L’adozione di sistemi di Intelligenza Artificiale sta modificando radicalmente i presidi di controllo aziendali, anche ai sensi dei Modelli Organizzativi ex D.Lgs.231. Con la Legge 132/2025, che recepisce e integra l’AI Act europeo nel contesto italiano, le imprese devono aggiornare i propri Modelli Organizzativi 231 per intercettare nuovi rischi, reati e aggravanti legate all’uso dell’AI.

D.Lgs. 231 e Intelligenza Artificiale: cosa cambia con l’AI Act italiano

La Legge 132/2025 introduce nuove fattispecie penali ed interviene sui reati presupposto del D.Lgs. 231, imponendo alle imprese un approccio più stringente alla governance dell’AI.
Tra le principali novità:

• introduzione del nuovo reato di illecita diffusione di contenuti generati o alterati con sistemi di AI (art. 612‑quater c.p.) – che non è un reato presupposto ex D.Lgs. 231
• inserimento di una aggravante comune quando un reato viene commesso mediante AI, qualora l’impiego della tecnologia costituisca mezzo insidioso, aggravi l’offesa o ostacoli la difesa;
• previsione di aggravanti specifiche per reati come aggiotaggio (art. 2637 c.c.), manipolazione del mercato (art. 185 TUF) quando commessi con AI.

Questi elementi incidono direttamente sul catalogo dei reati-presupposto 231, rendendo necessario aggiornare il sistema di prevenzione aziendale.

Mappatura dei rischi nei Modelli Organizzativi ex D.Lgs.231

L’introduzione delle aggravanti richiede una revisione del Risk Assessment 231, facendo una ricognizione sull’uso dell’AI in azienda e includendo rischi quali:

• processi decisionali automatizzati opachi o non tracciabili, tramite l’utilizzo dell’Intelligenza Artificiale
• vulnerabilità informatiche dei sistemi di AI;
• rischi di manipolazione informativa o finanziaria tramite algoritmi.

Controlli e protocolli aggiornati

Il Modello 231 deve oggi contenere una policy che preveda:

• procedure di validazione e monitoraggio degli usi dell’AI ad alto rischio;
• tracciabilità dell’output algoritmico;
• misure per prevenire manipolazioni, alterazioni e usi impropri;
• integrazione con policy di cybersecurity e data governance.

L’Organismo di Vigilanza e i nuovi obblighi derivanti dall’AI Act italiano

L’Organismo di Vigilanza assume un ruolo ancora più rilevante nel verificare:

• la corretta applicazione dei protocolli sull’AI;
• la gestione dei rischi legati alle aggravanti comuni e speciali;
• l’aggiornamento del Modello 231 a fronte dell’evoluzione normativa;
• la tracciabilità dei processi automatizzati e la loro conformità alle linee guida AI Act.

Le nuove aggravanti aumentano l’esposizione al rischio dell’ente, rendendo il presidio OdV essenziale per intercettare segnali di possibili violazioni.

Conclusioni: un nuovo equilibrio tra AI, compliance e responsabilità 231

L’AI Act, insieme alla Legge 132/2025, rafforza il quadro sanzionatorio e introduce nuove responsabilità per chi utilizza sistemi di IA senza adeguati presidi.
Integrare l’AI nei processi aziendali richiede:

• Modelli Organizzativi 231 aggiornati e orientati al rischio tecnologico;
• OdV preparati a vigilare anche sui processi intelligenti;
• governance trasparente, controlli documentati e formazione continua.