In tema di compliance, si registra un crescente utilizzo delle nuove tecnologie informatiche al fine di rendere maggiormente efficaci le misure organizzative interne volte al contenimento del rischio di “non conformità”.
Si registra, in altri termini, una costante e progressiva digitalizzazione dei protocolli organizzativi e dei sistemi di analisi e di controllo dei rischi, adottati dagli enti allo scopo di tutelarsi dall’insorgere di responsabilità giuridiche.
Se è vero, dunque, come è vero, che il sistema delineato dal D.Lgs. 231/2001 concorre a formare il complesso e pluridimensionale universo della compliance, nella forma della cd. criminal compliance, appare legittimo chiedersi se e come l’applicazione di software informatici possa migliorare l’efficienza – operativa e, soprattutto, giuridica – del Sistema 231.
Sul punto, è innegabile la progressiva influenza della I.A. rispetto alle modalità di controllo e di prevenzione adottate dalle società, talvolta, mediante integrazione degli strumenti “ordinari”, talvolta, addirittura, in sostituzione di questi ultimi. Di qui, la neo-tematica della Digital Criminal Compliance nell’ambito della quale si trovano a dialogare due diversi “mondi”, l’ordinamento giuridico e il settore informatico, con la conseguente trasposizione, in un contesto interdisciplinare, del tema della responsabilità amministrativa dell’ente.
Nello specifico, l’innovazione tecnologica permette alle società – mediante, per esempio, l’utilizzo di specifici algoritmi – di migliorare la tempestività dei propri meccanismi di rilevazione delle irregolarità e/o delle condotte che potrebbero discostarsi o, addirittura, violare le disposizioni del Modello Organizzativo attuato dall’ente.
L’I.A., in altri termini, serve in primis a prevenire, più che a reprimere, la condotta deviante.
Ciò posto, il procedimento di digitalizzazione pone l’ente nelle condizioni di predisporre un sistema di controlli interno che sia realmente efficace sul piano prodromico-preventivo, con tutto quel che ne consegue in punto di maggiore “tenuta” del Modello Organizzativo in ipotesi sottoposto al vaglio del Giudice Penale.
Sul punto, basti ricordare come l’efficacia scriminante del Modello 231 si fonda sulla idoneità dello stesso “a prevenire reati della specie di quello verificatosi” (artt. 6 e 7, D.Lgs. 231/2001). È di tutta evidenza, dunque, come più un sistema di controllo risulti rapido ed efficiente nella individuazione di comportamenti devianti, più lo stesso dovrà considerarsi “idoneo” a tal fine.
A differenza, invero, delle procedure di controllo su cui si basano i tradizionali sistemi di compliance, gli algoritmi sono in grado di “captare” ed elaborare dati, in tempo reale, con conseguente maggiore probabilità di prevenire la violazione delle regole comportamentali e procedurali di cui al Modello 231.
Quando sopra è reso possibile, proprio, dalla capacità dei meccanismi tecnologici di monitoraggio di controllare in modo costante – step by step, per così dire – lo sviluppo dei processi aziendali, in modo da poterne prevenire l’esito in punto di scostamento o meno rispetto ai protocolli adottati dall’ente e da permettere alle competenti funzioni di intervenire in modo tempestivo.
Le nuove tecnologie, peraltro, sono in grado di implementare l’efficienza del sistema 231 con riferimento alla prevenzione, non solo, dei reati che si innestano in un tessuto informatico (quali, inter alia, i reati informatici, i cd. market abuse, i fenomeni di riciclaggio, ecc.) ma, più in generale, di tutte le fattispecie criminose “presupposto” che si possano verificare in seno all’ente.
Vedasi, a titolo meramente esemplificativo, la possibilità di impiego delle nuove tecnologie nella prevenzione dei reati ambientali, mediante l’utilizzo di software che controllino il rispetto delle soglie limite previste dalla normativa di settore. Ovvero, ancora, la – maggiore – digitalizzazione del Tax Compliance System, al fine si minimizzare il rischio di verificazione di illeciti tributari.
Atteso, quindi, che le nuove tecnologie sono in grado di garantire concreta efficacia ai protocolli di controllo enucleati nel Modello 231, è altrettanto evidente come “l’asticella” del giudizio di idoneità ed efficacia del Sistema 231 potrebbe alzarsi sensibilmente, sino a censurare la mancata automatizzazione, da parte della società, del proprio sistema di compliance ovvero l’adozione di sistemi, sì, informatizzati ma considerati poco performanti.
Quanto sopra, tuttavia, deve essere necessariamente essere letto in uno con le peculiarità e, segnatamente, i limiti propri della I.A.
Anzitutto, la digitalizzazione delle scelte operative non garantisce l’esattezza delle determinazioni adottate dall’ente.
I sistemi di controllo automatizzati, in particolare, fondano il loro funzionamento su algoritmi che, per loro natura, non sono esenti da “falle”. Tale considerazione, peraltro, vale con riferimento a qualsiasi forma di algoritmo, non esclusivamente con riferimento a quelli propri della digital compliance.
Si aggiunga, inoltre, come, in ambito di Criminal Digital Compliance – e, quindi, laddove l’I.A. sia “applicata” al Sistema 231 – gli algoritmi informatici sono chiamati a prevenire comportamenti devianti, definiti tali, però, alla stregua di disposizioni normative astratte le quali debbono indubitabilmente essere oggetto di interpretazione.
Appare, dunque, evidente l’ontologica diversità tra lo strumento di controllo – ossia, l’I.A. che, in quanto tale, “ragiona” per automatismi ed algoritmi puramente oggettivi – e l’oggetto e le finalità del controllo, ossia individuare e prevenire una condotta che può essere qualificata come illecita solo alla stregua di un ragionamento sussuntivo “umano” e, dunque, per quanto imparziale, inevitabilmente soggettivo.
Secondariamente, appare opportuno rilevare le possibili distorsioni di valutazione (e, dunque, di scelta da parte dell’ente) che l’utilizzo dei sistemi automatizzati in oggetto può provocare. Al di là, in altri termini, del limite “ontologico” testé richiamato, la digitalizzazione del sistema di criminal compliance potrebbe presentare falle anche sul piano pratico-operativo.
Ed invero, gli algoritmi, cui si è fatto più volte riferimento, rappresentano meccanismi di previsione, strutturati su dati storici e finalizzati ad attivarsi allorché vengano rilevati elementi di allarme predeterminati. Il tutto, come è logico, prima della verificazione della condotta illecita che tali meccanismi mirano, appunto, a prevenire.
Ciò posto, appare ineludibile il rischio che singoli o intere classi di individui siano considerati – dianzi alla rilevazione di specifici elementi di rischio e, dunque, in via puramente prognostica ed ipotetica – “pericolosi” con riferimento alle modalità di svolgimento delle relative attività, con conseguente adozione della determinazione automatizzata.
Sarà, dunque, necessario che l’ente, il quale intenda affidarsi a meccanismi digitalizzati di prevenzione dei reati, predisponga, contestualmente, adeguate tutele delle posizioni individuali che possano essere colpite – in ipotesi, ingiustamente – da decisioni automatizzate distorte.
È di tutta evidenza, dunque, come, ferma restando l’indubbia innovatività dei sistemi automatizzati di prevenzione dei reati, l’adozione di questi ultimi non potrà limitarsi alla implementazione, sic et simpliciter, degli stessi, ma dovrà essere accompagnata dalla predisposizione di una serie di misure ed accortezze – individuabili, auspicabilmente, dal Legislatore – idonee a prevenirne le derive applicative (talune, come anzidetto, ineliminabili in quanto ontologiche, altre, invece, derivanti dalla operatività, necessariamente preventiva e prognostica, degli algoritmi).
