impatti decisivi per i Modelli 231


Il rapporto tra AI e 231 entra in una nuova fase regolatoria. Lo schema di decreto legislativo approvato in via preliminare dal Consiglio dei Ministri il 10 giugno 2026, nel percorso di attuazione nazionale dell’AI Act e della legge n. 132/2025, interviene anche sul sistema della responsabilità degli enti.

Il testo, non ancora definitivo, prevede l’introduzione nel D.Lgs. 231/2001 del nuovo art. 25-vicies, dedicato ai reati commessi con l’uso di sistemi di Intelligenza Artificiale.

Si tratta di un passaggio rilevante per imprese, enti e organizzazioni complesse, perché l’utilizzo professionale dell’IA potrebbe incidere direttamente su risk assessment, Modelli 231, protocolli interni, controlli, deleghe, responsabilità organizzative e formazione del personale.

 

AI e 231: perché lo schema di D.Lgs. è rilevante

Il tema AI e 231 non riguarda soltanto l’introduzione di nuove fattispecie nel catalogo dei reati presupposto.

La questione è più ampia: l’Intelligenza Artificiale diventa un fattore organizzativo e di rischio da presidiare all’interno dei processi aziendali, soprattutto quando i sistemi sono impiegati in ambiti sensibili o qualificati come ad alto rischio.

In questa prospettiva, l’eventuale aggiornamento del D.Lgs. 231/2001 richiederà agli enti di interrogarsi non solo sull’uso degli strumenti di IA, ma anche sulle misure adottate per governarne funzionamento, controllo, sicurezza e tracciabilità.

 

Nuovo art. 25-vicies nel D.Lgs. 231/2001

Il primo elemento da considerare è la prevista introduzione del nuovo art. 25-vicies nel D.Lgs. 231/2001.

La disposizione, secondo lo schema, riguarderebbe i reati commessi con l’uso di sistemi di Intelligenza Artificiale e amplierebbe il catalogo dei reati presupposto della responsabilità amministrativa degli enti.

Per le organizzazioni, questo comporterebbe la necessità di verificare se e come i processi aziendali impieghino sistemi di IA, quali funzioni siano coinvolte, quali rischi possano derivarne e quali presidi siano già presenti nei Modelli di Organizzazione, Gestione e Controllo.

 

Sistemi AI ad alto rischio e misure di sicurezza

Un secondo profilo riguarda i sistemi di IA ad alto rischio.

Lo schema prevede una nuova fattispecie penale riferita all’omessa adozione o all’omesso adeguamento di misure tecniche idonee a prevenire malfunzionamenti o alterazioni del funzionamento dei sistemi AI ad alto rischio, nonché all’omissione di misure di sorveglianza.

Il tema assume particolare rilievo nei contesti in cui l’IA viene utilizzata a livello professionale in processi ad alto impatto, nei quali un malfunzionamento può generare conseguenze significative per persone, sicurezza o interessi pubblici.

Per gli enti, ciò significa rafforzare i presidi su valutazione del rischio, documentazione tecnica, responsabilità interne, sorveglianza umana, controlli periodici e gestione delle anomalie.

 

Deepfake e diffusione illecita di contenuti generati con IA

Il terzo impatto riguarda i contenuti generati o alterati con sistemi di Intelligenza Artificiale.

Lo schema richiama anche la nuova fattispecie relativa alla diffusione illecita di immagini, video o voci alterati mediante IA, senza il consenso della persona interessata e con danno per la stessa.

Il fenomeno dei deepfake non rileva soltanto sul piano penalistico o reputazionale. Può incidere anche sui processi aziendali di comunicazione, marketing, gestione delle immagini, utilizzo di strumenti generativi, cyber risk, tutela dei dati personali e prevenzione delle condotte abusive.

Per questo motivo, l’adozione di policy interne sull’uso dell’IA generativa diventa sempre più importante.

 

Aggiornamento del risk assessment 231

Se il testo sarà confermato, il rapporto tra AI e 231 imporrà un aggiornamento del risk assessment.

Le imprese dovranno mappare i processi in cui vengono utilizzati sistemi di IA, distinguendo tra strumenti interni, soluzioni acquistate da fornitori, sistemi integrati in piattaforme aziendali e applicazioni utilizzate dalle singole funzioni.

Una corretta valutazione dovrebbe considerare almeno:

  • tipologia di sistemi AI utilizzati;
  • ambiti aziendali coinvolti;
  • livello di rischio dei sistemi;
  • soggetti responsabili dell’adozione e del controllo;
  • misure tecniche e organizzative implementate;
  • procedure di escalation in caso di anomalie;
  • rapporti con fornitori e terze parti;
  • formazione degli utenti;
  • tracciabilità delle decisioni e degli output;
  • coordinamento con privacy, cybersecurity e compliance.

 

Modelli 231, controlli interni e formazione

L’evoluzione normativa conferma che i Modelli 231 devono essere strumenti dinamici, capaci di intercettare nuovi rischi derivanti dall’innovazione tecnologica.

Il possibile ingresso dei reati connessi all’uso di sistemi di IA nel catalogo 231 richiederà un coordinamento tra Organismo di Vigilanza, compliance, legale, IT, cybersecurity, data protection, risk management, HR e funzioni di business.

Non sarà sufficiente inserire un riferimento formale all’Intelligenza Artificiale nel Modello 231. Sarà necessario valutare l’effettiva esposizione dell’ente, aggiornare protocolli e procedure, definire ruoli e responsabilità, prevedere controlli documentabili e promuovere formazione mirata.

 

AI governance e responsabilità organizzativa

Il punto centrale è che l’IA non può essere trattata come un semplice strumento operativo.

Quando un sistema algoritmico viene utilizzato per progettare, produrre, valutare, classificare, decidere, comunicare o automatizzare processi rilevanti, l’organizzazione deve essere in grado di dimostrare di aver adottato presidi adeguati.

Da qui nasce il collegamento tra AI e 231: la responsabilità dell’ente potrebbe dipendere dalla capacità di prevenire condotte illecite attraverso assetti organizzativi coerenti, controlli effettivi e una chiara attribuzione delle responsabilità.

 

Cosa devono fare imprese ed enti

In attesa dell’iter definitivo dello schema di decreto legislativo, imprese ed enti possono già avviare alcune attività preparatorie.

Il primo passaggio consiste nella mappatura degli strumenti di IA utilizzati o in fase di adozione. Il secondo riguarda la valutazione del rischio, con particolare attenzione ai sistemi ad alto rischio e agli strumenti generativi. Il terzo consiste nel coordinamento tra Modello 231, policy AI, privacy, cybersecurity, contratti con i fornitori, controlli interni e formazione.

Il tema non è solo normativo. È organizzativo, tecnologico e culturale.

 

Formazione Paradigma

L’evoluzione della disciplina sull’Intelligenza Artificiale richiede a imprese ed enti una valutazione puntuale dei rischi organizzativi, tecnologici e di responsabilità. Paradigma propone percorsi formativi dedicati ad AI governance, D.Lgs. 231/2001, compliance, data protection e controlli interni, per supportare professionisti e organizzazioni nell’adeguamento ai nuovi scenari regolatori.

Paradigma segue l’evoluzione della disciplina sull’Intelligenza Artificiale e i suoi impatti su compliance, responsabilità degli enti, governance digitale, data protection e controlli interni.

Per approfondire il rapporto tra AI e 231, l’aggiornamento dei Modelli 231, la gestione dei rischi connessi all’Intelligenza Artificiale e i nuovi obblighi organizzativi, Paradigma propone iniziative formative dedicate a imprese, professionisti, enti e Pubbliche Amministrazioni.

Scopri tutte le nostre iniziative in programma


#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
 Alessandro

Source link

Di