1. Introduzione: AI, diritto penale e responsabilità 231
L’intelligenza artificiale (IA) non è soggetto di diritto e, in quanto tale, non può essere considerata penalmente responsabile. Tuttavia, le condotte poste in essere tramite algoritmi e sistemi di AI possono integrare fattispecie di reato e, soprattutto, determinare la responsabilità amministrativa degli enti ex d.lgs. 231/2001.
La questione centrale non è se “l’algoritmo possa delinquere”, ma come l’impiego dell’IA da parte di società e organizzazioni possa configurare condotte penalmente rilevanti, generando rischi che – se non governati – si traducono in colpa di organizzazione.
2. L’immedesimazione organica rafforzata e i reati-strumento dell’IA
Quando un reato viene commesso nell’interesse o a vantaggio dell’ente da un soggetto apicale o subordinato, opera il meccanismo dell’immedesimazione organica “rafforzata”.
In tale prospettiva, l’ente risponde non tanto perché “colpevole in sé”, ma per non aver predisposto strumenti idonei a prevedere, prevenire o contenere i rischi connessi all’uso di tecnologie avanzate.
Esempi di possibili reati-strumento commessi tramite algoritmi includono:
reati societari e finanziari: generazione automatica di bilanci falsi, manipolazioni di mercato (pump and dump, wash trading); reati contro la pubblica amministrazione: automatizzazione di pratiche mendaci e richieste fraudolente; reati ambientali: alterazione di dati sulle emissioni; reati in materia di sicurezza sul lavoro: incidenti derivanti da robot industriali “intelligenti” ma mal programmati.
Il punto critico è che tali condotte possono risultare più rapide, pervasive e difficili da intercettare rispetto a quelle commesse da un soggetto umano.
3. I protocolli 231 e la nascita degli “AI Governance Protocol”
L’art. 6, comma 2, lett. b), del d.lgs. 231/2001 impone l’adozione di protocolli diretti a programmare e attuare decisioni aziendali in relazione ai reati da prevenire.
Con l’avvento dell’IA, emerge la necessità di una nuova declinazione: gli “AI Governance Protocol”, che dovranno integrare principi etici, cautele tecnologiche e presidi organizzativi.
Tra gli strumenti essenziali si segnalano:
registri degli algoritmi e tracciabilità delle decisioni automatizzate; audit tecnici periodici e mappature del rischio tecnologico; sistemi di alert automatici per anomalie operative; separazione di funzioni tra sviluppatori e controllori; controllo ex post sulle decisioni algoritmiche.
Questi presidi, se inseriti nei Modelli 231, possono costituire esimenti o attenuanti in caso di contestazione.
4. Le novità normative: dal disegno di legge nazionale all’AI Act europeo
Il legislatore italiano e quello europeo stanno accelerando la regolamentazione dell’intelligenza artificiale.
Disegno di legge italiano (2025): approvato dal Senato il 20 marzo 2025 e modificato dalla Camera il 25 giugno 2025, introduce: aggravanti specifiche per reati commessi tramite AI (es. aggiotaggio e manipolazione del mercato); nuove fattispecie, come la diffusione di contenuti deepfake (art. 613-quater c.p.); incriminazione dello scraping abusivo e del data mining illecito. AI Act europeo: già parzialmente in vigore, vieta pratiche ad alto rischio (es. social scoring, sorveglianza biometrica in tempo reale) e impone obblighi stringenti alle imprese che adottano sistemi di AI ad alto impatto. Le sanzioni previste sono particolarmente severe, con l’obiettivo di armonizzare la governance tecnologica nel mercato unico.
5. Colpa di organizzazione e barriere culturali
Se l’ente ignora i rischi, delega senza controlli o si limita ad adottare protocolli formali privi di effettività, si configura la colpa di organizzazione.
Prevenire significa dunque programmare, non solo in senso tecnico ma anche culturale.
Le imprese dovranno adottare:
formazione continua per personale e management; audit multidisciplinari congiunti tra compliance, IT e risk management; dialogo costante tra organi di controllo e top management; criteri rigorosi di selezione per collegi sindacali e organismi di vigilanza.
In definitiva, non è l’algoritmo a delinquere, ma l’ente che lo sceglie e lo utilizza senza adeguati presidi.
6. Conclusioni: verso una responsabilità penale “algoritmica” degli enti
Il binomio AI e responsabilità penale degli enti rappresenta una delle sfide più delicate del diritto contemporaneo.
Se da un lato l’IA può potenziare l’efficienza delle organizzazioni, dall’altro espone a rischi penalmente rilevanti che impongono un ripensamento dei Modelli 231 e un’integrazione di protocolli tecnologici avanzati.
La compliance algoritmica non è più una scelta facoltativa, ma un obbligo strategico e giuridico: solo anticipando i rischi e governando la complessità tecnologica le imprese potranno evitare di trasformare l’innovazione in responsabilità penale.
*****************
Lo Studio Legale Bonanni Saraceno è specializzato nell’implementazione dei Modelli di Organizzazione, Gestione e Controllo (Modelli 231) con particolare riferimento alla responsabilità legata all’intelligenza artificiale. Forte di una consolidata esperienza in diritto penale dell’economia e compliance, lo studio supporta le imprese nella definizione di protocolli innovativi e integrati, quali i “AI Governance Protocol”, indispensabili per la gestione del rischio tecnologico e l’adeguamento alla normativa nazionale ed europea. Pertanto, per ulteriori approfondimenti su questo tema o sulle relative implicazioni pratiche potete contattare:
STUDIO LEGALE BONANNI SARACENO
Avv. Fabrizio Valerio Bonanni Saraceno
Piazza Giuseppe Mazzini, 27 – 00195 – Roma
Tel. +39 0673000227
Cell. +39 3469637341
@: avv.bonanni.saraceno@gmail.com
