Intelligenza artificiale e responsabilità degli enti: perché i Modelli 231 devono evolvere

L’intelligenza artificiale non rappresenta più una prospettiva futura, ma una realtà già presente nei processi aziendali. Dall’automazione delle attività operative ai sistemi di supporto alle decisioni, fino agli strumenti generativi utilizzati nelle funzioni commerciali, amministrative e legali, le imprese stanno progressivamente integrando tecnologie basate sull’AI all’interno della propria organizzazione.

In questo contesto, l’approvazione preliminare dei primi decreti attuativi della Legge n. 132/2025 segna un passaggio particolarmente significativo. Le nuove disposizioni si propongono infatti di disciplinare i rischi connessi all’utilizzo dell’intelligenza artificiale, prevedendo anche interventi destinati a incidere sul sistema della responsabilità amministrativa degli enti di cui al D.Lgs. 231/2001.

Il tema merita attenzione non soltanto per l’eventuale ampliamento del catalogo dei reati presupposto. La vera sfida riguarda la capacità dell’attuale sistema di compliance di confrontarsi con tecnologie che introducono nuove modalità di produzione del rischio e nuove complessità nella ricostruzione delle responsabilità. Il modello delineato dal D.Lgs. 231/2001 si fonda, infatti, su presupposti tradizionalmente riferiti all’azione umana: la commissione di un reato da parte di soggetti apicali o sottoposti, l’interesse o il vantaggio dell’ente e la cosiddetta “colpa di organizzazione”, intesa come insufficienza dei presidi di prevenzione e controllo. L’impiego di sistemi di intelligenza artificiale pone però interrogativi inediti. Come deve essere valutata una decisione influenzata da un algoritmo? Quale rilevanza assume la scarsa trasparenza di alcuni modelli di AI? In che misura un ente può essere chiamato a rispondere per danni o illeciti derivanti dall’utilizzo di strumenti che operano con elevati livelli di autonomia? E, soprattutto, quali misure organizzative devono essere adottate affinché l’azienda possa dimostrare di aver esercitato un controllo adeguato?

La risposta non può essere ricercata esclusivamente nella tecnologia. Il punto centrale resta l’organizzazione aziendale. Come accaduto negli anni per la cybersecurity, la protezione dei dati personali e la sostenibilità, anche l’intelligenza artificiale richiede oggi l’integrazione di specifici presidi nei sistemi di governance e nei modelli di controllo interno. La conformità normativa non si esaurisce nell’adozione di procedure formali, ma richiede una concreta capacità di individuare, valutare e gestire i rischi connessi all’utilizzo dell’AI.

Per questa ragione, molte imprese saranno chiamate a rivedere le proprie mappature dei rischi e, conseguentemente, ad aggiornare i Modelli 231. L’analisi dovrà considerare non solo i processi nei quali vengono impiegati sistemi di intelligenza artificiale, ma anche le modalità di selezione, implementazione, supervisione e monitoraggio di tali strumenti.

Tra le misure che assumono particolare rilevanza si possono individuare:

• la definizione di una governance dedicata ai sistemi di AI, con ruoli e responsabilità chiaramente attribuiti;

• la mappatura degli strumenti utilizzati e delle relative finalità operative;

• la valutazione preventiva dei rischi giuridici, reputazionali e operativi associati ai diversi casi d’uso;

• l’adozione di procedure di controllo e verifica sull’affidabilità dei sistemi impiegati;

• la tracciabilità delle decisioni e dei processi supportati dall’intelligenza artificiale;

• la formazione del personale coinvolto nell’utilizzo degli strumenti AI;

• la garanzia di una supervisione umana effettiva nelle attività maggiormente sensibili.

In questa prospettiva, il Modello 231 è destinato a evolversi ulteriormente, confermandosi non come un mero adempimento documentale, ma come uno strumento dinamico di gestione del rischio. L’intelligenza artificiale sta modificando profondamente il modo in cui le imprese operano e assumono decisioni. Parallelamente, sta imponendo una riflessione sulla tenuta dei sistemi di controllo e sulla capacità delle organizzazioni di governare tecnologie sempre più sofisticate.

Per le aziende, il tema non riguarda soltanto l’innovazione. Riguarda la responsabilità, la governance e la capacità di dimostrare che l’adozione dell’intelligenza artificiale avviene all’interno di un quadro di regole, controlli e presidi adeguati.

È su questo terreno che, nei prossimi anni, si misurerà una parte significativa dell’efficacia dei Modelli 231.