Abstract
L’intelligenza artificiale sta trasformando in profondità i processi aziendali, incidendo non solo sull’efficienza operativa, ma anche sui modelli di governance e sui sistemi di controllo interno. L’adozione di strumenti automatizzati, tuttavia, non riduce la responsabilità dell’impresa: al contrario, alla luce del nuovo quadro normativo europeo e nazionale, ne rafforza i presupposti.
L’articolo analizza il rapporto tra intelligenza artificiale, compliance e responsabilità degli enti, soffermandosi sul principio della sorveglianza umana, sul ruolo degli standard internazionali e delle linee guida italiane, e sulle ricadute operative del D.Lgs. 231/2001. In particolare, viene chiarito come l’uso dell’IA non interrompa il nesso di imputazione, ma diventi parte integrante del contesto organizzativo che l’ente è tenuto a governare.
Intelligenza artificiale e governo dell’impresa
L’intelligenza artificiale è entrata stabilmente nei processi aziendali, incidendo non solo sull’efficienza operativa, ma anche sui modelli di gestione e di controllo interno. Algoritmi di apprendimento automatico vengono oggi utilizzati per analizzare grandi quantità di dati, supportare le decisioni strategiche e, in alcuni casi, automatizzare intere fasi operative.
Questa evoluzione tecnologica non è neutra: l’uso dell’IA modifica ruoli, flussi decisionali e modalità di esercizio del potere gestionale, diventando parte integrante dell’organizzazione dell’impresa. È proprio per l’impatto che tali sistemi possono avere sui diritti delle persone e sugli assetti interni che il legislatore europeo è intervenuto con il Regolamento (UE) 2024/1689 (AI Act), introducendo una disciplina fondata su un approccio basato sul rischio. I sistemi di IA vengono classificati in base al loro livello di pericolosità e, per quelli a rischio più elevato – tra cui rientrano anche applicazioni utilizzate in ambito lavoristico e di governance – sono previsti obblighi particolarmente stringenti.
Il fulcro della disciplina europea è il principio della human oversight, che impone alle imprese di garantire una supervisione umana effettiva sui sistemi di intelligenza artificiale. L’algoritmo può supportare la decisione, ma non può sostituire il controllo umano, che deve poter intervenire in caso di errori, distorsioni o risultati inattesi.
Lo stesso approccio antropocentrico è stato recepito dal legislatore italiano nella legge n. 132/2025, che ribadisce la centralità dell’uomo nel governo dei sistemi automatizzati («i sistemi e i modelli di intelligenza artificiale per finalità generali devono essere sviluppati e applicati nel rispetto dell’autonomia e del potere decisionale dell’uomo, della prevenzione del danno, della conoscibilità, della trasparenza, della spiegabilità […], assicurando la sorveglianza e l’intervento umano», art. 3, comma 3).
Ne discende una conseguenza chiave: l’intelligenza artificiale non è un soggetto autonomo di imputazione giuridica. Anche quando il processo decisionale è automatizzato, le scelte restano riconducibili alle persone e alle organizzazioni che ne governano l’uso. Ed è proprio questo passaggio a rendere l’IA un tema centrale non solo di innovazione, ma anche di responsabilità e compliance aziendale (Quando l’I.A. smette di essere una novità e diventa un problema giuridico – Canella Camaiora).
Gli standard internazionali e le linee guida italiane
Accanto alla disciplina europea e nazionale sull’intelligenza artificiale, operano strumenti di indirizzo non vincolanti, ma decisivi per supportare imprese e amministrazioni nella gestione dei processi decisionali automatizzati. Ciò dipende anche dal fatto che l’AI Act, pur imponendo obblighi stringenti agli operatori che sviluppano o utilizzano sistemi di IA, non prescrive l’adozione di uno specifico modello organizzativo per dimostrare la compliance.
Tra le possibili opzioni rientra il codice di buone pratiche della Commissione Europea, la cui adozione consente una presunzione di conformità alla disciplina, con conseguente inversione dell’onere della prova (Un Codice per domarli tutti: sono arrivate le “buone pratiche” UE per i modelli IA di uso generale – Canella Camaiora). Il regolamento, tuttavia, lascia spazio a soluzioni organizzative differenziate, fermo restando che l’assenza di regolamentazioni interne e misure adeguate rende più difficile dimostrare la conformità dei sistemi, esponendo l’operatore al rischio di sanzioni particolarmente onerose (art. 99 AI Act).
In questo assetto, il legislatore europeo riconosce la varietà dei contesti organizzativi e dei rischi connessi all’uso dell’IA, ma trasferisce sulle imprese la responsabilità di dimostrare l’adeguatezza delle misure adottate. In tale prospettiva assume rilievo la normativa ISO, e in particolare la ISO/IEC 42001, standard internazionale – formalmente volontario – dedicato ai sistemi di gestione dell’intelligenza artificiale.
La ISO/IEC 42001 fornisce una guida operativa per la progettazione, l’implementazione e l’uso responsabile dei sistemi di IA ed è rivolta alle organizzazioni che forniscono o utilizzano prodotti o servizi basati su tali sistemi, al fine di supportarle nel rispetto dei requisiti normativi applicabili, degli obblighi verso le parti interessate e delle loro legittime aspettative (art. 1). La sua forza risiede nella flessibilità, che consente di adattare il sistema di gestione alle dimensioni, alla struttura e agli obiettivi dell’impresa, richiedendo un approccio consapevole e documentato alla gestione dei rischi legati all’IA.
Tali obblighi non riguardano esclusivamente il settore privato. Anche la Pubblica Amministrazione è chiamata a conformarsi ai principi di trasparenza, controllo umano e responsabilità nell’uso dell’intelligenza artificiale, in coerenza con il quadro europeo e nazionale. In questo ambito assume rilievo l’attività di indirizzo dell’Agenzia per l’Italia Digitale (AgID), che ha adottato specifiche Linee guida sull’uso dell’IA, ispirate ai principi europei di affidabilità, trasparenza e controllo umano (Portale Trasparenza Agenzia per l’Italia Digitale).
Le Linee guida AgID muovono da un presupposto chiaro: l’intelligenza artificiale non è un soggetto autonomo, ma un insieme di tecnologie idonee a migliorare i processi decisionali, l’efficienza operativa e la qualità dei servizi. Ne deriva l’esigenza di un assetto di governance in grado di garantire la tracciabilità delle decisioni, la comprensibilità dei criteri algoritmici (explainability), la valutazione preventiva dei rischi e l’individuazione di responsabilità umane lungo l’intero ciclo di vita del sistema, con riflessi diretti anche sulla responsabilità amministrativa degli enti.
In questa prospettiva si colloca il modello di codice di condotta per l’uso dell’intelligenza artificiale promosso da AgID (Allegato D alle Linee Guida), volto a definire i principi guida dell’azione amministrativa degli enti e dei dipendenti pubblici. L’ente deve inoltre garantire che ogni decisione critica assunta tramite sistemi di intelligenza artificiale sia sottoposta all’apprezzamento finale degli esseri umani, assicurando una sorveglianza effettiva sulle decisioni adottate (cfr. art. 8).
In definitiva, l’uso dell’intelligenza artificiale non costituisce un fattore esimente o attenuante, ma amplia l’area del rischio organizzativo, imponendo a imprese e pubbliche amministrazioni un dovere rafforzato di presidio, controllo e attribuzione delle responsabilità.
Il D.Lgs. 231/2001 tra sorveglianza umana e responsabilità degli enti
L’adozione dell’intelligenza artificiale nei processi aziendali non incide sui principi fondamentali dell’imputazione della responsabilità, né sul piano individuale né su quello dell’ente. Come già chiarito dalla legge n. 132/2025, le decisioni automatizzate devono restare sempre riconducibili a una supervisione e a un controllo umano effettivi (art. 3, comma 3), con la conseguenza che l’impiego di sistemi di IA non può mai tradursi in una deresponsabilizzazione dell’organizzazione.
Questo principio si inserisce in modo coerente nel sistema delineato dal D.Lgs. 231/2001, che fonda la responsabilità dell’ente su una colpa di organizzazione. Anche quando l’evento illecito sia stato agevolato, suggerito o reso possibile dall’utilizzo di un sistema di intelligenza artificiale, la responsabilità resta imputabile all’ente nella misura in cui esso abbia omesso di predisporre adeguati presidi organizzativi, controlli e procedure idonei a prevenire il rischio. In questa prospettiva, l’algoritmo non interrompe il nesso di imputazione, ma diventa parte integrante del contesto organizzativo che l’ente è tenuto a governare.
Il rilievo dell’uso dell’IA emerge anche sul piano penalistico generale. La legge italiana sull’intelligenza artificiale ha infatti modificato l’art. 61 c.p., introducendo una circostanza aggravante comune nel caso in cui il reato sia stato commesso mediante l’impiego di sistemi di intelligenza artificiale, quando questi abbiano costituito mezzo insidioso, abbiano ostacolato la pubblica o la privata difesa, ovvero abbiano aggravato le conseguenze del fatto. L’IA, dunque, non attenua il disvalore della condotta, ma può contribuire ad aggravarlo.
È su questo sfondo che il principio generale assume una dimensione operativa. Proprio perché l’uso dell’intelligenza artificiale può ampliare il rischio di impresa, ogni organizzazione è tenuta a definire in modo puntuale ruoli e responsabilità dei soggetti che utilizzano tali sistemi. Ai sensi dell’art. 5 del D.Lgs. 231/2001, l’ente può essere chiamato a rispondere per i reati commessi nel suo interesse o vantaggio da soggetti apicali, nonché da soggetti sottoposti alla loro direzione o vigilanza, secondo il principio della rappresentanza organica.
Si tratta di una responsabilità distinta e autonoma rispetto a quella personale degli autori del reato, che sussiste ogniqualvolta si accerti un’inosservanza degli obblighi di direzione o vigilanza. Per le imprese, ciò si traduce nella necessità di integrare una disciplina specifica sull’uso dell’intelligenza artificiale all’interno dei modelli organizzativi 231, rafforzando i presidi di governance, il ruolo dell’Organismo di Vigilanza e i flussi informativi interni.
Solo in questo modo l’innovazione tecnologica può tradursi in un vantaggio competitivo, senza trasformarsi in un fattore di rischio giuridico. La vera sfida, infatti, non è se utilizzare l’intelligenza artificiale, ma come integrarla all’interno di modelli di governance e di compliance efficaci, nella consapevolezza che l’IA resta uno strumento al servizio dell’attività umana e che un suo utilizzo non adeguatamente presidiato può generare conseguenze rilevanti tanto per le persone quanto per le imprese.
© Canella Camaiora S.t.A. S.r.l. - Tutti i diritti riservati.
Data di pubblicazione: 20 Gennaio 2026
È consentita la riproduzione testuale dell’articolo, anche a fini commerciali, nei limiti del 15% della sua totalità a condizione che venga indicata chiaramente la fonte. In caso di riproduzione online, deve essere inserito un link all’articolo originale. La riproduzione o la parafrasi non autorizzata e senza indicazione della fonte sarà perseguita legalmente.
Joel Persico Brito
Laureato presso l’Università Cattolica del Sacro Cuore di Milano, Praticante avvocato appassionato di contenzioso e diritto dell’arbitrato.