AI, è reato l’omessa adozione di misure di sicurezza

Due gli schemi di decreto legislativo approvati nel Consiglio dei ministri del 10 giugno in attuazione della delega ex legge 132/2025 in materia di intelligenza artificiale, ora al vaglio delle Commissioni parlamentari, della Conferenza delle Regioni e delle Authority competenti.

Il primo, che riguarda i poteri delle autorità nazionali competenti (Agenzia per la cybersicurezza nazionale e Agenzia per l’Italia digitale, Banca d’Italia, Consob, Ivass, Garante per la protezione dei dati personali), rinvia a protocolli d’intesa per garantire condivisione di dati e informazioni e istituisce il cosiddetto «Spazio di sperimentazione italiano per l’AI» finalizzato a sostenere la condivisione di best practice, promuovere innovazione e competitività e favorire lo sviluppo di un ecosistema dell’AI. Quanto alla formazione si prevedono invece percorsi specifici per studenti, docenti, professionisti, Pa e magistrati.

Nel secondo schema di decreto, relativo all’utilizzo dell’intelligenza artificiale per attività di polizia (identificazione biometrica introdotta anche nell’ambito del procedimento penale col nuovo articolo 359-bis, Codice penale ovvero riconoscimento facciale) si introduce il reato di «omessa adozione di misure di sicurezza nei sistemi di intelligenza artificiale e alterazione illecita dei sistemi» (articolo 437-bis, Codice penale) anche quale presupposto della responsabilità degli enti unitamente al delitto di illecita diffusione di contenuti generati o manipolati artificialmente (articolo 612-quater, Codice penale) già inserito dalla legge 132/2025 (articolo 25-vicies, Dlgs 231/2001).

Con esso si punisce chiunque, con dolo o colpa grave (in tal caso con riduzione della pena da un terzo a un sesto), nella progettazione, addestramento, produzione, immissione sul mercato o uso professionale di sistemi di AI ad alto rischio, omette misure tecniche idonee a prevenire malfunzionamenti o alterazioni del funzionamento dei sistemi ovvero misure di sorveglianza umana, qualora dal fatto derivi un pericolo concreto per la vita o l’incolumità individuale (con reclusione da uno a cinque anni) o per l’incolumità pubblica o per la sicurezza dello Stato (con reclusione da due a otto anni) nonché, salvo che il fatto costituisca più grave reato, chiunque alteri sistemi di AI ad alto rischio (con reclusione da tre a 10 anni).

Si tratta di fattispecie autonome, come imposto dalla delega, incentrate su un pericolo concreto qualificato derivante da condotte di alterazione od omessa cautela analoghe a quelle già previste in materia di infortuni sul lavoro (articolo 437, Codice penale) che postulano una valutazione discrezionale da parte del giudice sia sull’idoneità preventiva delle misure tecniche omesse da riferire comunque a eventi-tipo (e non hic et nunc) di alterazione o malfunzionamento dei sistemi (come già sperimentato a proposito dell’idoneità dei modelli organizzativi al Dlgs 231/2001) sia sull’accertamento della gravità della colpa mediante individuazione di possibili indicatori (sulla scorta di quanto avvenuto in materia di responsabilità medica): dalla diversa attività svolta (progettazione, produzione, messa in commercio o mero utilizzo), al testing e al grado d’innovazione tecnologia dei sistemi, nonché alle circostanze del caso concreto.