L’articolo affronta, da una prospettiva giuscommercialistica, il tema dei doveri degli amministratori di società per azioni nell’adozione di “scelte d’impresa” basate su informazioni e dati elaborati da un sistema di intelligenza artificiale (IA). La particolare complessità di tali tecnologie richiede un approccio multidisciplinare e una specifica regolamentazione, attualmente in fieri. D’altra parte, l’antitesi fra trasparenza dell’algoritmo e accuratezza degli output pone in discussione questioni giuridiche di vertice, tra cui la responsabilità di chi utilizza sistemi di IA e, nello specifico, degli amministratori, anche di quelli eventualmente dissenzienti. In prospettiva il tema è destinato a divenire ancora più complesso nelle ipotesi di IA-membro del board con diritto di voto (futuribile) e di IA - sostituto di un intero board (avveniristica).
The paper aims at analysing directors’ duties when adopting “business judgments” based on information and data processed and provided by an artificial intelligence (AI) system. Indeed, the complexity of this technology imposes a multidisciplinary approach and an ad hoc regulation, currently in fieri. Furthermore, the opposition between transparency of the algorithm and accuracy of its output brings questions over the responsibility of directors, including the dissenting ones, in using artificial intelligence. In the future, this concern could become even more complicated in case of an AI system member of the board with voting right (robo-director) and in the pioneering case of an AI system board-substitute (robo-board).
Keywords: Artificial Intelligence – AI – companies – directors’duties – business judgment rule – duty to act on an informed basis – correct management principles – companies’assets adequacy.
Articoli Correlati: intelligenza artificiale - doveri degli amministratori - business judgment rule - agire informato - assetti adeguati
1. Premessa. IA nel prisma dell’impresa societaria: impostazione e problemi - 2. L’impiego dell’IA e i riflessi sulle diverse declinazioni dei doveri degli amministratori di s.p.a. - 3. Possibili implicazioni in tema di business judgment rule - 3.1. … e in tema di correttezza gestoria e assetti adeguati - 4. Il primo livello di difficoltà: la protezione giuridica delle decisioni imprenditoriali fondate su sistemi di IA - 5. L’omesso impiego dell’IA. Evoluzione del diritto societario e progresso tecnologico - 5.1. La non censurabilità dell’omissione di valutare sistemi di IA ... oggi - 5.2. La possibile censurabilità dell’omissione di valutare sistemi di IA ... domani - 6. Il potere-dovere di “delegare” all’esterno funzioni connesse all’impiego di sistemi di IA - 7. I doveri di informazione e controllo degli amministratori non esecutivi rispetto all’impiego dell’IA - 8. Il c.d. black box algorithm - 8.1. Il rischio “etico” del dominio dell’IA sull’essere umano. L’approccio procedimentale delle linee guida etiche dell’HLEG - 8.2. La proposta di regolamento c.d. “AI Act” e il difficile rapporto con il diritto societario - 8.3. Un appiglio normativo dal GDPR - 9. Il secondo livello di difficoltà: IA quale membro di un consiglio di amministrazione - 10. Il terzo livello di difficoltà: IA quale sostituto di un intero consiglio di amministrazione - NOTE
L’indagine parte da un assunto che, per esigenze di sintesi, si esporrà in termini assertivi e che riassume l’impostazione – peraltro non assiomatica – che si vuole adottare in questo scritto [[1]]. A tal proposito, (i) un sistema di intelligenza artificiale (IA) [[2]] è inteso come uno strumento a disposizione dell’uomo ma soprattutto, per ciò che qui interessa, come articolazione dell’organizzazione d’impresa o comunque come parte dell’attività il cui (specifico) rischio deve essere gestito nell’ambito dell’organizzazione imprenditoriale e in qualche modo garantito dal patrimonio dell’imprenditore (o comunque da un patrimonio destinato ad hoc); (ii) gli effetti giuridici dell’impiego nell’impresa di un sistema di IA si possono canalizzare nell’ambito dei doveri dell’imprenditore di corretta gestione, e quindi anche di corretta organizzazione, imprenditoriale; (iii) va tenuta in considerazione l’evoluzione della normativa in fieri in tema di responsabilità civile connessa all’impiego dell’IA nonché delle linee guida etiche per un’IA affidabile (infra, § 8.1.) e del rilievo attribuito al rischio e all’organizzazione necessaria per gestirlo, nel rispetto dei diritti fondamentali [[3]]. Riguardo a tale ultimo profilo, sia lo Schema di proposta di regolamento in tema di responsabilità civile per l’impiego di sistemi di IA, predisposto dal Parlamento europeo nel 2020, sia la Proposta di regolamento in tema di IA (c.d. Artificial Intelligence Act) del 2021, delineano una responsabilità connessa all’immissione nel mercato di un rischio relativo al cattivo funzionamento dei sistemi di IA [[4]]. In particolare, lo Schema prevede una responsabilità oggettiva per i danni cagionati da sistemi di IA “ad alto rischio” (art. 4) e una responsabilità per colpa, aggravata dall’inversione dell’onere probatorio a carico dell’operatore, per i sistemi di IA “non ad alto rischio” (art. 8). Con precipuo riferimento alle società di capitali, e in particolare alle società per azioni, l’imprenditore è poi la stessa società, a cui l’ordinamento giuridico attribuisce personalità giuridica e soggettività, mentre gli amministratori – a cui [continua ..]
Come osservato in dottrina, la riforma del diritto societario del 2003 ha ben marcato una distinzione tra competenze gestorie (o esecutive) in senso stretto (management) e poteri-doveri di informazione e controllo (monitoring) degli amministratori [[14]]. Al riguardo, autorevole dottrina osserva che, quanto meno per le funzioni degli amministratori delle società azionarie di maggiori dimensioni, la «gestione dell’impresa» non va intesa come conduzione puntuale e diffusa delle operazioni e degli affari societari, bensì afferisce all’organizzazione, alla supervisione e all’indirizzo dell’impresa societaria. In buona sostanza, sussiste una stretta inerenza dei controlli all’esercizio dell’impresa, soprattutto sotto il profilo organizzativo [[15]]. Segnatamente, e sinteticamente, i doveri gestori in senso stretto attengono alle “scelte d’impresa”, che possono essere sia di tipo operativo e programmatico (piani industriali, economici, finanziari ovvero operazioni strategiche ecc.) sia di tipo organizzativo (predisposizione di assetti organizzativi, amministrativi e contabili), potendosi parlare allora anche di scelte dell’organizzazione e scelte di organizzazione [[16]]. I doveri di controllo, quale momento interno subordinato e coessenziale all’attività gestoria, invece, attengono soprattutto al rapporto tra gli amministratori forniti di deleghe e gli amministratori che ne sono sprovvisti (rapporti intraorganici) e ai rapporti tra i diversi organi sociali, fra cui soprattutto l’organo gestorio e il collegio sindacale (rapporti interorganici) [[17]], nonché ai rapporti tra gli amministratori e i dirigenti apicali e, a cascata, con i dipendenti e collaboratori aziendali. Si osserverà appresso che tutti gli accennati doveri si pongono all’interno di un delicato sistema di equilibri tra correlati e proporzionati poteri e responsabilità [[18]]. Con una certa approssimazione dettata da esigenze di sintesi e di semplificazione del discorso, nel prosieguo si analizzeranno i doveri gestori in senso stretto con riferimento indistinto agli amministratori delegati e al consiglio di amministrazione nel suo plenum. Riguardo ai doveri di controllo, si cercherà di analizzare più nel dettaglio le posizioni delle varie categorie di amministratori (delegati, non esecutivi, indipendenti, di [continua ..]
Riguardo alle informazioni acquisibili mediante sistemi di IA (incluse quelle derivanti da previsioni o proiezioni operate da tali sistemi), in merito alle “scelte d’impresa” sussiste nell’ordinamento giuridico italiano, così come in tutti i più evoluti ordinamenti, il principio che pone al riparo gli amministratori di una s.p.a. da responsabilità per le conseguenze negative di una decisione imprenditoriale rilevatasi nel merito perdente [business judgment rule (BJR)]. Il tema è ben noto e qui vale la pena di approfondirlo solamente in relazione a taluni profili applicativi legati all’impiego di tecnologie innovative, presupponendo l’assenza di conflitti d’interessi. La finalità sottesa alla BJR è di evitare la traslazione del rischio d’impresa dagli azionisti agli amministratori (con l’aggravio della responsabilità illimitata per mala gestio di questi ultimi) e quindi di non tarpare la propensione al rischio [razionale (o quanto meno ragionevole) e nel rispetto dei canoni di diligenza] dell’attività gestoria da questi ultimi posta in essere, sanzionandoli mediante hindsight bias. In Italia la BJR è di derivazione giurisprudenziale e la giurisprudenza ne individua i limiti nell’adozione, da parte degli amministratori, di tutte le cautele che devono precedere una scelta d’impresa, quali ad esempio la predisposizione di perizie, di due diligence, la previsione di clausole contrattuali di salvaguardia nonché la predisposizione di una pianificazione economico-finanziaria [[19]]. E certamente tra le attività degli amministratori che precedono una decisione imprenditoriale rientra il “dovere di agire informato” di cui all’art. 2381 c.c. Al riguardo, come osservato in dottrina, tale dovere si incentra non tanto sull’esigenza che l’informazione alla base della decisione sia oggettivamente adeguata, quanto piuttosto (i) sull’adeguatezza delle tecniche mediante cui si acquisisce l’informazione nonché (ii) sulla ragionevolezza della decisione di affidarsi a tali tecniche [[20]]. È questa una prospettiva d’indagine di ordine procedimentale, strettamente affine alla medesima prospettiva attraverso cui gli amministratori – anche in sede di adozione di una decisione imprenditoriale – debbono individuare, selezionare e perseguire [continua ..]
Gli artt. 2381, 2403 e 2497 (ed ora anche l’art. 2086, 2° comma) c.c. elevano i principi di corretta amministrazione e di corretta gestione imprenditoriale a «clausola generale» di comportamento degli amministratori. Si è osservato che ciò consente di intervenire anche laddove il diritto scritto venga formalmente rispettato [[26]]. Ne consegue che acquistano rilievo normativo le regole tecniche e quelle elaborate dalla prassi e dalle scienze aziendali, pure sotto il profilo della razionalità economica, in tema di assetti adeguati e controlli interni [[27]]. Pertanto, il paradigma degli assetti organizzativi adeguati diviene il criterio imprescindibile di organizzazione interna dell’impresa societaria e profilo per la valutazione della responsabilità degli amministratori (oltre che degli uffici deputati al controllo). In quest’ambito, lo “snodo cruciale” dell’articolazione del potere di impresa e delle regole di responsabilità è costituito dal sistema di controllo interno, sistema curato dagli amministratori delegati, valutato dagli amministratori deleganti e vigilato dal collegio sindacale (cfr. artt. 2381 e 2403 c.c.) [[28]]. In un’ottica di controllo ex ante sulle scelte di gestione, sull’attività gestoria nonché di “dovere di agire informato”, il controllo di correttezza gestionale e adeguatezza amministrativa deve essere inteso come adozione programmatica delle procedure informative e istruttorie tipiche della specifica categoria di scelte gestorie e delle connesse operazioni [[29]]. Al riguardo, accreditata dottrina osserva che il controllo e la gestione del rischio assumono un ruolo centrale nel sistema di corporate governance e che da tempo le scienze aziendalistiche hanno individuato nel risk management l’asse portante del controllo sulla correttezza della gestione [[30]]. In tale contesto, la valutazione sull’adeguatezza delle tecniche di acquisizione delle informazioni (ossia la seconda fase del procedimento descritto supra, al § 3) richiede non tanto il necessario impiego delle migliori soluzioni né una completezza dei dati, quanto piuttosto un ragionevole bilanciamento dei costi e benefici delle tecniche selezionate [[31]]. Il discorso allora appare sin d’ora coerente con quanto si è detto in premessa in tema di responsabilità da [continua ..]
L’innesto motivato di tecniche innovative, quali possono essere i sistemi di IA, nell’ambito di questi procedimenti, qualora finalizzato a perseguire l’efficienza della gestione imprenditoriale, è suscettibile pertanto di essere valutato conforme al canone di rischio che la BJR vuole proteggere e sicuramente non tarpare. Ciò soprattutto qualora l’IA venga promossa da amministratori qualificati «dalle loro specifiche competenze», adeguate e conformi alla «natura dell’incarico» (art. 2392, 1° comma, c.c.) [[32]] e vengano impiegati per un’impresa che opera in un settore merceologico in cui la tecnologia digitale giochi già un ruolo importante ovvero per “scelte d’impresa” di un certo rilievo [[33]]. Si tornerà in seguito sul rilievo delle competenze degli amministratori, qualora siano privi di deleghe (ultra, § 7). Qui giova osservare che per imprese societarie come quelle testé descritte diviene sempre più arduo immaginare che un amministratore delegato non disponga direttamente o indirettamente di competenze tecniche specifiche che lo rendano in grado di selezionare e comprendere gli ingranaggi e il funzionamento di sistemi di IA [[34]]. In tal senso e in linea di principio, la competenza degli amministratori delegati implica la capacità di “leggere” gli algoritmi. Ciò, ad un primo sguardo, sembrerebbe imporre l’adozione di sistemi di IA dotati di una certa trasparenza, al fine di permettere la comprensione ex ante dei dati che hanno alimentato l’algoritmo ed ex post del funzionamento dello stesso [[35]]. Al riguardo, si è osservato in dottrina che gli amministratori devono essere in grado di comprendere le linee guida tecniche in base a cui sono programmati e funzionano, anche in concreto, i sistemi di IA utilizzati; quali siano i requisiti di sicurezza e di verificabilità nel tempo dell’IA, gli obblighi e le responsabilità dei produttori nonché le eventuali tutele assicurative, e l’osservanza delle regole in tema di privacy e della trasparenza [[36]]. In particolare, è opportuno che gli amministratori ricostruiscano attentamente, anche mediante adeguata contrattazione, le responsabilità di ciascuna componente della catena di valore del sistema di IA, ponendo attenzione ai profili di accountability. A tal [continua ..]
Se l’impiego dell’IA può rientrare fra le cautele, di ordine informativo, che gli amministratori adottano ex ante per non assumersi il rischio d’impresa [[42]], occorre nondimeno domandarsi quid iuris nel caso opposto, in cui gli amministratori abbiano omesso di prendere in considerazione sistemi di IA che si sarebbero potuti rivelare determinanti per non assumere una decisione imprenditoriale rivelatasi poi perdente. La questione è complessa e può tradursi nel senso di come riesca il diritto societario ad adattarsi, rectius ad “aggrapparsi”, al progresso tecnologico.
Si è osservato che i principi di corretta amministrazione e di corretta gestione imprenditoriale attribuiscono rilievo normativo alle regole tecniche e a quelle elaborate dalla prassi e dalle scienze aziendali (supra, § 3.1). Ciò sta a significare, quanto meno in linea di massima, che sono al riparo da responsabilità decisioni gestorie e organizzative degli amministratori conformi a prassi e regole rinvenibili, ad esempio, nei principi contabili e/o di revisione, nelle norme di comportamento del collegio sindacale così come nelle linee guida elaborate da autorità di vigilanza o che comunque operino nell’interesse pubblico e di riconosciuta competenza ovvero da associazioni di categoria. Tuttavia, salvo eccezioni, l’innovatività e i costi ancora elevati dell’IA non consentono ad oggi di annoverare pacificamente tale tecnica informativa in quegli ambiti [[43]]. Ne consegue che non viene meno la BJR né si possono ritenere inadeguati gli assetti societari per il solo fatto che gli amministratori non abbiano preso in considerazione sistemi di IA nei procedimenti informativi adottati da una società [[44]]. In tali ipotesi, pertanto, non potrebbe essere addebitata alcuna responsabilità agli amministratori.
Il discorso potrebbe mutare qualora si avveri la previsione secondo cui l’utilizzo dell’IA esploderà nei prossimi anni, divenendo uno strumento imprescindibile almeno in alcuni settori imprenditoriali [[45]]. E questo è proprio un punto di passaggio cruciale fra progresso tecnologico ed evoluzione dell’ordinamento giuridico in materia di diritto societario. Si crede che la relativa valvola di collegamento si rinvenga proprio nei principi di corretta amministrazione e di corretta gestione imprenditoriale, laddove la correttezza si ascriva (tra l’altro) alle norme tecniche e alle prassi condivise, insieme ai criteri di razionalità economico-aziendale. Si immagini, ad esempio, che le norme di comportamento del collegio sindacale, le linee guida redatte da fonti autorevoli e competenti o altra sorta di best practice o regolamenti tecnici raccomandino l’impiego dell’IA, almeno in determinati contesti. In tal caso, non può escludersi che il mancato utilizzo di tale tecnologia possa essere valutato quale circostanza fattuale per comprovare (se del caso, unitamente ad altre circostanze) il mancato rispetto, da parte degli amministratori, dei canoni di adeguatezza organizzativa e di corretta gestione imprenditoriale, specie riguardo al “dovere di agire informato”. È noto che il rispetto di prassi consolidate e linee guida non ha di per sé carattere obbligatorio, configurandosi piuttosto come sponda di riparo da eventuali responsabilità (supra, § 5.1). Nondimeno si crede che, soprattutto per decisioni imprenditoriali particolarmente delicate, la mancata adozione di tale sorta di soft law imponga una ragionevole motivazione, secondo la regola comply or explain [[46]]. Anche senza considerare azioni di responsabilità, potrebbero in ogni caso sussistere i presupposti per una giusta causa di revoca.
Nella prassi è fisiologico che gli amministratori attribuiscano “deleghe” funzionali (o “discendenti”) a soggetti esterni al board, tra cui dirigenti apicali dell’azienda o professionisti terzi. Ciò rientra nell’ambito dei doveri di corretta gestione imprenditoriale, con particolare riferimento all’adeguatezza degli assetti organizzativi, amministrativi e (se del caso) contabili dell’impresa societaria. Al riguardo, in mancanza di una normativa specifica ad hoc, in letteratura si è ritenuto possibile operare un’interpretazione teleologica – nel senso di conformità ai doveri di cui sopra, previsti dalla disciplina codicistica del diritto societario – per le ipotesi in cui tali “deleghe” [da considerarsi distinte dalle deleghe in senso tecnico di cui all’art. 2381 c.c., che presumono la qualifica di amministratore del delegato (infra, § 7)] vengano attribuite a sistemi di IA [[47]]. Con riferimento al mandato generale, in dottrina si osserva come gli amministratori non possano “abdicare” alle proprie competenze ma debbano mantenere quanto meno un nucleo di compiti essenziali e fondamentali [[48]]. Un limite implicito in tal senso si ricava dall’art. 2380-bis c.c., laddove attribuisce la «gestione» dell’impresa «esclusivamente» agli amministratori [[49]]. Al riguardo, si è fatto precedentemente riferimento all’autorevole orientamento dottrinale che sintetizza la «gestione dell’impresa» da parte degli amministratori come organizzazione, supervisione e indirizzo dell’impresa societaria (supra, § 2) [[50]]. In tal senso, un mandato generico senza limiti comporterebbe una traslazione di funzioni incompatibile col principio di cui all’art. 2380-bis c.c. Al contrario, deve rimanere ferma la competenza degli amministratori in materia di programmazione, conduzione operativa e supervisione [[51]]. E soprattutto i poteri di controllo e di intervento sul mandatario devono essere conservati in capo all’ufficio amministrativo: in particolare tali poteri si devono manifestare (i) nell’informazione periodica o continua, oltre che puntuale, sull’attività svolta dal mandatario; (ii) nella predisposizione di un programma gestorio e nella relativa possibilità di dare indicazioni esecutive nonché [continua ..]
Il tema dei controlli interni consente di collegare il discorso sull’IA e la corporate governance alle problematiche giuridiche connesse ai doveri di informazione e controllo degli amministratori, doveri che possono essere declinati in maniera differente rispetto alle varie categorie di amministratori contemplate dal diritto societario [[58]]. Al riguardo, si è già avuto modo di fare riferimento al “dovere di agire informato” degli amministratori, inteso sia in termini di assetti societari adeguati con particolare riferimento ai sistemi di controllo interno e a procedure di gestione dei rischi, sia con riguardo al dovere dell’amministratore delegato di informare il consiglio ai sensi dell’art. 2381, 5° comma, c.c. (supra, §§ 3 ss.). È opportuno ora soffermarsi sul “dovere di agire informato” delle categorie di amministratori privi di deleghe, soprattutto nell’ambito del sistema di flussi informativi su cui si struttura il dialogo tra questi e l’amministratore delegato, in merito a “scelte d’impresa” fondate su informazioni (anche) provenienti dall’impiego di sistemi di IA. Orbene, come per gli amministratori esecutivi, così anche per le menzionate categorie di amministratori i doveri di informazione e controllo devono essere osservati nel rispetto dell’obbligo di diligenza previsto dall’art. 2392 c.c. Occorre, pertanto, calibrare i rispettivi doveri a seconda della «natura dell’incarico» nonché delle «specifiche competenze» (supra, § 4). Il primo parametro di diligenza porta a differenziare il perimetro dei descritti doveri, a seconda che gli amministratori siano non esecutivi, di minoranza ovvero indipendenti. Si tornerà nel prosieguo su tali distinzioni, allorché si esamineranno gli scenari del secondo e del terzo livello di difficoltà di analisi (infra, §§ 9 e 10). Riguardo alle «specifiche competenze», assume rilievo centrale, per l’oggetto di questa indagine, se gli amministratori siano esperti di sistemi di IA, essendo stati selezionati per le correlative competenze tecniche, o siano quanto meno tech-friendly. Ovviamente non occorre che tutti gli amministratori siano competenti in tema di IA. Per definire meglio il perimetro dei distinti doveri di diligenza ai sensi dell’art. 2392 c.c., va tenuto in considerazione [continua ..]
Va allora effettuato un primo upgrade di complessità del discorso, esaminando i poteri-doveri degli amministratori e la peculiare controversa tematica della responsabilità per i danni prodotti dall’IA, soprattutto laddove sistemi di machine learning determinino conseguenze non prevedibili né evitabili da parte del produttore/programmatore, o dell’utilizzatore, ovvero comunque laddove algoritmi cc.dd. black box siano talmente complessi e opachi da rendere poco agevole se non addirittura impossibile la comprensione della logica che conduce a un determinato output. Si presenta allora l’interrogativo su come possano gli amministratori osservare il “dovere di agire informato” e, correlativamente, su come possa essere allocata la loro responsabilità per eventuali danni prodotti da un cattivo funzionamento di tali sistemi di IA. Il problema si pone anche in merito alla concreta possibilità di esprimere e motivare un eventuale dissenso – anch’esso informato – di uno o più componenti del board, rispetto all’output del sistema di IA.
Si è accennato in apertura al rischio di appiattimento sugli output degli algoritmi. Alla luce di quanto sopra esposto, va accolta con favore la conferma della Commissione europea verso il sostegno a un approccio antropocentrico nei confronti dell’IA. Al riguardo, detta istituzione ha precisato che la fiducia verso l’IA costituisce una condizione indispensabile: in particolare «l’intelligenza artificiale non è fine a se stessa, ma è uno strumento a servizio delle persone che ha come fine ultimo quello di migliorare il benessere degli esseri umani» [[75]]. Entrano allora in correlazione la dignità umana, intesa anche come autodeterminazione dell’individuo, e l’IA strumentale e quindi antropocentrica [[76]]. La questione sconfina nell’etica e proprio le recenti Ethic Guidelines for Trustworthy AI pubblicate dall’Independent High-Level Expert Group on Artificial Intelligence (HLEG) forniscono preziosi spunti per una corretta soluzione dei problemi enunciati [[77]]. Segnatamente le menzionate linee guida declinano i requisiti del rispetto dell’autonomia umana; della fairness; dell’explicability; dell’intervento e della sorveglianza umani; della robustezza; della riservatezza e della governance dei dati; della diversità, non discriminazione ed equità; del benessere sociale e ambientale. Per ciò che qui interessa, riguardo al primo requisito, secondo l’HLEG i sistemi di IA non dovrebbero subordinare, forzare, sviare, manipolare, condizionare gli esseri umani in maniera ingiustificabile. Al contrario tali sistemi dovrebbero aumentare, completare e rafforzare le capacità cognitive, sociali e culturali degli esseri umani [[78]]. Il requisito della fairness (tradotto con l’espressione «equità»), (i) nell’accezione sostanziale si esplica nell’impegno a garantire una distribuzione giusta ed equa di costi e di benefici, in ossequio al principio di proporzionalità, nonché a garantire che sia gli individui sia i gruppi non patiscano distorsioni inique, discriminazioni e stigmatizzazioni; (ii) nella sua versione procedurale, attiene alla capacità di contestare, di cercare una soluzione effettiva contro, gli output prodotti da sistemi di IA: a tal fine, il relativo processo decisionale dovrebbe essere esplicabile. Il contesto di riferimento della [continua ..]
Si è fatto cenno in apertura alla Proposta di regolamento predisposta dalla Commissione europea, c.d. Artificial Intelligence Act (AIA), che però pone alcune problematiche di coordinamento con il diritto societario. Il tema non può essere qui approfondito, ma va segnalato, in primo luogo, il criterio non chiaro e piuttosto rigido con cui l’AIA distingue sistemi di IA “ad alto rischio” da sistemi di IA “non ad alto rischio” [[86]]. In secondo luogo, e soprattutto per ciò che qui interessa, l’AIA prevede una serie obblighi di compliance – oltre ai menzionati studi di impatto dei rischi e documentazione di come detti rischi siano minimizzati – a carico degli operatori che impiegano sistemi di IA “ad alto rischio”, chiaramente ispirati alle linee guida etiche. Nondimeno, detti obblighi di compliance non sono previsti per gli operatori che impiegano sistemi di IA “non ad alto rischio” (l’AIA demanda in tal caso all’adozione volontaria di codici di autodisciplina). Manca, inoltre, qualsiasi riferimento al regime di responsabilità civile [[87]]. Da tutto ciò consegue un evidente scollamento tra lo Schema di proposta del Parlamento del 2020 e la Proposta dell’AIA della Commissione: non è facilmente riscontrabile la compatibilità tra un regime di responsabilità oggettiva (supra, § 1) e la previsione dei menzionati obblighi di compliance, per quanto concerne l’impiego di sistemi di IA “ad alto rischio”. D’altro canto, l’impiego dei sistemi di IA “non ad alto rischio” parrebbe soggetto a un rischio di deregulation eccessivo. In particolare, è difficile immaginare un raccordo tra i descritti doveri degli amministratori nell’impiego dei sistemi di IA con la più permissiva regolamentazione dell’AIA per i sistemi di IA “non ad alto rischio” ma comunque impiegati per decisioni imprenditoriali delicate. Si rafforza allora la sensazione che lo stesso diritto societario non si ponga in posizione di neutralità tecnologica (supra, § 7), e ciò a fortiori rispetto a tale Proposta, che si crede dovrà essere significativamente rivista nella sua stessa struttura.
Preziose indicazioni di ordine normativo si rinvengono nel GDPR, con particolare riferimento alla profilazione dei dati nonché soprattutto al processo decisionale automatizzato [[88]]. Come noto, l’art. 22 GDPR statuisce il divieto di sottoporre l’interessato a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, qualora ciò produca effetti giuridici sull’interessato o qualora tale decisione incida in modo analogo significativamente sulla sua persona. La medesima disposizione prevede altresì eccezioni a tale regola. Per legittimare alcune di queste eccezioni il GDPR richiede che «il titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione» (para. 3). Già in tale disposizione normativa si trovano elementi in qualche modo comparabili con quelli menzionati nelle linee guida etiche. È il caso de «i diritti, le libertà (…) dell’interessato» che certamente includono i «diritti fondamentali» menzionati dall’HLEG, oltre che della possibilità – elevata a diritto – di dialogare con e soprattutto di contestare la decisione. Al riguardo il GDPR introduce l’importante «diritto di ottenere l’intervento umano» da parte del titolare del trattamento [[89]]. E le Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679, elaborate dal Comitato europeo per la protezione dei dati nella versione adottata ed emendata il 6 febbraio 2018, attribuiscono significativo rilievo proprio a tale punto. Al riguardo, l’espressa menzione ad opera di tali linee guida del diritto a una spiegazione ex post della decisione, secondo il «considerando» n. 71 del GDPR, chiarisce, superandoli, i dubbi interpretativi sollevati da una parte della dottrina, in merito alla non menzione di tale diritto nel dettato normativo dell’art. 22 GDPR. Secondo detta parte della dottrina, sulla base del principio in claris non fit interpretatio, il diritto positivo non contemplerebbe il diritto di spiegazione ex post. In sostanza il titolare del trattamento avrebbe un [continua ..]
Elevando ancora l’asticella di complessità del discorso, l’impiego di un sistema di IA quale sostituto di un “normale” membro di un consiglio di amministrazione è meno fantascientifico di quanto si possa pensare, seppure ad oggi si è risolto sostanzialmente in trovate pubblicitarie [[101]]. Un sistema di IA potrebbe allora entrare a far parte di un collegio. Qui la problematica involve anche la necessaria soggettività giuridica che dovrebbe avere l’algoritmo per assumere la carica di amministratore, anche solo considerando i profili di delega e rappresentanza [[102]]. Il tema non concerne tanto le deleghe funzionali o “discendenti” (supra, § 6), quanto piuttosto le deleghe in senso tecnico (o “ascendenti”), che l’art. 2381 c.c. consente di attribuire ai soli soggetti che abbiano la qualifica di amministratore [[103]]. In un simile contesto parrebbe ancora più a rischio la protezione della BJR soprattutto per gli amministratori che volessero dissentire dalla “decisione” assunta dall’IA. Si è criticata in altra sede la Risoluzione del Parlamento europeo del 2017 che ha ipotizzato di istituire normativamente una “personalità elettronica” («electronic person») da attribuire all’IA – rispetto alla quale lo stesso Parlamento ha fatto retromarcia – e si crede che la prospettiva “a soggetto” sia la meno adatta per affrontare le tematiche descritte [[104]]. Ma anche volendo immaginare a livello ipotetico una simile soluzione e comunque operando un parallelismo con la personalità giuridica, la dottrina che ha studiato il tema e la prassi notarile segnalano la necessità di designare un rappresentante-persona fisica, con le medesime responsabilità, anche penali, degli amministratori-persone fisiche, per legittimare la nomina di un amministratore-persona giuridica di una società di capitali, in applicazione analogica della disciplina del GEIE e della SE [[105]]. Tale ragionamento varrebbe a fortiori nel caso in cui si volesse nominare amministratore una “persona elettronica” [[106]]. Anche in molti importanti ordinamenti giuridici si incontrano limiti comparabili a quelli dell’ordinamento italiano [[107]]. Non mancano tuttavia eccezioni che rischiano di innescare una regulatory competition in [continua ..]
Il terzo livello di difficoltà implica la sostituzione di un intero consiglio di amministrazione, o comunque dell’organo gestorio di una società, con un sistema di IA (c.d. robo-board). Questa soluzione richiede in linea di principio un grado di evoluzione dell’IA ad oggi ancora non raggiunto. Ciò nondimeno, pochi anni orsono venne effettuato un tentativo di disintermediazione avveniristico, un progetto denominato “The DAO” (decentralised autonomous organisation): si trattava di un’organizzazione che operava tramite smart contracts e le cui transazioni e regole di funzionamento erano codificate nell’am-bito di una rete blockchain. Il DAO era una sorta di venture capital che intendeva operare tramite criptomonete e i cui investimenti e finanziamenti erano decisi tramite una piattaforma, su cui i partecipanti condividevano ovvero finanziavano diversi progetti [[114]]. Si è osservato nel precedente paragrafo che non può essere conferita una delega “ascendente” di funzioni gestorie a un sistema di IA: questa eventualità a fortiori non può verificarsi per un sistema di IA sostituto di un intero board, essendo tale sistema privo di soggettività [[115]]. A ciò va aggiunto che, la sostituzione totale degli amministratori con un sistema di IA è ostacolata dalla previsione di cui all’art. 2380-bis c.c., previsione rafforzata dalla recente riforma della crisi dell’impresa in relazione all’art. 2086, 2° comma, c.c. e all’espressa applicabilità di tale ultima disposizione a tutti i tipi di società ai sensi dell’art. 377 c.c.i. [[116]]. Si è rilevato in dottrina che probabilmente i primi tentativi di costituire un robo-board potrebbero concernere società controllate in maniera totalitaria nell’ambito di un gruppo di imprese, con oggetto sociale e core business limitati. Ad esempio, potrebbe trattarsi di robo-taxi o di special purpose vehicles in ambito finanziario o di cartolarizzazioni [[117]]. Pur ammettendo, senza concederlo, che si possa organizzare una controllata del genere, resterebbe ferma, se non addirittura aumentata, la responsabilità degli amministratori della società che ne esercita l’attività di direzione e coordinamento per i possibili danni cagionati dalla controllata e dal suo robo-board. Nonostante tutto, il tema [continua ..]
Iscrivendoti alla newsletter di Giappichelli non riceverai spam, ma bensì gli aggiornamenti sulle nuove uscite di tuo interesse, sconti e iniziative promozionali.
Copyright G. Giappichelli Editore - 2020
ISSN 1972-9243 - EISSN 2421-7166 Rivista di Diritto Societario (Online)
Iscrizione al R.O.C. n. 25223
Per informazioni: ufficioabbonamenti@giappichelli.it
