L’adozione dell’IA impone un nuovo equilibrio tra innovazione e controllo, che si riflette sulla progettazione e sull’implementazione del MOG 231
La responsabilità 231 ed i reati commessi mediante intelligenza artificiale
Il D.lgs. n. 231 del 2001 ha introdotto nell’ordinamento giuridico italiano la responsabilità amministrativa degli enti derivante dalla commissione di una serie di reati convenzionalmente definiti “reati presupposto”.
Si tratta di una responsabilità derivante da una “colpa in organizzazione” nei confronti delle società che non hanno adottato un sistema di adeguata compliance (Modello di Organizzazione Gestione e Controllo) volto ad impedire la commissione di reati – da cui l’impresa trae un interesse o vantaggio – da parte del personale aziendale.
Sebbene in mancanza di norme legislative esplicite, L’IA crea riflessi sulla responsabilità amministrativa degli enti e può manifestarsi in forme differenti:
- come strumento per la commissione del reato, quando viene utilizzata dall’impresa per realizzare una condotta penalmente rilevante;
- come ambiente o contesto nell’ambito del quale si consuma il reato, laddove il sistema IA – per errori, progettazione difettosa o assenza di supervisione – agevoli la sua commissione eludendo il controllo della persona fisica a ciò preposta;
- come agente autonomo nella commissione del reato, nell’ipotesi in cui un sistema IA compia, in modo indipendente dalla specifica volontà umana, atti che rientrano in una fattispecie incriminatrice.
Casistica dei reati presupposto e applicazioni concrete dell’IA
Per cercare di diradare la fitta nebbia che avvolge il rapporto tra IA e responsabilità penale, può essere utile analizzare l’IA come fattore stesso di rischio per la commissione dei differenti reati presupposto rilevanti ai sensi del D.lgs. 231/2001. Di seguito alcuni esempi pratici:
– Reati contro la pubblica amministrazione (artt. 24 e 25 D.lgs. 231/2001)
I sistemi di IA potrebbero essere utilizzati al fine di individuare, monitorare e prevenire possibili rischi di corruzione mediante l’impostazione di segnali di allerta volti a individuare eventuali conflitti di interesse dolosamente occultati. Dall’altro lato, se fraudolentemente manipolati da soggetti interni all’azienda, potrebbero essere utilizzati quale strumento per favorire l’aggiudicazione di un contratto di appalto da parte di un fornitore prezzolato, p. es. legato a funzionari pubblici.
– Reati informatici (art. 24-bis D.lgs. 231/2001)
I sistemi di IA potrebbero agevolare la raccolta di credenziali di accesso utilizzate per accedere abusivamente a un sistema informatico di un soggetto terzo, garantendo all’ente un vantaggio (anche indiretto) derivante dalla condotta penalmente illecita.
– Reati societari (art. 25-ter D.lgs. 231/2001)
Un sistema di IA potrebbe essere utilizzato al fine di agevolare l’inserimento e l’analisi di dati contabili utili alla predisposizione del bilancio di esercizio; tuttavia, attraverso la manipolazione dell’algoritmo la funzione aziendale competente potrebbe apportare modifiche ai dati precedentemente inseriti, o attribuire eventuali “anomalie contabili” al sistema IA quando in realtà lo stesso veniva strumentalmente utilizzato per raggiungere l’obiettivo illecito.
– Reati di abuso di mercato (art. 25-sexies D.lgs. 231/2001)
L’utilizzo di sistemi di IA potrebbe agevolare la diffusione di notizie false o il compimento di operazioni simulate idonee ad alterare sensibilmente il prezzo di strumenti finanziari, agevolando di conseguenza la realizzazione di fattispecie penalmente rilevanti come il reato di manipolazione del mercato.
– Reati in ambito salute e sicurezza sul lavoro (art. 25-septies D.lgs. 231/2001)
L’IA potrebbe essere utilizzata al fine di automatizzare o ottimizzare alcuni processi produttivi, ma anche al fine di monitorare l’utilizzo di dispositivi di protezione individuale o ancora di prevenire/monitorare il rischio di contrarre una determinata malattia professionale. Malgrado ciò, il mancato governo da parte del datore di lavoro di tali strumenti potrebbe agevolare la commissione di condotte penalmente rilevanti che, laddove venisse riscontrato un vantaggio o un risparmio di costi in capo all’ente, potrebbe comportare il rimprovero di condotte illecite e quindi di una responsabilità ex 231.
Altri reati presupposto: dal riciclaggio ai delitti ambientali
– Reati di ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita, nonché autoriciclaggio (art. 25-octies D.lgs. 231/2001)
I sistemi di IA potrebbero agevolmente mascherare l’origine illecita dei flussi finanziari mediante l’utilizzo di tecniche di anonimizzazione, movimentazione automatizzata e frammentazione delle transazioni, rendendo più complessa l’attività investigativa e ostacolando l’identificazione dei beneficiari finali e della provenienza delittuosa delle risorse economiche.
– Delitti in materia di violazione del diritto d’autore (art. 25-novies D.lgs. 231/2001)
L’impiego di sistemi automatizzati consente infatti di acquisire e rielaborare ingenti volumi di contenuti protetti da diritto d’autore, andando ad intaccare il sistema delle licenze e delle tutele patrimoniali e morali degli autori, rendendo difficile sia la tracciabilità della violazione sia l’individuazione del soggetto responsabile.
– Reati ambientali (art. 25-undecies D.lgs. 231/2001)
Un sistema di monitoraggio ambientale basato sull’IA potrebbe da un lato monitorare costantemente il superamento delle soglie relative alle condotte inquinanti, ma dall’altro potrebbe segnalare in maniera fraudolenta valori inferiori a quelli reali (ad esempio sottostimando i livelli di emissioni in atmosfera) e garantire di conseguenza un risparmio su eventuali costi di manutenzione.
– Reati tributari (art. 25-quinquiesdecies D.lgs. 231/2001)
Un sistema di IA potrebbe essere implementato al fine di pervenire alla compilazione automatica delle dichiarazioni fiscali sulla base di dati dalle funzioni aziendali competenti; dall’altro lato eventuali errori commessi dal sistema di IA, in assenza di una verifica successiva da parte dell’uomo, potrebbero agevolare la realizzazione di un vantaggio in favore dell’ente. L’analisi, per esempio, delle voci bilancistiche che presuppongono una “valutazione” potrebbero agevolare la “spersonalizzazione” della decisione, celando la volontà fraudolenta dell’apposizione illecita.
Adeguamento dei modelli organizzativi all’era dell’IA
Il Modello di gestione e controllo 231 deve essere aggiornato all’IA:
- mappando i nuovi rischi reato connessi all’utilizzo di strumenti di IA
- prevedendo appositi presidi di controllo sull’uso dei sistemi di IA
- fornendo informazioni complete al personale aziendale sulle modalità di utilizzo di tali strumenti
- assicurando il coordinamento con la normativa sulla protezione dei dati personali (GDPR) per i sistemi di IA che trattano dati personali
- implementando procedure specifiche per la documentazione e la tracciabilità delle decisioni automatizzate.
