L’introduzione dell’intelligenza artificiale (IA) nei processi aziendali impone una profonda revisione dei Modelli di Organizzazione, Gestione e Controllo ex d.lgs. 231/2001. Le tecnologie basate su IA, infatti, se da una parte rappresentano utili strumenti di supporto dell’attività lavorativa, dall’altra parte possono anche trasformarsi in mezzi insidiosi per la commissione di illeciti previsti dal d.lgs. 231/2001. Si pensi alle seguenti casistiche: i reati informatici agevolati o direttamente commessi tramite tecnologie basate sull’IA (ad esempio, l’accesso abusivo a sistemi informatici o telematici o il danneggiamento di sistemi informatici); i reati di riciclaggio e autoriciclaggio commessi per mezzo di strumenti automatizzati che rendano più difficile il tracciamento delle operazioni; le le violazioni della proprietà intellettuale consistente nell’utilizzo illecito di opere protette da diritto d’autore (i.e. testi, immagini, ecc.) per l’addestramento di modelli di intelligenza artificiale o nella riproduzione, comunicazione al pubblico o diffusione online non autorizzata, attraverso tecnologie di IA, di opere dell’ingegno tutelate; al trattamento illecito di dati personali realizzato tramite raccolta massiva di dati o profilazione automatizzata degli interessati.
In questo scenario assolutamente attuale, ecco che l’AI Act (Regolamento UE 2024/1689) e il corrispondente disegno di legge attuativo (atto Senato n. 1146) – attualmente in corso di approvazione (Atto Camera n. 2316) – apportano rilevanti novità normative che ampliano il sistema sanzionatorio penale e, di conseguenza, il panorama de rischi da presidiare in ottica 231.
Il DDL interviene innanzitutto inserendo nel codice penale l’art. 61 n. 11-decies, che prevede una nuova circostanza aggravante comune applicabile a tutti i reati (e quindi anche i reati compresi nel c.d. “catalogo 231”), qualora il reato sia commesso “mediante l’impiego di sistemi di intelligenza artificiale, quando gli stessi, per la loro natura o modalità d’uso, questi abbiano costituito un mezzo insidioso, abbiano ostacolato le attività di difesa (pubblica o privata), oppure abbiano aggravato le conseguenze del reato”. La riforma prevede inoltre circostanze aggravanti specifiche per i reati di aggiotaggio (artt. 2637 cod. civ. e 25-ter d.lgs. 231/2001) e manipolazione del mercato (artt. 185 TUF e 25-sexies d.lgs. 231/2001) se realizzati attraverso l’impiego di sistemi di IA.
Il DDL ha inoltre introdotto ex novo due reati: “illecita diffusione di contenuti generati o alterati con sistemi di intelligenza artificiale” (art. 612-quater cod. pen.) e la riproduzione o estrazione di testi o dati da opere o materiali disponibili in rete o da banche dati, in violazione delle eccezioni consentite dagli artt. 70-ter e 70-quater, anche tramite sistemi di intelligenza artificiale (art. 171 L. 633/1941, co. 1, lett. a-ter). La ultima norma punisce con la reclusione da uno a cinque anni “chiunque cagiona un danno ingiusto ad una persona, cedendo, pubblicando o altrimenti diffondendo, senza il suo consenso, immagini, video o voci falsificati o alterati mediante l’impiego di sistemi di intelligenza artificiale e idonei a indurre in inganno sulla loro genuinità”.
La prima fattispecie presa in considerazione si riferisce, di fatto, al c.d. “deep fake” creato allo scopo di creare un pregiudizio, così come definito dall’art. 3 dell’AI Act: “un’immagine o un contenuto audio o video generato o manipolato dall’IA che assomiglia a persone, oggetti, luoghi, entità o eventi esistenti e che apparirebbe falsamente autentico o veritiero a una persona”. La seconda invece riguarda l’uso improprio dell’IA nei processi di scraping e text/data mining non autorizzati effettuati su larga scala e con modalità tali da eludere i controlli.
Occorre sottolineare che, in base all’attuale formulazione del DDL, tali reati non sono idonei a fondare la responsabilità degli enti ai sensi del d.lgs. 231/2001, mancando qualsiasi disposizione espressa in merito al loro inserimento nel catalogo dei reati presupposto previsti rispettivamente dall’art. 25-novies d.lgs. 231/1001 (reati contro il diritto d’autore) e dall’art. 25-quinquies (reati contro la personalità individuale).
Invece un reato già contemplato nel d.lgs. 231/2001e che potrebbe trarre, dalla riforma, un maggior impulso applicativo, è quello previsto dall’art. 171-ter della L. 633/1941. Poiché l’art. 25 co. 1 lett. a) del DDL include nella definizione di “opera dell’ingegno” di cui all’art. 1 della legge sul diritto d’autore anche quelle realizzate grazie all’IA, ricadranno nell’ambito di applicazione dell’art. 171-ter e dell’art. 25-novies d.lgs. 231/2001 anche le condotte aventi ad oggetto la duplicazione, la diffusione o la riproduzione abusiva a fini di lucro di opere create con l’ausilio o il supporto di sistemi di intelligenza artificiale.
Alla luce di tali imminenti novità legislative, gli enti destinatari della normativa 231 dovranno valutare, a seconda dei concreti rischi presenti nella propria organizzazione, l’implementazione delle seguenti misure di compliance:
In conclusione, il DDL sull’IA e l’AI Act delineano un nuovo scenario di responsabilità per gli enti, imponendo una compliance evoluta e una gestione consapevole dei rischi tecnologici. Aggiornare tempestivamente i Modelli 231 non sarà più solo un’opportunità di tutela, ma una necessità ove si voglia garantire la piena conformità alle nuove disposizioni di legge e prevenire l’insorgenza di responsabilità ai sensi del d.lgs. 231/2001.