicabile a qualsiasi reato qualora lo stesso sia stato commesso “mediante sistemi di intelligenza artificiale che ne abbiano aggravato le conseguenze, ostacolato la difesa o costituito mezzo particolarmente insidioso”. Si tratta di una previsione che, pur collocandosi nel sistema delle circostanze del reato, ha effetti profondamente conformativi anche sul piano organizzativo delle imprese. La sola possibilità che una condotta penalmente rilevante possa essere aggravata per via dell’impiego di strumenti intelligenti impone all’ente, ai sensi dell’art. 6, comma 2, lett. b) del D.Lgs. 231/2001, di prevedere protocolli capaci di intercettare e prevenire anche questo nuovo rischio: quello algoritmico.
A fianco dell’aggravante comune, il disegno di legge introduce aggravanti specifiche per taluni reati già presenti nel catalogo 231. È il caso dell’aggiotaggio e della manipolazione del mercato, condotte per le quali è oggi previsto un aumento di pena qualora commesse con l’ausilio di sistemi intelligenti. Benché alcune aggravanti proposte in origine per i reati di riciclaggio siano state espunte dal testo definitivo, resta ferma la portata ampia dell’aggravante comune, che si presta a trovare applicazione in un numero crescente di fattispecie, soprattutto nei contesti digitali, industriali e finanziari.
Il disegno di legge, inoltre, introduce nuove fattispecie autonome di reato, quali la diffusione illecita di deepfake (art. 613-quater c.p.) e l’abuso di tecniche di scraping o data mining su opere protette da diritto d’autore (art. 171 L. 633/1941). Pur non essendo attualmente incluse tra i reati presupposto del D.Lgs. 231/2001, tali condotte rappresentano segnali chiari di una tendenza espansiva che non può essere ignorata. La delega al Governo contenuta nel disegno di legge autorizza l’introduzione, in via regolamentare, di ulteriori reati derivanti dalla violazione del Regolamento UE 2024/1689 (AI Act), tra cui l’utilizzo o la messa in commercio di sistemi di IA vietati – come il social scoring, la sorveglianza biometrica in tempo reale o la manipolazione subliminale. Tali ipotesi, qualora trasfuse nel catalogo dei reati 231, imporrebbero un aggiornamento radicale dei MOG, non più centrato esclusivamente sulla condotta umana, ma esteso alla catena decisionale automatizzata.
Come ripensare i protocolli organizzativi
La dimensione algoritmica della responsabilità penale impone una revisione profonda dell’architettura dei MOG. I protocolli organizzativi dovranno essere ripensati per includere non solo il controllo umano sui processi, ma anche forme di audit tecnico sulle decisioni automatizzate, con strumenti di tracciabilità, registrazione e validazione degli output. Sarà necessario prevedere presidi sulla qualità dei dataset, la separazione tra chi sviluppa e chi controlla il codice, l’implementazione di meccanismi di alert automatici in caso di anomalie, e la predisposizione di registri degli algoritmi adottati nei processi aziendali. Tali strumenti rappresentano l’evoluzione del concetto stesso di “protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente”, richiamato dall’art. 6, comma 2, lett. b) del decreto.
Contabilità
Buste paga
L’importanza della formazione
A tutto ciò si aggiunge la necessità di rafforzare la cultura organizzativa sul rischio tecnologico: dalla formazione continua del personale, alla creazione di comitati etici interni o alla nomina di un responsabile IA, passando per il coinvolgimento diretto del top management nei processi decisionali ad alto rischio algoritmico. La governance dell’IA dovrà diventare parte integrante della compliance aziendale, alla pari dei tradizionali presidi contabili, contrattuali o antifrode. È tempo che le imprese si dotino non solo di firewall e antivirus, ma anche di vere e proprie barriere culturali: audit multidisciplinari, dialogo costante tra legal, compliance, IT e vertici aziendali, selezione accurata degli organi di controllo e adeguamento dei modelli di formazione a una nuova realtà in cui il rischio non è più solo umano, ma computazionale.
MOG e AI, le conseguenze
L’ente che ignora, delega o tace di fronte all’utilizzo di sistemi automatizzati, espone sé stesso alla responsabilità ex D.Lgs. 231/2001. Quando il reato è commesso nell’ambito della relazione organica tra soggetto agente e struttura, ed è stato agevolato da un uso improprio o incontrollato dell’intelligenza artificiale, la responsabilità si estende anche all’organizzazione che non ha saputo prevedere, contenere o contrastare il rischio. La colpa di organizzazione si evolve: non è più (solo) l’omissione di controllo sul comportamento umano, ma anche l’assenza di presidi tecnici, documentali e formativi sul funzionamento e l’utilizzo dell’intelligenza artificiale. L’algoritmo, in sé, non può delinquere, ma può diventare strumento di reato; ed è l’ente, come suo utilizzatore consapevole o negligente, a doverne rispondere.
La compliance non è più solo giuridica. È – a pieno titolo – digitale.
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Visita il sito e gli articoli pubblicati cliccando sul seguente link
