AI Act e Modello 231: l’algoritmo sotto sorveglianza. Un approfondimento per imprese, tecnici e consulenti

📅 Approfondimento del 20 luglio 2025
✍️ di Domenico Moretta – Criminalista, esperto in digital e audio forensics

Dal 2 febbraio 2025 è già in vigore il primo nucleo di obblighi operativi dell’AI Act, il Regolamento UE che disciplina l’uso dell’intelligenza artificiale secondo un principio cardine: più è alto il rischio, più stringenti devono essere le regole.

Per le imprese, questo significa una sola cosa: organizzarsi per tempo, integrando la compliance tecnologica con quella organizzativa e giuridica. In particolare, chi adotta strumenti di AI dovrà rispondere non solo a Bruxelles, ma anche all’interno del proprio assetto 231.

Ma cosa significa, concretamente, per una PMI, un’impresa tech o uno studio professionale che utilizza strumenti intelligenti?

⚙️ L’AI Act in sintesi: cosa prevede e a chi si applica

Il Regolamento europeo n. 2024/1689 – noto come AI Act – è entrato in vigore il 1° agosto 2024, ma sta diventando operativo per gradi. Le disposizioni generali e i divieti (es. uso di AI per manipolare il comportamento o per il riconoscimento emotivo) sono già efficaci dal 2 febbraio 2025. Le altre scadenze si susseguiranno nei prossimi mesi, secondo la timeline dell’art. 113.

Il principio di fondo è semplice: non tutta l’AI è uguale. Più un sistema ha impatto su diritti fondamentali (es. giustizia, selezione del personale, sanità, forze dell’ordine), più sono elevati gli obblighi:

• tracciabilità delle decisioni

• documentazione completa

• audit periodici

• supervisione umana

• marcatura dei contenuti generati (es. deep fake)

Ma accanto agli obblighi per produttori e sviluppatori, l’AI Act introduce un nuovo soggetto: il “deployer”, cioè chi utilizza l’AI. E qui entra in gioco anche il Decreto Legislativo 231/2001.

Un nuovo ruolo per il consulente forense

In questo scenario, la figura del perito trascrittore forense, dell’esperto in audio digitale, del consulente in digital forensics, assume una funzione centrale. Sarà determinante affiancare la difesa nei seguenti compiti:

• validazione e autenticazione della prova digitale ricevuta tramite EPOC;

• verifica della fonte, del formato e della catena di custodia dei dati;

• redazione di pareri tecnici su interoperabilità e legittimità dell’acquisizione.

🧩 Cosa c’entra il Modello 231 con l’Intelligenza Artificiale?

Per capirlo, occorre fare una breve ma necessaria premessa.

📚 Cos’è il D.lgs. 231/2001?

È il decreto che introduce la responsabilità “amministrativa” delle imprese per alcuni reati commessi nell’interesse o a vantaggio dell’ente da persone che vi operano (apicali o sottoposti).

In pratica, un’azienda può essere condannata e sanzionata (con multe anche milionarie, interdizione, confisca) per reati commessi dai suoi dirigenti o dipendenti, a meno che non dimostri di avere adottato ed efficacemente attuato un Modello organizzativo di prevenzione dei reati.

Questo modello (detto “Modello 231”) è un sistema di procedure, controlli e formazione interna pensato per prevenire comportamenti penalmente rilevanti.

🛡️ Perché l’AI deve entrare nel Modello 231

Il collegamento con l’AI è diretto: l’uso scorretto di algoritmi, sistemi predittivi o strumenti di decisione automatica può comportare rischi penalmente rilevanti. Esempi?

• Discriminazioni nell’accesso al lavoro (reato di discriminazione)

• Esiti giudiziari o sanzionatori influenzati da bias algoritmici

• Diffusione di fake audio/video generati da AI (potenziale diffamazione, frode, false comunicazioni)

• Accessi abusivi a sistemi informatici o violazioni di dati biometrici

Di conseguenza, le imprese devono aggiornare i propri modelli 231, introducendo presidi specifici per:

✔️ Mappare l’uso dell’AI nei processi aziendali

✔️ Verificare la trasparenza degli algoritmi

✔️ Formare il personale sul corretto utilizzo dei sistemi

✔️ Effettuare audit periodici tecnici e forensi

✔️ Coinvolgere l’OdV (Organismo di Vigilanza) nell’attività di sorveglianza sui sistemi intelligenti

🔍 Il ruolo del criminalista e dei consulenti forensi

Il controllo sull’AI non è (solo) un fatto informatico. È una questione probatoria, organizzativa e giuridica. Il criminalista digitale, insieme al consulente 231, può aiutare l’impresa a mappare i rischi reali e a costruire un presidio credibile.

Un esempio concreto: l’obbligo di marcatura e trasparenza nei contenuti sintetici, previsto per i cosiddetti deep fake. Oggi esistono strumenti capaci di generare voci realistiche, volti e scene simulate. Se usati impropriamente, possono diventare prove false, strumenti di truffa o persino elementi di manipolazione nelle relazioni di lavoro.

📈 Compliance e vantaggio competitivo: una sfida per PMI e professionisti

Molti pensano che il rispetto dell’AI Act sia un onere da grandi gruppi. Ma attenzione: la normativa si applica anche alle PMI, soprattutto se operano in settori sensibili o adottano soluzioni AI tramite software, fornitori esterni, chatbot, sistemi decisionali automatizzati.

La compliance, se ben strutturata, può diventare un punto di forza. Non solo per evitare sanzioni, ma per dimostrare affidabilità a clienti, partner e investitori, in un mondo sempre più attento alla tracciabilità e alla sicurezza digitale.

🎯 Conclusione: la trasparenza come nuova frontiera della compliance

Il messaggio per chi legge è chiaro:
l’AI non è neutra, e la sua adozione richiede scelte consapevoli, strutture organizzative pronte, e una vigilanza continua.

Il criminalista, in questo contesto, non è un tecnico dell’ultimo momento, ma un professionista capace di leggere i segnali di rischio, integrare competenze digitali e giuridiche, e supportare l’impresa nel costruire un vero sistema di prevenzione.

📩 Se vuoi approfondire questi temi o aggiornare il tuo modello 231 con una sezione dedicata all’AI, contattami su www.acquisizioneprovedigitali.it o scrivimi in privato.

CLICCA QUI PER RICHIEDERE MAGGIORI INFORMAZIONI