L’adozione dell’intelligenza artificiale nelle imprese impone agli amministratori un governo organizzativo documentabile. AI Act, assetti adeguati, deleghe, controlli interni e accountability diventano criteri centrali per valutare la responsabilità dell’organo amministrativo nella gestione del rischio algoritmico avvocato e giurista italiano specializzato in intelligenza artificiale e diritto delle tecnologie Ilgoverno dell’intelligenza artificialenon si esaurisce nell’adozione di strumenti tecnologici conformi, ma investe direttamente l’adeguatezza dell’organizzazione societaria e la responsabilità dell’organo amministrativo. L’AI Act, Regolamento sull’intelligenza artificiale dell’Unione europea, imponeuna lettura strutturale dell’accountability, qui intesa come responsabilizzazione documentabile dell’organizzazione. Ne derivano obblighi misurabili di gestione del rischio, governo dei dati, sorveglianza umana, tracciabilità, controllo e monitoraggio. Nel diritto societario italiano, tali presidi si innestano nei doveri di corretta amministrazione, negli assetti organizzativi adeguati e nella vigilanza sulle deleghe. La responsabilità degli amministratori emerge non dall’evento tecnologico in sé, ma dalla disfunzione organizzativa prevenibile, non governata o non dimostrabilmente vigilata. L’intelligenza artificialeintroduce nell’impresa una categoria di rischio non riducibile alla cybersicurezza, alla protezione dei dati personali o alla mera conformità di prodotto. Il sistema di intelligenza artificiale opera attraverso modelli, dati, logiche inferenziali, livelli variabili di autonomia e interazioni con contesti organizzativi mutevoli. La sua affidabilità non dipende soltanto dalla qualità tecnica originaria, ma dalla capacità dell’impresa di governarne l’intero ciclo di vita. La selezione, l’acquisizione, l’addestramento o la configurazione, la messa in esercizio, il monitoraggio, l’aggiornamento e la dismissione diventano fasi di un unico processo di governo. IlRegolamento UE 2024/1689, Regolamento sull’intelligenza artificiale dell’Unione europea, noto comeAI Act, qualifica tale esigenza in termini giuridici vincolanti. La disciplina europea non costruisce l’intelligenza artificiale come materia affidata a dichiarazioni di principio, ma come sistema di obblighi graduati sul rischio. In tale sistema assumono rilievo la gestione del rischio, il governo dei dati, la documentazione tecnica, la registrazione degli eventi, la trasparenza, la sorveglianza umana, l’accuratezza, la robustezza e la cybersicurezza dei sistemi ad alto rischio.¹ La conseguenza è rilevante per l’organo amministrativo. L’intelligenza artificiale non può essere trattata come funzione tecnica periferica, ma come componente dell’assetto organizzativo dell’impresa. Laresponsabilità degli amministratorinon coincide con una responsabilità automatica per l’errore algoritmico. Il punto decisivo è diverso. Il sistema di intelligenza artificiale diviene fattore di responsabilità quando l’impresa non ha predisposto, aggiornato e reso verificabili presidi organizzativi proporzionati alla natura, alle dimensioni, all’attività esercitata e al rischio generato dall’impiego della tecnologia. L’accountability, traducibile in questo contesto come responsabilizzazione organizzativa dimostrabile, assume così una duplice funzione. È obbligo organizzativo strutturato ed è criterio di imputazione della disfunzione. Neldiritto italiano, questa impostazione si salda con l’articolo 2086, secondo comma, del codice civile, che impone all’imprenditore collettivo di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell’impresa, anche in funzione della rilevazione tempestiva della crisi e della perdita della continuità aziendale.² Gli articoli 2381 e 2392 del codice civile completano il quadro nelle società per azioni, disciplinando il rapporto tra gli organi delegati, il consiglio di amministrazione e il dovere di agire con la diligenza richiesta dalla natura dell’incarico e dalle specifiche competenze.³ Per le società a responsabilità limitata, il riferimento agli articoli 2475 e 2476 del codice civile conferma la centralità della gestione diligente e responsabile dell’impresa.⁴ L’adozione deisistemi di intelligenza artificiale, soprattutto quando incide sui processi decisionali, sui clienti, sui lavoratori, sul credito, sulla sicurezza, sulla salute, sulle infrastrutture, sulla produzione o sui diritti fondamentali, diviene dunque materia consiliare. Non ogni scelta tecnica dev’essere deliberata dal consiglio. Devono però essere consiliari la definizione della propensione al rischio, l’attribuzione delle responsabilità interne, l’approvazione delle politiche aziendali, il presidio dei flussi informativi, la verifica dell’adeguatezza dei controlli e la valutazione periodica degli impatti. Nel lessico delgoverno digitale, l’accountability è spesso utilizzata in modo improprio, come sinonimo generico di responsabilità. La sua funzione giuridica è più precisa. L’accountability significa quella capacità dell’organizzazione di dimostrare, prima e dopo l’adozione del sistema, che le decisioni relative all’intelligenza artificiale sono state assunte, documentate, controllate e riesaminate secondo criteri coerenti con il rischio. IlRegolamento sull’intelligenza artificiale dell’Unione europearende questa impostazione particolarmente evidente. Per i sistemi ad alto rischio, il regolamento richiede un sistema di gestione dei rischi continuo e iterativo, esteso all’intero ciclo di vita del sistema.⁵ Il governo dei dati deve riguardare la pertinenza, la rappresentatività, la completezza e la correttezza, nei limiti in cui tali requisiti siano applicabili al sistema e al caso d’uso.⁶ La documentazione tecnica deve consentire alle autorità competenti di valutare la conformità del sistema ai requisiti normativi.⁷ I registri automatici degli eventi devono permettere la tracciabilità funzionale al controllo.⁸ La sorveglianza umana deve essere progettata per prevenire o minimizzare i rischi per la salute, la sicurezza e i diritti fondamentali.⁹ Ildato sistematicoè netto. Il legislatore europeo non chiede soltanto che il sistema funzioni, ma che l’organizzazione sia in grado di spiegare come ne governa il rischio. Questa esigenza si riflette anche sugli obblighi degli utilizzatori, indicati dal regolamento come deployer. Tali soggetti sono chiamati a utilizzare i sistemi di intelligenza artificiale ad alto rischio conformemente alle istruzioni d’uso, ad assicurare la sorveglianza umana, a monitorare il funzionamento sulla base delle istruzioni ricevute e a conservare i registri automatici degli eventi quando sono sotto il loro controllo.¹⁰ L’accountabilityè un’infrastruttura organizzativa composta da atti, procedure, competenze, controlli e registrazioni. La sua mancanza può costituire il segnale della non adeguatezza dell’assetto, soprattutto quando l’impresa utilizza sistemi di intelligenza artificiale in processi rilevanti per l’attività caratteristica o per l’esposizione a rischi regolatori. La stessa logica emerge dall’impianto delRegolamento sull’intelligenza artificiale dell’Unione europea, che non separa la conformità tecnica dalla capacità organizzativa di governo del rischio. La disciplina dei sistemi ad alto rischio collega i requisiti tecnici, la documentazione, la registrazione degli eventi, la trasparenza, la sorveglianza umana, l’accuratezza, la robustezza e la cibersicurezza. Ne deriva l’esigenza di un sistema verificabile di prevenzione, controllo e riesame.¹¹ Questa impostazione rafforza la necessità di non confinare l’intelligenza artificiale alla funzione informatica, ma di ricondurla al sistema degli assetti, delle deleghe e dei controlli interni. Laresponsabilità dell’organo amministrativonella gestione dell’intelligenza artificiale deve essere letta attraverso tre categorie. Gli assetti adeguati, la corretta allocazione delle deleghe e la vigilanza informata. L’assetto adeguatoè il primo livello. Un’impresa che utilizza sistemi di intelligenza artificiale in aree sensibili deve disporre di procedure idonee a identificare i sistemi in uso, classificarne il rischio, individuare i responsabili interni, documentare le finalità, verificare la base dati, disciplinare l’interazione tra la persona e la macchina, gestire i fornitori e le terze parti, monitorare le prestazioni, le anomalie e gli incidenti. L’adeguatezza non richiede uniformità. Un’impresa industriale che integra l’intelligenza artificiale nei sistemi produttivi, una banca che la usa nei processi di valutazione del merito creditizio, una piattaforma digitale che la impiega per le raccomandazioni o la moderazione e una società di consulenza che utilizza strumenti generativi non condividono il medesimo profilo di rischio. Condividono tuttavia l’esigenza di un governo aziendale proporzionato e verificabile. Ladelegaè il secondo livello. L’articolo 2381 del codice civile consente la distribuzione delle funzioni gestorie, ma non elimina il dovere del consiglio di valutare l’adeguatezza dell’assetto sulla base delle informazioni ricevute e di esaminare il generale andamento della gestione.¹² In materia di intelligenza artificiale, la delega meramente informale al responsabile dei sistemi informativi, al responsabile della protezione dei dati, al responsabile della sicurezza delle informazioni o al responsabile della conformità è strutturalmente insufficiente se non definisce il perimetro, i poteri, i limiti, i flussi informativi, le procedure di segnalazione gerarchica e la periodicità della rendicontazione. La tecnologia richiede competenze specialistiche. Il governo societario richiede imputazione formale. Lavigilanza informataè il terzo livello. L’amministratore non è chiamato a sostituirsi allo specialista, ma a pretendere un flusso informativo comprensibile, periodico e proporzionato. La vigilanza consiste nella capacità di porre le domande organizza