La riforma impone alle aziende un aggiornamento dei propri modelli organizzativi
I reati IA entrano nella legge 231. Responsabilità penale della società causata dall'algoritmo.
Previste aggravanti specifiche per reati commessi mediante IA
I reati compiuti utilizzando l’Intelligenza artificiale entrano nella responsabilità della società. Con l’approvazione del disegno di legge sull’intelligenza artificiale, l’uso dell’IA per finalità illecite assume un rilievo penalmente significativo anche sotto il profilo della responsabilità degli enti. Il nuovo quadro normativo prevede aggravanti specifiche per reati commessi mediante sistemi intelligenti, con effetti diretti sulla disciplina della responsabilità degli enti ai sensi del D.Lgs. 231/2001 (“231”), imponendo, quindi, alle imprese un aggiornamento sostanziale dei propri Modelli di Organizzazione, Gestione e Controllo (MOG). La novità più rilevante è l’introduzione dell’aggravante comune di cui all’art. 61 n. 11-decies c.p., applicabile a ogni reato commesso con l’ausilio dell’intelligenza artificiale qualora essa ne abbia amplificato gli effetti, ostacolato la difesa o rappresentato uno strumento particolarmente insidioso. Tale previsione ha effetti diretti sulla mappatura dei rischi 231: le società dovranno individuare i processi automatizzati critici, documentare le logiche algoritmiche utilizzate e implementare adeguate misure di contenimento.
Accanto a questa, sono previste aggravanti specifiche per reati già inclusi nel catalogo dei reati presupposto 231, come l’aggiotaggio (art. 2637 c.c.) e la manipolazione del mercato (art. 185 TUF), se agevolati da strumenti IA. Anche se alcune circostanze aggravanti originariamente proposte per i reati di riciclaggio sono state rimosse, l’aggravante comune manterrà un campo d’applicazione molto ampio, specie nei settori digitali e finanziari.
Ma non solo. Il disegno di legge introduce nuove fattispecie autonome che, sebbene non ancora inserite tra i reati presupposto 231, potrebbero esserlo in futuro: dalla diffusione illecita di contenuti deepfake (art. 613-quater c.p.) alle violazioni del diritto d’autore tramite scraping o data mining automatizzato (art. 171 L. 633/1941).
In prospettiva, la delega al Governo contenuta nel DDL potrebbe portare all’inserimento tra i reati presupposto anche di violazioni del Regolamento UE 2024/1689 (AI Act), a esempio nei casi di utilizzo o commercializzazione di sistemi IA vietati, come quelli basati su social scoring, identificazione biometrica in tempo reale o manipolazione subliminale. Il punto di svolta sta nel fatto che l’algoritmo non è soggetto di diritto, ma può diventare strumento di reato, rendendo l’ente penalmente responsabile se l’illecito è commesso da un soggetto apicale o subordinato nell’interesse o a vantaggio dell’organizzazione. È qui che si manifesta una forma rafforzata di immedesimazione organica: non è l’IA a delinquere, ma chi l’ha progettata, adottata o impiegata senza presidi adeguati.
Pensiamo a scenari concreti: un sistema IA può generare bilanci falsati, ottimizzare strategie di manipolazione di mercato (es. pump and dump, wash trading [1]), o persino, se integrato in robot industriali, causare incidenti mortali, con responsabilità ex art. 589 c.p. e conseguente imputazione all’ente ai sensi del D.Lgs. 231/2001, qualora ne abbia tratto un vantaggio in termini di efficienza produttiva o riduzione dei costi.
In tale contesto, i MOG dovranno prevedere protocolli specifici - veri e propri AI Governance Protocol - in grado di mappare il rischio algoritmico e presidiare le decisioni automatizzate. Non bastano più policy generiche o codici etici: servono registri degli algoritmi, sistemi di audit tecnico, flag automatici, tracciabilità delle modifiche, separazione tra sviluppatori e validatori, analisi dei dataset e misure correttive in caso di malfunzionamenti. A ciò si aggiunge l’obbligo di formare costantemente il personale, coinvolgere il top management, integrare i comitati etici o figure tecniche specializzate, e – dove necessario – adottare standard certificabili (come la ISO/IEC 42001) per la gestione responsabile dell’intelligenza artificiale.
L’evoluzione normativa impone un salto culturale: non è più sufficiente delegare, ignorare o tacere. La colpa di organizzazione, già prevista dall’art. 6, comma 2, lett. b), si declina oggi anche sul piano digitale. La compliance 231, per restare efficace, dovrà evolvere in chiave tecnica, giuridica e tecnologica.
Articolo di Mariagiusy Portogallo e Carlo Cunto - Studio legale Qlt Law&Tax - Italia Oggi 19/07/2025
[1] Con il termine Pump & dump (tradotto "pompa e sgonfia") ci si riferisce ad una tipologia di frode che consiste nel far lievitare artificialmente il prezzo di un'azione a bassa capitalizzazione con l'obiettivo finale di vendere titoli azionari acquistati a buon mercato ad un prezzo superiore.
Il wash trading è una forma di manipolazione del mercato in cui gli investitori acquistano e vendono contemporaneamente lo stesso prodotto finanziario. Questa pratica è vietata dalle nostre autorità di regolamentazione.