Indice
- Perché La Intelligenza Artificiale E Responsabilità Penale Riguarda Le Imprese?
- Qual È Il Nuovo Reato Di Omessa Sicurezza Nei Sistemi Di Intelligenza Artificiale?
- Quando Un Sistema AI Può Essere Considerato Ad Alto Rischio?
- Perché Il Nuovo Art. 437-bis c.p. Ricorda La Sicurezza Sul Lavoro?
- Cosa Cambia Per Il D.Lgs. 231/01?
- Quali Sono I Rischi Per Amministratori, Manager E Responsabili Di Funzione?
- Intelligenza Artificiale E Responsabilità Penale: Quali Misure Dovrebbero Adottare Le Imprese?
- Tabella Riepilogativa Sui Nuovi Rischi Penali AI
- Quale Ruolo Avrà L’Organismo Di Vigilanza?
- Come Si Collega Questa Novità Al Modello Organizzativo 231?
- Cosa Devono Fare Le Imprese Che Usano AI Generativa?
- Intelligenza Artificiale E Responsabilità Penale: Il Nuovo Reato È Già In Vigore?
- Intelligenza Artificiale E Responsabilità Penale: Qual È Il Punto Penalistico Più Delicato?
- Il Supporto Di Soardi Studio Legale per reati in materia di Intelligenza Artificiale E Responsabilità Penale e 231
- FAQ Su Intelligenza Artificiale E Responsabilità Penale
- Il nuovo reato di omessa sicurezza AI è già definitivo?
- Cosa punirebbe il nuovo art. 437-bis c.p.?
- Le imprese possono rispondere ai sensi del D.Lgs. 231/01?
- Il Modello 231 deve essere aggiornato per l’intelligenza artificiale?
- Intelligenza Artificiale E Responsabilità Penale: Quali sono le prime cautele da adottare?
- L’uso di AI generativa può creare rischi penali?
- L’Organismo di Vigilanza deve occuparsi di AI?
Intelligenza Artificiale E Responsabilità Penale diventano un tema sempre più concreto per imprese, professionisti, enti collettivi e soggetti che progettano, addestrano, producono o utilizzano sistemi di AI ad alto rischio. Infatti, dopo la Legge 23 settembre 2025, n. 132, il Governo ha approvato in via preliminare due schemi di decreto legislativo attuativi, uno dei quali contiene una nuova fattispecie penale: l’art. 437-bis c.p., rubricato “Omessa adozione di misure di sicurezza nei sistemi di intelligenza artificiale e alterazione illecita dei sistemi”.
La novità non è ancora definitiva. Tuttavia, il segnale è chiaro. Il legislatore non guarda più soltanto all’intelligenza artificiale come strumento con cui commettere reati già esistenti. Al contrario, inizia a considerare penalmente rilevante anche la cattiva gestione del rischio tecnologico, soprattutto quando l’omissione di cautele può creare un pericolo concreto per la vita, l’incolumità individuale, l’incolumità pubblica o la sicurezza dello Stato.
Per le imprese, inoltre, il tema è ancora più delicato. Lo schema di decreto prevede anche l’inserimento nel D.Lgs. 231/01 di un nuovo art. 25-vicies, dedicato ai “reati commessi con l’uso di sistemi di intelligenza artificiale”. In tale nuovo articolo dovrebbero confluire sia il futuro art. 437-bis c.p., sia l’art. 612-quater c.p., già introdotto dalla Legge 132/2025 in materia di illecita diffusione di contenuti generati o manipolati artificialmente.
Perché La Intelligenza Artificiale E Responsabilità Penale Riguarda Le Imprese?
La Intelligenza Artificiale E Responsabilità Penale riguarda le imprese perché molti sistemi AI non vengono utilizzati in modo isolato o occasionale. Spesso entrano nei processi aziendali, nella selezione del personale, nella sicurezza informatica, nella gestione sanitaria, nella compliance, nella videosorveglianza, nella profilazione dei clienti, nella prevenzione delle frodi, nella finanza, nella logistica e nei rapporti con la pubblica amministrazione.
Di conseguenza, quando un sistema di intelligenza artificiale assume un ruolo operativo, anche il rischio giuridico cambia. Non si tratta più soltanto di chiedersi se l’AI “funzioni”. Occorre domandarsi chi l’ha scelta, chi l’ha configurata, chi ne controlla gli output, chi interviene in caso di errore, chi documenta le verifiche e chi aggiorna le misure di sicurezza.
L’AI Act europeo ha già costruito un modello regolatorio basato sul rischio. In particolare, la disciplina europea distingue tra sistemi vietati, sistemi ad alto rischio, sistemi soggetti a obblighi di trasparenza e sistemi a rischio minimo. La Commissione europea descrive l’AI Act come un quadro normativo fondato su regole differenziate in base al rischio e finalizzato a garantire sicurezza, diritti fondamentali e intelligenza artificiale antropocentrica.
La novità penale italiana si inserisce proprio in questo contesto. Pertanto, l’impresa che utilizza sistemi AI in aree sensibili non può più limitarsi ad acquistare un software o ad adottare una soluzione tecnologica senza una valutazione preventiva. Serve, invece, una governance documentata, verificabile e coerente con il livello di rischio.
Qual È Il Nuovo Reato Di Omessa Sicurezza Nei Sistemi Di Intelligenza Artificiale?
Il nuovo art. 437-bis c.p., secondo lo schema di decreto legislativo esaminato, punirebbe chi, nella progettazione, nell’addestramento, nella produzione, nell’immissione sul mercato o nell’utilizzo professionale di sistemi di intelligenza artificiale ad alto rischio, omette misure tecniche idonee a prevenire malfunzionamenti o alterazioni del funzionamento dei sistemi, oppure omette misure di sorveglianza umana. La pena prevista sarebbe la reclusione da uno a cinque anni, se dal fatto deriva un pericolo concreto per la vita o l’incolumità individuale.
La pena salirebbe da due a otto anni quando dal fatto deriva un pericolo concreto per l’incolumità pubblica o per la sicurezza dello Stato. Inoltre, lo schema prevede anche una fattispecie distinta per chi altera sistemi di intelligenza artificiale ad alto rischio: in questo caso, se deriva un pericolo concreto per la vita o l’incolumità individuale, la pena sarebbe da due a sei anni; se invece il pericolo riguarda l’incolumità pubblica o la sicurezza dello Stato, la pena sarebbe da tre a dieci anni.
Un passaggio è particolarmente importante. La responsabilità potrebbe venire in rilievo non solo in presenza di dolo, ma anche in caso di colpa grave. Lo schema prevede infatti una riduzione della pena da un terzo a un sesto quando alcuni fatti sono commessi per colpa grave.
Questa scelta merita attenzione. Il diritto penale, infatti, entra in un’area nella quale l’errore tecnico, l’organizzazione aziendale, la verifica umana e la sicurezza informatica tendono a sovrapporsi. Proprio per questo motivo, la futura applicazione della norma richiederà un accertamento molto rigoroso: non ogni malfunzionamento potrà diventare reato; tuttavia, una gestione gravemente carente di un sistema AI ad alto rischio potrebbe assumere rilievo penale se produce un pericolo concreto.
Quando Un Sistema AI Può Essere Considerato Ad Alto Rischio?
La nozione di sistema AI ad alto rischio rinvia al quadro europeo dell’AI Act. In termini generali, sono considerati ad alto rischio quei sistemi che possono incidere in modo significativo su salute, sicurezza o diritti fondamentali. Rientrano in questa categoria, tra gli altri, determinati sistemi impiegati in ambito sanitario, lavorativo, educativo, infrastrutturale, finanziario, giudiziario, migratorio o di pubblica sicurezza.
Per un’impresa, quindi, la prima attività concreta dovrebbe essere la mappatura degli strumenti AI utilizzati. Non basta sapere che in azienda si usano applicativi di intelligenza artificiale. Occorre capire dove vengono impiegati, quali dati trattano, quali decisioni supportano, quali persone possono essere coinvolte e quali conseguenze possono derivare da un errore.
In una prospettiva penalistica, inoltre, la classificazione del sistema non è un dettaglio formale. Se un software viene impiegato in un settore sensibile, senza controlli adeguati, senza sorveglianza umana e senza tracciabilità delle decisioni, l’organizzazione espone sé stessa e i propri vertici a un rischio difficilmente gestibile a posteriori.
Perché Il Nuovo Art. 437-bis c.p. Ricorda La Sicurezza Sul Lavoro?
Il nuovo reato presenta una struttura che richiama, almeno sul piano concettuale, alcune logiche già note nel diritto penale della sicurezza sul lavoro. Anche in quel settore, infatti, la responsabilità penale non nasce soltanto dall’evento lesivo. Può rilevare anche l’omessa adozione di cautele, quando la condotta crea un rischio non consentito.
Il parallelismo, però, deve essere utilizzato con prudenza. Nei reati in materia di sicurezza sul lavoro, le posizioni di garanzia sono ormai consolidate. Nel settore dell’intelligenza artificiale, invece, molte categorie devono ancora essere precisate. Chi è il vero garante del rischio AI? Il produttore? Il fornitore? L’impresa utilizzatrice? Il responsabile IT? Il soggetto che valida gli output? Il dirigente che decide di impiegare il sistema in un processo sensibile?
La risposta non potrà essere automatica. Tuttavia, la direzione è chiara: quando l’intelligenza artificiale incide su beni primari, la mera fiducia nel sistema non basta. Serve una catena di responsabilità interna, con ruoli definiti e controlli verificabili.
Cosa Cambia Per Il D.Lgs. 231/01?
La parte più rilevante per gli enti collettivi riguarda il possibile inserimento dei reati AI nel catalogo 231. Lo schema di decreto, infatti, prevede l’introduzione dell’art. 25-vicies del D.Lgs. 231/01, dedicato ai reati commessi con l’uso di sistemi di intelligenza artificiale. In tale disposizione dovrebbero rientrare il nuovo art. 437-bis c.p. e l’art. 612-quater c.p.
L’art. 612-quater c.p., già introdotto dalla Legge 132/2025, punisce la diffusione non consensuale di immagini, video o voci falsificati o alterati mediante sistemi di intelligenza artificiale, quando siano idonei a indurre in inganno sulla loro genuinità e cagionino un danno ingiusto alla persona.
Pertanto, il rischio 231 potrebbe articolarsi su due piani distinti. Da un lato, l’utilizzo dell’AI per generare o diffondere contenuti manipolati. Dall’altro, l’omessa adozione di misure di sicurezza nei sistemi AI ad alto rischio.
Per le imprese dotate di Modello Organizzativo 231, la conseguenza pratica è evidente. Il Modello dovrà essere aggiornato, almeno nei casi in cui l’ente utilizzi sistemi AI in processi aziendali sensibili. Inoltre, l’Organismo di Vigilanza dovrà ricevere flussi informativi adeguati, soprattutto in relazione alla mappatura degli strumenti AI, alle procedure di autorizzazione, agli incidenti, ai malfunzionamenti e alle verifiche periodiche.
Quali Sono I Rischi Per Amministratori, Manager E Responsabili Di Funzione?
La Intelligenza Artificiale E Responsabilità Penale impone una riflessione sui ruoli aziendali. Infatti, il rischio non riguarda soltanto chi materialmente scrive un codice o sviluppa un algoritmo. Può riguardare anche chi decide di usare un sistema AI senza valutarne l’impatto, chi ignora segnali di malfunzionamento, chi non prevede controlli umani o chi omette di aggiornare misure tecniche ormai inadeguate.
Un esempio concreto può chiarire il punto. Una società utilizza un sistema AI per supportare decisioni sanitarie, selezioni del personale o valutazioni di rischio. Il sistema produce output errati o discriminatori. Prima ancora di discutere dell’eventuale danno, bisogna chiedersi se l’impresa avesse adottato cautele adeguate: validazione preventiva, controllo umano, log, audit, test periodici, procedure di escalation, formazione degli operatori, verifica dei dataset e gestione degli incidenti.
Se questi presidi mancano, il problema non è più soltanto tecnologico. Diventa organizzativo. E, in prospettiva, può diventare anche penale.
Intelligenza Artificiale E Responsabilità Penale: Quali Misure Dovrebbero Adottare Le Imprese?
Le imprese dovrebbero muoversi prima dell’entrata in vigore definitiva delle nuove norme. Infatti, attendere il consolidamento della disciplina può essere rischioso, soprattutto per chi già utilizza sistemi AI in processi sensibili.
La prima misura consiste nella mappatura dei sistemi AI. Occorre sapere quali strumenti vengono usati, da quali funzioni, con quali dati, per quali finalità e con quale livello di autonomia.
La seconda misura riguarda la classificazione del rischio. Non tutti gli strumenti AI sono uguali. Un chatbot interno per la redazione di bozze ha un profilo diverso da un sistema impiegato per valutare affidabilità finanziaria, accesso a servizi, sicurezza, salute o performance lavorativa.
La terza misura è la sorveglianza umana. Il tema è centrale anche nello schema di decreto. L’AI non dovrebbe sostituire il controllo umano nei passaggi critici. Inoltre, il controllo deve essere effettivo, non meramente simbolico.
La quarta misura è la tracciabilità. Le decisioni, gli output, gli interventi correttivi, i malfunzionamenti e gli aggiornamenti devono essere documentati. Senza documentazione, in caso di contestazione, l’impresa rischia di non poter dimostrare ciò che ha fatto.
La quinta misura riguarda la formazione. Chi utilizza sistemi AI deve conoscerne limiti, rischi e procedure interne. Una policy scritta, se non viene compresa e applicata, ha un valore difensivo debole.
Infine, è necessario aggiornare il Modello 231 quando l’AI entra in processi aziendali rilevanti. L’aggiornamento dovrebbe riguardare almeno la parte speciale, il risk assessment, il Codice Etico, i flussi verso l’OdV, le procedure IT, la gestione dei fornitori e la disciplina dei controlli.
Tabella Riepilogativa Sui Nuovi Rischi Penali AI
| Tema | Rischio principale | Presidio consigliato |
|---|---|---|
| Sistemi AI ad alto rischio | Omessa adozione di misure tecniche | Mappatura, classificazione e controlli periodici |
| Sorveglianza umana | Decisioni automatizzate non controllate | Human oversight effettivo e documentato |
| Malfunzionamenti | Pericolo concreto per vita o incolumità | Test, audit, incident reporting e procedure di blocco |
| Alterazione dei sistemi | Manipolazione illecita dell’AI | Sicurezza informatica, log e segregazione accessi |
| D.Lgs. 231/01 | Possibile responsabilità dell’ente | Aggiornamento Modello 231 e flussi all’OdV |
| Deepfake e contenuti manipolati | Art. 612-quater c.p. | Policy comunicazione, social, marketing e HR |
| Fornitori AI | Rischi contrattuali e tecnici | Due diligence, clausole di sicurezza e audit |
Quale Ruolo Avrà L’Organismo Di Vigilanza?
L’Organismo di Vigilanza non deve sostituirsi al reparto IT, al DPO, al responsabile della sicurezza informatica o agli amministratori. Tuttavia, quando i sistemi AI incidono sulle aree sensibili del Modello 231, l’OdV deve ricevere informazioni adeguate.
In particolare, dovrebbero essere previsti flussi periodici su strumenti AI adottati, fornitori utilizzati, incidenti o anomalie, modifiche rilevanti ai sistemi, audit eseguiti, formazione del personale, controlli sugli output e valutazioni di rischio.
Inoltre, l’OdV dovrebbe verificare che il Modello 231 non resti fermo a una fotografia ormai superata dell’organizzazione. L’intelligenza artificiale può modificare i processi decisionali interni in modo rapido. Per questa ragione, anche il sistema di controllo deve essere aggiornato con la stessa attenzione con cui vengono aggiornate le tecnologie.
Come Si Collega Questa Novità Al Modello Organizzativo 231?
Il collegamento con il Modello Organizzativo 231 è diretto. Se il nuovo art. 25-vicies entrerà nel D.Lgs. 231/01 nella forma oggi ipotizzata, le imprese dovranno valutare se i propri sistemi AI possano creare occasioni di reato nell’interesse o a vantaggio dell’ente.
Non si tratta di inserire nel Modello 231 una sezione generica sull’intelligenza artificiale. Al contrario, l’aggiornamento dovrebbe essere concreto. Bisogna individuare le aree aziendali interessate, descrivere i processi, stabilire controlli, disciplinare le responsabilità, prevedere flussi verso l’OdV e formare le persone coinvolte.
Per questa ragione, le pagine dedicate alla Responsabilità Amministrativa Degli Enti, al Modello Organizzativo 231 e all’Organismo di Vigilanza assumono un ruolo centrale nella strategia di prevenzione. In particolare, l’impresa dovrebbe collegare il rischio AI alla propria architettura di compliance, evitando interventi separati e non coordinati.
Cosa Devono Fare Le Imprese Che Usano AI Generativa?
Le imprese che usano AI generativa devono distinguere tra utilizzi a basso impatto e utilizzi sensibili. Un conto è usare un sistema generativo per preparare una bozza interna. Altro conto è impiegarlo per comunicazioni pubbliche, attività commerciali, selezione del personale, valutazioni legali, decisioni sanitarie, scoring, sicurezza o gestione di dati personali.
Inoltre, i sistemi generativi espongono l’impresa a rischi specifici: produzione di contenuti falsi, violazione di diritti di terzi, diffusione di informazioni riservate, creazione di immagini o voci manipolate, bias, errori non verificati e dipendenza eccessiva dagli output.
Di conseguenza, una policy AI dovrebbe indicare almeno gli usi consentiti, quelli vietati, le cautele per i dati riservati, le modalità di verifica degli output, i soggetti autorizzati, le regole per l’uso di immagini e voci, le procedure in caso di errore e i flussi di segnalazione.
Intelligenza Artificiale E Responsabilità Penale: Il Nuovo Reato È Già In Vigore?
No. Il nuovo art. 437-bis c.p. risulta previsto da uno schema di decreto legislativo approvato in via preliminare. Pertanto, prima di considerarlo diritto vigente, occorre attendere il completamento dell’iter normativo e la pubblicazione del testo definitivo.
Questo aspetto è essenziale. Tuttavia, anche se la norma non è ancora in vigore, il tema non può essere rinviato. Le imprese che già utilizzano sistemi AI dovrebbero anticipare la verifica dei rischi, perché la compliance tecnologica richiede tempo: mappare strumenti, correggere procedure, formare il personale e aggiornare il Modello 231 non sono attività che si improvvisano.
Intelligenza Artificiale E Responsabilità Penale: Qual È Il Punto Penalistico Più Delicato?
Il punto penalistico più delicato riguarda il confine tra errore tecnico, colpa organizzativa e responsabilità penale. Un sistema AI può sbagliare per molte ragioni: dati non corretti, modello non aggiornato, configurazione errata, uso improprio, mancanza di controllo umano o alterazione esterna.
Il diritto penale, però, non dovrebbe trasformarsi in una responsabilità automatica per ogni errore dell’algoritmo. Sarà necessario dimostrare una condotta omissiva o commissiva rilevante, un pericolo concreto e un collegamento tra l’omissione e il rischio prodotto.
Per questo motivo, la documentazione sarà decisiva. Un’impresa che dimostra di avere valutato il rischio, adottato misure tecniche, previsto controlli umani, formato il personale e gestito gli incidenti si troverà in una posizione molto diversa rispetto a un’organizzazione che ha utilizzato l’AI senza alcuna governance.
Il Supporto Di Soardi Studio Legale per reati in materia di Intelligenza Artificiale E Responsabilità Penale e 231
Soardi Studio Legale, con sedi a Bergamo e Brescia, assiste imprese, enti e professionisti nella valutazione dei rischi penali connessi all’utilizzo dell’intelligenza artificiale, all’aggiornamento dei Modelli Organizzativi 231 e alla strutturazione dei flussi informativi verso l’Organismo di Vigilanza.
L’Avv. Stefano Soardi ricopre incarichi come Organismo di Vigilanza in società ed enti operanti su tutto il territorio nazionale. Inoltre, lo Studio assiste imprese nella realizzazione e nell’aggiornamento dei Modelli 231, anche con riferimento ai nuovi rischi tecnologici, informatici e organizzativi.
In questa fase, la prudenza è fondamentale. L’intelligenza artificiale può migliorare processi e decisioni. Tuttavia, senza una governance adeguata, può anche generare rischi penali, responsabilità dell’ente e criticità reputazionali.
FAQ Su Intelligenza Artificiale E Responsabilità Penale
Il nuovo reato di omessa sicurezza AI è già definitivo?
No. Al momento si tratta di una previsione contenuta in uno schema di decreto legislativo approvato in via preliminare. Occorre attendere il testo definitivo e la pubblicazione in Gazzetta Ufficiale.
Cosa punirebbe il nuovo art. 437-bis c.p.?
Punirebbe l’omessa adozione di misure tecniche o di sorveglianza umana nei sistemi AI ad alto rischio, quando dall’omissione deriva un pericolo concreto per vita, incolumità individuale, incolumità pubblica o sicurezza dello Stato.
Le imprese possono rispondere ai sensi del D.Lgs. 231/01?
Sì, se la previsione verrà confermata. Lo schema di decreto prevede un nuovo art. 25-vicies nel D.Lgs. 231/01, dedicato ai reati commessi con l’uso di sistemi di intelligenza artificiale.
Il Modello 231 deve essere aggiornato per l’intelligenza artificiale?
Deve essere aggiornato quando l’impresa utilizza sistemi AI in aree sensibili o in processi che possono generare rischi penalmente rilevanti. L’aggiornamento deve essere concreto, non meramente formale.
Intelligenza Artificiale E Responsabilità Penale: Quali sono le prime cautele da adottare?
Le prime cautele sono mappatura dei sistemi AI, classificazione del rischio, sorveglianza umana, tracciabilità degli output, formazione del personale, verifica dei fornitori e aggiornamento delle procedure interne.
L’uso di AI generativa può creare rischi penali?
Sì. L’AI generativa può creare rischi in materia di contenuti manipolati, diffamazione, trattamento illecito di dati, violazione di diritti di terzi, comunicazioni ingannevoli e, in prospettiva, responsabilità 231.
L’Organismo di Vigilanza deve occuparsi di AI?
L’OdV deve occuparsene quando l’AI incide su aree sensibili del Modello 231. Non deve svolgere funzioni tecniche, ma deve ricevere flussi informativi adeguati e verificare l’effettività dei presidi organizzativi.
Autore – Avvocato Stefano Soardi
