1. La digital criminal compliance e il ruolo dei MOG nel sistema 231
La diffusione su larga scala di nuove tecnologie basate sull’intelligenza artificiale (nel prosieguo anche “IA”), verificatasi negli ultimi anni a livello globale, ha messo in luce il carattere pervasivo e il potenziale trasformativo di questi strumenti[1]. Tale pervasività è resa ormai evidente dalla constatazione della presenza dell’intelligenza artificiale in moltissimi aspetti della nostra vita quotidiana e del suo profondo impatto su tantissimi settori e discipline differenti[2].
Le crescenti potenzialità applicative delle nuove tecnologie e dei sistemi di IA, unite alla velocità con cui l’innovazione applicata all’impresa viaggia in un contesto ormai globalizzato, inducono il giurista, e in particolar modo il penalista, a interrogarsi sul ruolo che l’intelligenza artificiale può svolgere nel perimetro della responsabilità da reato dell’ente. In questa prospettiva, gli algoritmi intelligenti potrebbero, infatti, costituire un valido ausilio per la costruzione, l’implementazione e l’aggiornamento di modelli organizzativi per la prevenzione del rischio di commissione dei reati presupposto in ambito aziendale.
La tematica in esame ha già da qualche tempo attirato l’attenzione della dottrina straniera, in particolare nordamericana e tedesca[3], che ha iniziato a interrogarsi sulle possibili interrelazioni tra sviluppo tecnologico e criminal compliance[4], sottolineando le opportunità ma anche i possibili pericoli della tendenza alla digitalizzazione di processi di gestione e controllo del rischio-reato. D’altro canto, anche la dottrina penalistica italiana si è di recente interessata alle problematiche scaturenti dall’integrazione tra innovazione digitale e modelli organizzativi volti alla prevenzione di reati in ambito aziendale[5]. A tal proposito, diversi autori hanno iniziato a utilizzare le espressioni “digital criminal compliance” o “compliance penale digitalizzata” proprio per indicare l’utilizzo di nuove tecnologie (in particolare, l’intelligenza artificiale, la blockchain e la big data analytics) per l’implementazione di politiche, sistemi e controlli volti alla prevenzione dei reati da parte delle imprese. Si tratta, invero, di una specifica applicazione della cd. RegTech (Regulatory Technology), che può essere definita come l’uso di nuove tecnologie per l’ottimizzazione delle attività di gestione dei processi di conformità normativa e per l’efficientamento dei controlli operativi[6].
Per il giurista italiano, il banco di prova principale delle riflessioni in tema di digital compliance è certamente rappresentato dal sistema di responsabilità da reato delle persone giuridiche di cui al d.lgs. n. 231 del 2001, nel quale assumono un ruolo centrale, ai sensi degli artt. 6 e 7, proprio i modelli di organizzazione, gestione e controllo del rischio di commissione di reati-presupposto ad opera dei soggetti che operano, a livello apicale o subalterno, nella struttura organizzativa dell’ente.
I MOG, considerati ormai come vero e proprio architrave del sistema della responsabilità ex crimine delle persone giuridiche delineato nel d.lgs. 231/2001, svolgono infatti una funzione essenziale sia sul piano dell’ascrizione soggettiva del fatto di reato all’ente, che sul piano della riparazione ex post dell’offesa. Invero, il legislatore italiano – preso atto delle potenzialità criminogene insite nel fenomeno corporativo e della diretta riferibilità di comportamenti illeciti a soggetti collettivi, motore della vita economica ma anche protagonisti di importanti manifestazioni criminali –, nell’introdurre un sistema punitivo appositamente ritagliato sulle specificità degli enti, ha scelto di eleggere la corporate compliance a pietra angolare del nuovo impianto normativo. È stato, infatti, evidenziato come il tratto che più distingue il modello italiano di responsabilità da reato delle persone giuridiche da quelli adottati in altri ordinamenti sia la centralità rivestita dai modelli organizzativi nei meccanismi di imputazione e di riparazione dell’illecito[7].
In effetti, nel sistema 231, i modelli di organizzazione per la prevenzione del rischio-reato costituiscono, al contempo, “il fulcro della logica ‘premiale’ del decreto legislativo e il perno intorno al quale ruota la ‘dimensione soggettiva’ dell’intera costruzione ascrittiva in prospettiva penalistica”[8]. Essi rappresentano l’elemento maggiormente qualificante della disciplina italiana sul corporate crime, la chiave di volta per la comprensione della vocazione preventiva del sistema della corporate criminal liability, nonché per la valorizzazione del profilo della rimproverabilità dell’ente, nel rispetto del principio di colpevolezza ex art. 27, comma 1, Cost.
Sulla compliance finiscono infatti per convergere sia istanze di prevenzione del reato che istanze di garanzia dell’ente[9]: il MOG rappresenta lo strumento prescelto dal legislatore per perseguire tanto l’obiettivo della minimizzazione del rischio-reato nelle realtà organizzate, quanto l’esigenza – costituzionalmente necessitata – della configurazione di una responsabilità dell’ente compiutamente colpevole, che rifugga da logiche imputative di stampo prettamente oggettivistico, basate unicamente sulla riconducibilità del reato a una persona fisica capace di agire per conto del soggetto collettivo. I modelli, in quanto autentico supporto materiale del dovere di auto-organizzazione, rappresentano il principale terreno su cui misurare la colpa di organizzazione della persona giuridica, che, secondo le più recenti acquisizioni giurisprudenziali, rappresenta non solo un elemento costitutivo essenziale dell’illecito dell’ente, ma il vero e proprio fondamento della responsabilità ex crimine delle persone giuridiche[10]. In effetti, ciò che consente una piana ed agevole imputazione all’ente dell’illecito dipendente da reato è il deficit organizzativo, ossia la mancata o insufficiente predisposizione ed implementazione di misure organizzative, gestionali e di controllo idonee a prevenire la commissione di reati del tipo di quello realizzatosi.
Considerato il ruolo essenziale svolto dai modelli organizzativi nell’impalcatura della responsabilità da reato delle persone giuridiche, è agevole osservare come una ridefinizione in senso “AI-oriented” della compliance penale possa avere importanti riflessi sull’efficacia dell’attività di prevenzione della criminalità d’impresa, nonché, come si dirà, sull’accertamento della colpevolezza dell’ente.
2. Potenzialità e vantaggi di una compliance penale “AI-oriented”.
Punto di partenza dell’indagine è la constatazione dei consistenti vantaggi che le aziende potrebbero ricavare, in termini di costi ed efficienza, strutturando e implementando un sistema di compliance basato su intelligenza artificiale e big data. Le smart technologies, in particolare quelle che sfruttano strumenti di IA, essendo in grado di elaborare enormi quantità di dati in tempi rapidissimi, permettono di semplificare tutti gli step inerenti l’analisi e la gestione del rischio-reato, riducendone i costi e incrementandone l’efficienza, e contribuendo, altresì, alla rilevazione in tempo reale di movimenti sospetti e operazioni anomale da parte dei dipendenti[11].
L’impiego dell’intelligenza artificiale nel settore della corporate criminal compliance potrebbe fornire all’impresa indubbi vantaggi innanzitutto in relazione alle procedure di risk assessment e risk management, che costituiscono due degli assi portanti della parte speciale del modello organizzativo volto alla prevenzione dei corporate crimes.
Gli algoritmi intelligenti possono quindi, in prima battuta, mediante l’analisi e l’intersezione automatizzata di dati difficilmente reputati significativi dall’occhio umano, contribuire a una più efficiente individuazione, da parte della singola impresa, delle aree e delle attività aziendali nel cui ambito potrebbero essere commessi specifici reati[12], agevolando così la fase della mappatura dei rischi-reato, essenziale nell’ambito della redazione di un idoneo modello organizzativo, ai sensi dell’art. 6, c. 2, lett. a), d.lgs. 231/2001, in quanto “funzionale alla percezione del rischio e alla valutazione della sua intensità”[13].
Tale mappatura si snoda attraverso l’individuazione delle aree aziendali potenzialmente a rischio-reato (in considerazione del catalogo dei reati-presupposto previsto dal decreto 231) e la rilevazione dei processi sensibili e delle specifiche attività al cui espletamento è connesso il rischio di commissione di determinati reati; indispensabile è, poi, l’individuazione e la valutazione dell’efficacia preventiva – rispetto a tali aree e processi sensibili – degli eventuali sistemi di controllo già in essere, l’analisi della storia dell’ente e la precisazione delle possibili modalità di commissione dei reati-presupposto nelle aree già individuate.
Un procedimento per step in cui, in definitiva, i suggerimenti e le “predizioni” del soggetto algoritmico potrebbero risultare oltremodo utili, specie in considerazione dell’incredibile capacità delle nuove tecnologie data-based di dipingere quadri iper-realisti dei contesti e dei fenomeni indagati, “codificando in forma numerica ogni aspetto del mondo fisico, elaborando poi i dati raccolti e individuando infine correlazioni (e anomalie) tra di essi”[14]. Attraverso la raccolta e l’analisi di tutti i dati relativi alla storia presente e passata della realtà aziendale, le tecnologie digitali sarebbero in grado di fotografare esattamente le aree sensibili e i profili di rischio connessi alle stesse, concorrendo ad assicurare l’idoneità del MOG proprio sul versante della sua “customizzazione”, ossia della necessità che esso sia tailor-made, “cucito su misura” della singola impresa[15].
I sistemi di IA sarebbero in grado di individuare autonomamente le aree critiche, attribuire a ciascuna di esse un punteggio di rischio e, grazie al machine learning, fare anche previsioni su eventi futuri[16]. Inoltre, specie ove “nutriti” di dati non solo interni ma anche esterni all’azienda, afferenti ad esempio alle vicende processuali di altri soggetti collettivi operanti nel medesimo settore economico, essi potrebbero persino agevolare l’identificazione di nuove aree di rischio penale. Da questo punto di vista, tuttavia, la validità e l’incisività di tali software dipenderebbe dalla tipologia e dalla quantità di dati che la singola società – produttrice o utilizzatrice della macchina – decide di immettere nel sistema[17], nonché dalla stessa disponibilità e dall’accessibilità di informazioni molto spesso ricavabili solo parzialmente dal web o da altre fonti aperte.
Passando all’esame del profilo del risk management digitalizzato, si è osservato che l’IA potrebbe offrire alla societas numerosi benefici proprio con riferimento alla definizione e all’adozione degli specifici protocolli e delle particolari cautele volte al contenimento dei rischi-reato già identificati, nonché all’aggiornamento del modello organizzativo che si renda necessario in funzione di un mutamento della governance aziendale ovvero dell’ampliamento del novero dei reati-presupposto della responsabilità dell’ente.
In particolare, si segnala la capacità dei moderni sistemi di machine learning e di advanced analytics di condurre analisi automatizzate e rapidissime di interi comparti documentali (come quello delle mail o dei contratti con i fornitori esterni), permettendo così di migliorare le attività di monitoraggio e di controllo delle procedure operative e decisionali attraverso la rilevazione in tempo reale di attività sospette o anomalie, ad esempio nel campo delle transazioni commerciali e dei rapporti con terzi[18]. La compliance digitalizzata potrebbe, inoltre, contribuire all’automatizzazione delle funzioni di audit e delle attività di reporting: le operazioni anomale o sospette, rilevate attraverso indicatori di allarme automatizzati (le c.d. red flags), potrebbero, infatti, essere oggetto di segnalazione automatica al top management o agli organismi di controllo come l’OdV[19] ed eventualmente, in seguito a una prima verifica “umana”, anche di denuncia nei confronti dell’Autorità competente[20]. Il principale apporto innovativo delle nuove tecnologie nel campo della compliance penale sta dunque nella possibilità di individuare tempestivamente – per l’appunto, in tempo reale – le irregolarità che potrebbero costituire la spia della commissione di un reato-presupposto, così da dotare finalmente i modelli organizzativi di un reale efficacia preventiva e impeditiva dell’evento-reato[21].
I nuovi strumenti tecnologici di controllo e gestione del rischio-reato non si limiterebbero a consentire il monitoraggio real time dei processi interni di formazione e attuazione delle decisioni, ma potrebbero persino essere incorporati (embedded) nei gestionali aziendali, rendendo così possibile la procedimentalizzazione delle attività aziendali conformemente agli standard normativi di riferimento. In particolare, incorporando nei sistemi obiettivi, divieti, soglie, si potrebbe riuscire a modellare e a limitare tecnicamente il margine d’azione dei soggetti che operano all’interno dell’ente[22], rendendo di fatto materialmente impossibile lo svolgimento di determinate operazioni che il modello intende vietare.
Si segnerebbe in tal modo il passaggio da una compliance penale statica e reattiva, in grado di attivarsi solo ex post, ad un modello più dinamico e proattivo, autenticamente preventivo, in quanto in grado di bloccare sul nascere possibili condotte criminose o semplicemente sospette.
Il ruolo dell’intelligenza artificiale nell’ambito della compliance penale non sarebbe limitato alla prospettiva ex ante, precedente la commissione di eventuali reati-presupposto, ma coinvolgerebbe altresì il profilo della reazione della societas successiva alla realizzazione del crimine. Difatti, laddove non sia stato possibile prevenire la commissione del reato neanche grazie a evoluti sistemi di vigilanza attiva, la digital criminal compliance – attraverso la registrazione degli “eventi informatici” occorsi – potrebbe permettere all’ente di svolgere accurate analisi ex post delle cause di “non conformità”, al fine di individuare i soggetti responsabili e ricostruire la dinamica del reato, nonché di effettuare correzioni o revisioni delle eventuali deficienze del MOG[23].
3. Incognite, rischi e limiti dell’impiego dell’intelligenza artificiale nella compliance I pericoli di una predictive policing aziendale.
L’uso dell’intelligenza artificiale e delle altre tecnologie trasformative sin qui menzionate nel campo della compliance penale può presentare, oltre ai numerosi vantaggi di cui si è detto, anche diversi rischi e limiti. Alcuni di questi possono essere classificati come rischi generali direttamente collegati alle caratteristiche intrinseche dei sistemi di IA, e possono compendiarsi nella mancanza o carenza di dati di input di alta qualità e nel cd. black box effect, ossia l’opacità e l’assenza di spiegabilità degli output forniti dal sistema di IA.
Più nel dettaglio, si osserva come la qualità dei risultati forniti dagli algoritmi di apprendimento automatico dipenda e sia fortemente influenzata dalla quantità e dalla qualità dei dati forniti come input per “allenare” tali sistemi: di conseguenza, anche nel settore della criminal compliance, l’assenza di dataset di alta qualità costituisce uno dei principali ostacoli all’applicazione di soluzioni di IA in azienda. Inoltre, la complessità dei processi di apprendimento e di funzionamento di tali sistemi può incidere sull’intellegibilità e sull’explainability delle soluzioni fornite dalla macchina, minandone alla base la trasparenza e contribuendo a rafforzarne l’imprevedibilità. Invero, i moderni sistemi di IA, come quelli di machine learning, sono in grado di apprendere attraverso i dati e l’esperienza e di operare in modo autonomo, adattandosi all’ambiente in cui sono immersi. Pertanto, una delle caratteristiche essenziali dell’IA, che la contraddistingue dai tradizionali strumenti tecnologici, rendendola una tecnologia trasformativa, è proprio l’autonomia. Il sistema, infatti, “impara” autonomamente a eseguire determinate correlazioni in base ai dati che memorizza ed elabora, e modifica le proprie azioni in base ai risultati del processo di apprendimento, prendendo decisioni indipendentemente dalla volontà del programmatore e al di fuori del controllo umano[24]. Appare, dunque, evidente come diventi difficile, se non impossibile, per il management mantenere il necessario livello di comprensione e controllo sulle decisioni basate sull’intelligenza artificiale, ed eventualmente rappresentare poi alle autorità il modo in cui sono state prese le decisioni.
Altri rischi e incognite giuridiche risultano specificamente connesse al tema della digital criminal compliance e concernono, da un lato, la possibile compressione dei diritti dei lavoratori, che potrebbe altresì tradursi in una sorta di vigilanza massiva dei dipendenti, e, dall’altro lato, il problema dell’imputazione della responsabilità in caso di errore algoritmico e, più in generale, le ripercussioni sul MOG e l’incidenza sulla colpa di organizzazione dell’ente.
Con riguardo alla prima macro-tematica, occorre evidenziare come ormai si inizi a far strada anche nella letteratura penalistica italiana l’idea per cui la compliance digitalizzata possa diventare un vero e proprio strumento di predictive policing privato, volto a potenziare l’efficienza preventiva dei modelli di organizzazione, gestione e controllo dell’ente attraverso controlli sempre più pervasivi sui dipendenti[25]. Tali software, calati nel contesto aziendale quali protocolli operativi e strumenti di monitoraggio delle attività dei lavoratori, in funzione della minimizzazione del rischio di commissione dei reati elencati nel d.lgs. 231/2001, potrebbero tramutarsi in vere e proprie forme di sorveglianza diretta sui singoli, non dissimili da quelle realizzate dalle autorità pubbliche: una sorta di “profilazione di attitudini criminali di massa, che determinerebbe una trasposizione delle inquietudini suscitate alla polizia predittiva in contesti organizzativi (anche) privati”[26]. Il principale timore legato alla diffusione della compliance digitalizzata risiede infatti nella possibilità che, attraverso sofisticati e “imprevedibili” sistemi di machine learning, si introducano in azienda “algoritmi inquisitori”[27], che “potrebbero sacrificare eccessivamente, sull’altare delle ragioni della conformità normativa interna, interessi contrapposti, quali ad esempio la protezione dei dati personali, il diritto alla riservatezza, la tutela della dignità dei lavoratori e il principio di non discriminazione”[28].
Tale affermazione si giustifica alla luce del fatto che l’uso della big data analytics e dei sistemi di IA consentirebbe di prevedere e addirittura anticipare la commissione dei reati, individuando non solo anomalie e atti preparatori, ma altresì aree a sospetta commissione di reati in una fase perfino anteriore rispetto a quella immediatamente prodromica alla realizzazione dell’illecito. La possibilità di affidare all’IA la valutazione del rischio di violazione delle norme e delle regole organizzative interne, nonché la prescrizione delle misure per fronteggiarlo, potrebbe persino portare ad una predizione di comportamenti devianti sfociante in una sorta di “prognosi di pericolosità” per tutti i potenziali soggetti destinatari del modello: dipendenti, vertici aziendali, consulenti esterni, fornitori, partner, clienti etc.)[29].
Il pericolo è che l’oggetto delle valutazioni di rischio operate dall’ente si sposti dall’attività d’impresa vista nel suo complesso alla persona del singolo lavoratore, con potenziali esiti discriminatori capaci di riverberarsi in maniera negativa sul rapporto di lavoro, e non solo. Difatti, le criticità menzionate si manifestano, evidentemente, nel momento in cui gli strumenti digitalizzati di vigilanza e controllo “si estendano dall’ente a coloro che vi operano: un’eventualità che, tuttavia, non è meramente ipotetica, essendo anzi già diffusi – all’interno di alcuni compliance programs – strumenti di c.d. “electronic performance monitoring”, che consistono in forme di sorveglianza diretta e di esercizio di poteri di polizia predittiva sui dipendenti dell’ente”[30].
I rischi si amplificano ove si ipotizzi che gli esiti di tali sistemi di controllo e di alert preventivo vengano sfruttati nell’ambito delle investigazioni interne nel procedimento a carico dell’ente, i cui risultati potrebbero confluire tra gli elementi a carico della persona indagata per la commissione del reato presupposto. Tale scenario è ancora più probabile in quegli ordinamenti nei quali la collaborazione della persona giuridica assume un rilievo più pregnante di quanto non accada in Italia. Si pensi all’art. 31-quater del codice penale spagnolo, che annovera tra le circostanze attenuanti della responsabilità penale dell’ente l’aver esso, posteriormente alla commissione dell’illecito e attraverso il proprio rappresentante legale, “colaborado en la investigación del hecho aportando pruebas, en cualquier momento del proceso, que fueran nuevas y decisivas para esclarecer las responsabilidades penales dimanantes de los hechos” (lett. b).
Stante la possibilità di utilizzo degli strumenti tecnologici per le attività di investigazione interna dell’ente, è plausibile che il loro impiego acuisca la tensione tra diritto di difesa dell’ente e diritti degli individui coinvolti. Le prove digitali formatesi attraverso indagini interne che sfruttino le nuove tecnologie dell’IA e della blockchain, in quanto precostituite, sarebbero effettivamente acquisibili come documenti nell’ambito del processo penale. Le maggiori chance che ha la persona giuridica, determinate dall’uso di emergenti e costose tecnologie, di riversare la responsabilità, non solo disciplinare e interna ma anche penale, sugli individui, propri dipendenti o manager, sembrano incidere sulle garanzie processuali di questi ultimi e sul loro diritto a non auto-incriminarsi[31].
Sulla base delle considerazioni che precedono, pare emergere la necessità di estendere le garanzie processual-penalistiche che innervano il settore pubblico, e in particolare le attività investigative portate avanti dalle autorità giudiziarie e di polizia, al settore prettamente aziendale, in virtù della sempre maggiore osmosi, commistione e cooperazione esistente tra sfera pubblicistica e sfera privatistica nel campo della prevenzione e repressione dei reati. In definitiva, l’esigenza di definire i limiti dei sempre più ampi poteri di monitoraggio e controllo ora disponibili per il datore di lavoro si pone come una conseguenza quasi inevitabile delle nuove potenzialità applicative delle tecnologie, da un lato, e della partnership pubblico-privata ormai ritenuta sussistente nel campo della prevenzione e della lotta contro il crimine, dall’altro. Occorrerebbe, in particolare, una disciplina ad hoc delle investigazioni interne, che si occupi in maniera specifica del tema della pervasività della vigilanza AI-based, e ponga specifici limiti all’utilizzabilità delle risultanze delle investigations, attraverso un bilanciamento delle esigenze e dei diritti in gioco.
4. Riflessi della digital criminal compliance sulla responsabilità da reato degli enti. Le implicazioni in punto di colpa di organizzazione.
La digitalizzazione della compliance penale, oltre a porre numerosi interrogativi in tema di tutela dei diritti dei lavoratori, può presentare rilevanti ricadute sull’accertamento della responsabilità da reato delle persone giuridiche. In primo luogo, occorre interrogarsi in ordine alle incerte conseguenze di possibili errori algoritmici sull’attribuzione alla persona giuridica della responsabilità dipendente da reato.
Più in particolare, ci si è chiesti se l’implementazione di modelli di organizzazione e gestione del rischio-reato AI-based possa mutare i caratteri stessi della colpa di organizzazione nei casi in cui la commissione di un reato-presupposto in azienda risulti agevolata dal cattivo funzionamento dell’algoritmo[32]. Il che equivale a domandarsi se l’ente collettivo possa essere chiamato a rispondere per la commissione di un reato all’interno dell’azienda che sia diretta conseguenza di un rischio non rilevato dal sistema di IA in uso. Si pensi all’ipotesi in cui, nell’ambito di una corporation che abbia scelto di affidarsi totalmente o comunque in larga parte a sistemi di IA o ad altre tecnologie avanzate per la prevenzione dei corporate crimes, la realizzazione di un reato inserito nel catalogo 231 sia dipesa dalla mancata segnalazione di quel determinato rischio-reato da parte della macchina, a causa di suo un difetto di progettazione oppure di funzionamento.
Occorre precisare, a questo punto, che nella maggior parte dei casi la societas si limiterebbe ad acquistare una soluzione di digital criminal compliance da fornitori esterni, ossia da società o consulenti esperti in soluzioni tecnologiche innovative per l’impresa: “il pericolo potrebbe essere allora quello di un sostanziale svuotamento del concetto di rimproverabilità soggettiva richiesta dal D.Lgs. n. 231/2001, riducendosi la colpa di organizzazione all’erronea scelta del software o alla decisione stessa di automatizzare in toto la compliance – prescindendosi dalla verifica ulteriore di autentiche carenze organizzative addebitabili all’ente”[33].
In verità, in ordinamenti come il nostro, in cui la responsabilità della persona giuridica si fonda sulla “colpevole” mancata adozione di presidi adeguati volti alla minimizzazione del rischio-reato, si ritiene che difficilmente potrà sostenersi e dimostrarsi che un malfunzionamento del sistema di IA, di per sé caratterizzato da opacità e non intellegibilità del processo algoritmico, sia riconducibile a un deficit organizzativo a livello di governance aziendale, a patto che la società si sia affidata, per i software utilizzati, a fornitori terzi altamente specializzati. Difatti, proprio perché in genere tali strumenti informatici vengono reperiti sul mercato, un eventuale errore algoritmico nella fase di monitoring o di detection del rischio-reato non potrebbe da solo fondare la responsabilità dell’ente che ne abbia fatto uso, dovendo tale errore essere fatto risalire, con ogni probabilità, a una fase antecedente a quella di mero utilizzo, come quella di progettazione, addestramento o messa in commercio[34].
Pertanto, anche ove l’ente decida di affidarsi del tutto all’intelligenza artificiale nelle procedure di risk detecting, ai fini dell’affermazione della responsabilità della persona giuridica permarrebbe in ogni caso la necessità di accertare la sussistenza di un contributo specifico di quest’ultima diverso da quello di chi abbia confezionato la tecnologia applicata alla compliance. Invero, anche in questo contesto, la organisational fault non può che fondarsi su carenze organizzative ‘proprie’ del soggetto collettivo che abbia digitalizzato le attività di criminal compliance: tra queste, potrebbe rilevare il non aver previsto un’adeguata supervisione umana, il non aver predisposto misure organizzative volte a ridimensionare il problema dell’opacità e dell’inesplicabilità dei sistemi di IA, o il non aver previsto alcuna procedura interna per consentire all’operatore o al manager di discostarsi eventualmente dalle decisioni prese dall’algoritmo. Ciò in quanto, una volta incluse nella strategia di compliance, le stesse soluzioni di IA adottate dall’ente dovrebbero essere soggette a un’adeguata valutazione, una sorta di “compliance della compliance” (AI risk-assessment), di modo che, in assenza di tale verifica di conformità, lo stesso errore algoritmico potrebbe essere imputato direttamente alla persona giuridica. Viceversa, “se l’ente ha adottato e implementato un modello organizzativo ben strutturato, che ricomprenda anche una corretta valutazione/supervisione dei rischi correlati all’impiego delle tecnologie prescelte, sembra difficile rinvenire spazi per un rimprovero colposo”[35].
L’emersione della digital criminal compliance suscita, inoltre, ulteriori riflessioni – sempre legate al tema della colpa di organizzazione e della rimproverabilità della persona giuridica – in tema di innalzamento degli standard cautelari richiesti al soggetto collettivo ed esigibilità del comportamento alternativo lecito, specie con riferimento alle piccole e medie imprese[36]. Con l’avanzare della diffusione di sistemi di IA anche nell’ambito della compliance penale, potrebbe in effetti riproporsi in termini nuovi il noto problema dei rapporti tra misura della colpa e sviluppo tecnologico, che già in passato autorevoli studiosi[37] avevano affrontato con grande acume e lungimiranza, se pur in termini generali.
Ci si potrebbe, infatti, chiedere se – ove e quando l’utilizzo di sistemi di IA per la prevenzione del rischio-reato in azienda divenisse di più larga diffusione, specie tra le multinazionali operanti a livello transnazionale – l’adozione di un’AI compliance possa in futuro andare a costituire un vero e proprio standard di diligenza richiesto alla generalità delle imprese ai fini dell’accertamento della colpa di organizzazione.
Ebbene, in primo luogo, si potrebbe fondatamente dubitare che l’IA costituisca in sé un nuovo o più elevato standard cautelare, la cui eventuale futura diffusione nella prassi aziendale possa portare a ritenere integrato un nuovo grado di diligenza richiesta in tema di colpa di organizzazione. Essa, difatti, non rappresenta una conoscenza specialistica la cui trascuratezza sia idonea a fondare un rimprovero per colpa in capo all’ente, semplicemente perché non costituisce una “nuova regola cautelare” la cui osservanza è tesa a prevenire il verificarsi di uno specifico evento di reato. La digital compliance rappresenta piuttosto uno “strumento” – probabilmente più efficiente ma al tempo stesso anche presumibilmente più rischioso e bisognoso di un assetto organizzativo procedimentalizzato – di identificazione dei rischi e di attuazione delle singole misure volte a minimizzare la possibilità di commissione di reati in azienda: un tool a supporto di protocolli, misure, modelli tesi a prevenire il rischio-reato.
Inoltre, anche ove la digital compliance arrivasse in futuro a integrare un nuovo e più elevato standard di diligenza, tale da imporsi come necessario riferimento per la misura oggettiva della colpa dell’ente, occorrerebbe comunque valutare l’esigibilità della concreta adozione di tali innovativi strumenti di compliance da parte della singola impresa, specie se di piccole dimensioni o comunque non operante nel campo tecnologico/informatico.
Si renderebbe, perciò, necessario un giudizio di personalizzazione della colpa dell’ente, che evidenzi la misura soggettiva della colpa di organizzazione nel singolo caso considerato. Non potrebbe, infatti, ragionevolmente addebitarsi a una piccola impresa il fatto di non aver impedito la commissione di un reato presupposto a causa della mancata implementazione di un sistema di compliance digitalizzato e all’avanguardia, che avrebbe potuto in ipotesi prevenire e bloccare sul nascere il comportamento delittuoso.
Non si tratta, in effetti, di una mera questione di impossibilità oggettiva di assunzione di ingenti costi di gestione e digitalizzazione, quanto piuttosto dell’esigibilità di un assetto organizzativo tale da poter sostenere e sorreggere l’impalcatura di un’AI compliance. Invero, in virtù del nuovo Regolamento europeo sull’intelligenza artificiale[38], la stessa scelta di adottare l’IA nel proprio sistema di compliance 231 potrebbe comportare la necessità dell’implementazione di ulteriori misure organizzative al fine di garantire un uso etico, trasparente e responsabile di tale tecnologia. Di talché, sarebbe insensato pensare di imporre a piccole imprese dall’assetto organizzativo semplice, e non esposte, per il tipo di attività svolta, a rischi-reato così diversificati e numerosi, l’adozione di una digital criminal compliance. Anzi, in tali casi la stessa scelta di usare l’intelligenza artificiale a supporto del proprio sistema di gestione e controllo dei rischi-reato potrebbe, al contrario, essere ritenuta incauta, avventata, precipitosa, atteso che l’uso dell’IA pone di per sé rischi per i diritti fondamentali della persona, che devono essere contenuti attraverso specifici protocolli di gestione.
4.1. IA generativa e cosmetic compliance
Un ulteriore profilo di indagine che può venire in rilievo pensando ai rapporti tra IA, responsabilità degli enti e modelli di organizzazione per la prevenzione del rischio-reato attiene alle nuove criticità legate all’utilizzo dell’IA generativa nell’ambito della digital criminal compliance. Il termine IA generativa (Generative AI o GenAI) viene utilizzato per indicare una peculiare tipologia di IA che utilizza algoritmi di machine learning per generare nuovi contenuti, in precedenza realizzabili solo attraverso l’estro creativo dell’uomo[39]. Diversamente dagli algoritmi tradizionali, che risolvono problemi specifici riconducendo l’input fornito a una delle casistiche di addestramento, l’IA generativa è in grado di creare contenuti digitali del tutto nuovi e originali, come testi, immagini, audio, video o codici software, sulla base di un semplice prompt, ossia di un testo in linguaggio naturale con cui l’utente richiede all’IA di eseguire una precisa attività, descrivendo il risultato auspicato[40].
Ebbene, non può escludersi che, tra i vari contenuti che potrebbero essere generati direttamente dall’algoritmo intelligente sulla base di una mera richiesta dell’utilizzatore, possa esserci – se non oggi nel prossimo futuro – anche un vero e proprio compliance program, completo in ogni sua parte e specificatamente pensato per la realtà aziendale nel quale dovrebbe operare. Appare evidente, tuttavia, che al fine di ottenere un modello 231 astrattamente idoneo, che si avvicini a quelli attualmente elaborati da esperti professionisti, interni ed esterni all’azienda, occorra fornire alla macchina numerose e dettagliate informazioni sulla specifica realtà aziendale, sulla sua storia pregressa, sulla sua governance societaria, sul suo settore operativo. Inoltre, il software di IA generativa utilizzato dovrebbe essere stato addestrato con dati attinenti alla normativa primaria di riferimento – che ricomprenda non solo il d.lgs. 231/2001 ma anche le fattispecie incriminatrici alla base della responsabilità ex crimine dell’ente –, nonché alle linee guida e ai codici di comportamento redatti dalle associazioni di categoria ex art. 6, c. 3, d.lgs. 231/2001.
In verità, considerate le attuali difficoltà nel reperire un sistema che rispetti tali precondizioni, sembra sia forse troppo presto per chiedersi se si stia passando da un sistema di criminal compliance basato sulle classiche attività umane di analisi e prevenzione del crimine a un modello totalmente automatizzato, in cui la macchina assuma interamente su di sé il ruolo di valutare il rischio-reato e di identificare le misure atte a ridimensionarlo, e in cui l’essere umano abbia il solo compito di controllare che il software abbia sufficienti “riserve” di dati digitali per portare avanti le proprie attività di vigilanza. È infatti molto più probabile che si andrà sempre di più verso un sistema “misto”, in cui la compliance penale continuerà a fare affidamento sul fattore umano, se pur sfruttando in misura sempre maggiore le nuove tecnologie quali strumenti di supporto e di ausilio[41].
Tale prospettiva appare essere non solo la più realistica, ma anche la più auspicata, atteso che l’utilizzo in questo campo di sistemi di general purpose AI, noti anche come foundational models, potrebbe comportare nuove criticità nel campo dell’accertamento della responsabilità ex crimine degli enti. In particolare, l’uso dell’IA generativa per la creazione automatica di MOG pone il rischio di esacerbazione del problema – già sentito, specialmente in dottrina – della cosmetic compliance, ossia di una compliance di mera facciata, puramente cartolare, carente di effettiva traduzione nelle dinamiche operative dell’ente[42]. Con le nuove tecnologie potrebbe, infatti, divenire ancora più semplice e veloce la creazione di un modello organizzativo formalmente ineccepibile, lungamente articolato, dotato di una parte generale e di una parte speciale astrattamente valutabile come idoneo dal giudice, in quanto “confezionato” da Chat-GPT, eppure nella sostanza non concretamente ed efficacemente attuato, o peggio ancora non attuabile materialmente nella specifica realtà aziendale di riferimento, per mancanza di un assetto organizzativo adeguato allo scopo.
Tale pericolo potrebbe forse oggi dirsi ridimensionato – nell’ottica del giudice – se si guarda al nuovo corso intrapreso in tema di colpa di organizzazione e modelli organizzativi dalla giurisprudenza di legittimità, la quale ormai distingue nettamente il profilo dell’adozione formale del modello da quello del concreto accertamento della colpa di organizzazione. Invero, pur in assenza di un modello 231 formalmente esistente, potrebbe nondimeno risultare non accertata la colpa di organizzazione dell’ente, così come pur in presenza di un modello formalmente valido, potrebbero emergere plurimi profili di colpevolezza di organizzazione dell’ente[43]. Tuttavia, nell’ottica delle corporations, che guardano al problema nella prospettiva ante delictum, occorre mettere in guardia il top management dai rischi di una costruzione “digitale” – rapida ed economica, ma avventata, in quanto non studiata a fondo dai diversi esperti in diritto e in gestione aziendale –, attraverso modelli di IA generativa, del MOG, che, proprio in virtù del nuovo corso “sostanzialista” intrapreso dalla Suprema Corte, potrebbe non essere successivamente giudicato idoneo dal giudice.
4.2. Il giudizio di adeguatezza del modello 231 “AI-oriented”
L’intelligenza artificiale e le nuove tecnologie trasformative potrebbero avere un ruolo anche nella risoluzione del dibattuto tema dell’incerta valutazione dell’idoneità preventiva dei modelli organizzativi. Invero, come evidenziato da tempo da più voci autorevoli in dottrina, la strategia di prevenzione del corporate crime disegnata dal d.lgs. n. 231/2001 e imperniata sull’adozione e sull’efficace implementazione dei modelli di organizzazione è messa in crisi dalla difficoltà di individuare certi criteri di valutazione dell’idoneità dei modelli. La vera questione problematica dietro l’accertamento della colpevolezza dell’ente risiede, infatti, nella predeterminabilità di un modello organizzativo che dia all’ente adeguate garanzie di esenzione da pena.
L’esiguità delle pronunce di merito che sino ad oggi hanno ritenuto superata la prova dell’adeguatezza del modello alimentano un’intollerabile sensazione di incertezza nelle imprese. Queste ultime, non potendo prevedere in anticipo se il proprio sistema di compliance verrà apprezzato favorevolmente dal giudice ai fini dell’esenzione dalla responsabilità – e forti anzi della possibilità, nel caso di commissione di un reato presupposto, di evitare comunque l’applicazione delle sanzioni interdittive e di ottenere una diminuzione della sanzione pecuniaria grazie a condotte di ravvedimento post factum e all’adozione postuma del modello – non sono più motivate a sostenere in via anticipata i costi di redazione e attuazione del MOG. Di conseguenza, risulta compromesso l’intero equilibrio e la complessiva efficienza del sistema penale degli enti, la cui vocazione preventiva rischia di rimanere tale solamente sulla carta.
Sotto questo profilo, innanzitutto, un modello organizzativo AI-oriented potrebbe fornire, in astratto, molte più garanzie di idoneità rispetto a un compliance program “analogico”. Ciò in quanto, come si è visto, la compliance digitalizzata presenta caratteristiche di maggiore efficienza, effettività ed efficacia, migliorando le attività di monitoraggio e consentendo di individuare con più precisione nuove aree di rischio-reato, e in alcuni casi persino di anticipare la commissione di condotte sospette. Di conseguenza, il soggetto collettivo che utilizzi strumenti di IA per la prevenzione del rischio-reato potrebbe fare maggiore affidamento sulla probabilità che il giudice valuti come idoneo e adeguato il suo MOG nell’eventualità della realizzazione a suo interesse o vantaggio di un reato-presupposto e, di conseguenza, nutrire la ragionevole aspettativa di andare esente da responsabilità.
I rapporti tra intelligenza artificiale e MOG potrebbero, inoltre, essere inquadrati secondo un’ulteriore prospettiva: l’ente potrebbe, infatti, dotarsi di un sistema di intelligenza artificiale in grado esso stesso di valutare, con probabilità prossima alla certezza, l’idoneità del modello 231 dalla società adottato e concretamente attuato[44]. In questo senso, la tecnologia non sarebbe volta a “riempire” il modello di misure, procedure, sistemi di allarme maggiormente efficienti in quanto automatizzati – che contribuirebbero ad aumentare le probabilità che un giudice valuti come idoneo tale modello –, ma costituirebbe essa stessa un nuovo sistema di valutazione dell’idoneità del modello, servendo come una sorta di “prova del nove” dell’adeguatezza del MOG, che potrebbe in ipotesi essere a sua volta AI-based oppure anche tradizionale.
Un simile strumento tecnologico rappresenterebbe un valido ausilio non soltanto per la persona giuridica, che voglia dotarsi di un tool in grado di fare previsioni statisticamente attendibili in vista della possibilità di verificazione di un evento-reato all’interno della propria compagine aziendale, ma anche per il giudice, il quale venga in ipotesi chiamato a pronunciarsi sulla responsabilità ex crimine dell’ente e debba per tale ragione procedere a valutare l’idoneità del modello organizzativo dallo stesso adottato[45]. Tale ultima evenienza dovrebbe essere vagliata con particolare cautela, in considerazione della necessità che la valutazione giudiziale rimanga un’attività “a trazione umana”, sia al fine di salvaguardare il principio del libero convincimento del giudice e della sottoposizione dello stesso esclusivamente alla legge, sia al fine di limitare i possibili esiti devianti della macchina dovuti ad eventuali bias o difetti della stessa, senza contare il fatto che il giudice – non potendo avere accesso completo al ragionamento utilizzato dal sistema di machine learning, per sua natura opaco – non potrebbe essere in grado di motivare adeguatamente il percorso argomentativo che lo abbia portato a una data decisione. A tal proposito, dovrà tenersi in debita considerazione la disciplina contenuta nella nuova legge italiana sull’intelligenza artificiale (Legge 23 settembre 2025, n. 132), il cui art. 15, c. 1, prevede che “è sempre riservata al magistrato ogni decisione sull’interpretazione e sull’applicazione della legge, sulla valutazione dei fatti e delle prove e sull’adozione dei provvedimenti”. Sulla base di tale clausola, sembra difficile che il giudice possa basare il proprio convincimento in ordine all’idoneità del MOG esclusivamente sull’output algoritmico; tuttavia, in linea con la logica dell’AI Act, dovrebbe essere ammessa la possibilità per l’organo giudicante di avvalersi di simili sistemi a supporto della propria decisione, ferma restando l’inammissibilità della vincolatività degli stessi e la necessità che la motivazione tenga conto di tutti gli elementi di convincimento nella sua disponibilità. In altre parole, il giudice dovrebbe porsi nei confronti di tali strumenti allo stesso modo in cui si pone nei confronti della prova scientifica e delle perizie e consulenze tecniche di parte.
4.3. L’IA come ausilio alla standardizzazione del modello 231. Modelli pilota e prospettive premiali de iure condendo
Secondo la prevalente dottrina, la causa primigenia della crisi del sistema 231 (determinata dalla discrezionalità nella valutazione dell’adeguatezza dei modelli) va rintracciata nell’indeterminatezza della stessa disciplina predisposta dal legislatore, il quale, nel rimettere alle singole imprese la scelta in ordine ai contenuti puntuali di cui riempire il modello, e quindi ai singoli protocolli e alle cautele da adottare nella specifica realtà aziendale, non ha fornito né al mondo imprenditoriale né al giudice sicuri criteri di giudizio a cui ancorare la valutazione dell’idoneità del MOG. Una valida proposta avanzata in dottrina per risolvere il problema della valutazione di adeguatezza dei modelli e per assecondare quel bisogno di certezza avvertito dalle imprese è quella della predisposizione di modelli o protocolli pilota, differenziati per settori omogenei di attività o tipologie di imprese. Ci si dovrebbe, in sostanza, orientare in direzione della positivizzazione di protocolli cautelari imperniati sulle best practices e veicolati attraverso l’operato delle associazioni di categoria, il cui ruolo verrebbe quindi rilanciato ben oltre il dettato dell’attuale art. 6, c. 3, d.lgs. 231/2001[46].
Ebbene, l’IA potrebbe essere d’ausilio anche nell’ambito di questa procedura condivisa di standardizzazione dei protocolli cautelari, ossia nella creazione di modelli pilota auspicata dalla dottrina come plausibile soluzione de iure condendo alle incertezze applicative del sistema della responsabilità da reato degli enti.
Invero, grazie alla capacità di analisi e di raffronto in tempi rapidissimi di una quantità enorme di documenti e dati, l’IA potrebbe essere utilizzata a supporto dell’attività degli stakeholder chiamati a raccogliere, sistematizzare e schematizzare i profili comuni alla maggior parte dei modelli utilizzati dagli operatori, e a incrociare tale background informativo sia con le migliori evidenze scientifiche disponibili che con i principi affermati dalla giurisprudenza di legittimità. Le elevate capacità computazionali dei software di IA potrebbero, in definitiva, contribuire alla diffusione di una maggiore conoscenza tecnica tra i vari operatori, consentendo anche alle piccole-medie imprese, che solitamente non si avvalgono di costosi team multidisciplinari esterni per la creazione del modello 231, di attingere al know-how e all’esperienza di altri soggetti operanti nel medesimo settore, grazie all’accesso a modelli pilota implementati attraverso l’incrocio di informazioni provenienti da più realtà aziendali.
Le nuove tecnologie potrebbero, infine, rivelarsi di grande aiuto nella fase finale di revisione sistematica dell’effettiva efficacia preventiva dei modelli pilota, attraverso il miglioramento di flussi informativi a livello nazionale che consentano alle imprese di verificare gli eventuali “errori” commessi da altri soggetti collettivi e l’eventuale obsolescenza di alcuni protocolli cautelari.
Sempre in prospettiva de iure condendo, una parte della dottrina ha altresì auspicato l’introduzione di nuove misure premiali per gli enti virtuosi che decidano di investire importanti risorse, economiche e gestionali, nella costruzione e nell’implementazione di una compliance penale digitale: “premialità che diverrebbero ancor più meritevoli se l’ente, ad esempio, adottasse un OdV collegiale inserendo, tra i consiglieri, un tecnico (si pensi ad un ingegnere informatico) con elevate competenze sull’IA, il quale possa così consentire, per quanto possibile, un controllo certamente più puntuale sulla macchina adibita a valutare l’adeguatezza del M.O.G. e la prevenzione dei reati”[47].
In particolare, si potrebbe ipotizzare la previsione di una presunzione relativa di idoneità del modello organizzativo assistito da evoluti sistemi di IA. L’uso di avanzati sistemi di IA nell’ambito delle procedure tese a prevenire la commissione di reati da parte di soggetti apicali e sottoposti potrebbe “fungere da impulso per raggiungere una presunzione di adeguatezza del M.O.G. stesso, ad oggi del tutto mancante”[48].
Gli enti di maggiori dimensioni, o comunque maggiormente strutturati dal punto di vista economico e organizzativo, potrebbero, in tal modo, essere incentivati, a seguito di un’analisi costi-benefici, ad adottare sistemi tecnologici avanzati per la prevenzione dei corporate crimes. In tal modo, si perseguirebbe in maniera più effettiva – data la maggiore efficienza in termini preventivi della compliance digitale – l’obiettivo della lotta al crimine corporativo, fornendo al contempo alla societas maggiori garanzie di esenzione da pena. Al tempo stesso, si eviterebbe di far ricadere sulle piccole-medie imprese, materialmente impossibilitate a implementare un sistema di compliance digitale, il “peso” degli avanzamenti tecnologici: le stesse non usufruiranno, presumibilmente, dell’istituto premiale di nuovo conio specificamente dedicato agli enti dotatisi di un MOG AI-based, ma saranno comunque messe al riparo da eventuali contestazioni – superficialmente formulate – che non tengano adeguatamente conto del profilo soggettivo della colpa di organizzazione. La compliance digitalizzata, in definitiva, in questa prospettiva, non dovrebbe costituire un nuovo standard cautelare di riferimento, uguale per tutte le imprese, tale da appiattire il giudizio sull’idoneità del modello e sulla sussistenza della colpa di organizzazione, ma rappresenterebbe semplicemente un mezzo, tra i tanti previsti dalla normativa primaria, per ottenere ulteriori benefici premiali.
Anche de iure condito lo sforzo profuso dall’ente per prevenire la commissione di reati mediante le più avanzate tecnologie potrebbe essere dal giudice valorizzato al fine di una valutazione maggiormente personalizzata del trattamento sanzionatorio riservato all’ente, ove venga comunque riconosciuta la sua responsabilità sulla base di un’attenta verifica della sussistenza della colpa di organizzazione. In particolare, l’impegno economico e organizzativo della societas che abbia scelto – pur potendo legittimamente farne a meno – di adottare un sistema di compliance penale digitalizzato proprio al fine di diminuire ulteriormente le chance di commissione al suo interno di reati potrebbe costituire un criterio da evidenziare per contenere l’entità della sanzione pecuniaria, posto che, ai sensi dell’art. 11 del d.lgs. 231/2001, nella commisurazione della sanzione pecuniaria il giudice deve determinare il numero delle quote tenendo conto non solo della gravità del fatto, ma anche del grado della responsabilità dell’ente, nonché dell’attività svolta per eliminare o per attenuare le conseguenze del fatto e per prevenire la commissione di ulteriori illeciti. Allo stesso modo, ove la digitalizzazione della compliance avvenga in un momento successivo alla commissione del reato-presupposto, tale attività di ri-organizzazione – se realizzata unitamente alle ulteriori condotte riparatorie previste dalla legge – dovrebbe essere valutata positivamente ai fini della riduzione della sanzione pecuniaria ai sensi dell’art. 12, c. 2, e della non applicazione delle sanzioni interdittive ex art. 17 d.lgs. 231/2001.
[1] Sulla pervasività di tali strumenti, v. Dipartimento per la Trasformazione Digitale/AgID, Strategia Italiana per l’Intelligenza Artificiale 2024-2026, disponibile al link https://www.agid.gov.it/it/ambiti-intervento/intelligenza-artificiale; G. Ubertis, Intelligenza artificiale, giustizia penale, controllo umano significativo, in Dir. Pen. Cont. – Riv. Trim, 2020, 4, pp. 75 ss. Il cambio di paradigma innescato dall’IA a livello economico, sociale e culturale è evidenziato da A. D’Aloia, Il diritto verso il “mondo nuovo”. Le sfide dell’Intelligenza Artificiale, in Id. (a cura di), Intelligenza artificiale e diritto. Come regolare un mondo nuovo, Milano, FrancoAngeli, 2020, p. 8. Nello stesso senso, v. altresì European Commission’s High-Level Expert Group on AI, Ethics Guidelines for Trustworthy AI, April 2019, https://digital-strategy.ec.europa.eu/en/library/ethics-guidelines-trustworthy-ai, secondo cui «AI is a technology that is both transformative and disruptive», e che «will continue to impact society and citizens in ways that we cannot yet imagine».
[2] Cfr. G. F. Italiano, Le sfide interdisciplinari dell’intelligenza artificiale, in Analisi Giuridica dell’economia, 2019, 1, pp. 9 ss., il quale fornisce un chiaro affresco delle più rilevanti applicazioni dell’IA in diversi settori.
[3] K. A. Bamberger, Technologies of Compliance: Risk and Regulation in Digital Age, in Texas Law Rev., 2010, 88, 4, pp. 669 ss.; W. S. Laufer, The Missing Account of Progressive Corporate Criminal Law, in New York University Journal of Law & Business, 2017, 14, pp. 71 ss.; C. Burchard, Digital Criminal Compliance, in Digitalisierung, Globalisierung und Risikoprävention: Festschrift für Ulrich Sieber zum 70, vol. II, a cura di Engelhart-Kudlich-Vogel, Berlin, 2021, pp. 741 ss.
[4] Sulla centralità rivestita dalla compliance, quale innovativa strategia di contrasto alla criminalità d’impresa, nel campo della responsabilità ex crimine degli enti, nell’ambito di una vasta produzione scientifica, si vedano, a titolo esemplificativo, A. Gullo, Compliance, in Arch. pen., 2023, n. 1, p. 1; S. Manacorda, F. Centonze (a cura di), Corporate Compliance on a Global Scale. Legitimacy and Effectiveness, Cham, Springer, 2022; V. Mongillo, Presente e futuro della compliance penale, in Sist. pen., 11 gennaio 2022, p. 1.
[5] Tra i recenti e sempre più numerosi contributi – a testimonianza della crescente attenzione riservata negli ultimi anni al tema – si vedano E. Birritteri, Big Data Analytics e compliance anticorruzione. Profili problematici delle attuali prassi applicative e scenari futuri, in Dir. pen. cont. – Riv. trim., 2019, 2, pp. 289 ss.; Id., Corporate criminal liability and new technologies: digital compliance strategies in the fight against economic crimes, in Aa. Vv., The Role of Technology in Preventing and Combating Organized Crime, Financial Crimes and Corruption – Book of Proceedings –, OSCE, 2023, pp. 11 ss.; L. D’agostino, Criminal compliance e nuove tecnologie, in Dir. pen. cont. – Riv. trim., 2023, n. 1, pp. 1 ss.; M. Di Florio, Uno sguardo oltre la compliance 231: digital criminal compliance e rischio di infiltrazioni mafiose nelle imprese, in Legisl. pen., 7 giugno 2022, pp. 1 ss.; L. Fimiani, La tecnologia nel sistema penale: dalla giustizia predittiva alle problematiche sull’utilizzo della “IA” per prevenire episodi criminosi, in DisCrimen, 18 novembre 2024, pp. 1 ss.; A. Gullo, R. Sabia, Intelligenza artificiale e compliance penale. Scenari attuali e prospettive evolutive, in Rivista di politica economica. Vettore IA. Algoritmi, impresa, società, 2024, 2, pp. 149 ss.; G. Imbrigiotta, Intelligenza artificiale e MOG 231: dalla colpa d’organizzazione alla colpa “artificiale”, in Penale Diritto e Procedura, 14 gennaio 2025; G. Morgante, G. Fiorinelli, Promesse e rischi della compliance penale digitalizzata, in Arch. pen., 2022, 2, pp. 1 ss.; A. Nisco, Riflessi della compliance digitale in ambito 231, in www.sistemapenale.it, 14 marzo 2022, pp. 1 ss.; R. Sabia, Artificial Intelligence and Environmental Criminal Compliance, in Revue Internationale de Droit Pénal, 2020, 1, pp. 186 ss.; N. Selvaggi, Dimensione tecnologica e compliance penale: un’introduzione, in L. Lupària, L. Marafioti, G. Paolozzi (a cura di), Dimensione tecnologica e prova penale, Giappichelli, Torino, 2019, pp. 217 ss.
[6] L’Institute of International Finance la definisce come «the use of new technologies to solve regulatory and compliance requirements more effectively and efficiently», cfr. IIF, Regtech in Financial Services: Technology Solutions for Compliance and Reporting, marzo 2016, p. 2, disponibile al link https://www.iif.com/portals/0/Files/content/RegTech%20in%20Financial%20Servies.pdf. In argomento, v. D. Murphy, J. Mueller, RegTech: Opportunities for More Efficient and Effective Regulatory Supervision and Compliance, Milken Institute, 2018, https://milkeninstitute.org/sites/default/files/reports-pdf/RegTech-Opportunities-White-Paper-FINAL-.pdf.
[7] Cfr. R. Sabia, Responsabilità da reato degli enti e paradigmi di validazione dei modelli organizzativi. Esperienze comparate e scenari di riforma, Torino, Giappichelli, 2022, p. 113. In ordine alla centralità rivestita dal momento riparativo e rieducativo nel sistema 231 si vedano M. Colacurci, Imputazione e riparazione nella compliance penalistica. Profili evolutivi della responsabilità da reato degli enti, Roma, Aracne editrice, 2020; Id., L’illecito “riparato” dell’ente. Uno studio sulle funzioni della compliance penalistica nel d.lgs. n. 231/2001, Torino, Giappichelli, 2022; A. M. Maugeri, La funzione rieducativa della sanzione nel sistema della responsabilità amministrativa da reato degli enti ex d.lgs. n. 231/2001, Torino, Giappichelli, 2022.
[8] S. Manacorda, L’idoneità preventiva dei modelli di organizzazione nella responsabilità da reato degli enti: analisi critica e linee evolutive, in Riv. trim. dir. pen. econ., 2017, 1-2, p. 50.
[9] In argomento, A. Gargani, Imputazione del reato agli enti collettivi e responsabilità penale dell’intraneo: due piani irrelati?, in Dir. pen. proc., 2002, p. 1061.
[10] Cass. pen., sez. VI, 15 giugno 2022, n. 23401, Impregilo s.p.a., p. 10, in Sist. pen., 20 giugno 2022.
[11] Cfr. E. Birritteri, Corporate criminal liability and new technologies, cit., pp. 11 ss.; L. D’agostino, Criminal compliance e nuove tecnologie, cit., pp. 1 ss.; R. Sabia, Artificial Intelligence and Environmental Criminal Compliance, cit., pp. 186 ss.; v., altresì, nella letteratura spagnola, J. Bellver Belda, El uso de la inteligencia artificial en el ámbito del compliance: posibilidades, limitaciones y perspectivas de futuro, in elderecho.com, 19 luglio 2023, secondo cui «el uso de la IA en el compliance se presenta como una oportunidad para mejorar la efectividad y la eficiencia de estos programas. Y ello, tanto a través del machine learning (aprendizaje automático) como de su aproximación “ruled-based” (IA basada en reglas), permitiendo ayudar a identificar posibles riesgos, y a diseñar medidas de prevención y detección más efectivas, así como a mejorar la toma de decisiones empresariales y a garantizar el cumplimiento normativo».
[12] Sul punto, A. Gullo, R. Sabia, Intelligenza artificiale e compliance penale, cit., p. 155. Rileva la capacità dei compliance-technology products, conosciuti generalmente come "governance, risk, and compliance" (GRC) software, di identificare e misurare i rischi aziendali, associando valutazioni di tipo qualitativo a valutazioni anche di carattere quantitativo, K. A. Bamberger, Technologies of Compliance, cit., pp. 690 ss.
[13] C. Piergallini, I modelli organizzativi, G. Lattanzi (a cura di), Reati e responsabilità degli enti. Guida al d.lgs. 8 giugno 2001, n. 231, 2ª ed., Milano, Giuffrè, 2010, p. 181.
[14] Così, G. Morgante, G. Fiorinelli, Promesse e rischi della compliance penale digitalizzata, cit., p. 9, che rimanda alle analisi di A. Garapon, J. Lassegue, La giustizia digitale. Determinismo tecnologico e libertà, Bologna, Il Mulino, 2021, pp. 111 s., i quali rilevano la capacità della tecnologia di realizzare una “scansione”, di una istituzione o di un ente, ottenendone una sorta di “radiografia” digitale, una versione composta di dati che possono poi “essere incrociati e sfruttati all’infinito”.
[15] Ivi, p. 10.
[16] Cfr. R. Sabia, Artificial Intelligence and Environmental Criminal Compliance, cit., p. 184: «Not only AI can boost the improvement of corporate risk assessment, by helping better detect risk areas, but as intelligent machines able to learn during this process, they can also have a huge impact on risk management, by making predictions about future events. In this way, businesses can get clear indications on how to fix and improve their compliance programmes».
[17] Cfr. E. Birritteri, Big Data Analytics e compliance anticorruzione, cit., p. 293.
[18] Cfr. A. Gullo, R. Sabia, Intelligenza artificiale e compliance penale, cit., p. 155. V. altresì L. D’agostino, Criminal compliance e nuove tecnologie, cit., p. 2, che rileva che «Le smart technologies consentono di elaborare grandi quantità di dati in modo coerente, più veloce e preciso degli esseri umani; ciò porta a un significativo incremento dell’efficienza e conduce verso una progressiva semplificazione delle procedure. Inoltre, grazie all’analisi in tempo reale dei flussi di informazioni, si incentiva la leva preventiva permettendo all’ente di intervenire non appena si abbia notizia di indici di sospetto o anomalia. Ciò segna una svolta significativa nella governance del rischio, poiché consente all’ente di reagire in un tempo in cui il reato non e ancora stato commesso».
[19] Cfr. A. Gullo, R. Sabia, Intelligenza artificiale e compliance penale, cit., p. 155.
[20] N. Selvaggi, Dimensione tecnologica e compliance penale, cit., p. 221.
[21] In questi termini, A. Nisco, Riflessi della compliance digitale in ambito 231, cit., p. 5, il quale rimanda alle riflessioni di S. Neufang, Digital Compliance – Wie digitale Technologien Compliance-Verstöße vorhersehen, in IRZ – Zeitschrift für Internationale Rechnungslegung, 2017, p. 249.
[22] Sul punto, cfr. G. Morgante, G. Fiorinelli, Promesse e rischi della compliance penale digitalizzata, cit., pp. 10 s., nonché A. Gullo, R. Sabia, Intelligenza artificiale e compliance penale, cit., p. 155.
[23] Cfr. A. Gullo, R. Sabia, Intelligenza artificiale e compliance penale, cit., p. 156; L. D’Agostino, Criminal compliance e nuove tecnologie, cit., p. 2.
[24] In argomento, ex multis, C. Pistilli, L’utilizzo dell’intelligenza artificiale nel campo delle attività investigative delle forze dell’ordine: tra prospettive di sviluppo ed esigenze di coordinamento, in G. Balbi, F. De Simone, A. Esposito, S. Manacorda (a cura di), Diritto penale e intelligenza artificiale. “Nuovi scenari”, Torino, Giappichelli, 2022, pp. 146 ss.; G. Sartor, F. Lagioia, Le decisioni algoritmiche tra etica e diritto, in U. Ruffolo (a cura di), Intelligenza artificiale. Il diritto, i diritti, l’etica, Milano, Giuffrè, 2020, pp. 63 ss.
[25] V., in tal senso, G. Morgante, G. Fiorinelli, Promesse e rischi della compliance digitalizzata, cit., pp. 27 ss.
[26] Così, A. Nisco, Riflessi della compliance digitale in ambito 231, cit., p. 7.
[27] Utilizza tale espressione N. Selvaggi, Dimensione tecnologica e compliance penale, cit., p. 222,
[28] Cfr. G. Morgante, G. Fiorinelli, Promesse e rischi della compliance digitalizzata, cit., p. 28.
[29] A. Nisco, Riflessi della compliance digitale in ambito 231, cit., p. 7.
[30] Cfr. G. Morgante, G. Fiorinelli, Promesse e rischi della compliance digitalizzata, cit., p. 28. Descrivono le molteplici forme che l’electronic performance monitoring dei dipendenti può assumere, distinguendole a seconda dei livelli di monitoraggio, dell’oggetto o ancora delle tecnologie impiegate, T. Kalischko, R. Riedl, Electronic Performance Monitoring in the Digital Workplace: Conceptualization, Review of Effects and Moderators, and Future Research Opportunities, in Frontiers in Psychology, 2021, 12, pp. 1 ss.
[31] A. Nisco, Riflessi della compliance digitale in ambito 231, cit., p. 8.
[32] Cfr. A. Gullo, R. Sabia, Intelligenza artificiale e compliance penale, cit., pp. 160 ss. Anche E. Birritteri, Corporate criminal liability and new technologies, cit., p. 21 si pone lo stesso interrogativo.
[33] Così, P. Severino, Intelligenza artificiale e diritto penale, cit., p. 538.
[34] Secondo N. Selvaggi, Dimensione tecnologica e compliance penale, cit., p. 224, «l’idea di fondare il collegamento tra l’illecito e il soggetto collettivo sulla base del difetto di progettazione e, in una certa misura, di funzionamento delle tecnologie, rappresenterebbe con ogni probabilità un arretramento rispetto agli attuali sviluppi della “colpa di organizzazione”, se non si chiariscono i termini in cui detti profili, o aspetti del fenomeno, siano dominabili in particolare da parte dell’ente il quale semplicemente impieghi le tecnologie medesime, senza esserne l’autore».
[35] A. Gullo, R. Sabia, Intelligenza artificiale e compliance penale, cit., p. 161.
[36] Ivi, pp. 159 ss.
[37] Ci si riferisce in particolare al lavoro di G. Marinucci, Innovazioni tecnologiche e scoperte scientifiche: costi e tempi di adeguamento delle regole di diligenza, in Riv. it. dir. proc. pen., 2005, n. 1, pp. 29 ss.
[38] Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale e modifica i regolamenti (CE) n. 300/2008, (UE) n. 167/2013, (UE) n. 168/2013, (UE) 2018/858, (UE) 2018/1139 e (UE) 2019/2144 e le direttive 2014/90/UE, (UE) 2016/797 e (UE) 2020/1828 (regolamento sull’intelligenza artificiale o AI Act).
[39] Cfr. C. Negri, Come funziona l’AI Generativa: significato e applicazioni, in www.blog.osservatori.net, 14 marzo 2024 (frutto del lavoro dell’Osservatorio Artificial Intelligence del Politecnico di Milano, nato nel 2017 dall’unione delle esperienze del Dipartimento di Ingegneria Gestionale e del Dipartimento di Elettronica, Informazione e Bioingegneria del Politecnico di Milano per indagare l’evoluzione e le potenzialità dell’IA in vari ambiti: https://www.osservatori.net/artificial-intelligence/).
[40] Secondo la definizione contenuta nel vocabolario Treccani online, per intelligenza artificiale generativa si intende «qualsiasi tipo di intelligenza artificiale in grado di creare, in risposta a specifiche richieste, diversi tipi di contenuti come testi, audio, immagini, video». Come evidenzia A. C. Amato Mangiameli, Intelligenza artificiale generativa: brevi note, ne L’Ircocervo, Anno 23, 2024, 1, Special Issue a cura di M.N. Campagnoli, P. Marra, Artificial Intelligence and Neuro-cognitive Sciences in Law: From Symbiosis to Substitution, p. 104, la Generative AI ha «una straordinaria capacità di produrre testi scritti di qualunque genere (in forma ad esempio di racconto, poesia, lettera, romanzo) e con qualsiasi stile (sia imitando, su richiesta, la prosa di Manzoni oppure la poesia di D’Annunzio, e sia ideando uno stile tutto suo)», nonché una «particolare abilità nel realizzare immagini, audio e video, simili a quelli prodotti dall’uomo e, soprattutto, estremamente veritieri e credibili».
[41] Di tale avviso anche E. Birritteri, Corporate criminal liability and new technologies, cit., p. 22.
[42] A. Gullo, Compliance, cit., p. 5.
[43] Cfr., sul punto, G. Amato, L’addebito a carico dell’ente non può essere giustificato solo con la mancanza del modello, in Resp. amm. soc. enti, 2022, 3, pp. 271 ss.
[44] In questo senso si esprime L. Fimiani, La tecnologia nel sistema penale, cit., p. 8, che rileva come «l’utilizzo di tali tecnologie può essere certamente utile al fine di valutare, con probabilità prossima alla certezza, l’idoneità dei modelli organizzativi (c.d. M.O.G.) che, se positivamente costituiti, possono certamente agire in chiave preventiva per evitare la commissione, all’interno delle aziende, di tali reati ed escludere, quindi, una responsabilità ex d.lgs. n. 231/2001».
[45] In chiave critica, P. Fimiani, N. Selvaggi, A. Matonti, A. Quattrociocchi, G. Morgante, Individuazione di standard di prevenzione del rischio e regole di compliance nel giudizio sul d.lgs. n. 231/2001, in F. Centonze, S. Manacorda (a cura di), Verso una riforma della responsabilità da reato degli enti. Dato empirico e dimensione applicativa, Bologna, Il Mulino, 2023, p. 453, rilevano che «la digital transition delle attività di gestione del rischio potrebbe produrre effetti positivi anche nella delicata fase della valutazione giudiziale» dell’attività organizzativa dell’ente volta alla prevenzione dei reati in azienda.
[46] Si fa riferimento alla proposta sviluppata da C. Piergallini, Paradigmatica dell’autocontrollo penale (dalla funzione alla struttura del “modello organizzativo” ex d.lg. n. 231/2001) (parte II), in Cass. pen., 2013, 2, pp. 866 s., e ripresa altresì da R. Sabia, Responsabilità da reato degli enti e paradigmi di validazione, cit., p. 159.
[47] Cfr. L. Fimiani, La tecnologia nel sistema penale, cit., p. 10.
[48] Ibidem. Secondo l’Autore, «sarebbe quindi auspicabile un intervento normativo che assicuri, nel caso di adozione di un M.O.G. conforme alle indicazioni degli enti rappresentativi e monitorato da evoluti sistemi di IA, una presunzione quantomeno relativa di idoneità dello stesso, purché si proceda all’aggiornamento in itinere secondo cadenze temporali prefissate ed in collaborazione con il controllo pubblico, al fine di tener conto tempestivamente non solo delle novità scientifiche e tecniche eventualmente emerse, ma anche delle esperienze concrete maturate nell’operatività dell’istituto. […] In tale ultima ipotesi la digital transition delle attività di gestione del rischio potrebbe quindi produrre effetti positivi nella delicata fase della valutazione giudiziale in punto di impegno della società nell’analisi, organizzazione e contenimento del rischio reato, purché l’organo decisorio sia previamente formato e informato sul funzionamento del sistema tecnologico di IA utilizzato dall’ente».