AI e responsabilità d’impresa: il nuovo rischio penale
Fino a poco tempo fa usare male l'intelligenza artificiale in azienda era soprattutto un problema reputazionale o, al limite, civile. Da quest'anno è diventato anche un problema penale; quindi si può chiamare in causa la responsabilità dell'azienda come ente, non solo della persona che ha premuto il tasto.
A cambiare le carte in tavola è stata la legge 132 del 2025, in vigore dal 10 ottobre 2025, primo quadro nazionale italiano sull'AI, che attua il regolamento europeo. Da sola non basterebbe a creare allarme. Il punto è cosa è arrivato dopo: il 10 giugno 2026 il Consiglio dei ministri ha approvato i decreti attuativi che agganciano l'AI al decreto 231, quello che regola la responsabilità amministrativa delle imprese per i reati commessi nel loro interesse. Tradotto, l'AI entra in un sistema che le aziende già conoscono e temono.
Cos'è il decreto 231?
Il decreto 231 del 2001 dice una cosa semplice e pesante: se in azienda viene commesso un reato da cui l’impresa trae vantaggio, può essere punita anche l’azienda, non solo la persona responsabile. Le sanzioni sono pecuniarie e in certi casi interdittive. Per difendersi, l'impresa deve dotarsi di un Modello di organizzazione e gestione, il MOG, e di un Organismo di Vigilanza che controlla che le regole vengano rispettate.
Per anni questo ha riguardato reati come corruzione, sicurezza sul lavoro, reati ambientali, frodi. Adesso la lista si allunga e dentro ci finisce l'uso dei sistemi di AI.
Cosa è cambiato in concreto?
I decreti hanno inserito nel 231 un nuovo articolo, il 25-vicies, dedicato proprio ai reati commessi con l'uso di sistemi di intelligenza artificiale. Sotto questo ombrello rientrano due figure nuove che vale la pena conoscere.
La prima è il reato di omessa adozione di misure di sicurezza, il nuovo articolo 437-bis del Codice penale. È un segnale chiaro: non proteggere adeguatamente i sistemi di AI che usate non è più solo una leggerezza, può diventare un fatto rilevante. La seconda è il reato di deepfake, previsto dall’articolo 612-quater. La norma punisce con la reclusione da uno a cinque anni chi diffonde immagini, video o voci falsificate o alterate con l'AI senza il consenso della persona coinvolta, quando il contenuto può trarre in inganno sulla sua autenticità e provoca un danno ingiusto.
Accanto a questi reati nuovi, la legge prevede anche aggravanti quando un illecito già esistente viene commesso usando l'intelligenza artificiale. In pratica, lo stesso fatto può pesare di più se viene usata l’AI.
Perché riguarda anche chi fa comunicazione e marketing?
Molti pensano che questa roba riguardi solo le grandi aziende tecnologiche. Non è così. Riguarda chiunque usi l'AI nei processi quotidiani e ad oggi vuol dire quasi tutti.
Pensate a un reparto marketing che genera un video promozionale ritoccando il volto o la voce di una persona. A un customer care che lascia decidere a un sistema automatico senza controllo umano. A un ufficio HR che usa l'AI per scremare i candidati con criteri opachi. Sono usi normali, già diffusi nelle piccole imprese e ognuno di questi può aprire uno scenario in cui l'uso scorretto dell'AI attiva la responsabilità dell'ente. Il deepfake, in particolare, è già operativo come reato, non una previsione futura.
Cosa fare, senza farsi prendere dal panico
La buona notizia è che non serve smettere di usare l'AI. Serve governarla, che è una cosa diversa. Le aziende che hanno già un Modello 231 devono aggiornarlo, le altre hanno un motivo in più per dotarsene. I passaggi concreti sono pochi e chiari.
Primo, mappare dove si usa l'AI in azienda: quali reparti, quali strumenti, per fare cosa. Spesso il primo esercizio è il più rivelatore, perché emergono usi di cui la direzione non sapeva nulla. Secondo, aggiornare il MOG 231 con protocolli specifici sull'AI: chi può usarla, con quali controlli, dove serve sempre una validazione umana. Terzo, dare all'Organismo di Vigilanza i nuovi compiti di controllo sui sistemi di AI. Quarto, formare le persone, perché un protocollo che nessuno conosce non protegge nessuno.
Per orientarsi
Come possiamo aiutarvi?
Su questo abbiamo una posizione che portiamo avanti da tempo, anche con Soliton: l'AI va messa dove serve davvero, sui processi ripetitivi e prevedibili e va tenuta sotto controllo umano dove le scelte contano. Questa legge dà alla nostra posizione un fondamento in più. Un'AI usata con criterio, documentata, con un punto in cui una persona decide, non è solo più seria sul piano del lavoro. Adesso è anche più sicura sul piano del rischio.
La pratica giuridica, la stesura del MOG e i compiti dell'Organismo di Vigilanza sono lavoro di un legale e di un consulente 231 e su questo, infatti, vanno sentiti. Quello su cui possiamo darvi una mano noi è la mappatura del lato comunicazione e marketing: capire dove state usando l'AI nei contenuti e nei processi e come usarla in modo trasparente e tracciabile. Se volete fare il punto della situazione, contattateci.
