NEWS

Digital Criminal Compliance: evoluzioni, sfide e prospettive.

Digital Criminal Compliance: evoluzioni, sfide e prospettive.

a cura del Prof. Mauro Miccio,

In collaborazione con Ludovica Raucci

Compliance & Innovation Evento Webinar Gratuito Giovedì 29 Maggio

Indice

La cultura del “rischio” e il concetto di “accountability”

Con l’arrivo delle norme sull’Intelligenza Artificiale (Regolamento UE 1689/2024 del 12 luglio 2024 in primis), si rafforza sempre di più l’attenzione alla cultura del “rischio”. 

Senza andare alle origini che ne vedono i prodromi con l’Italia delle Repubbliche Marinare per i traffici marittimi o la Firenze dei Medici per  i rischi finanziari , la metodologia del risk management ci viene dal mondo  anglosassone, in particolare dagli USA degli anni ‘80-’90. 

L’Europa, da quando si è sviluppata tale cultura, ha sempre avuto un approccio più prudente.

Infatti, dai primi anni 2000, ha cominciato a monitorare, in funzione preventiva ,i possibili rischi che riguardavano la corporate governance aziendale e ad individuare all’interno delle organizzazioni chi dovesse essere ritenuto responsabile rispetto alla cattiva gestione degli stessi.

Lo stesso citato Regolamento UE sull’Intelligenza Artificiale dà spazio al concetto di responsabilità, in termini di accountability, nell’ambito dell’utilizzo di sistemi di IA, mettendo con ciò in rilievo quanto sia importante l’individuazione dei soggetti responsabili nella scelta del modello di governance di un’azienda.

L’accountability di cui si parla nella dottrina comunitaria rappresenta un framework giuridico sicuramente meno severo rispetto ad un approccio di responsabilità penale come quello dell’ordinamento italiano, sviluppato anche dal D.Lgs. n.231/2001, che non a caso parla di “reati presupposto”.

Ad esempio, nell’ultimo Regolamento dell’AI Act comunitario, tale responsabilità grava su tutti i soggetti che forniscono o utilizzano sistemi di IA  ad alto rischio, imponendo loro di implementare una gestione dei rischi secondo l’articolo 9 (Sistema di gestione del rischio) e di adeguarsi ai requisiti specifici stabiliti dall’articolo 16 (Obblighi dei fornitori dei sistemi di IA ad alto rischio), che considerano tali soggetti “accountable”, ovvero responsabili, ove i requisiti non siano rispettati.

Tale riferimento normativo è significativo, giacché evidenzia come l’Intelligenza Artificiale abbia generato un quadro giuridico specifico di responsabilità, che si aggiunge a quelli già esistenti in altri settori. Inoltre è la prova del fatto che la responsabilità derivante dall’uso dell’AI abbia trovato un riconoscimento formale nella legge.

Risk management, governance aziendale e nuove tecnologie 

Oggi tutto ciò è diventato una leva strategica per la resilienza e la competitività delle aziende. 

Con il D.lgs. 231 del 2001 anche in Italia ha assunto rilievo centrale l’attività di identificazione, valutazione e gestione dei rischi connessi all’esercizio delle attività d’impresa, i quali, laddove non adeguatamente sorvegliati, possono tradursi in profili di responsabilità in capo agli organi amministrativi. In questo contesto normativo- tecnologico in rapida evoluzione, segnato dalla crescente pervasività delle nuove tecnologie, l’attività di risk management e quindi la governance aziendale diventano sempre più strategiche, in quanto le ipotesi di rischio si moltiplicano e si articolano in nuove forme più complesse, anche in relazione alla responsabilità dell’Ente.  

Compliance & Innovation Evento Webinar Gratuito Giovedì 29 Maggio

AI ACT e DDL Meloni: le nuove fattispecie di reato connesse all’uso dell’Intelligenza Artificiale

Nel regolamento sull’Intelligenza Artificiale della comunità europea, ripreso pienamente dal DDL Meloni recentemente approvato in prima lettura al Senato italiano, si introducono nuove fattispecie di “illecito” collegate all’utilizzo scorretto o insicuro dell’IA.

Alcune di queste fattispecie saranno integrate sicuramente tra i reati presupposto della 231, ad esempio nel DDL Meloni, all’articolo 26, viene disposta la modifica di alcune fattispecie di reato, come gli articoli 61, 294 e 612-ter del Codice penale, che individuano pene specifiche se “il fatto è compiuto con l’impiego di Intelligenza Artificiale”, e all’articolo 24 viene delegato il Governo “all’introduzione di autonome fattispecie di reato incentrate sull’omessa adozione di misure di sicurezza sull’utilizzo di Intelligenza Artificiale”.

Peraltro, parlando di utilizzi vietati dell’AI (art.5), si possono determinare potenzialmente già oggi nuove ed ingenti penalità, in quanto già dal 2 febbraio 2025 sono entrate in vigore norme che individuano fattispecie  sanzionabili  per i sistemi di IA ad Alto Rischio e il loro uso improprio. 

Compliance & Innovation – Evento Webinar

I livello di rischio previsti nell’AI ACT e il risk assessment; la ISO 31000 e il modello “PDCA”

Come è noto l’AI Act classifica i sistemi sul livello dei rischi (basso, medio,  alto, critico).

Quindi, si richiede un documento aggiornato della valutazione del rischio, il c.d. risk assessment, che comprenda almeno l’identificazione, l’analisi e la ponderazione del rischio. 

Tale documento deve necessariamente considerare le minacce interne ed esterne, la vulnerabilità e le probabilità di accadimenti ,con i conseguenti impatti che ne derivino. 

Anche in questo caso, come già emergeva chiaramente ex art 6 del decreto legislativo 231 del 2001 , avere un adeguato modello di gestione, organizzazione e controllo – il c.d. MOG – può creare i presupposti di situazioni esimenti sia della responsabilità penale, sia di quella amministrativa derivante dal potenziale reato configurabile , a patto che si dimostri in sostanza di aver adottato le misure preventive necessarie.  

Peraltro, sono stati individuati nel tempo standard specifici e linee guida che un’impresa dovrebbe seguire, al fine di realizzare al meglio la gestione del rischio; in particolare e più specificamente si fa riferimento alla ISO 31000.

Quest’ultima prevede un approccio Plan – Do – Check – Act (PDCA), vale a dire un metodo strutturato per garantire una gestione del rischio coerente e ciclica. Il risk management, quindi, deve essere integrato in tutti i processi aziendali: deve cioè essere dinamico, iterativo e reattivo al cambiamento. 

Il ciclo PDCA  si inserisce perfettamente in questa visione:                              

  • Plan : analizzare i rischi, identificare le aree di vulnerabilità sia normative che informatiche, definire obiettivi di controllo e criteri di rischio;    
  • Do: implementare misure di controllo, tecnologie digitali, sistemi di intelligenza artificiale e meccanismi di monitoraggio automatizzati;      
  • Check: valutare l’efficacia dei controlli adottati tramite audit continui, analisi dei dati e algoritmi predittivi;                        
  • Act: rivedere, migliorare costantemente il MOG e i sistemi IT in risposta a non conformità, nuove minacce o cambiamenti normativi.              

In altri termini, questa metodologia non solo rafforza la resilienza organizzativa, ma risponde anche alle esigenze poste dalle nuove direttive europee, come la recente Nis2 , che impone alle imprese strategiche e critiche di adottare una governance solida della sicurezza informatica.

Pertanto è lecito desumere che la stessa dovrà essere utilizzata anche con  riferimento all’AI Act, che introduce l’obbligo di garantire trasparenza, controllo e tracciabilità per i sistemi di intelligenza artificiale ad alto rischio. 

L’utilizzo di software di compliance: vantaggi e criticità 

L’introduzione di strumenti digitali nel modello di organizzazione, gestione e controllo della società sta continuamente trasformando la governance aziendale, permettendo un’analisi più dettagliata delle aree di rischio.  

Tuttavia l’affidamento a sistemi digitali automatizzati impone nuove sfide nella valutazione dell’efficacia delle misure preventive adottate. I software di compliance permettono monitoraggio continuo dei processi aziendali, riducendo il margine d’errore umano. 

L’eccessiva fiducia nelle decisioni algoritmiche (Automation Bias) e la standardizzazione delle risposte ai rischi potrebbero, però, generare vulnerabilità difficili da individuare. L’adozione di soluzioni tecnologiche per la gestione della compliance comporta una serie di costi e benefici da valutare attentamente. 

Tra i principali costi vi sono: la necessità di dedicare risorse specifiche all’aggiornamento dei modelli organizzativi e l’impegno richiesto per la formazione del personale. 

Quest’ultima è sempre più presente nelle direttive e nei regolamenti comunitari e nelle leggi nazionali di riferimento, proprio perché diventa elemento fondamentale la competenza e la conoscenza dei sistemi di Cybersicurezza o di Intelligenza Artificiale diventa elemento fondamentale, dal momento che tali strumenti devono essere usati con cautele sempre più stringenti.

Dall’altro canto non si può non tener conto dei benefici che derivano dall’utilizzo di tali strumenti:  una maggiore conformità alle normative vigenti, una riduzione del rischio di commissione di reati e una migliore tutela della reputazione aziendale. 

L’introduzione di tecnologie avanzate comporta, di fatto, un aggiornamento più tempestivo delle procedure, e quindi un allineamento costante del modello 231 alla evoluzione normativa e un supporto più efficace all’organismo di vigilanza nell’individuazione tempestiva delle carenze organizzative dell’Ente. 

Ma è di tutta evidenza che le imprese, nel digitalizzare i propri processi di compliance, assumono una serie di responsabilità, tra cui la necessità di garantire la supervisione umana delle decisioni degli algoritmi.

Da qui sempre più forte l’esigenza di competenze specifiche, la tracciabilità dei processi decisionali automatizzati e l’adeguamento continuo delle misure di sicurezza.  

Conclusioni

In chiusura, non può dunque che evidenziarsi la necessità di costruire, per tutte le esigenze delle aziende e degli Enti per quanto di competenza, un ecosistema di gestione del rischio integrato e multidisciplinare. 

Tale trasformazione digitale della compliance rappresenta un passaggio cruciale per le imprese che vogliono coniugare innovazione e responsabilità: l’automazione impone nuove forme di vigilanza, rendendo sempre più centrale l’elemento umano.

Ma non vanno dimenticati il Legislatore, le Autorità di controllo e la soft law: bisogna pertanto tenere conto delle mutate esigenze che l’applicazione delle nuove tecnologie digitali sempre più sfidanti richiede alla  governance aziendale.

In siffatto contesto, sarà necessario che tutti i soggetti coinvolti si dotino di adeguati supporti interni ed esterni, per garantire assistenza e consulenza in un’ottica di compliance integrata.

“Compliance & Innovation”, il 29 Maggio i nostri professionisti approfondiscono questi temi in un Webinar Gratuito

Lo Studio Piselli & Partners propone il webinar “Compliance & Innovation” ad accesso gratuito, rivolto agli stakeholder che vogliono aderire ad un approccio sistematico della compliance aziendale, collegando le diverse aree che la compongono e migliorando l’impegno verso il mantenimento di un operato all’insegna della legalità.

In ogni realtà imprenditoriale sono presenti diverse aree relative alla compliance aziendale che spesso vengono trattate separatamente, come compartimenti stagni non comunicanti tra di loro. La divisione delle diverse aree della compliance non consente una visione complessiva degli obblighi a cui è tenuta l’azienda, con conseguente perdita di vantaggi e opportunità in capo alle realtà imprenditoriali. Senza un quadro d’insieme non si evidenziano i rischi a livello integrato e non si economizzano le attività, con la probabilità di incorrere in sanzioni gravi che possono incidere sulla reputazione aziendale e appesantire il lavoro delle singole funzioni.

La connessione dei diversi obblighi a cui l’impresa è soggetta e la relativa gestione integrata, si riveleranno un utile e indispensabile strumento di pianificazione che recherà con sé diversi vantaggi:

  1. ottimizzazione dei processi interni con conseguente crescita dell’efficienza dell’operato delle risorse umane coinvolte;
  2. risparmio dei costi derivante dall’efficientamento dei processi, ma anche dalla possibilità di spendere su più fronti gli sforzi compiuti per essere conformi agli obblighi normativi e di compliance;
  3. miglioramento della facilità di rendicontazione ESG delle proprie performance;
  4. sviluppo della capacità competitiva;
  5. incremento della premialità raggiungibile in fase di gara;
  6. creazione di valore per i propri stakeholder;
  7. potenziamento della good reputation;
  8. maggiore attrattività del proprio business.

Il webinar si propone di presentare alle aziende una visione integrata della compliance, che comprenda tutte le aree di cui si può comporre, inclusi settori in pieno sviluppo come l’Intelligenza Artificiale, la NIS 2 e la Cybersecurity.

ISCRIVITI QUI

Compliance & Innovation Evento Webinar Gratuito Giovedì 29 Maggio

Torna su
Cerca
Piselli & Partners
Cookie Policy

Utilizziamo i cookie per analizzare il traffico sul nostro sito web: grazie ai cookie possiamo ottimizzare la nostra offerta di servizi e la nostra comunicazione in modo da offrirti un’esperienza sempre migliore.

Puoi trovare maggiori informazioni sulla nostra Privacy e Cookie Policy.