Studio Dott.ssa Marisa Cecoli

Nuovi obblighi di mappatura dei sistemi di intelligenza artificiale e aggiornamento dei modelli organizzativi per la gestione del rischio tecnologico.

AI Act e D.Lgs. 231/2001: il nuovo scenario normativo

L'entrata in vigore e la progressiva piena applicazione del Regolamento Europeo sull'Intelligenza Artificiale (AI Act) hanno ridisegnato i confini della compliance aziendale in Italia. Nel contesto economico attuale, l'integrazione dei sistemi di intelligenza artificiale nei processi interni non è più solo una mera scelta tecnologica, ma anche una variabile giuridica che impatta direttamente sulla responsabilità amministrativa degli enti ai sensi del D.Lgs. 231/2001. L'AI Act adotta un approccio basato sul rischio, classificando i sistemi di intelligenza artificiale in quattro categorie: rischio inaccettabile (vietati), rischio alto, rischio specifico di trasparenza e rischio minimo. Per i professionisti del settore economico-giuridico, la vera sfida risiede nell'intersecare queste categorie con i reati-presupposto previsti dal Decreto 231, al fine di prevenire sanzioni pecuniarie e interdittive che potrebbero compromettere la continuità aziendale.

I rischi da reato e l'aggiornamento dei Modelli Organizzativi (MOG)

L'introduzione di sistemi di intelligenza artificiale all'interno delle organizzazioni introduce nuove minacce o amplifica vulnerabilità preesistenti relative ai reati-presupposto 231. L'analisi dei rischi deve pertanto estendersi alle modalità con cui gli algoritmi elaborano i dati, assumono decisioni o interagiscono con l'esterno. Le aree di maggiore criticità riguardano:

• Reati informatici (Art. 24-bis): l'utilizzo di AI per il trattamento di dati complessi può esporre l'azienda ad accessi abusivi a sistemi informatici o a violazioni della sicurezza dei dati, specialmente se i modelli vengono addestrati su cloud non protetti o tramite feed di dati non verificati.
• Reati contro l'industria e il commercio (Art. 25-bis 1) e violazione del diritto d'autore: l'impiego di AI generative alimentate da dataset protetti da copyright, senza il preventivo consenso dei titolari, configura un rischio concreto di illecito.
• Reati societari e abusi di mercato (Art. 25-ter): algoritmi predittivi utilizzati nella gestione finanziaria o nella determinazione dei prezzi potrebbero generare, in assenza di una corretta supervisione umana, condotte anticoncorrenziali o manipolazioni del mercato.

Di conseguenza, le imprese sono chiamate ad aggiornare tempestivamente i propri Modelli di Organizzazione, Gestione e Controllo (MOG 231), introducendo protocolli specifici per la governance dei sistemi di intelligenza artificiale.

Il ruolo del commercialista nell'Organismo di Vigilanza

In questo scenario di profonda trasformazione legislativa, la figura del professionista evolve da mero esecutore ad advisor strategico della governance aziendale. L'adozione di soluzioni mirate di intelligenza artificiale per commercialisti rappresenta un fattore abilitante per l'efficientamento degli studi e per l'erogazione di consulenze ad alto valore aggiunto in ambito Risk Management e compliance societaria. I professionisti che ricoprono il ruolo di componenti dell'Organismo di Vigilanza (OdV) devono possedere le competenze necessarie per verificare che il Modello 231 sia costantemente aggiornato rispetto ai rischi tecnologici. Comprendere il funzionamento dell'intelligenza artificiale per commercialisti e dei software aziendali diventa indispensabile per valutare l'efficacia dei sistemi di controllo interno. Nota operativa per l'OdV: l'Organismo di Vigilanza non deve limitarsi a verificare la presenza di una policy aziendale sull'AI, ma deve accertarsi che esista un registro aggiornato dei sistemi di intelligenza artificiale utilizzati e che sia documentata l'analisi dei rischi (Fundamental Rights Impact Assessment), ove richiesta.

Governance dell'AI in azienda: la roadmap operativa

Per mitigare efficacemente il rischio di sanzioni derivanti dal binomio AI Act - Responsabilità 231, le imprese e i loro consulenti dovrebbero implementare una roadmap strutturata:

1. censimento e classificazione: identificare tutti i sistemi di AI in uso o in fase di acquisizione, classificandoli in base ai livelli di rischio definiti dall'AI Act;
2. verifica della filiera dei fornitori (Supply Chain Due Diligence): accertarsi che i provider di tecnologie AI rispettino i requisiti di trasparenza, tracciabilità e qualità dei dati imposti dal framework europeo;
3. human-in-the-loop (supervisione umana): garantire che ogni decisione automatizzata ad alto impatto (es. selezione del personale, scoring creditizio) sia soggetta a validazione e controllo da parte di un operatore umano qualificato;
4. formazione continua: istituire sessioni di aggiornamento obbligatorie per i dipendenti sulle implicazioni etiche e legali legate all'uso degli strumenti di intelligenza artificiale.

La conformità normativa non deve essere interpretata come un freno all'innovazione, bensì come una tutela fondamentale per la reputazione e la solidità finanziaria dell'impresa sul mercato.