La L. 23 settembre 2025 n. 132, recante “Disposizioni e deleghe al Governo in materia di intelligenza artificiale”, in vigore dal 10 ottobre 2025, segna un momento di svolta nel panorama normativo nazionale, integrando il quadro europeo delineato dal Regolamento (Ue) 2024/1689 (c.d. IA Act), in vigore dal 1° agosto 2024.
Tra le innovazioni più rilevanti vi è l’introduzione dell’art. 612-quater c.p., che punisce, con la reclusione da uno a cinque anni, chiunque, senza il consenso dell’avente diritto, divulghi immagini, video o audio falsificati mediante IA, cagionando un ingiusto danno alla persona ritratta (deepfake).

Dal punto di vista delle responsabilità ex DLgs. 231/2001, si segnala l’inserimento di una nuova ipotesi aggravante all’art. 61 n. 11-decies c.p., riferibile a qualsiasi reato commesso “mediante l’impiego di sistemi di intelligenza artificiale” quando tale utilizzo abbia costituito un mezzo insidioso ovvero abbia ostacolato la difesa ovvero ne abbia aggravato le conseguenze.
In ottica 231, infatti, trattandosi di un’ipotesi teoricamente applicabile a qualunque reato ascrivibile all’ente, impone di ripensare ai rischi-reato cautelati dal MOG, al fine di valutarne la tenuta rispetto a questa nuova modalità realizzativa.

Oltre all’aggravante generale, sono state introdotte delle aggravanti speciali per i delitti (già ricompresi nel catalogo 231) di cui all’art. 2637 c.c. (aggiotaggio su strumenti finanziari) e all’art. 185 del TUF (manipolazione del mercato) per l’ipotesi in cui la condotta sia stata realizzata mediante sistemi di IA (per la manipolazione del mercato, la multa può arrivare fino a 6 milioni di euro).

Con la stessa legge è stata conferita delega al Governo di adottare, entro 12 mesi, decreti legislativi integrativi che, tra l’altro, dovranno contemplare l’introduzione di specifiche ipotesi criminose (anche di natura colposa) volte a sanzionare la mancata predisposizione di adeguati presìdi di sicurezza nei sistemi di IA in settori ritenuti ad alto rischio, prevedendo, tra l’altro, “i criteri di imputazione della responsabilità penale delle persone fisiche e amministrativa degli enti per gli illeciti inerenti a sistemi di intelligenza artificiale, che tenga conto del livello effettivo di controllo dei sistemi predetti da parte dell’agente” (art. 24 comma 5 lett. c).

In uno scenario normativo siffatto, gli enti rientranti nello spettro applicativo del DLgs. 231/2001 sono, inevitabilmente, chiamati ad aggiornare i propri modelli organizzativi al fine di adeguarli ai nuovi rischi legati all’uso dell’IA, nel rispetto principi sanciti dalla riforma in commento.
In questa prospettiva, un ruolo decisivo sarà giocato dalla previsione di specifici programmi di formazione non solo sulle disposizioni e sui protocolli di riferimento, ma, prima ancora, sulle modalità operative e d’impiego dell’IA nelle molteplici attività dell’ente.

In definitiva, la L. 132/2025 (in sinergia con la normativa Ue) pone sfide assolutamente innovative sul terreno dell’integrazione nei sistemi di governance dell’IA e, più in generale, nella dinamica degli assetti di cui all’art. 2086 c.c., che, anche in questa prospettiva, dovranno fungere da volano per l’implementazione di una competitività sostenibile.