Legge 132/2025 e Modello 231: come l’intelligenza artificiale cambia la compliance aziendale

La recente approvazione della Legge 132/2025 rappresenta un punto di svolta nell’ordinamento italiano, in particolare sul fronte della responsabilità amministrativa degli enti prevista dal D.Lgs. 231/2001 (Modelli 231).

Con l’adozione crescente di sistemi di intelligenza artificiale (IA), le organizzazioni devono interrogarsi su come questi strumenti influenzino governance, controllo interno e gestione del rischio. Questo articolo offre una chiave di lettura sugli impatti della Legge 132/2025 sul Modello 231 e suggerisce linee guida operative per l’adeguamento organizzativo.

La Legge 132/2025 definisce principi fondamentali per l’uso dell’IA:

• Umano-centrico, corretto, trasparente e responsabile;
• Vigilanza sui rischi economici e sociali;
• Protezione dei diritti fondamentali.

Il legislatore ha inoltre stabilito che il Governo definirà i criteri di imputazione della responsabilità penale delle persone fisiche e amministrativa degli enti per reati connessi a sistemi di IA.

Implicazioni principali

• Aggravanti per reati con uso di IA: l’art. 61 c.p. è stato integrato con la lett. 11-decies, considerando sistemi IA come “mezzo insidioso” o aggravante;
• Nuovo reato: diffusione illecita di contenuti generati/manipolati tramite IA (art. 612-quater c.p.);
• Aggravanti settoriali: diritto d’autore, diritto societario, intermediazione finanziaria (es. art. 2637 c.c. sull’aggiotaggio).

Anche se queste fattispecie non sono ancora incluse tra i reati presupposto del Modello 231, l’uso dell’IA rappresenta un nuovo veicolo di rischio organizzativo, reputazionale e normativo.

Il Modello 231 può esonerare l’ente dalla responsabilità se dimostra di aver adottato efficacemente sistemi di organizzazione, gestione e controllo idonei a prevenire reati. Con la Legge 132/2025, l’adeguamento richiede:

1. Ridefinizione della mappatura dei processi sensibili

Le imprese devono identificare i processi aziendali in cui l’IA è presente, ad esempio:

• Automazione decisionale;
• Manipolazione dei dati;
• Deep learning “black box”;
• Comunicazione esterna (deep-fake);
• Cybersecurity e privacy;
• Selezione del personale, pricing dinamico, fintech, marketing predittivo.

2. Controlli e misure dedicate all’IA

Il Modello 231 deve includere protocolli specifici:

• Nomina di figure responsabili dell’IA (AI-risk manager) con reporting all’Organismo di Vigilanza (OdV);
• Policy interne per sviluppo, collaudo e monitoraggio dei sistemi IA;
• Meccanismi di auditing, validazione, verifica algoritmica e supervisione umana;
• Formazione specifica sui rischi legali, etici e organizzativi;
• Metriche e controlli sull’impatto organizzativo e reputazionale (bias, discriminazioni, decisioni automatizzate).

3. Revisione di procedure, policy e Codice Etico

• Aggiornamento del Codice Etico includendo l’uso corretto dell’IA e la cultura della responsabilità digitale;
• Modifica dei disciplinari interni con sanzioni per uso improprio;
• Clausole contrattuali con fornitori IA per garantire livelli di servizio e compliance;
• Monitoraggio continuo dell’adeguatezza del Modello in relazione all’evoluzione tecnologica.

Sebbene non siano ancora reati presupposto del Modello 231, le nuove fattispecie introdotte dalla Legge 132/2025 sono rilevanti:

• Art. 612-quater c.p.: diffusione illecita di contenuti generati o manipolati da IA;
• Aggravanti ex art. 61 c.p.: aumento di pena per fatti commessi con IA;
• Fattispecie tradizionali integrate con aggravanti “commesso mediante impiego di sistemi IA” (aggiotaggio, contraffazione, ecc.).

L’adozione preventiva di misure dedicate all’IA riduce il rischio di “colpa organizzativa” e rafforza la posizione difensiva dell’ente.

1. Mappatura accurata: identificare tutti i processi aziendali in cui sono presenti sistemi IA e valutare i rischi legali, tecnologici e reputazionali;
2. Integrazione nel Modello 231: inserire policy IA, controlli algoritmici, audit periodico, supervisione umana, formazione e clausole contrattuali;
3. Formazione e consapevolezza: percorso continuo per gestori e utenti di sistemi IA, sensibilizzando sui rischi legali, etici e reputazionali.

La Legge 132/2025 rappresenta una tappa evolutiva della compliance aziendale: il Modello 231 non tutela più solo dai “reati classici”, ma diventa presidio della governance dell’innovazione tecnologica.

L’intelligenza artificiale impatta trasversalmente tutti i processi aziendali, amplificando il rischio normativo e reputazionale. Anticipare gli obblighi e i rischi è essenziale: costruire una cultura della responsabilità digitale, integrare l’IA nei controlli interni e garantire che l’innovazione sia sempre umano-centrica sono le chiavi per una compliance efficace e sostenibile.

Lo Studio supporta le imprese nell’adeguamento del Modello 231 alla Legge 132/2025, definendo piani di azione pratici, sostenibili e coerenti con la responsabilità digitale.