La nuova legge sull’intelligenza artificiale e impatto con il decreto 231

#PILLOLE231 E DINTORNI: Notizie ed approfondimenti sul D.lgs. 231/2001

A cura dell’Avv. Valerio Girani in collaborazione con Avv. Camilla Perani

LA LEGGE SULL’INTELLIGENZA ARTIFICIALE

È stata pubblicata nella Gazzetta Ufficiale del 25 settembre 2025, la Legge n. 132/23.9.2025, recante “Disposizioni e deleghe al Governo in materia di Intelligenza Artificiale”, che, in coerenza con il c.d. ‘AI Act’ ovvero il Regolamento UE 2024/1689, promuove un utilizzo corretto, trasparente e responsabile dell’Intelligenza Artificiale. Si tratta di un testo articolato e complesso, che introduce il primo quadro organico nazionale sull’intelligenza artificiale, in coerenza con il Regolamento UE 2024/1689. In sintesi: stabilisce principi di uso etico, trasparente e sicuro dell’IA, istituendo una governance nazionale (AgID e ACN) e una Strategia nazionale coordinata dalla Presidenza del Consiglio; prevede interventi nei settori pubblico, sanitario, professionale e giudiziario; introduce nuovi reati legati all’uso illecito dell’IA e aggravanti specifiche nel codice penale; delega infine il Governo ad emanare decreti legislativi su dati, algoritmi, responsabilità, adeguando l’ordinamento alle evoluzioni europee.

LE NOVITÀ IN MATERIA PENALE

1. Viene introdotta la nuova fattispecie di reato di “diffusione di contenuti generati o alterati con IA”, c.d. diffusione illecita di deepfake (art. 612-quater c.p.);
2. viene introdotta, nella legge sul diritto d’autore (art. 171, l. 633/1941), la nuova condotta descritta alla lettera a-ter, che punisce la riproduzione o estrazione di testo o dati in violazione della legge sul diritto d’autore, anche tramite IA, c.d. abuso di tecniche di web scraping o data mining;
3. vengono introdotte nuove aggravanti, tra cui:
   – come aggravante generica di cui all’art. 61, n. 11-decies c.p.: quando il reato è commesso mediante impiego di sistemi di IA che costituiscano mezzo insidioso, ostacolino la difesa o aggravino le conseguenze del reato;
   – nel reato di aggiotaggio (art. 2637 c.c.) è ora prevista l’aggravante specifica della reclusione da 2 a 7 anni se commesso mediante IA;
   – nel reato di manipolazione del mercato (art. 185 TUF), è ora prevista la pena aggravata della reclusione da 2 a 7 anni e multa fino a 6 milioni se commesso mediante IA.

Con riferimento all’ulteriore aggravante introdotta all’art. 294 c.p., si tratta del reato di “attentato ai diritti politici del cittadino” laddove l’inganno è posto in essere mediante l’impiego di sistemi di IA, la fattispecie non è indicata nel decreto 231.

L’IMPATTO CON IL DECRETO 231

Pur non introducendo modifiche dirette al Decreto 231, l’intervento normativo è comunque destinato ad incidere sulla disciplina della responsabilità amministrativa degli enti sotto un triplice profilo: – introduce nuove condotte fonte di responsabilità in alcuni reati presupposto già presenti nel catalogo dei reati 231 (i reati di aggiotaggio e manipolazione del mercato sono già reati-presupposto 231); – prevede circostanze aggravanti sia comuni sia speciali connesse all’uso di IA che ne accentua la gravità a fattispecie già previste dal decreto 231; – con riferimento al nuovo illecito penale di deepfake (art. 612-quater c.p.), lo stesso può assumere rilevanza per la 231 per il combinato disposto con altre fattispecie già ricomprese nel decreto (es. reati informatici, frodi, reati societari).
L’entrata in vigore della legge è fissata per il 10 ottobre 2025, data a partire dalla quale assume rilevanza anche ai fini dell’applicazione del D.lgs. 231/2001. Gli enti sono quindi tenuti ad aggiornare i propri Modelli 231, nonché a integrare i presidi su cyber security e privacy e più in generale a garantire la formazione sui rischi connessi all’impiego di sistemi di IA.

COSA SI INTENDE PER “REATI DI INTELLIGENZA ARTIFICIALE”

Rientrano in questa categoria tutte le violazioni commesse tramite o con l’ausilio di sistemi automatizzati.
Posto che la casistica è estremamente ampia, si fanno qui solo alcuni esempi:

• falsificazione di bilanci mediante generazione automatica di dati contabili;
• frodi verso la Pubblica Amministrazione tramite algoritmi che simulano requisiti per contributi;
• falsificazione di dati ambientali per eludere i limiti sulle emissioni;
• incidenti sul lavoro causati da robot intelligenti mal programmati.

L’IA può così diventare il “braccio operativo” di condotte penalmente rilevanti: la responsabilità ricade sull’ente che trae vantaggio dall’illecito o non ha predisposto adeguati protocolli di prevenzione. Per le imprese, è necessario predisporre un nuovo risk assessment, capace di prevenire le condotte aggravate dall’uso di sistemi intelligenti.