Il consiglio di amministrazione di ogni impresa italiana che impiega sistemi di intelligenza artificiale per la selezione del personale, la valutazione dei dipendenti o lo scoring del credito — categorie ad alto rischio ai sensi dell’Allegato III del Regolamento (UE) 2024/1689 sull’intelligenza artificiale (AI Act) — risponde oggi davanti a un’autorità di vigilanza pubblica, può essere sanzionato e deve documentare le proprie decisioni operative. L’ordinamento societario italiano non aveva previsto questo scenario. Il Regolamento europeo lo ha costruito e il suo carattere direttamente applicabile lo rende operativo nell’ordinamento interno senza necessità di recepimento.
La compliance digitale è la forma contemporanea in cui si esercita e si distribuisce il potere d’impresa. Chi la legge soltanto come gestione del rischio regolatorio sta perdendo la domanda che conta di più: a chi risponde il potere che questi strumenti costruiscono e chi può contestarlo?
Indice degli argomenti
I regolamenti europei che cambiano la governance d’impresa
Quattro regolamenti adottati tra il 2022 e il 2024 hanno riscritto la governance interna delle imprese europee senza che questa intenzione comparisse esplicitamente in alcun preambolo.
Il NIS2 — Direttiva (UE) 2022/2555 sulla sicurezza delle reti e dei sistemi informativi, recepita in Italia con il D.Lgs. 138/2024 — attribuisce responsabilità personale agli organi di gestione per le violazioni di cybersecurity: devono formarsi, devono approvare le misure di gestione del rischio, rispondono degli inadempimenti. L’AI Act stabilisce chi, all’interno dell’organizzazione che impiega un sistema ad alto rischio, ha l’autorità e la competenza per intervenire, sospendere o ignorare l’output: questa persona — il deployer nella terminologia del Regolamento — diventa il nodo di accountability per una classe di decisioni che produce effetti giuridicamente rilevanti su lavoratori, clienti, richiedenti di credito. Il Data Act — Regolamento (UE) 2023/2854 relativo all’equo accesso ai dati — ridistribuisce il controllo sui dati generati dai dispositivi connessi tra produttori, utenti e fornitori di servizi, attraverso obblighi di condivisione che il diritto contrattuale non aveva costruito. Il Digital Services Act — Regolamento (UE) 2022/2065 — qualifica le grandi piattaforme come soggetti che esercitano una funzione quasi-pubblica di organizzazione del discorso e dei mercati digitali e le sottopone a obblighi di governance senza precedenti nel diritto privato europeo.
Ciascuno di questi atti modifica, con precisione tecnica, la distribuzione di competenze, responsabilità e diritti all’interno delle organizzazioni. Presi insieme, ridisegnano chi ha autorità sulle decisioni che contano, chi risponde quando le cose vanno storte e quali soggetti hanno titolo a contestare quell’esercizio. È un’operazione di diritto costituzionale condotta con gli strumenti del diritto del mercato.
AI Act e sistemi ad alto rischio nelle imprese italiane
Ciò che va focalizzato è la sequenza degli atti rilevanti ai fini del diritto. Il deployer di un sistema di scoring del credito è obbligato a documentare — ai sensi dell’art. 9 dell’AI Act — il sistema di gestione del rischio applicato al sistema stesso e, ai sensi dell’art. 14, a garantire che la sorveglianza umana sull’output sia effettiva. Se il sistema produce decisioni sistematicamente avverse per un gruppo demografico, l’autorità di vigilanza designata ai sensi dell’art. 70 può richiedere la sospensione del sistema e l’accesso ai log. Il consiglio di amministrazione che aveva approvato il deployment senza presidiare queste condizioni risponde in modo personale. La giurisprudenza sulla business judgment rule offre criteri insufficienti per questo tipo di responsabilità: il parametro viene dal Regolamento europeo e dalla giurisprudenza che su di esso si formerà davanti alla Corte di giustizia dell’Unione europea.
L’individuo escluso dalla selezione o penalizzato dallo scoring, nel frattempo, accede ai rimedi attraverso strumenti preesistenti che l’AI Act ha lasciato intatti: l’art. 22 del Regolamento (UE) 2016/679 (GDPR) per le decisioni basate unicamente su trattamento automatizzato, le tutele antidiscriminatorie del diritto del lavoro, il ricorso all’Arbitro Bancario Finanziario. La protezione individuale è nel sistema dei diritti preesistente; la governance degli operatori è nel Regolamento nuovo. Questa separazione tra il piano della prevenzione e il piano della tutela è una tensione irrisolta che merita più attenzione di quanta la letteratura tecnica le riservi.
Il modello europeo rispetto agli Stati Uniti
Vale la pena leggere questa scelta europea in parallelo con il modello nordamericano. Gli Stati Uniti non hanno adottato una legislazione federale unitaria sull’intelligenza artificiale: hanno prodotto linee guida volontarie (il NIST AI Risk Management Framework del gennaio 2023), un executive order dell’ottobre 2023 già modificato dall’amministrazione successiva e una frammentazione regolatoria statale che non produce obblighi omogenei per le imprese operanti a livello federale. L’Europa ha scelto la vincolatività: un corpus normativo direttamente applicabile, uniforme in ventisette ordinamenti, che attribuisce diritti soggettivi agli individui e responsabilità personali agli amministratori. Questa scelta ha un costo — la rigidità dello strumento regolamentare rispetto alla velocità dell’innovazione — e produce un effetto che le imprese internazionali già scontano: lo standard europeo diventa il parametro di riferimento per chi vuole accedere al mercato interno, indipendentemente da dove ha sede legale.
Articolo 41 e diritto digitale europeo
Il quadro italiano in cui questi regolamenti operano ha un fondamento preciso nella Costituzione.
L’art. 41 della Costituzione, al secondo comma, stabilisce che l’iniziativa economica privata non può svolgersi in modo da recare danno alla sicurezza, alla libertà, alla dignità umana. Il terzo comma riserva alla legge la determinazione dei controlli opportuni perché l’attività economica sia indirizzata a fini sociali. Queste disposizioni operano come clausole delimitative dell’autonomia privata: indicano i confini entro cui l’iniziativa economica può svolgersi legittimamente. Il diritto digitale europeo è il materiale normativo con cui la stagione attuale riempie quei confini.
La Corte costituzionale ha letto l’art. 41 come un contenitore a contenuto storicamente variabile, che ha accolto e orientato tutte le stagioni regolatorie diverse senza snaturarsi: le nazionalizzazioni del dopoguerra, l’apertura concorrenziale degli anni Novanta, la disciplina ambientale dei decenni successivi. Ogni stagione ha prodotto il proprio riempimento del principio. La stagione digitale produce il proprio, attraverso regolamenti europei che aggiornano il contenuto dell’utilità sociale per un’economia in cui le decisioni algoritmiche producono effetti su scala e con velocità che il legislatore del 1948 non poteva immaginare.
Responsabilità degli amministratori e compliance digitale
Ecco perché il diritto italiano incorpora nella regolazione tecnologica anche la responsabilità dell’imprenditore. Il dovere di diligenza degli amministratori, tradizionalmente valutato sulla base di criteri elaborati dalla giurisprudenza societaria, si trova oggi a integrare obblighi di formazione e sorveglianza che il NIS2 e l’AI Act impongono nominativamente agli organi di gestione. La responsabilità amministrativa degli enti ai sensi del D.Lgs. 231/2001 — costruita su un modello di attribuzione causale pensato per condotte umane identificabili — deve confrontarsi con il danno algoritmico, in cui l’attribuzione causale segue logiche che il legislatore del 2001 non aveva previsto. Le clausole contrattuali con cui le imprese regolano i rapporti con i fornitori di sistemi di intelligenza artificiale, di infrastrutture cloud, di dispositivi connessi producono effetti che si sovrappongono ai regolamenti europei: la distribuzione contrattuale del rischio incide direttamente sulle responsabilità che quegli atti attribuiscono. Chi negozia questi contratti senza mappare quella sovrapposizione distribuisce responsabilità di diritto pubblico senza consapevolezza del perimetro entro cui opera.
L’imprenditore che acquisisce una società senza valutare la conformità dei sistemi di intelligenza artificiale del target all’AI Act, l’adeguatezza delle misure NIS2 e i rischi da Data Act nella catena di fornitura sta costruendo una due diligence incompleta su profili che il diritto vigente considera giuridicamente rilevanti. L’esperienza applicativa del GDPR lo ha già mostrato: dieci anni di procedimenti davanti alle autorità di controllo europee hanno chiarito che gli audit di conformità certificano procedure, non effettività. L’AI Act replicherà queste dinamiche.
La compliance digitale è la forma contemporanea in cui si esercita e si distribuisce il potere d’impresa. Questa rubrica parte da qui.
