Il ruolo dell’AI nel sistema di compliance

L’intelligenza artificiale può rappresentare un valido supporto alle attività di compliance aziendale. Come? Intercettando le attività più esposte al rischio-reato, elaborando protocolli standard e supportando le attività di controllo svolte dell’Organismo di Vigilanza. Senza mai sostituirsi all’intelligenza umana. Ad affermarlo è Chiara Padovani, fondatrice dello Studio Legale Padovani, che fa il punto anche su operatività e responsabilità dell’OdV nel post pandemia.

Come è cambiato il perimetro di operatività dell’Organismo di Vigilanza dopo lo scoppio della pandemia?
L’emergenza sanitaria ha prodotto un forte impatto qualitativo e quantitativo sull’attività dell’OdV. La pandemia ha infatti creato, direttamente e indirettamente, nuovi rischi che, se non adeguatamente schermati, potrebbero concretizzarsi nella commissione di alcuni dei reati-presupposto di cui al D. Lgs. 231/01. Entro questo nuovo perimetro criminologico è naturale che muti, di riflesso, anche l’operatività dell’OdV, chiamato oggi a confrontarsi con un ampio ventaglio di incombenze inedite. In generale, tutte le attività tipiche dell’Organismo, controllo sul funzionamento e sull’efficace attuazione del Mogc, strutturazione dei flussi informativi, aggiornamento sulle novità legislative impattanti sul sistema 231, formazione del personale, ricezione e analisi di eventuali segnalazioni, reporting e confronto con le varie funzioni aziendali, hanno gioco forza dovuto estendere il proprio raggio d’azione anche alla gestione dell’emergenza sanitaria, in accordo con la relativa normativa. Così, ad esempio, l’OdV è chiamato a sollecitare non soltanto la mappatura dei rischi-reato discendenti dall’emergenza Covid-19, se costituenti un novum per quella specifica realtà aziendale (si pensi al rischio “infezione contratta sul luogo del lavoro”, oggi costituente “infortunio” ai sensi del D. Lgs. 81/2008, come tale suscettibile di integrare l’illecito amministrativo ex art. 25-septies D. Lgs. 231), ma anche l’irrobustimento di presidi volti a contenere rischi già rilevati, ma enfatizzati o, comunque, innervati dalle nuove modalità operative determinate dall’emergenza e dalla conseguente disciplina. Un esempio per tutti, lo smartworking: il ricorso a sistemi telematici non sempre adeguatamente monitorati aumenta considerevolmente le possibilità di commissione di reati informatici, con conseguente responsabilità dell’ente ex art. 24-bis D. Lgs. 231.

Come si inserisce la responsabilità dell’OdV nel prisma interpretativo delle due recenti sentenzeMonte dei Paschi di Siena?
Le vicende giudiziarie che hanno coinvolto MPS hanno fornito una duplice occasione per il Tribunale di Milano di confermare il sempre maggiore rilievo attribuito all’efficace attuazione del Mogc quale requisito per escludere la responsabilità dell’ente per il reato-presupposto commesso dall’apicale. In questa prospettiva, ampia, se non esclusiva, considerazione viene data all’operato dell’OdV. Entrambe le sentenze radicano infatti la colpa di organizzazione non tanto nella inidoneità dei presidi preventivi adottati, viceversa giudicati in astratto adeguati, quanto nella sostanziale inerzia dell’OdV il quale, secondo la prospettazione del giudicante, pur consapevole delle criticità contabili e degli accertamenti in corso, si sarebbe limitato a osservare eventi delittuosi che un più accorto controllo sull’operato degli amministratori delle società avrebbe certamente scongiurato. Questa drammatizzazione ermeneutica del ruolo dell’OdV, a scapito dell’idoneità, da valutarsi ex ante, dell’attività preventiva dispiegata dall’ente, rischia di stravolgerne la funzione. Entrambe le decisioni finiscono infatti per imporre all’Organismo un controllo diretto e una sorta di sindacato nel merito dell’attività gestoria con conseguente insorgenza, in capo ai suoi componenti, di un obbligo di impedimento del reato, con note implicazioni penali in caso di inosservanza. Questa lettura, peraltro non supportata da alcuna fonte normativa che possa sorreggere il paradigma tipico di cui all’art. 40 comma 2, c.p., parrebbe disconoscere natura e compiti dell’OdV, che per preservare i propri caratteri di autonomia e indipendenza, cristallizzati nel dettato normativo di cui al D.lgs. 231/2001, dovrebbe restare il più possibile estraneo alle scelte gestorie dell’azienda. Riscontrate eventuali falle, resta, cioè, dovere del vertice deliberare i correttivi necessari, all’OdV riservandosi una finalità preventiva indiretta, una funzione di controllo sulla robustezza del sistema di prevenzione, e un obbligo di pronta comunicazione all’organo di gestione. A queste conclusioni si orientano anche le recentissime Linee Guida per la costruzione, nel solco della più lucida dottrina, dei Modelli di Organizzazione, Gestione e Controllo pubblicate da Confindustria nel giugno scorso.

Quali sono le prospettive applicative dell’intelligenza artificiale nei sistemi 231?
È indubbio che i sistemi di AI possano svolgere un ruolo importante nella compliance aziendale. Le prestazioni delle nuove tecnologie si apprezzano infatti non soltanto sul piano della creazione di spazi lavorativi realmente interconnessi, smart, sicuri, e garanti della privacy. L’utilizzo di software algoritmici, con immissione di coordinate ritagliate su tipologie societarie ‘omogenee’, per oggetto sociale e dimensioni, agevola altresì l’individuazione delle attività maggiormente esposte al rischio-reato, nonché la redazione standardizzata di efficaci protocolli di gestione. L’AI può dunque positivamente incidere sulla fase ante delictum, quale ausilio alle attività di risk assessment e risk management. Non solo. L’elaborazione dei dati normativi e l’automatizzazione dei processi di verifica e controllo tipici delle soluzioni c.d. RegTech potrebbero rappresentare un supporto nell’attività di monitoraggio, anche dell’OdV, operando alla stregua di ‘spia’ per un efficace intervento correttivo e di revisione dei presidi, riducendo, grazie alla sua dinamicità, flessibilità e modellabilità, il margine di “errore umano”. Non si deve però dimenticare che ogni ente costituisce una specifica realtà non solo economica ma, ancor prima, umana; un dato, quest’ultimo, che mal si concilia con la standardizzazione frutto della logica predittiva delle modalità algoritmiche. Di conseguenza, l’AI può certamente costituire un valido ausilio anche in ambito 231 in una prospettiva completare e non sostituiva dell’apporto umano, l’unico, almeno allo stato dell’arte, in grado di cogliere le peculiarità di ogni singolo caso concreto. Inoltre, il perimetro della vigilanza dell’OdV dovrà opportunamente estendersi ad un controllo sulla metodologia di scelta dei machine bias utilizzati dalla società per l’elaborazione algoritmica.

Il tema “231” continuerà ad accompagnare le imprese anche nel prossimo futuro. Quali saranno a suo avviso le evoluzioni della materia? Tornerà ad approfondirla nelle prossime iniziative editoriali Le Fonti?
Nel normale corso delle cose, una challenge sarà sicuramente rappresentata dalla ricerca di soluzioni efficaci volte a coniugare intelligenza artificiale e umana per ottimizzare la compliance societaria. Inoltre, l’avvento di emergenze globali imprevedibili ha, a mio avviso, evidenziato la necessità di integrare i Sistemi 231 con una specifica policy sulla gestione di crisi non eziologicamente collegate ad una specifica tipologia di business. I vent’anni di vigenza del D. Lgs. 231/2001 hanno altresì dimostrato che un ambito in continua evoluzione ed espansione è rappresentato dal catalogo dei reati-presupposto. Non sembra quindi azzardato ipotizzare che assisteremo a novità anche su questo fronte, all’orizzonte profilandosi, in particolare, il possibile ampliamento del novero ai reati agroalimentari. Naturalmente, sarebbe per me un onore apportare ulteriori spunti di riflessioni in questa prestigiosa sede.

Iscriviti alla newsletter