Utilizzo illecito di sistemi di Intelligenza Artificiale (IA) e responsabilità 231: cosa cambia dopo la Legge 23 settembre 2025, n. 132.

Utilizzo illecito di sistemi di Intelligenza Artificiale (IA) e responsabilità 231: cosa cambia dopo la Legge 23 settembre 2025, n. 132.

L’entrata in vigore della Legge 23 settembre 2025, n. 132, dedicata all’Utilizzo Illecito di Sistemi di Intelligenza Artificiale (IA), rappresenta un passaggio di svolta nel diritto penale dell’economia. Per la prima volta, il legislatore italiano disciplina in modo espresso le condotte illecite connesse all’impiego di sistemi di IA, incidendo direttamente sulla responsabilità delle persone fisiche e, per effetto del sistema del D.lgs. 231/2001, sulla responsabilità degli enti. L’IA entra formalmente nella sfera del rischio-reato.

Dalla neutralità tecnologica alla tipizzazione del rischio algoritmico

Fino al 2025, l’intelligenza artificiale era giuridicamente “neutra”: eventuali illeciti venivano inquadrati attraverso fattispecie tradizionali (frode, falso, accesso abusivo, manipolazione di mercato, discriminazione, ecc.), anche quando la condotta era mediata da un algoritmo.

La Legge n. 132/2025 supera questa impostazione e individua specifiche condotte penalmente rilevanti legate all’uso illecito di sistemi IA. In particolare, vengono sanzionate:

  • la manipolazione dolosa o l’alterazione fraudolenta di sistemi di IA al fine di ottenere vantaggi indebiti;
  • l’impiego di sistemi algoritmici per generare contenuti ingannevoli idonei a produrre danni patrimoniali o a influenzare decisioni economiche;
  • l’utilizzo di IA in violazione di obblighi di trasparenza, supervisione o controllo umano previsti dalla normativa;
  • l’adozione consapevole di sistemi discriminatori o distorsivi in ambito lavoristico, creditizio o commerciale.

La rilevanza penale non riguarda soltanto l’abuso intenzionale, ma anche l’uso consapevole di sistemi non adeguatamente governati, quando ciò determini effetti illeciti prevedibili.

Questo significa che l’adozione di strumenti di IA non può più essere considerata un’operazione neutra sotto il profilo della responsabilità.

L’impatto sul D.lgs. 231/2001: ampliamento diretto o indiretto del catalogo dei reati presupposto.

Quali sono i reati-presupposto del Decreto 231 modificati dalla Legge 132 del 2025?

L’art. 2637 c.c. (Aggiotaggio), reato-presupposto ex art. 25-ter del D.Lgs. 231/01, cambia profondamente con la nuova legge. La norma punisce la manipolazione delle informazioni dirette a influenzare il mercato. Con l’arrivo dell’IA, la legge introduce una forma aggravata quando la manipolazione avviene attraverso strumenti automatizzati, algoritmi e sistemi intelligenti. Questo significa che l’illecito commesso tramite IA produce un rischio più elevato per l’impresa.

Oggi l’Impresa può influenzare i mercati anche tramite contenuti generati automaticamente, bot, campagne massive, strumenti predittivi e algoritmi capaci di alterare la percezione del pubblico. Tutto questo rende la condotta molto più insidiosa. L’aggravante modifica il reato e aumenta il rischio per gli enti, perché una condotta automatizzata può generare effetti più rapidi e più difficili da controllare. Le imprese devono quindi introdurre controlli tecnici che impediscano la creazione di contenuti falsi o alterati tramite IA.

L’art. 185 TUF (Manipolazione del mercato), reato-presupposto ex art. 25-sexies del Decreto 231, subisce un intervento ancora più incisivo. Anche qui la legge introduce una forma aggravata quando la manipolazione avviene mediante sistemi di IA. La modifica riguarda l’aumento delle pene e la maggiore severità della risposta penale. Le società quotate o vigilate si trovano quindi davanti a un rischio molto più delicato, perché gli algoritmi che generano segnali di trading, analisi automatiche o contenuti di mercato possono generare condotte rilevanti penalmente.

Inoltre, è stato  ritoccato l’art. 171, L. 633/1941 (in materia di diritto d’autore) introducendo sanzioni penali per chi riproduce o estrae testi/dati in violazione degli artt. 70-ter e 70-quater anche tramite AI.

Il secondo – e forse più insidioso – impatto della Legge 132/2025 in ambito responsabilità 231 è quello dell’utilizzo dell’IA come strumento per la commissione di reati già inclusi nel catalogo 231: frode informatica, reati societari, reati contro la pubblica amministrazione, reati di mercato, trattamento illecito di dati.

Un algoritmo può generare automaticamente comunicazioni sociali fuorvianti, alterare processi decisionali, influenzare dinamiche di prezzo, discriminare sistematicamente candidati o clienti. In tali casi, l’IA non è il reato in sé, ma il mezzo attraverso cui si realizza un reato presupposto.

Nel sistema 231, la responsabilità non si fonda sull’errore tecnico, ma sulla carenza organizzativa. Se un sistema di IA produce un risultato illecito, l’attenzione si concentrerà sul processo decisionale che ha condotto alla sua adozione; sulla valutazione preventiva dei rischi; sulla presenza o meno di controlli e audit algoritmici; sulla tracciabilità delle decisioni automatizzate e sull’esistenza di una supervisione umana effettiva.

IA, processi aziendali e aree sensibili 231

Le aree maggiormente esposte sono quelle in cui l’IA incide su decisioni economicamente rilevanti:

  • selezione del personale e valutazione delle performance;
  • concessione di credito o determinazione di condizioni commerciali;
  • redazione automatizzata di documenti societari o informativa finanziaria;
  • gestione di gare e rapporti con la PA;
  • analisi predittive in ambito finanziario.

In tutti questi ambiti, l’utilizzo illecito di sistemi IA può generare responsabilità dirette o indirette dell’ente.

L’intelligenza artificiale non è più solo leva di competitività, ma fattore di esposizione giuridica. La Legge 23 settembre 2025, n. 132 cristallizza questo passaggio, collocando l’uso illecito dei sistemi IA nell’area del penalmente rilevante.

In un contesto in cui gli algoritmi incidono su decisioni strategiche, la qualità della governance dell’IA diventa uno degli indicatori più significativi della solidità dell’assetto organizzativo e della capacità dell’ente di prevenire responsabilità.

Valutato l’Impatto della Legge 132 del 2025 sul Decreto 231 del 2001, le imprese devono quindi controllare più attentamente i software di analisi e le piattaforme utilizzate dal personale, poiché l’uso improprio di strumenti di IA può generare responsabilità penale dell’ente. Le imprese possono ridurre il rischio analizzando i processi interni, formando il personale e monitorando l’uso dei sistemi. Inoltre possono introdurre sistemi di controllo automatico, linee guida interne e protocolli di revisione.