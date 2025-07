Nel labirinto sempre più intricato della compliance aziendale, l’intelligenza artificiale entra oggi a pieno titolo tra i fattori di rischio giuridico-organizzativo. Se è vero che il D.Lgs. 231/2001 ha segnato una svolta nella responsabilità degli enti, è altrettanto vero che il contesto tecnologico odierno impone un aggiornamento del modello organizzativo e gestionale: non basta più mappare i rischi classici, occorre ripensare l’intero impianto alla luce delle nuove sfide introdotte dall’IA. Ecco perché si parla sempre più spesso – e giustamente – di integrazione tra AI governance e Modello 231. Il volume “Ai Act – Principi, regole ed applicazioni pratiche del Reg. UE 1689/2024”, disponibile sullo Shop Maggioli e su Amazon, si propone di rispondere proprio a queste sfide, offrendo ai professionisti del diritto un quadro completo e aggiornato delle nuove responsabilità giuridiche legate all’uso dell’Intelligenza Artificiale. Per approfondire il tema, ti consigliamo il Master in Intelligenza Artificiale per imprese, professionisti e avvocati – II edizione.

1. Dall’algoritmo al reato presupposto: nuovi scenari di rischio

L’intelligenza artificiale, soprattutto se impiegata in ambiti decisionali (selezione del personale, pricing, profilazione, gestione documentale, controllo di qualità), espone l’ente a responsabilità indirette ma concrete. Pensiamo a un algoritmo che discrimini in fase di assunzione o che, a causa di un bias, generi decisioni commerciali dannose: il confine tra errore tecnico e colpa organizzativa può farsi labile. La presenza di una “macchina” non esclude la responsabilità dell’ente, anzi, la rafforza se manca una supervisione umana adeguata.

Diverse ipotesi di reato presupposto possono oggi legarsi all'uso improprio o negligente dell'IA: violazioni in materia di sicurezza sul lavoro (art. 25-septies), reati informatici (art. 24-bis), trattamento illecito di dati personali (art. 24), fino ad arrivare alle frodi commerciali e ai reati contro la pubblica amministrazione. L'elenco è in espansione, e il principio di adattabilità del Modello 231 impone un aggiornamento strutturato.

2. Risk assessment evolutivo e protocolli per l’Intelligenza Artificiale

Un Modello 231 aggiornato deve innanzitutto prevedere un risk assessment specifico per le tecnologie IA. Questo significa: mappare tutti i processi aziendali che utilizzano, sviluppano o integrano soluzioni IA;

individuare i rischi correlati a ciascun uso (es. rischio di discriminazione, errata classificazione, esposizione a manipolazioni);

definire protocolli operativi dedicati: chi può sviluppare modelli? Chi li convalida? Quali verifiche di trasparenza, robustezza e accountability vengono effettuate? Questi protocolli devono essere documentati, aggiornati e accessibili, per consentire un monitoraggio continuo e verificabile, anche in sede ispettiva o giudiziaria.

3. L’Organismo di Vigilanza: servono nuove competenze

L’OdV, per svolgere efficacemente il proprio ruolo, deve oggi acquisire competenze interdisciplinari. Accanto alla preparazione giuridica, è necessaria una sensibilità tecnica: capire come funziona un algoritmo, come si addestra un modello, quali sono gli indici di rischio AI-driven. Questo non significa che i membri dell’OdV debbano essere data scientist, ma che la funzione di vigilanza deve sapersi confrontare con i tecnici, comprendere report e audit, cogliere segnali anomali.

È quindi auspicabile, ove non già presente, l’introduzione di un esperto tecnologico o la collaborazione stabile con consulenti esterni, in grado di fornire supporto su valutazioni di impatto, red teaming, tracciabilità dei dataset, audit di terza parte.

4. Formazione e cultura interna: l’ingrediente spesso sottovalutato

La compliance non è solo un documento in un cassetto. Per essere efficace, il Modello 231 deve vivere nell’organizzazione. E l’IA, proprio per la sua pervasività, deve diventare oggetto di formazione obbligatoria, soprattutto per: soggetti apicali;

team di sviluppo e IT;

direzione HR e compliance;

fornitori e partner tecnologici. Oltre alla formazione, è essenziale sviluppare una cultura del dubbio e della segnalazione: canali interni, audit etici, momenti di confronto tra funzioni aziendali. La cultura dell’IA responsabile non nasce da sola: va costruita con metodo.



5. Governance AI e modello 231: un’architettura comune

L’integrazione tra Modello 231 e governance dell’IA richiede un approccio strutturato. Un framework efficace potrebbe seguire il modello delle tre linee difensive: Prima linea : i team operativi che sviluppano o utilizzano l’IA implementano direttamente le misure di controllo;

: i team operativi che sviluppano o utilizzano l’IA implementano direttamente le misure di controllo; Seconda linea : il sistema compliance/231, che monitora i processi, verifica le misure e coordina l’OdV;

: il sistema compliance/231, che monitora i processi, verifica le misure e coordina l’OdV; Terza linea: audit interni o esterni, revisori, certificatori, che offrono garanzia e accountability indipendente. Questo assetto consente una sorveglianza multilivello, capace di cogliere i segnali deboli e reagire in modo tempestivo, evitando escalation che potrebbero sfociare in profili di responsabilità penale dell’ente.

6. Conclusioni: la compliance 231 diventa digitale

L’intelligenza artificiale cambia le regole del gioco. Chi pensa che il Modello 231 sia solo un adempimento documentale, rischia di trovarsi con uno strumento obsoleto in un contesto che richiede flessibilità, aggiornamento costante e visione sistemica.

Integrare l’AI nel MOG 231 non è solo un atto prudente: è un investimento in resilienza legale e reputazione. Le imprese che sapranno dotarsi di un modello organizzativo evoluto, capace di governare anche l’intelligenza artificiale, avranno non solo una tutela preventiva, ma anche un vantaggio competitivo: nei rapporti con le PA, negli appalti, nei confronti con le autorità, nei mercati internazionali.

Perché la responsabilità non è solo una questione di colpa: è anche, e soprattutto, una questione di scelta. E scegliere di governare l’IA, oggi, significa proteggere il domani.

