07 Gen Intelligenza Artificiale e Modello 231: come cambia la governance aziendale con l’AI Act
di Lorenzo Faccio, Senior Risk Consultant, e Selene Englaro, Junior Risk Analyst.
Contesto Normativo
Il crescente utilizzo dell’Intelligenza Artificiale nel mondo aziendale sta imponendo un ripensamento delle logiche di compliance, di governance e di gestione del rischio. A livello europeo, l’Unione ha introdotto un quadro regolatorio organico – l’AI Act – per disciplinare la progettazione, lo sviluppo e l’utilizzo dei sistemi di IA, ponendo al centro principi di affidabilità, trasparenza e sicurezza.
Parallelamente, le imprese devono confrontarsi con gli impatti che la tecnologia può generare rispetto all’efficacia del proprio Modello 231, soprattutto nei casi in cui l’utilizzo di sistemi di IA possa agevolare o non prevenire condotte rilevanti ai fini della responsabilità amministrativa dell’ente.
Da qui nasce l’esigenza, sempre più sentita, di integrare i due ambiti – regolamentazione dell’IA e Modello 231 – in un sistema di governance unitario, capace di garantire un utilizzo etico dell’intelligenza artificiale e una gestione consapevole dei rischi.
AI Act: Obblighi e Sanzioni
L’AI Act adotta un approccio basato sul rischio, classificando i sistemi di Intelligenza Artificiale in quattro categorie: vietati, ad alto rischio, a rischio limitato e a rischio minimo. Ogni categoria comporta obblighi e requisiti crescenti in termini di sicurezza, documentazione e trasparenza.
Le tempistiche di attuazione dell’AI Act prevedono l’entrata in vigore generale nel 2025, con i primi adempimenti per i sistemi vietati; nel 2026-2027 entreranno in vigore gli obblighi per i sistemi ad alto rischio.
Le sanzioni previste sono particolarmente rilevanti, arrivando fino a 35 milioni di euro o al 7% del fatturato globale per violazioni dei divieti, e fino a 15 milioni di euro o al 3% del fatturato globale per violazioni degli obblighi, con ulteriori misure amministrative per carenze documentali o informazioni false.
Recepimento legislativo in Italia
Nel contesto dell’applicazione dell’AI Act, l’Italia ha avviato un percorso di adeguamento dell’ordinamento nazionale attraverso l’adozione di misure di coordinamento, pubblicate in Gazzetta Ufficiale il 23 settembre 2025, n. 132, recante “Disposizioni e deleghe al Governo in materia di intelligenza artificiale”. La legge n. 132/2025 è entrata in vigore in data 10 ottobre 2025 con la finalità di traslare sul piano nazionale, i principi di ricerca, sperimentazione, sviluppo, adozione e applicazione di sistemi e di modelli di intelligenza artificiale.
Al fine di garantire l’applicazione e l’attuazione della normativa in materia di intelligenza artificiale è stato istituito il Comitato di coordinamento delle attività di indirizzo su enti, organismi e fondazioni che operano nel campo dell’innovazione digitale e dell’intelligenza artificiale. Tale Comitato coordina l’operato delle autorità designate alla vigilanza quali: l’Agenzia per l’Italia Digitale (AgID) e l’Agenzia per la Cybersicurezza Nazionale (ACN).
L’AgID è responsabile di promuovere l’innovazione e lo sviluppo dell’intelligenza artificiale. Provvede altresì a definire le procedure e a esercitare le funzioni e i compiti in materia di notifica, valutazione, accreditamento e monitoraggio dei soggetti incaricati di verificare la conformità dei sistemi di intelligenza artificiale, secondo quanto previsto dalla normativa nazionale e dell’Unione europea.
L’ACN, invece, è responsabile della vigilanza ai fini di assicurare la tutela della cybersicurezza, incluse le attività ispettive e sanzionatorie, dei sistemi di intelligenza artificiale, secondo quanto previsto dalla normativa nazionale e dell’Unione europea.
L’AgID e l’ACN, ciascuna per quanto di rispettiva competenza, assicurano infine l’istituzione e la gestione congiunta di spazi di sperimentazione finalizzati alla realizzazione di sistemi di intelligenza artificiale conformi alla normativa nazionale e dell’Unione europea, sentiti il Ministero della difesa per gli aspetti relativi ai sistemi di intelligenza artificiale impiegabili in chiave duale e il Ministero della giustizia per i modelli e i sistemi di intelligenza artificiale applicabili all’attività giudiziaria. (legge 132/2025, articolo 20)
Impatti sul Modello 231
La Legge n. 132/2025 recante “Disposizioni e deleghe al Governo in materia di intelligenza artificiale”, ha inasprito i reati 231 esistenti quali Aggiotaggio e Manipolazione del mercato, qualora vengano usati applicativi e strumenti che si basano o che utilizzano l’Intelligenza Artificiale; e ha introdotto nuove fattispecie di reato in materia di protezione del Diritto d’Autore (Art. 612-quater, Illecita diffusione di contenuti generati o alterati con sistemi di intelligenza artificiale).
Oltre alle specifiche fattispecie di reato sopra richiamate, l’introduzione e l’utilizzo di sistemi di intelligenza artificiale richiedono una verifica complessiva dei presidi organizzativi, volto a garantire un utilizzo consapevole e controllato delle tecnologie.
In tale contesto, le aziende sono chiamate a svolgere una valutazione interna dei sistemi di IA adottati o in fase di adozione, analizzandone le caratteristiche, le finalità e le possibili implicazioni sui processi aziendali. Tale valutazione assume rilievo anche con riferimento ad ambiti trasversali già presidiati dal Modello 231, quali, a titolo esemplificativo, la salute e sicurezza sul lavoro, la gestione dei dati e delle informazioni, nonché le attività che comportano la generazione, l’elaborazione o la conservazione di documenti, report e flussi informativi rilevanti.
Per gestire efficacemente questi rischi, è utile predisporre questionari integrati che valutino sia l’esposizione al rischio secondo l’AI Act sia la rilevanza ai fini del D.Lgs. 231/2001, aggiornando protocolli e procedure operative per garantire tracciabilità, responsabilità chiare e supervisione.
Allo stesso tempo, è fondamentale formare il personale su un uso etico e responsabile dell’IA e sui rischi normativi associati, mentre il risk assessment 231 deve includere valutazioni specifiche sul potenziale impatto dell’IA.
Perché affidarsi ad un partner come Augustas
In uno scenario normativo europeo in rapida evoluzione, in cui l’AI Act ridefinisce le responsabilità delle organizzazioni nell’utilizzo dei sistemi di intelligenza artificiale e il Modello 231 assume un ruolo sempre più centrale nella prevenzione dei rischi legali e reputazionali, diventa fondamentale poter contare su un approccio strutturato e consapevole alla compliance.
L’adozione del Modello 231 e la sua implementazione in linea con le best practices di riferimento, rappresenta un investimento necessario per garantire la sostenibilità e la protezione dell’impresa nel lungo periodo.
Augustas si pone come partner affidabile nel supportare le aziende nell’analisi dell’impatto delle novità normative sui processi aziendali e nelle attività di valutazione e aggiornamento del sistema di prevenzione dei reati. Il contributo di Augustas si concretizza nella realizzazione di un risk assessment integrato, volto a considerare le aree di rischio rilevanti ai fini del D.Lgs. 231/2001 alla luce delle recenti evoluzioni legislative, nonché nella progettazione o revisione di procedure e presidi organizzativi idonei a garantire coerenza, tracciabilità e adeguati livelli di controllo e supervisione.
Augustas propone inoltre percorsi formativi dedicati al personale operativo, ai manager e all’Organismo di Vigilanza, per garantire una comprensione approfondita sul funzionamento del modello 231 adottato e supporta l’azienda nell’aggiornamento dello stesso, in modo coerente con i nuovi requisiti normativi e le best practice di settore.