AI governance e 231: come cambia la responsabilità delle imprese

I più recenti interventi normativi, a livello nazionale ed europeo, hanno progressivamente definito un quadro di riferimento volto ad accompagnare le imprese nella gestione consapevole dell’AI, offrendo criteri e principi per orientarne l’integrazione nei processi organizzativi. Se è, infatti, innegabile l’adozione strutturale e ubiquitaria della tecnologia nelle dinamiche produttive e decisionali, la vera sfida oggi è la sua governabilità; il cambio di paradigma necessario per produrre, nelle organizzazioni, un’evoluzione culturale e gestionale, capace di assicurare presidio, trasparenza e tracciabilità degli strumenti algoritmici. L’attenzione non può limitarsi alla conformità formale, ma deve estendersi alla costruzione di assetti di governance coerenti con la complessità della trasformazione in corso, valorizzando la responsabilità in una prospettiva di Business Ethics, la qualità delle decisioni e la tutela degli stakeholder come elementi centrali della competitività e della sostenibilità d’impresa.

La legge n. 132/2025, letta in combinazione con il Regolamento (UE) 2024/1689 (AI Act), con il Digital Omnibus Package e con il d.lgs. 231/2001, definisce il framework normativo entro il quale sviluppare il superamento definitivo della compliance intesa come adempimento formale e inaugurare una stagione di governabilità sostanziale dei processi automatizzati. L’impiego di sistemi di intelligenza artificiale da variabile tecnologica neutra, diviene fattore strutturale di rischio giuridico, sociale e reputazionale che incide direttamente sull’assetto organizzativo dell’impresa e sui criteri di imputazione della responsabilità dell’ente. Ne deriva una trasformazione profonda del modello 231 chiamato a implementare una capacità effettiva di governo dei sistemi algoritmici lungo il loro intero ciclo di vita. La stessa nozione di “idoneità” del modello organizzativo assume, in questo contesto, una caratterizzazione  dinamica e tecnologica: idoneo è il modello che consente di comprendere, presidiare e indirizzare l’impiego dell’intelligenza artificiale all’interno dell’organizzazione, integrandola nei processi decisionali e nei sistemi di controllo in modo consapevole. In questa prospettiva, la AI governance si intreccia naturalmente con la sostenibilità d’impresa e con una rinnovata attenzione alla business ethics, intesa come responsabilità che coinvolge non solo l’azienda ma anche l’intera filiera.

La legge n. 132/2025 ha delineato l’assetto nazionale della governance dell’AI, incidendo sul sistema penale e prevedendo una delega per l’adeguamento delle fattispecie ai nuovi rischi tecnologici. Parallelamente, l’AI Act ha introdotto un modello regolatorio fondato su un approccio risk-based, con obblighi graduati e presidi rafforzati per i sistemi ad alto rischio, mentre il Digital Omnibus interviene sul coordinamento temporale e applicativo di tali discipline, influenzando la pianificazione della compliance aziendale. Ne risulta un quadro normativo multilivello che impone una lettura sistemica e integrata, poiché le diverse fonti convergono nella definizione di nuovi standard organizzativi e di responsabilità d’impresa.

In questo contesto si colloca l’art. 26 della l. 132/2025, che introduce un’aggravante generale per i reati commessi mediante sistemi di AI, nonché aggravanti speciali per specifiche fattispecie, tra cui l’aggiotaggio e la manipolazione del mercato: un intervento che incide direttamente sull’area dei reati presupposto del d.lgs. 231/2001, ampliandone potenzialmente la rilevanza ogniqualvolta l’illecito sia realizzato o agevolato da strumenti algoritmici.

L’impiego dell’AI può, infatti, interferire con delitti informatici, abusi di mercato, reati di riciclaggio, violazioni del diritto d’autore, nonché con fattispecie societarie, ambientali o contro la pubblica amministrazione, ove l’algoritmo costituisca mezzo di realizzazione o di agevolazione della condotta.

L’effetto che ne deriva investe l’assetto complessivo del sistema: l’area del rischio-reato tende ad estendersi e la soglia di rischio ritenuta accettabile si rimodula alla luce della peculiare incidenza che l’impiego dell’AI può esercitare in termini di di maggiore pericolosità sociale. Ne consegue che il risk assessment ai sensi del d.lgs. 231/2001 è chiamato a chiamato a misurarsi con questa evoluzione, ricomprendendo un’attenta mappatura dei casi d’uso dell’AI e una puntuale valutazione dei profili di rischo connessi alla loro concreta implementazione.

La disciplina dell’AI Act si intreccia, inoltre, con l’art. 86, che riconosce — in relazione ai sistemi di AI ad alto rischio elencati nell’Allegato III — un diritto alla spiegazione dei singoli processi decisionali nei confronti delle persone interessate. Ciò comporta per le imprese la necessità di predisporre assetti idonei non solo a prevenire reati, ma anche a rispondere efficacemente a richieste di trasparenza, a ispezioni delle autorità competenti e a obblighi di reportistica. La governabilità sostanziale dell’algoritmo si misura anche nella capacità di “rendere conto” delle sue decisioni.

Ancora, l’assetto delineato dall’AI Act incide sulla configurabilità della catena del valore distinguendo ruoli e responsabilità tra provider, deployer, importatori e distributori. Tale articolazione comporta una distribuzione multilivello degli obblighi di conformità secondo ina logica di interdipendenza che rende la gestione del rischio intrinsecamente reticolare.

La governabilità dell’AI assume così una dimensione sistemica che si realizza attraverso la costruzione di articolato un ecosistema di controlli interni, meccanismi di segnalazione protetta e presidi lungo la filiera.

La compliance integrata, pertanto, si configura come architettura multilivello: interna (modello 231, canali di segnalazione, audit), esterna (rapporti contrattuali e controlli di filiera) e istituzionale (interazione con autorità nazionali ed europee). È in questa interazione che si misura la differenza tra una governance meramente dichiarata e una governabilità sostanziale dell’impresa algoritmica.

In tale prospettiva, la governabilità dell’AI diviene parametro anche dell’adeguatezza degli assetti organizzativi ex art. 2086 c.c. e della corretta amministrazione, imponendo agli organi gestori l’integrazione consapevole e controllata dei sistemi automatizzati nei processi decisionali. La carenza di presidi di AI governance può, infatti, rilevare non solo ai fini della responsabilità ex d.lgs. 231/2001, ma anche quale indice di colpa organizzativa e di inadeguatezza dell’assetto, incidendo sulla valutazione della diligenza professionale e sulla sostenibilità complessiva dell’impresa.

Il nuovo quadro normativo impone di considerare la AI governance non come un segmento specialistico della compliance, ma come criterio ordinatore dell’intero sistema di responsabilità d’impresa. La governabilità sostanziale dei processi automatizzati diviene quindi parametro qualificante dell’adeguatezza del modello 231, indice della solidità degli assetti organizzativi e della credibilità della strategia ESG.

I temi di questo articolo saranno approfonditi nel corso Compliance aziendale, modelli 231 e sostenibilità.