Linkedin

L’impatto della nuova legge in materia di intelligenza artificiale sul diritto penale d’impresa

Con la Legge 23 settembre 2025, n. 132, l’Italia introduce il primo quadro organico sull’intelligenza artificiale, in attuazione e coordinamento con l’AI Act europeo. La riforma incide in modo significativo sul diritto penale d’impresa, estendendo il perimetro della responsabilità penale e amministrativa connessa all’uso di sistemi intelligenti. Al centro vi è la gestione del rischio algoritmico e l’adeguamento dei modelli di compliance aziendale previsti dal D.Lgs. 231/2001.

INDICE DEI CONTENUTI

Il quadro normativo

Il 10 ottobre 2025 è entrata in vigore la Legge 23 settembre 2025, n. 132, recante “Disposizioni e deleghe al Governo in materia di intelligenza artificiale”. È il primo intervento organico del legislatore italiano in materia di IA, che si affianca e si coordina con il Regolamento (UE) 2024/1689 (AI Act), approvato nel marzo 2024. La legge segna una svolta nella regolamentazione nazionale, bilanciando la promozione dello sviluppo tecnologico con la necessità di garantire diritti fondamentali, sicurezza e prevenzione dei rischi penali.

La normativa è strutturata per Capi: – Capo I – Principi e finalità: stabilisce che l’uso dell’IA deve avvenire nel rispetto della Costituzione e della Carta dei diritti fondamentali dell’Unione Europea, introducendo i principi di trasparenza, tracciabilità, sicurezza e supervisione umana. – Capo II – Disposizioni di settore: disciplina l’impiego dell’IA in ambiti sensibili come sanità, giustizia, pubblica amministrazione e lavoro. Per i sistemi ad alto rischio sono previste verifiche preventive e monitoraggi costanti di conformità. – Capo III – Strategia nazionale e governance: istituisce un’autorità nazionale di coordinamento, incaricata di vigilare sull’applicazione della legge, coordinarsi con le autorità europee e promuovere la strategia nazionale in materia di IA. Sono previsti incentivi alla ricerca e allo sviluppo. – Capo IV – Tutela degli utenti e diritto d’autore: introduce norme per la protezione dei cittadini e degli utenti, imponendo obblighi di trasparenza e rispetto del copyright per i contenuti generati con IA. – Capo V – Disposizioni penali: introduce nuove fattispecie incriminatrici e modifica norme già esistenti del codice penale e del diritto societario. – Capo VI – Disposizioni finanziarie e finali: definisce la copertura economica, le deleghe al Governo per i decreti attuativi e il coordinamento con la normativa europea.

L’art. 26 della legge recante le “modifiche al codice penale e ad ulteriori sanzioni penali

Il cuore della riforma, per quanto riguarda il diritto penale d’impresa, è rappresentato dall’art. 26, contenuto nel Capo V. La norma prevede una serie di interventi sul codice penale e su altre disposizioni di settore:

  • introduzione del nuovo art. 612-quater c.p., che punisce la diffusione illecita di contenuti generati o alterati con strumenti di IA (ad esempio deepfake diffamatori o discriminatori), con la reclusione da uno a cinque anni;
  • inserimento di una nuova aggravante all’art. 61 c.p., n. 11-decies, applicabile quando un reato è commesso avvalendosi di sistemi di IA che rendano la condotta più insidiosa o ne aggravino le conseguenze;
  • modifica dell’art. 294 c.p. (attentati contro i diritti politici del cittadino), con la previsione della reclusione da due a sei anni se l’inganno è realizzato con IA;
  • inasprimento dell’art. 2637 c.c. (aggiotaggio), che prevede la reclusione da due a sette anni se il fatto è commesso con IA;
  • modifica dell’art. 185 TUF, che stabilisce la reclusione da due a sette anni e la multa fino a sei milioni di euro per i reati di abuso di mercato commessi con IA.

Effetti sul sistema 231

L’art. 26 ha un impatto diretto sulla disciplina della responsabilità amministrativa degli enti. I nuovi reati e le aggravanti introdotte entrano, infatti, nel catalogo dei reati presupposto del D.Lgs. 231/2001.

Ciò significa che l’impresa può essere chiamata a rispondere non solo per i reati informatici e i reati colposi tradizionalmente considerati, ma anche per:

  • la diffusione di contenuti manipolati con IA;
  • gli illeciti in materia di mercati finanziari commessi tramite algoritmi;
  • le condotte discriminatorie o fraudolente agevolate dall’uso di sistemi intelligenti.

Si paventa peraltro il rischio che l’impresa possa essere chiamata a rispondere dell’errore commesso dall’IA e ciò ha rilevanza in particolare con riferimento al tema degli infortuni sul lavoro. Si pensi, a titolo esemplificativo, all’ipotesi in cui un macchinario funzionante per mezzo dell’IA causi un incidente che arrechi pregiudizio ad un lavoratore.

Ne consegue che il Modello 231 dovrà essere aggiornato per includere protocolli specifici di gestione del rischio algoritmico: audit periodici, tracciabilità delle decisioni automatizzate, validazione preventiva dei sistemi e formazione del personale. In mancanza di tali presidi, l’ente rischia sanzioni pecuniarie, interdittive e la confisca dei profitti illeciti.

È pur vero che all’interno della nuova legge è espressamente previsto che in presenza di un modello 231, la responsabilità delle persone fisiche e degli enti, verrà valutata tenendo conto «del livello effettivo di controllo dei sistemi predetti da parte dell’agente» (art. 24, comma 5, lett. c).

Inoltre, si tenga presente che il Governo sarà chiamato, entro dodici, mesi ad emanare ulteriori D.Lgs. attuativi della presente legge, al fine di adeguare e specificare la disciplina dei casi di realizzazione e di impiego illeciti di sistemi IA (art. 24, comma 3).

Conclusione

La Legge 132/2025, vista in combinato con l’AI Act europeo, rappresenta un salto di qualità nella disciplina dell’intelligenza artificiale. Non si limita a promuovere l’innovazione, ma definisce un sistema di responsabilità che considera l’IA come fonte di rischio penale. Per le imprese, introdurre sistemi di IA, senza adeguati protocolli significa implementare comportamenti che possono integrare fattispecie personalmente rilevanti in capo ai componenti degli organi amministrativi. La prevenzione, tramite modelli organizzativi aggiornati e certificati, è oggi l’unico strumento per coniugare tecnologia e sicurezza giuridica. Ciò non significa che questi sistemi vadano “demonizzati”, in quanto possono costituire un valido strumento di innovazione e supporto; ma nemmeno “mistificati”, infatti è sempre importante la presenza del c.d. controllo umano significativo, non si può, dunque, attraverso di essi sottrarre autonomia e potere decisionale all’uomo.

Key takeaways

La Legge 132/2025 è il primo quadro organico nazionale sull’IA e si coordina con l’AI Act europeo.

La normativa è articolata in sei Capi, che spaziano dai principi generali alle disposizioni penali.

L’art. 26 introduce un nuovo reato (art. 612-quater c.p.) e aggrava fattispecie esistenti (artt. 61, 294 c.p., 2637 c.c., 185 TUF).

Questi reati diventano reati presupposto ai fini della responsabilità degli enti ex D.Lgs. 231/2001.

Le imprese devono aggiornare i Modelli 231 includendo protocolli dedicati al rischio algoritmico.

La prevenzione resta centrale: adottare sistemi di controllo significa ridurre il rischio di procedimenti penali e di pesanti sanzioni.

Avv. Norberto Salza