Il profilo della responsabilità dell’impresa ai sensi del d.lgs. 231/2001 assume rilevanza anche nel caso di adozione di sistemi di intelligenza artificiale. Come noto, questa normativa evidenzia come il rischio non sia più confinato alla condotta della persona fisica, ma si radichi altresì nei processi organizzativi dell’azienda.
L’articolo 5 del d.lgs. 231/2001 prevede infatti che l’impresa risponda dei reati commessi “nel suo interesse o a suo vantaggio” dai propri soggetti apicali. In questa direzione si colloca altresì l’intervento normativo del legislatore europeo, con l’adozione dell’AI Act (Regolamento UE 2024/1689), nonché del legislatore nazionale con la Legge n. 132/2025.
Pur non introducendo in modo sistematico nuovi reati presupposto ai sensi del d.lgs. 231/2001, i suddetti interventi rafforzano il principio della supervisione umana, della tracciabilità e della responsabilizzazione degli operatori. E ciò anche quando i reati siano commessi con l’ausilio di sistemi di intelligenza artificiale, considerato che la AI ha reso più agevole la commissione di reati e illeciti già rilevanti – come truffa, manipolazione del mercato, diffusione di informazioni false, reati informatici, trattamento illecito di dati personali, ecc. – aumentando la capacità diffusiva e l’impatto delle condotte.
In questo contesto, il “Modello 231” non può più essere considerato statico, ma deve essere aggiornato in modo sostanziale e periodico anche al fine di recepire le novità correlate all’evoluzione delle tecnologie.
Ne deriva che l’impresa è oggi chiamata a mappare anche i rischi connessi all’utilizzo dell’AI nei propri processi – che si tratti di utilizzo per attività di marketing, gestione amministrativa o processi produttivi – e a introdurre protocolli idonei a prevenire usi illeciti o distorti.
Un elemento centrale è rappresentato dalla formazione: l’AI Act – a cui offre una sponda la stessa Legge n. 132/2025 – introduce un vero e proprio obbligo di alfabetizzazione sull’intelligenza artificiale, imponendo che i soggetti che utilizzano detta tecnologia siano adeguatamente formati e resi consapevoli dei rischi che da essa possano derivare.
Sul piano del d.lgs. 231/2001, questo si traduce nella necessità di adottare policy interne, avviare programmi di formazione del personale e svolgere controlli effettivi, con obbligo dell’Organismo di Vigilanza di verificare non solo la conformità formale, ma anche l’effettività dei presidi introdotti ai sensi della normativa menzionata.