Con la legge 132/2025, l’Italia ha introdotto all’art.26 un corpus di norme penali innovative dedicate all’intelligenza artificiale. È un passo che segna la differenza rispetto ad altri ordinamenti europei: non più solo principi generali o raccomandazioni etiche, ma fattispecie penali autonome e aggravanti trasversali.
Il cuore della riforma è rappresentato dall’art. 61, n. 11-decies, del codice penale: ogni reato è aggravato (art. 61 co.11-decies) «… commesso mediante l’impiego di sistemi di intelligenza artificiale, quando gli stessi, per la loro natura o per le modalità di utilizzo, abbiano costituito mezzo insidioso, ovvero quando il loro impiego abbia comunque ostacolato la pubblica o la privata difesa, ovvero aggravato le conseguenze del reato» Una norma che interviene su condotte diversissime: dalla frode fiscale al cyber crime, dalla corruzione alla manipolazione di mercato.
Accanto a questo, il legislatore ha introdotto nuove figure di reato (come la diffusione illecita di contenuti manipolati con IA, art. 612-quater c.p.) e aggravanti specifiche in settori sensibili: i diritti politici dei cittadini (art. 294 c.p.), i mercati finanziari (art. 2637 c.c. e art. 187 TUF) e la proprietà intellettuale (art. 171 della l.1 l. 633/1941 sul diritto d’autore).
Indice degli argomenti
AI, i nuovi reati in Italia
Nella tabella sotto sono sintetizzati le novità introdotte
| Norma / articolo | Novità introdotta |
| Art. 61 c.p., n. 11-decies | Aggravante: reato commesso con IA come mezzo insidioso o amplificatore degli effetti. |
| Art. 612-quater c.p. | Nuovo reato: diffusione illecita di contenuti generati o manipolati con IA (deepfake). |
| Art. 294 c.p. | Aggravante per attentati ai diritti politici commessi con IA. |
| Art. 2637 c.c. | Aggiotaggio aggravato se commesso con IA. |
| Art. 185, comma 1, decreto legislativo 24 febbraio 1998, n. 58 | Manipolazione del mercato aggravata se commessa con uso IA «La pena è della reclusione da due a sette anni e della multa da euro venticinquemila a euro sei milioni se il fatto è commesso mediante l’impiego di sistemi di intelligenza artificiale» |
| Art. 171 L. 633/1941 | Nuove sanzioni per uso abusivo di opere protette da sistemi IA. |
Lo scenario europeo: legge italiana e AI Act
Le norme italiane non possono essere comprese senza guardare al contesto europeo. L’AI Act è ormai entrato nella fase di implementazione e, nei prossimi mesi, renderà operative regole vincolanti per i sistemi di IA ad alto rischio e per la generative AI.
Trasparenza dei dataset, watermarking, valutazioni di conformità, sistemi di gestione del rischio: sono tutte prescrizioni europee che dovranno dialogare con le nuove fattispecie penali italiane. Le imprese si trovano così davanti a una doppia compliance: nazionale e comunitaria.
Il rischio è la frammentazione: per questo diventa fondamentale un approccio integrato, in cui i Modelli 231 e, più in generale policy e controlli di compliance, si allineino sia agli obblighi penali italiani, sia ai requisiti tecnici dell’AI Act.
Impatti per le società quotate: algoritmi e mercati finanziari
Per le società quotate, il fronte più caldo è quello della finanza. Gli artt. 2637 c.c. e l’art. 185 del TUF, prevedono forme aggravate di aggiotaggio e di manipolazione del mercato quando commesse con IA. E ricordiamo che si tratta di 2 fattispecie previste tra i reati presupposto per l’applicazione della responsabilità amministrati ex d.lgs 231/01. In un’epoca in cui gli algoritmi di trading ad alta frequenza influenzano i mercati in millisecondi, il rischio non è teorico.
Un algoritmo che diffonde informazioni fuorvianti o manipola indirettamente i prezzi può esporre il management a conseguenze penali severe.
Le autorità di vigilanza europee (come ESMA) hanno già segnalato rischi di distorsione legati a trading automatizzato e bot. La nuova norma rende chiaro che, se questi sistemi sono alimentati o gestiti con IA, la responsabilità penale si aggrava.
PMI e comunicazione digitale: il rischio dei deepfake
Per le PMI, il rischio maggiore è legato alla comunicazione digitale ed al digital advertising.
L’art. 612-quater c.p. punisce la diffusione illecita di contenuti generati o manipolati con IA: i deepfake. E’ il caso di un’agenzia pubblicitaria che, per promuovere un prodotto, utilizzi immagini manipolate di personaggi noti senza consenso. Le conseguenze penali sono dietro l’angolo, non solo per l’agenzia, ma anche per il committente. Allo stesso modo, un dipendente che diffonde contenuti discriminatori generati da IA attraverso i canali aziendali può esporre la società a responsabilità diretta.
Ma già il Regolamento europeo sull’IA generativa, pone l’obbligo di adottare una policy che ponga dei paletti ben precisi.
Il tema non è più solo etico o reputazionale: la diffusione di deepfake è ora un reato.
Focus: digital advertising e creatività generata da IA
Il digital advertising, come si diceva, è oggi uno dei settori più esposti. Gli algoritmi che generano creatività, slogan o immagini rischiano di produrre messaggi falsi, discriminatori o manipolativi.
La nuova aggravante sull’uso di IA significa che un contenuto manipolativo non è solo pubblicità ingannevole, ma può diventare condotta penalmente rilevante.
Le aziende del settore devono dotarsi di:
- audit algoritmici sulle piattaforme utilizzate;
- controlli etici sulle creatività generate;
- policy interne che vietino l’uso improprio di IA in campagne pubblicitarie.
Casi concreti: la storia insegna
- Deepfake e reputazione: nel 2024, un falso video di un CEO statunitense che annunciava il fallimento della sua società ha fatto perdere il 12% del valore in Borsa in poche ore. Con la nuova legge italiana, la diffusione di simili contenuti rientrerebbe nella nuova fattispecie dell’art. 612-quater c.p.
- Bot e mercati finanziari: nel 2023, l’uso di algoritmi automatizzati su criptovalute ha generato manipolazioni sistemiche. In Italia, episodi analoghi oggi rientrerebbero nell’aggiotaggio aggravato da IA (art. 2637 c.c.).
- Campagne politiche manipolate: il tema non è nuovo. Negli Stati Uniti e in Europa sono già stati segnalati deepfake usati a fini elettorali. Con l’art. 294 c.p., in Italia simili condotte aggravano il reato di attentato ai diritti politici.
Modello 231 e modelli di compliance: come aggiornare la mappatura dei rischi
L’intelligenza artificiale entra a pieno titolo nei Modelli 231 e, più in generale, nei modelli di compliance, come fattore trasversale di rischio. Gli adeguamenti richiesti alle imprese è consigliabile includano i seguenti interventi.
Governance e accountability
Policy aziendale sull’uso di IA: definire cosa è ammesso, chi può usarla, per quali scopi.
Ruoli e responsabilità chiari: Chief Compliance Officer / DPO / CIO coinvolti nel controllo sull’IA.
Comitato etico o tecnico per validare i progetti IA che incidono su aree di rischio 231.
Mappatura e Risk Assessment
In primo luogo, anche nella logica del GDPR, si renderà necessario procedere con l’inventario dei sistemi di IA usati internamente o da fornitori (algoritmi di trading, chatbot, predictive analytics, generative AI, ecc.). Inoltre è fondamentale rivedere la valutazione del rischio 231 per alcuni processi sensibili, tra i quali:
- AI in ambito finanziario, connessa ai rischi di manipolazione del mercato o di aggiotaggio;
- AI in ambito gestione risorse umane, connessa al rischio discriminazioni, intermediazione illecita di manodopera e gestione della salute e sicurezza sui luoghi di lavoro;
- Scenario analysis e rischio elusioni fraudolente: ossia come l’IA può essere abusata per aggirare controlli esistenti.
Controlli organizzativi e procedurali
Segregazione degli accessi ai sistemi IA, tracciabilità e audit trail: log obbligatori delle operazioni effettuate dagli algoritmi.
Validazione indipendente dei modelli: test ex ante ed ex post per escludere rischi di bias o output manipolativi.
Registro dei dataset e delle fonti usate per addestrare i modelli.
Gestione dei rapporti con terze parti
Clausole contrattuali 231 verso fornitori di soluzioni IA, con obblighi di compliance e previsione di audit;
due diligence su vendor tecnologici, per prevenire l’uso di strumenti non conformi.
Responsabilità condivisa nei casi di outsourcing o cloud AI.
Formazione e cultura aziendale
Programmi di formazione 231 aggiornati con focus sui rischi derivanti dall’IA.
Sensibilizzazione del management e dei data scientist: rischi penali e reputazionali in caso di abuso.
Whistleblowing mirato: rafforzamento delle casistiche sui canali dedicati alle segnalazioni, circa anomalie nell’uso di algoritmi o pressioni ad alterarne i risultati.
Monitoraggio e Audit
Red flag da approfondire, ossia:
- output non spiegabili degli algoritmi;
- performance troppo elevate nei sistemi di trading automatizzato;
- anomalie nei volumi/nei prezzi generate da AI;
- utilizzo di AI per falsificare documenti, deepfake o comunicazioni ingannevoli;
- Audit periodici su processi a rischio con team IT + compliance;
- Reporting all’OdV su eventi anomali connessi all’uso di AI.
Integrazione con i sistemi normativi esterni
- Allineamento con Regolamento UE AI Act.
- Coordinamento con GDPR (dataset e privacy), NIS2 (cybersecurity) e norme CONSOB/Banca d’Italia/IVASS.
Perché i nuovi reati AI segnano una svolta
Da tutto questo, possiamo senza dubbio affermare che il DL sull’IA non è un semplice atto simbolico, ma segna un punto di svolta. l’IA non è più solo opportunità tecnologica, ma anche un fattore moltiplicatore del rischio di compliance, penale e reputazionale.
Ogni azienda – quotata o PMI – è chiamata ad aggiornare il proprio sistema di controllo interno, integrare i Modelli 231 e armonizzare la compliance con le regole dell’AI Act europeo. L’Italia, con questa normativa, si propone come laboratorio di elaborazione di best practices e di policy formali e sistemiche. Ma la vera sfida sarà la capacità delle imprese di trasformare la compliance in un vantaggio competitivo, evitando che l’IA da strumento strategico si trasformi in un boomerang giudiziari
