Il governo dell’intelligenza artificiale non si esaurisce nell’adozione di strumenti tecnologici conformi, ma investe direttamente l’adeguatezza dell’organizzazione societaria e la responsabilità dell’organo amministrativo.
L’AI Act, Regolamento sull’intelligenza artificiale dell’Unione europea, impone una lettura strutturale dell’accountability, qui intesa come responsabilizzazione documentabile dell’organizzazione.
Ne derivano obblighi misurabili di gestione del rischio, governo dei dati, sorveglianza umana, tracciabilità, controllo e monitoraggio. Nel diritto societario italiano, tali presidi si innestano nei doveri di corretta amministrazione, negli assetti organizzativi adeguati e nella vigilanza sulle deleghe.
La responsabilità degli amministratori emerge non dall’evento tecnologico in sé, ma dalla disfunzione organizzativa prevenibile, non governata o non dimostrabilmente vigilata.
Indice degli argomenti
Il passaggio dalla conformità tecnica alla responsabilità organizzativa
L’intelligenza artificiale introduce nell’impresa una categoria di rischio non riducibile alla cybersicurezza, alla protezione dei dati personali o alla mera conformità di prodotto. Il sistema di intelligenza artificiale opera attraverso modelli, dati, logiche inferenziali, livelli variabili di autonomia e interazioni con contesti organizzativi mutevoli. La sua affidabilità non dipende soltanto dalla qualità tecnica originaria, ma dalla capacità dell’impresa di governarne l’intero ciclo di vita. La selezione, l’acquisizione, l’addestramento o la configurazione, la messa in esercizio, il monitoraggio, l’aggiornamento e la dismissione diventano fasi di un unico processo di governo.
Il Regolamento UE 2024/1689, Regolamento sull’intelligenza artificiale dell’Unione europea, noto come AI Act, qualifica tale esigenza in termini giuridici vincolanti. La disciplina europea non costruisce l’intelligenza artificiale come materia affidata a dichiarazioni di principio, ma come sistema di obblighi graduati sul rischio. In tale sistema assumono rilievo la gestione del rischio, il governo dei dati, la documentazione tecnica, la registrazione degli eventi, la trasparenza, la sorveglianza umana, l’accuratezza, la robustezza e la cybersicurezza dei sistemi ad alto rischio.¹ La conseguenza è rilevante per l’organo amministrativo. L’intelligenza artificiale non può essere trattata come funzione tecnica periferica, ma come componente dell’assetto organizzativo dell’impresa.
La responsabilità degli amministratori non coincide con una responsabilità automatica per l’errore algoritmico. Il punto decisivo è diverso. Il sistema di intelligenza artificiale diviene fattore di responsabilità quando l’impresa non ha predisposto, aggiornato e reso verificabili presidi organizzativi proporzionati alla natura, alle dimensioni, all’attività esercitata e al rischio generato dall’impiego della tecnologia. L’accountability, traducibile in questo contesto come responsabilizzazione organizzativa dimostrabile, assume così una duplice funzione. È obbligo organizzativo strutturato ed è criterio di imputazione della disfunzione.
Nel diritto italiano, questa impostazione si salda con l’articolo 2086, secondo comma, del codice civile, che impone all’imprenditore collettivo di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell’impresa, anche in funzione della rilevazione tempestiva della crisi e della perdita della continuità aziendale.² Gli articoli 2381 e 2392 del codice civile completano il quadro nelle società per azioni, disciplinando il rapporto tra gli organi delegati, il consiglio di amministrazione e il dovere di agire con la diligenza richiesta dalla natura dell’incarico e dalle specifiche competenze.³ Per le società a responsabilità limitata, il riferimento agli articoli 2475 e 2476 del codice civile conferma la centralità della gestione diligente e responsabile dell’impresa.⁴
L’adozione dei sistemi di intelligenza artificiale, soprattutto quando incide sui processi decisionali, sui clienti, sui lavoratori, sul credito, sulla sicurezza, sulla salute, sulle infrastrutture, sulla produzione o sui diritti fondamentali, diviene dunque materia consiliare. Non ogni scelta tecnica dev’essere deliberata dal consiglio. Devono però essere consiliari la definizione della propensione al rischio, l’attribuzione delle responsabilità interne, l’approvazione delle politiche aziendali, il presidio dei flussi informativi, la verifica dell’adeguatezza dei controlli e la valutazione periodica degli impatti.
L’accountability come obbligo organizzativo strutturato
Nel lessico del governo digitale, l’accountability è spesso utilizzata in modo improprio, come sinonimo generico di responsabilità. La sua funzione giuridica è più precisa. L’accountability significa quella capacità dell’organizzazione di dimostrare, prima e dopo l’adozione del sistema, che le decisioni relative all’intelligenza artificiale sono state assunte, documentate, controllate e riesaminate secondo criteri coerenti con il rischio.
Il Regolamento sull’intelligenza artificiale dell’Unione europea rende questa impostazione particolarmente evidente. Per i sistemi ad alto rischio, il regolamento richiede un sistema di gestione dei rischi continuo e iterativo, esteso all’intero ciclo di vita del sistema.⁵ Il governo dei dati deve riguardare la pertinenza, la rappresentatività, la completezza e la correttezza, nei limiti in cui tali requisiti siano applicabili al sistema e al caso d’uso.⁶ La documentazione tecnica deve consentire alle autorità competenti di valutare la conformità del sistema ai requisiti normativi.⁷ I registri automatici degli eventi devono permettere la tracciabilità funzionale al controllo.⁸ La sorveglianza umana deve essere progettata per prevenire o minimizzare i rischi per la salute, la sicurezza e i diritti fondamentali.⁹
Il dato sistematico è netto. Il legislatore europeo non chiede soltanto che il sistema funzioni, ma che l’organizzazione sia in grado di spiegare come ne governa il rischio. Questa esigenza si riflette anche sugli obblighi degli utilizzatori, indicati dal regolamento come deployer. Tali soggetti sono chiamati a utilizzare i sistemi di intelligenza artificiale ad alto rischio conformemente alle istruzioni d’uso, ad assicurare la sorveglianza umana, a monitorare il funzionamento sulla base delle istruzioni ricevute e a conservare i registri automatici degli eventi quando sono sotto il loro controllo.¹⁰
L’accountability è un’infrastruttura organizzativa composta da atti, procedure, competenze, controlli e registrazioni. La sua mancanza può costituire il segnale della non adeguatezza dell’assetto, soprattutto quando l’impresa utilizza sistemi di intelligenza artificiale in processi rilevanti per l’attività caratteristica o per l’esposizione a rischi regolatori.
La stessa logica emerge dall’impianto del Regolamento sull’intelligenza artificiale dell’Unione europea, che non separa la conformità tecnica dalla capacità organizzativa di governo del rischio. La disciplina dei sistemi ad alto rischio collega i requisiti tecnici, la documentazione, la registrazione degli eventi, la trasparenza, la sorveglianza umana, l’accuratezza, la robustezza e la cibersicurezza. Ne deriva l’esigenza di un sistema verificabile di prevenzione, controllo e riesame.¹¹ Questa impostazione rafforza la necessità di non confinare l’intelligenza artificiale alla funzione informatica, ma di ricondurla al sistema degli assetti, delle deleghe e dei controlli interni.
Il punto di innesto nel diritto societario
La responsabilità dell’organo amministrativo nella gestione dell’intelligenza artificiale deve essere letta attraverso tre categorie. Gli assetti adeguati, la corretta allocazione delle deleghe e la vigilanza informata.
L’assetto adeguato è il primo livello. Un’impresa che utilizza sistemi di intelligenza artificiale in aree sensibili deve disporre di procedure idonee a identificare i sistemi in uso, classificarne il rischio, individuare i responsabili interni, documentare le finalità, verificare la base dati, disciplinare l’interazione tra la persona e la macchina, gestire i fornitori e le terze parti, monitorare le prestazioni, le anomalie e gli incidenti. L’adeguatezza non richiede uniformità. Un’impresa industriale che integra l’intelligenza artificiale nei sistemi produttivi, una banca che la usa nei processi di valutazione del merito creditizio, una piattaforma digitale che la impiega per le raccomandazioni o la moderazione e una società di consulenza che utilizza strumenti generativi non condividono il medesimo profilo di rischio. Condividono tuttavia l’esigenza di un governo aziendale proporzionato e verificabile.
La delega è il secondo livello. L’articolo 2381 del codice civile consente la distribuzione delle funzioni gestorie, ma non elimina il dovere del consiglio di valutare l’adeguatezza dell’assetto sulla base delle informazioni ricevute e di esaminare il generale andamento della gestione.¹² In materia di intelligenza artificiale, la delega meramente informale al responsabile dei sistemi informativi, al responsabile della protezione dei dati, al responsabile della sicurezza delle informazioni o al responsabile della conformità è strutturalmente insufficiente se non definisce il perimetro, i poteri, i limiti, i flussi informativi, le procedure di segnalazione gerarchica e la periodicità della rendicontazione. La tecnologia richiede competenze specialistiche. Il governo societario richiede imputazione formale.
La vigilanza informata è il terzo livello. L’amministratore non è chiamato a sostituirsi allo specialista, ma a pretendere un flusso informativo comprensibile, periodico e proporzionato. La vigilanza consiste nella capacità di porre le domande organizzativamente decisive, relative ai sistemi in uso, alle finalità perseguite, alla classificazione del rischio, ai dati impiegati, ai fornitori coinvolti, al controllo umano previsto, alle metriche adottate, agli incidenti rilevati, alle azioni correttive intraprese e all’evidenza documentale disponibile.
La responsabilità ai sensi dell’articolo 2392 del codice civile si misura sulla diligenza richiesta dalla natura dell’incarico e dalle specifiche competenze. Nell’impresa che adotta l’intelligenza artificiale in processi rilevanti, la diligenza gestoria non può ignorare il rischio algoritmico. L’amministratore privo di competenze tecniche non è per questo esonerato. Deve attivare competenze interne o esterne, organizzare flussi informativi adeguati e verificare la coerenza tra il rischio assunto e i presidi adottati.
Dalle prescrizioni del Regolamento sull’intelligenza artificiale ai presidi organizzativi misurabili
La conversione degli obblighi normativi in presidi misurabili è il passaggio che distingue il governo effettivo dell’organizzazione dalla conformità apparente. L’organo amministrativo non deve limitarsi a prendere atto dell’esistenza di una politica aziendale sull’intelligenza artificiale. Deve verificare che tale politica sia collegata a procedure, controlli, responsabilità e indicatori.
Una traduzione organizzativa minima delle prescrizioni del Regolamento sull’intelligenza artificiale dell’Unione europea, coerente con il diritto societario degli assetti, richiede anzitutto un inventario dei sistemi di intelligenza artificiale. Tale inventario serve a identificare i sistemi, le finalità, i responsabili interni, i fornitori e le aree aziendali coinvolte. Le evidenze documentali corrispondenti sono il registro interno dei sistemi, le schede di classificazione e l’individuazione del responsabile del processo. Occorre poi una classificazione del rischio, necessaria per distinguere i sistemi vietati, i sistemi ad alto rischio, i sistemi soggetti a obblighi specifici di trasparenza e gli altri sistemi. Tale classificazione dev’essere sostenuta dalla valutazione del rischio, dalla motivazione della qualificazione e dagli aggiornamenti periodici. Servono inoltre politiche e procedure interne, destinate a regolare l’acquisizione, lo sviluppo, l’uso, il controllo, la segnalazione gerarchica e la dismissione dei sistemi. Le evidenze sono costituite dalle politiche aziendali sull’intelligenza artificiale, dalle procedure operative, dalle istruzioni ai dipendenti e dalle regole di approvvigionamento. A ciò si aggiunge la formalizzazione delle deleghe e delle responsabilità, finalizzata ad attribuire i poteri, i compiti e le linee di riporto attraverso le delibere, le procure, le descrizioni di ruolo, i comitati e le matrici di responsabilità. Infine, la rendicontazione consiliare deve rendere dimostrabile la vigilanza dell’organo amministrativo attraverso le relazioni periodiche, i verbali, gli indicatori chiave di prestazione, gli indicatori chiave di rischio, i registri degli incidenti e i piani correttivi.
Questa articolazione individua la traduzione organizzativa minima. L’articolo 9 del Regolamento sull’intelligenza artificiale dell’Unione europea richiede la gestione del rischio. Nella società ciò diventa un processo formalizzato di valutazione e trattamento del rischio. L’articolo 10 impone attenzione al governo dei dati. Nella società questo significa controllo sulla provenienza, sulla pertinenza, sulla qualità e sull’aggiornamento degli insiemi di dati o, nei sistemi acquisiti da terzi, verifica contrattuale e documentale delle garanzie disponibili. Gli articoli 11 e 12 richiedono la documentazione tecnica e i registri automatici degli eventi. Nell’organizzazione diventano conservazione ordinata, accessibilità controllata e capacità di ricostruzione delle decisioni. L’articolo 14 sulla sorveglianza umana diventa definizione dei ruoli, dei poteri di intervento, delle soglie di segnalazione e della formazione degli operatori.
La misurabilità è essenziale. Una politica aziendale non applicata non prova la vigilanza. Un comitato privo di verbali non prova il controllo. Un registro dei sistemi non aggiornato non prova la conoscenza del rischio. Una relazione priva di indicatori non consente al consiglio di valutare l’adeguatezza dell’assetto. L’accountability richiede, quindi, evidenze, non dichiarazioni.
Il ruolo dei dati personali, della cybersicurezza e della continuità aziendale
Il governo dell’intelligenza artificiale intercetta discipline ulteriori, che non devono essere sovrapposte in modo indistinto al Regolamento sull’intelligenza artificiale dell’Unione europea. Il Regolamento UE 2016/679, Regolamento generale sulla protezione dei dati, noto come GDPR, General Data Protection Regulation, resta centrale quando il sistema di intelligenza artificiale tratta dati personali. In tali casi, la responsabilizzazione del titolare, la protezione dei dati fin dalla progettazione e per impostazione predefinita, la sicurezza del trattamento e la valutazione d’impatto sulla protezione dei dati costituiscono presidi paralleli e spesso integrati rispetto alla valutazione del rischio algoritmico.¹³
Il punto non è assorbire l’intelligenza artificiale nella protezione dei dati personali. Molti rischi dell’intelligenza artificiale non sono soltanto rischi di protezione dei dati. Riguardano la sicurezza, la discriminazione, l’affidabilità, l’opacità, gli errori decisionali, la dipendenza dai fornitori, la continuità operativa, la proprietà intellettuale e la reputazione. Tuttavia, quando il trattamento di dati personali è parte del sistema, l’assenza di raccordo tra il governo dell’intelligenza artificiale e il governo della protezione dei dati segnala una frammentazione dell’assetto. Il consiglio deve pretendere che le valutazioni d’impatto sulla protezione dei dati, le valutazioni di rischio algoritmico, le misure di sicurezza, i contratti con i fornitori e i controlli sul ciclo di vita del sistema siano coordinati.
La cybersicurezza introduce un ulteriore livello. La Direttiva UE 2022/2555, nota come Direttiva NIS2, Network and Information Security Directive 2, Direttiva sulla sicurezza delle reti e dei sistemi informativi, e il decreto legislativo 4 settembre 2024, n. 138, di recepimento nell’ordinamento italiano, rafforzano la dimensione organizzativa della gestione del rischio di sicurezza informatica per i soggetti rientranti nel relativo perimetro.¹⁴ Per i sistemi di intelligenza artificiale, la cybersicurezza non riguarda soltanto la protezione delle reti e dei sistemi informativi. Riguarda anche l’integrità dei dati, la resilienza del modello, l’esposizione ad attacchi avversariali, la compromissione degli insiemi di dati, la manipolazione dei risultati e la dipendenza da infrastrutture di elaborazione remota o da componenti di terzi.
La continuità aziendale completa il quadro. Un sistema di intelligenza artificiale incorporato in processi critici può incidere sulla capacità dell’impresa di operare, servire i clienti, rispettare gli obblighi contrattuali, prevenire errori seriali e mantenere la conformità regolatoria. La mancata valutazione di questi impatti può assumere rilievo anche ai fini degli assetti adeguati, perché l’articolo 2086 del codice civile non limita l’adeguatezza alla dimensione contabile. Essa comprende la capacità dell’organizzazione di intercettare i rischi rilevanti per la continuità e la corretta gestione.
Responsabilità amministrativa dell’ente e modelli organizzativi
Sebbene il decreto legislativo 8 giugno 2001, n. 231 non contenga una disciplina generale dell’intelligenza artificiale, quest’ultima può incidere sui modelli organizzativi quando il sistema sia utilizzato in processi nei quali possono realizzarsi reati presupposto o quando la tecnologia alteri le modalità operative, i controlli, la separazione delle funzioni, la tracciabilità e le autorizzazioni.¹⁵
L’errore più frequente sarebbe considerare l’intelligenza artificiale estranea al modello 231 solo perché la norma non disciplina espressamente l’algoritmo. La verifica corretta ha natura funzionale e riguarda l’intervento del sistema di intelligenza artificiale nelle attività sensibili, la produzione di raccomandazioni o risultati rilevanti per le decisioni commerciali, finanziarie, ambientali, fiscali, per la sicurezza sul lavoro, per i rapporti con la pubblica amministrazione, per la gestione dei dati o per i flussi informativi, la modifica dei controlli esistenti o la necessità di introdurne di nuovi, nonché la dipendenza da fornitori esterni non valutata nel modello.
Se la risposta è positiva, il modello organizzativo deve essere riesaminato. L’organismo di vigilanza non deve trasformarsi in autorità tecnica sull’intelligenza artificiale, ma deve poter ricevere flussi informativi coerenti con il proprio mandato. L’introduzione di sistemi in aree sensibili, gli incidenti, le anomalie, le deroghe alle procedure, le verifiche sui fornitori, gli esiti dei controlli e gli aggiornamenti delle politiche aziendali sono elementi rilevanti. La mancata integrazione dei rischi algoritmici nei protocolli pertinenti può indebolire la capacità preventiva del modello.
La dimostrabilità della vigilanza come criterio decisivo
Nella responsabilità dell’organo amministrativo, la questione probatoria è centrale. La vigilanza non dimostrabile tende a equivalere, sul piano organizzativo, a vigilanza fragile. La documentazione non ha valore meramente archivistico. Costituisce la traccia della razionalità gestoria.
La dimostrabilità richiede almeno quattro livelli.
Il primo è la tracciabilità delle decisioni. L’adozione di sistemi di intelligenza artificiale rilevanti deve risultare da processi deliberativi o autorizzativi proporzionati, con indicazione delle finalità, dei rischi, delle alternative valutate, dei controlli previsti e dei responsabili.
Il secondo è la tracciabilità dei controlli. Devono essere documentati i test, le verifiche, i controlli indipendenti, gli incidenti, le anomalie, le azioni correttive e i riesami periodici. La tracciabilità deve coprire non solo il momento di ingresso del sistema, ma l’intero ciclo di vita.
Il terzo è la tracciabilità dei flussi informativi. Il consiglio deve ricevere relazioni comprensibili e periodiche. I verbali devono mostrare che l’organo amministrativo ha valutato le informazioni ricevute, formulato richieste, disposto approfondimenti quando necessario e monitorato le azioni correttive.
Il quarto è la tracciabilità delle responsabilità. Ogni sistema rilevante deve avere un responsabile interno. Ogni controllo deve avere un responsabile. Ogni segnalazione gerarchica deve avere un destinatario. L’assenza di una chiara imputazione interna produce opacità organizzativa e indebolisce la posizione dell’organo amministrativo.
Questi elementi non garantiscono l’assenza di responsabilità in caso di danno o violazione. Consentono però di distinguere l’evento non prevenibile, o non ragionevolmente evitabile, dalla disfunzione imputabile a carenza di assetto, mancata vigilanza, delega indeterminata o accettazione inconsapevole del rischio.
Profili civilistici, amministrativi e reputazionali
Il profilo civilistico riguarda il rapporto tra il danno, la condotta gestoria, il nesso causale e la violazione dei doveri degli amministratori. In materia di intelligenza artificiale, la condotta rilevante può consistere nell’omessa adozione di presidi, nell’insufficiente controllo su sistemi ad alto impatto, nella mancata reazione a segnali di anomalia, nell’affidamento a fornitori senza adeguata verifica, nell’assenza di istruzioni interne o nella mancata informazione del consiglio.
Il profilo amministrativo emerge dal sistema sanzionatorio del Regolamento sull’intelligenza artificiale dell’Unione europea e dalle discipline collegate. Il regolamento europeo prevede sanzioni amministrative pecuniarie graduate in relazione alla violazione.¹⁶ La disciplina in materia di protezione dei dati personali prevede, a sua volta, obblighi e sanzioni autonome. La normativa sulla sicurezza delle reti e dei sistemi informativi rafforza, nel perimetro applicabile, i doveri di gestione del rischio di sicurezza informatica e la responsabilizzazione degli organi di amministrazione e direttivi. In Italia, la legge 23 settembre 2025, n. 132 ha introdotto disposizioni e deleghe in materia di intelligenza artificiale, designando l’Agenzia per l’Italia digitale, AgID, e l’Agenzia per la cybersicurezza nazionale, ACN, quali autorità nazionali per l’intelligenza artificiale, ferme le attribuzioni delle autorità di settore richiamate dalla norma.¹⁷
Il profilo reputazionale non è un profilo accessorio. Nei sistemi di intelligenza artificiale, soprattutto quando incidono sugli utenti, sui lavoratori, sui consumatori o sui diritti fondamentali, la perdita di fiducia può derivare non solo dall’errore, ma dall’incapacità dell’organizzazione di spiegare come il sistema sia stato scelto, controllato e corretto. La reputazione dipende dalla qualità del governo organizzativo tanto quanto dalla qualità del risultato tecnologico.
La reputazione, tuttavia, non dev’essere evocata in modo generico. Essa assume rilevanza giuridico organizzativa quando incide sulla continuità, sui rapporti contrattuali, sulle autorizzazioni, sul contenzioso, sul valore dell’impresa, sull’accesso a mercati regolati, sui rapporti con le autorità e con i portatori di interessi. Per l’organo amministrativo, ciò significa includere l’intelligenza artificiale nei sistemi di gestione integrata dei rischi d’impresa e non trattarla come rischio comunicativo da gestire soltanto dopo l’incidente.
Una tassonomia della disfunzione algoritmica imputabile all’organizzazione
La responsabilità dell’organo amministrativo non richiede una categoria autonoma di colpa algoritmica. È sufficiente ricondurre il rischio connesso all’intelligenza artificiale alle forme ordinarie della disfunzione organizzativa. Una tassonomia utile può distinguere cinque ipotesi.
La prima è la disfunzione conoscitiva. L’impresa non sa quali sistemi di intelligenza artificiale utilizza, con quali finalità, in quali processi e con quali fornitori. È la forma più elementare di inadeguatezza, perché impedisce ogni controllo successivo.
La seconda è la disfunzione valutativa. L’impresa conosce il sistema, ma non ne valuta correttamente il rischio, non distingue tra uso sperimentale e uso operativo, non considera gli impatti sulle persone, sulla sicurezza, sui dati, sui contratti o sulla continuità.
La terza è la disfunzione procedurale. Esistono principi generali, ma mancano le procedure operative, le soglie di autorizzazione, le regole di segnalazione gerarchica, la formazione, i controlli, le verifiche indipendenti e i criteri di dismissione.
La quarta è la disfunzione informativa. Le funzioni tecniche possiedono informazioni rilevanti che non arrivano all’organo amministrativo o arrivano in forma incomprensibile, episodica o non decisionale.
La quinta è la disfunzione reattiva. L’impresa intercetta anomalie, reclami, errori, distorsioni, incidenti o deviazioni, ma non attiva tempestivamente le misure correttive, le sospensioni, i riesami o le comunicazioni dovute.
Questa classificazione consente di collegare l’accountability alla responsabilità. Non ogni risultato errato è imputabile all’organo amministrativo. Lo diventa, nei limiti del diritto applicabile, quando l’errore si inserisce in una catena di carenze organizzative che un assetto adeguato avrebbe potuto prevenire, contenere, intercettare o documentare.
Criticità applicative
La prima criticità riguarda la classificazione dei sistemi. Il Regolamento sull’intelligenza artificiale dell’Unione europea costruisce obblighi graduati, ma la qualificazione concreta del sistema può essere complessa, specie nei casi di soluzioni integrate, di modelli generativi incorporati in processi aziendali, di strumenti forniti da terzi e di usi interni non originariamente previsti. Il rischio per l’impresa è sottostimare la trasformazione del caso d’uso. Un sistema apparentemente ausiliario può assumere rilievo decisionale quando viene stabilmente integrato nei processi.
La seconda criticità riguarda i fornitori. Molte imprese non sviluppano sistemi di intelligenza artificiale, ma li acquistano, li configurano o li utilizzano come servizi. Ciò non elimina la responsabilità organizzativa dell’utilizzatore. La dipendenza da terzi impone verifiche contrattuali e documentali. Le istruzioni d’uso, i limiti di impiego, i livelli di servizio, i controlli, la gestione degli incidenti, la localizzazione e il trattamento dei dati, gli aggiornamenti, i subfornitori e la responsabilità in caso di malfunzionamento devono essere presidiati.
La terza criticità riguarda la comprensibilità della rendicontazione. Il consiglio non può governare ciò che riceve in forma puramente tecnica. Gli indicatori devono essere trasformati in informazione gestoria. Il rischio residuo, le criticità aperte, gli scostamenti, gli incidenti, le azioni correttive e le decisioni richieste devono risultare in modo chiaro. La relazione deve consentire una deliberazione consapevole, non una semplice presa d’atto.
La quarta criticità riguarda la velocità evolutiva dei sistemi. I modelli, gli insiemi di dati, i contesti di utilizzo e le minacce cambiano. La conformità iniziale non è sufficiente. Il monitoraggio deve essere periodico, e in alcuni casi continuo. L’assetto adeguato non è un documento statico, ma un processo.
La quinta criticità riguarda la competenza. L’intelligenza artificiale richiede competenze legali, tecniche, organizzative, di governo dei dati, di cibersicurezza, di conformità, di controllo e di gestione del rischio. L’organo amministrativo deve evitare sia la tecnicizzazione deresponsabilizzante sia la semplificazione eccessiva. La soluzione è un sistema di competenze integrate, con responsabilità formalizzate e rendicontazione adeguata.
Implicazioni per l’organo amministrativo
La prima implicazione è l’inclusione dell’intelligenza artificiale nell’agenda consiliare. Non ogni sperimentazione richiede discussione consiliare, ma l’adozione di sistemi rilevanti per il rischio, l’impatto o la funzione strategica deve essere conosciuta e presidiata dal consiglio.
La seconda è la revisione degli assetti. L’impresa deve verificare se i propri assetti organizzativi, amministrativi e di controllo includano l’intelligenza artificiale. Un sistema di controllo interno che ignora i sistemi algoritmici effettivamente utilizzati è incompleto.
La terza è la formalizzazione delle deleghe. Il governo dell’intelligenza artificiale richiede poteri e responsabilità chiari. Il consiglio deve sapere chi decide l’acquisto, chi valida il caso d’uso, chi controlla i fornitori, chi monitora gli incidenti, chi autorizza le modifiche e chi informa l’organo amministrativo.
La quarta è la costruzione di evidenze. La miglior difesa dell’organo amministrativo non è la dichiarazione di aver vigilato, ma la documentazione ordinata di una vigilanza effettiva. I verbali, le relazioni, le valutazioni del rischio, i controlli, i piani correttivi, le segnalazioni gerarchiche e gli aggiornamenti sono elementi essenziali.
La quinta è l’integrazione tra i sistemi di conformità. L’intelligenza artificiale, la protezione dei dati personali, la cibersicurezza, il modello 231, i controlli interni, l’approvvigionamento e la continuità aziendale non possono procedere come compartimenti separati. La frammentazione produce lacune, duplicazioni e aree grigie. L’organo amministrativo deve chiedere una sintesi unitaria del rischio.
Prospettive
La traiettoria regolatoria europea conduce verso un governo dell’intelligenza artificiale sempre più documentale, verificabile e integrato nei sistemi di controllo. Il Regolamento sull’intelligenza artificiale dell’Unione europea non sostituisce il diritto societario, ma ne modifica il contenuto operativo quando l’impresa utilizza sistemi di intelligenza artificiale. L’adeguatezza degli assetti dovrà essere valutata anche alla luce della capacità di governare tecnologie che producono decisioni, raccomandazioni, classificazioni o contenuti con impatti economici, giuridici e sociali.
La prospettiva più solida non è la creazione di organismi simbolici sull’intelligenza artificiale, ma l’inserimento del rischio algoritmico nei processi ordinari di governo dell’impresa. L’intelligenza artificiale deve entrare nel sistema delle deleghe, nei controlli interni, nella gestione del rischio, nella contrattualistica, nella formazione, nella sicurezza, nella protezione dei dati, nel modello 231 ove rilevante e nella rendicontazione consiliare.
La maturità del governo organizzativo non sarà misurata dalla quantità di documenti prodotti, ma dalla coerenza tra il rischio effettivo e il presidio adottato. L’impresa ben governata non è quella che dichiara di usare un’intelligenza artificiale responsabile, ma quella che sa dimostrare perché un sistema è stato adottato, come è stato valutato, chi lo controlla, quali limiti incontra, quali incidenti ha generato, quali correzioni sono state introdotte e quando il suo uso deve essere sospeso o cessato.
Riflessioni conclusive
La responsabilità dell’organo amministrativo nella gestione dei sistemi di intelligenza artificiale nasce dal dovere di organizzare, controllare e documentare l’impiego di strumenti che incidono sui processi decisionali e sui rischi dell’impresa.
L’accountability è il punto di congiunzione tra il Regolamento sull’intelligenza artificiale dell’Unione europea e il diritto societario. Nel regolamento europeo essa prende forma attraverso la gestione del rischio, la documentazione, la registrazione degli eventi, la sorveglianza umana, la trasparenza, la qualità dei dati, il monitoraggio e gli obblighi degli operatori. Nel diritto interno essa si traduce in assetti adeguati, deleghe determinate, flussi informativi, vigilanza e diligenza gestoria.
La responsabilità degli amministratori non va ricercata nell’algoritmo come entità autonoma, ma nell’organizzazione che lo seleziona, lo introduce, lo utilizza e lo controlla. Quando l’organizzazione è opaca, priva di inventario, carente nei controlli, debole nei flussi informativi o incapace di reagire alle anomalie, l’intelligenza artificiale diventa criterio di emersione dell’inadeguatezza dell’assetto. Quando invece l’impresa dispone di presidi proporzionati, misurabili e documentati, la tecnologia resta un rischio governato.
Il governo dell’intelligenza artificiale è una prova di maturità dell’organo amministrativo che richiede disciplina organizzativa, competenza, prudenza documentale e capacità di vigilanza. È su questa base, e non sui benefici attesi dall’adozione della tecnologia, che si misura la responsabilità dell’amministrazione societaria nell’impresa algoritmica.
Note
1. Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio, 13 giugno 2024, che stabilisce regole armonizzate sull’intelligenza artificiale, artt. 9-15, 16 ss., 26, 43, 72 ss. e 99. Fonte ufficiale: EUR-Lex.
2. Codice civile, art. 2086, secondo comma, come modificato dal decreto legislativo 12 gennaio 2019, n. 14. Fonte ufficiale: Normattiva.
3. Codice civile, artt. 2381 e 2392, in materia di organi delegati, flussi informativi, valutazione dell’adeguatezza dell’assetto e responsabilità degli amministratori. Fonte ufficiale: Normattiva.
4. Codice civile, artt. 2475 e 2476, in materia di amministrazione e responsabilità nelle società a responsabilità limitata. Fonte ufficiale: Normattiva.
5. Regolamento (UE) 2024/1689, art. 9. Fonte ufficiale: EUR-Lex.
6. Regolamento (UE) 2024/1689, art. 10. Fonte ufficiale: EUR-Lex.
7. Regolamento (UE) 2024/1689, art. 11. Fonte ufficiale: EUR-Lex.
8. Regolamento (UE) 2024/1689, art. 12. Fonte ufficiale: EUR-Lex.
9. Regolamento (UE) 2024/1689, art. 14. Fonte ufficiale: EUR-Lex.
10. Regolamento (UE) 2024/1689, art. 26. Fonte ufficiale: EUR-Lex.
11. Regolamento (UE) 2024/1689, artt. 9-15, in materia di sistema di gestione dei rischi, governo dei dati, documentazione tecnica, registrazione automatica degli eventi, trasparenza, sorveglianza umana, accuratezza, robustezza e cibersicurezza dei sistemi di intelligenza artificiale ad alto rischio. Fonte ufficiale: EUR-Lex.
12. Codice civile, art. 2381. Fonte ufficiale: Normattiva.
13. Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, 27 aprile 2016, artt. 5, par. 2, 24, 25, 32 e 35. Fonte ufficiale: EUR-Lex.
14. Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, 14 dicembre 2022; decreto legislativo 4 settembre 2024, n. 138, recante recepimento della direttiva NIS2 nell’ordinamento italiano, in particolare artt. 23 e 24, sugli obblighi degli organi di amministrazione e direttivi e sulle misure di gestione dei rischi per la sicurezza informatica. Fonti ufficiali: EUR-Lex, Gazzetta Ufficiale della Repubblica italiana e Dipartimento delle Finanze.
15. Decreto legislativo 8 giugno 2001, n. 231, recante disciplina della responsabilità amministrativa degli enti. Fonte ufficiale: Normattiva.
16. Regolamento (UE) 2024/1689, art. 99. Fonte ufficiale: EUR-Lex.
17. Legge 23 settembre 2025, n. 132, Disposizioni e deleghe al Governo in materia di intelligenza artificiale, art. 20, sulla designazione di AgID e ACN quali autorità nazionali per l’intelligenza artificiale, ferme le attribuzioni delle autorità di settore. Fonte ufficiale: Gazzetta Ufficiale della Repubblica italiana.
Fonti essenziali
Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio, 13 giugno 2024, che stabilisce regole armonizzate sull’intelligenza artificiale.
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati.
Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione.
Codice civile, artt. 2086, 2381, 2392, 2475 e 2476.
Decreto legislativo 12 gennaio 2019, n. 14, recante Codice della crisi d’impresa e dell’insolvenza.
Decreto legislativo 8 giugno 2001, n. 231, recante disciplina della responsabilità amministrativa degli enti.
Decreto legislativo 4 settembre 2024, n. 138, recante recepimento della direttiva NIS2.
Legge 23 settembre 2025, n. 132, Disposizioni e deleghe al Governo in materia di intelligenza artificiale.
