Sommario:

1. Premessa. IA nel prisma dell’impresa societaria: impostazione e problemi - 2. L’impiego dell’IA e i riflessi sulle diverse declinazioni dei doveri degli amministratori di s.p.a. - 3. Possibili implicazioni in tema di business judgment rule - 3.1. … e in tema di correttezza gestoria e assetti adeguati - 4. Il primo livello di difficoltà: la protezione giuridica delle decisioni imprenditoriali fondate su sistemi di IA - 5. L’omesso impiego dell’IA. Evoluzione del diritto societario e progresso tecnologico - 5.1. La non censurabilità dell’omissione di valutare sistemi di IA ... oggi - 5.2. La possibile censurabilità dell’omissione di valutare sistemi di IA ... domani - 6. Il potere-dovere di “delegare” all’esterno funzioni connesse all’impiego di sistemi di IA - 7. I doveri di informazione e controllo degli amministratori non esecutivi rispetto all’impiego dell’IA - 8. Il c.d. black box algorithm - 8.1. Il rischio “etico” del dominio dell’IA sull’essere umano. L’approccio procedimentale delle linee guida etiche dell’HLEG - 8.2. La proposta di regolamento c.d. “AI Act” e il difficile rapporto con il diritto societario - 8.3. Un appiglio normativo dal GDPR - 9. Il secondo livello di difficoltà: IA quale membro di un consiglio di amministrazione - 10. Il terzo livello di difficoltà: IA quale sostituto di un intero consiglio di amministrazione - NOTE

1. Premessa. IA nel prisma dell’impresa societaria: impostazione e problemi

L’indagine parte da un assunto che, per esigenze di sintesi, si esporrà in termini assertivi e che riassume l’impostazione – peraltro non assiomatica – che si vuole adottare in questo scritto [[1]]. A tal proposito, (i) un sistema di intelligenza artificiale (IA) [[2]] è inteso come uno strumento a disposizione dell’uomo ma soprattutto, per ciò che qui interessa, come articolazione dell’organizzazione d’impresa o comunque come parte dell’at­tività il cui (specifico) rischio deve essere gestito nell’ambito dell’organizzazione imprenditoriale e in qualche modo garantito dal patrimonio dell’imprenditore (o comunque da un patrimonio destinato ad hoc); (ii) gli effetti giuridici dell’impiego nell’impresa di un sistema di IA si possono canalizzare nell’ambito dei doveri dell’imprenditore di corretta gestione, e quindi anche di corretta organizzazione, imprenditoriale; (iii) va tenuta in considerazione l’evoluzione della normativa in fieri in tema di responsabilità civile connessa all’impiego dell’IA nonché delle linee guida etiche per un’IA affidabile (infra, § 8.1.) e del rilievo attribuito al rischio e all’organizzazione necessaria per gestirlo, nel rispetto dei diritti fondamentali [[3]]. Riguardo a tale ultimo profilo, sia lo Schema di proposta di regolamento in tema di responsabilità [continua ..]

» Per l'intero contenuto effettuare il login inizio

2. L’impiego dell’IA e i riflessi sulle diverse declinazioni dei doveri degli amministratori di s.p.a.

Come osservato in dottrina, la riforma del diritto societario del 2003 ha ben marcato una distinzione tra competenze gestorie (o esecutive) in senso stretto (management) e poteri-doveri di informazione e controllo (monitoring) degli amministratori [[14]]. Al riguardo, autorevole dottrina osserva che, quanto meno per le funzioni degli amministratori delle società azionarie di maggiori dimensioni, la «gestione dell’impresa» non va intesa come conduzione puntuale e diffusa delle operazioni e degli affari societari, bensì afferisce all’organizzazione, alla supervisione e al­l’indirizzo dell’impresa societaria. In buona sostanza, sussiste una stretta inerenza dei controlli all’esercizio dell’impresa, soprattutto sotto il profilo organizzativo [[15]]. Segnatamente, e sinteticamente, i doveri gestori in senso stretto attengono alle “scelte d’impresa”, che possono essere sia di tipo operativo e programmatico (piani industriali, economici, finanziari ovvero operazioni strategiche ecc.) sia di tipo organizzativo (predisposizione di assetti organizzativi, amministrativi e contabili), potendosi parlare allora anche di scelte dell’organizzazione e scelte di organizzazione [[16]]. I doveri di controllo, quale momento interno subordinato e coessenziale all’at­tività gestoria, invece, attengono soprattutto al rapporto tra gli amministratori forniti di deleghe e gli [continua ..]

» Per l'intero contenuto effettuare il login inizio

3. Possibili implicazioni in tema di business judgment rule

Riguardo alle informazioni acquisibili mediante sistemi di IA (incluse quelle derivanti da previsioni o proiezioni operate da tali sistemi), in merito alle “scelte d’impresa” sussiste nell’ordinamento giuridico italiano, così come in tutti i più evoluti ordinamenti, il principio che pone al riparo gli amministratori di una s.p.a. da responsabilità per le conseguenze negative di una decisione imprenditoriale rilevatasi nel merito perdente [business judgment rule (BJR)]. Il tema è ben noto e qui vale la pena di approfondirlo solamente in relazione a taluni profili applicativi legati all’impiego di tecnologie innovative, presupponendo l’assenza di conflitti d’interessi. La finalità sottesa alla BJR è di evitare la traslazione del rischio d’impresa dagli azionisti agli amministratori (con l’aggravio della responsabilità illimitata per mala gestio di questi ultimi) e quindi di non tarpare la propensione al rischio [razionale (o quanto meno ragionevole) e nel rispetto dei canoni di diligenza] dell’attività gestoria da questi ultimi posta in essere, sanzionandoli mediante hindsight bias. In Italia la BJR è di derivazione giurisprudenziale e la giurisprudenza ne individua i limiti nell’adozione, da parte degli amministratori, di tutte le cautele che devono precedere una scelta d’impresa, quali ad esempio la predisposizione di perizie, di due [continua ..]

» Per l'intero contenuto effettuare il login inizio

3.1. … e in tema di correttezza gestoria e assetti adeguati

Gli artt. 2381, 2403 e 2497 (ed ora anche l’art. 2086, 2° comma) c.c. elevano i principi di corretta amministrazione e di corretta gestione imprenditoriale a «clausola generale» di comportamento degli amministratori. Si è osservato che ciò consente di intervenire anche laddove il diritto scritto venga formalmente rispettato [[26]]. Ne consegue che acquistano rilievo normativo le regole tecniche e quelle elaborate dalla prassi e dalle scienze aziendali, pure sotto il profilo della razionalità economica, in tema di assetti adeguati e controlli interni [[27]]. Pertanto, il paradigma degli assetti organizzativi adeguati diviene il criterio imprescindibile di organizzazione interna dell’impresa societaria e profilo per la valutazione della responsabilità degli amministratori (oltre che degli uffici deputati al controllo). In quest’ambito, lo “snodo cruciale” dell’articolazione del potere di impresa e delle regole di responsabilità è costituito dal sistema di controllo interno, sistema curato dagli amministratori delegati, valutato dagli amministratori deleganti e vigilato dal collegio sindacale (cfr. artt. 2381 e 2403 c.c.) [[28]]. In un’ottica di controllo ex ante sulle scelte di gestione, sull’attività gestoria nonché di “dovere di agire informato”, il controllo di correttezza gestionale e adeguatezza amministrativa deve essere [continua ..]

» Per l'intero contenuto effettuare il login inizio

4. Il primo livello di difficoltà: la protezione giuridica delle decisioni imprenditoriali fondate su sistemi di IA

L’innesto motivato di tecniche innovative, quali possono essere i sistemi di IA, nell’ambito di questi procedimenti, qualora finalizzato a perseguire l’efficienza della gestione imprenditoriale, è suscettibile pertanto di essere valutato conforme al canone di rischio che la BJR vuole proteggere e sicuramente non tarpare. Ciò soprattutto qualora l’IA venga promossa da amministratori qualificati «dalle loro specifiche competenze», adeguate e conformi alla «natura dell’incarico» (art. 2392, 1° comma, c.c.) [[32]] e vengano impiegati per un’impresa che opera in un settore merceologico in cui la tecnologia digitale giochi già un ruolo importante ovvero per “scelte d’impresa” di un certo rilievo [[33]]. Si tornerà in seguito sul rilievo delle competenze degli amministratori, qualora siano privi di deleghe (ultra, § 7). Qui giova osservare che per imprese societarie come quelle testé descritte diviene sempre più arduo immaginare che un amministratore delegato non disponga direttamente o indirettamente di competenze tecniche specifiche che lo rendano in grado di selezionare e comprendere gli ingranaggi e il funzionamento di sistemi di IA [[34]]. In tal senso e in linea di principio, la competenza degli amministratori delegati implica la capacità di “leggere” gli algoritmi. Ciò, ad un primo sguardo, sembrerebbe [continua ..]

» Per l'intero contenuto effettuare il login inizio

5. L’omesso impiego dell’IA. Evoluzione del diritto societario e progresso tecnologico

Se l’impiego dell’IA può rientrare fra le cautele, di ordine informativo, che gli amministratori adottano ex ante per non assumersi il rischio d’impresa [[42]], occorre nondimeno domandarsi quid iuris nel caso opposto, in cui gli amministratori abbiano omesso di prendere in considerazione sistemi di IA che si sarebbero potuti rivelare determinanti per non assumere una decisione imprenditoriale rivelatasi poi perdente. La questione è complessa e può tradursi nel senso di come riesca il diritto societario ad adattarsi, rectius ad “aggrapparsi”, al progresso tecnologico.

» Per l'intero contenuto effettuare il login inizio

5.1. La non censurabilità dell’omissione di valutare sistemi di IA ... oggi

Si è osservato che i principi di corretta amministrazione e di corretta gestione imprenditoriale attribuiscono rilievo normativo alle regole tecniche e a quelle elaborate dalla prassi e dalle scienze aziendali (supra, § 3.1). Ciò sta a significare, quanto meno in linea di massima, che sono al riparo da responsabilità decisioni gestorie e organizzative degli amministratori conformi a prassi e regole rinvenibili, ad esempio, nei principi contabili e/o di revisione, nelle norme di comportamento del collegio sindacale così come nelle linee guida elaborate da autorità di vigilanza o che comunque operino nell’interesse pubblico e di riconosciuta competenza ovvero da associazioni di categoria. Tuttavia, salvo eccezioni, l’innovatività e i costi ancora elevati dell’IA non consentono ad oggi di annoverare pacificamente tale tecnica informativa in quegli ambiti [[43]]. Ne consegue che non viene meno la BJR né si possono ritenere inadeguati gli assetti societari per il solo fatto che gli amministratori non abbiano preso in considerazione sistemi di IA nei procedimenti informativi adottati da una società [[44]]. In tali ipotesi, pertanto, non potrebbe essere addebitata alcuna responsabilità agli amministratori.

» Per l'intero contenuto effettuare il login inizio

5.2. La possibile censurabilità dell’omissione di valutare sistemi di IA ... domani

Il discorso potrebbe mutare qualora si avveri la previsione secondo cui l’utilizzo dell’IA esploderà nei prossimi anni, divenendo uno strumento imprescindibile almeno in alcuni settori imprenditoriali [[45]]. E questo è proprio un punto di passaggio cruciale fra progresso tecnologico ed evoluzione dell’ordinamento giuridico in materia di diritto societario. Si crede che la relativa valvola di collegamento si rinvenga proprio nei principi di corretta amministrazione e di corretta gestione imprenditoriale, laddove la correttezza si ascriva (tra l’altro) alle norme tecniche e alle prassi condivise, insieme ai criteri di razionalità economico-aziendale. Si immagini, ad esempio, che le norme di comportamento del collegio sindacale, le linee guida redatte da fonti autorevoli e competenti o altra sorta di best practice o regolamenti tecnici raccomandino l’impiego dell’IA, almeno in determinati contesti. In tal caso, non può escludersi che il mancato utilizzo di tale tecnologia possa essere valutato quale circostanza fattuale per comprovare (se del caso, unitamente ad altre circostanze) il mancato rispetto, da parte degli amministratori, dei canoni di adeguatezza organizzativa e di corretta gestione imprenditoriale, specie riguardo al “dovere di agire informato”. È noto che il rispetto di prassi consolidate e linee guida non ha di per sé carattere obbligatorio, configurandosi piuttosto [continua ..]

» Per l'intero contenuto effettuare il login inizio

6. Il potere-dovere di “delegare” all’esterno funzioni connesse all’impiego di sistemi di IA

Nella prassi è fisiologico che gli amministratori attribuiscano “deleghe” funzionali (o “discendenti”) a soggetti esterni al board, tra cui dirigenti apicali dell’a­zienda o professionisti terzi. Ciò rientra nell’ambito dei doveri di corretta gestione imprenditoriale, con particolare riferimento all’adeguatezza degli assetti organizzativi, amministrativi e (se del caso) contabili dell’impresa societaria. Al riguardo, in mancanza di una normativa specifica ad hoc, in letteratura si è ritenuto possibile operare un’interpretazione teleologica – nel senso di conformità ai doveri di cui sopra, previsti dalla disciplina codicistica del diritto societario – per le ipotesi in cui tali “deleghe” [da considerarsi distinte dalle deleghe in senso tecnico di cui all’art. 2381 c.c., che presumono la qualifica di amministratore del delegato (infra, § 7)] vengano attribuite a sistemi di IA [[47]]. Con riferimento al mandato generale, in dottrina si osserva come gli amministratori non possano “abdicare” alle proprie competenze ma debbano mantenere quanto meno un nucleo di compiti essenziali e fondamentali [[48]]. Un limite implicito in tal senso si ricava dall’art. 2380-bis c.c., laddove attribuisce la «gestione» dell’impresa «esclusivamente» agli amministratori [[49]]. Al riguardo, si è fatto [continua ..]

» Per l'intero contenuto effettuare il login inizio

7. I doveri di informazione e controllo degli amministratori non esecutivi rispetto all’impiego dell’IA

Il tema dei controlli interni consente di collegare il discorso sull’IA e la corporate governance alle problematiche giuridiche connesse ai doveri di informazione e controllo degli amministratori, doveri che possono essere declinati in maniera differente rispetto alle varie categorie di amministratori contemplate dal diritto societario [[58]]. Al riguardo, si è già avuto modo di fare riferimento al “dovere di agire informato” degli amministratori, inteso sia in termini di assetti societari adeguati con particolare riferimento ai sistemi di controllo interno e a procedure di gestione dei rischi, sia con riguardo al dovere dell’amministratore delegato di informare il consiglio ai sensi dell’art. 2381, 5° comma, c.c. (supra, §§ 3 ss.). È opportuno ora soffermarsi sul “dovere di agire informato” delle categorie di amministratori privi di deleghe, soprattutto nell’ambito del sistema di flussi informativi su cui si struttura il dialogo tra questi e l’amministratore delegato, in merito a “scelte d’impresa” fondate su informazioni (anche) provenienti dall’impiego di sistemi di IA. Orbene, come per gli amministratori esecutivi, così anche per le menzionate categorie di amministratori i doveri di informazione e controllo devono essere osservati nel rispetto dell’obbligo di diligenza previsto dall’art. 2392 c.c. Occorre, pertanto, calibrare i [continua ..]

» Per l'intero contenuto effettuare il login inizio

8. Il c.d. black box algorithm

Va allora effettuato un primo upgrade di complessità del discorso, esaminando i poteri-doveri degli amministratori e la peculiare controversa tematica della responsabilità per i danni prodotti dall’IA, soprattutto laddove sistemi di machine learning determinino conseguenze non prevedibili né evitabili da parte del produttore/programmatore, o dell’utilizzatore, ovvero comunque laddove algoritmi cc.dd. black box siano talmente complessi e opachi da rendere poco agevole se non addirittura impossibile la comprensione della logica che conduce a un determinato output. Si presenta allora l’interrogativo su come possano gli amministratori osservare il “dovere di agire informato” e, correlativamente, su come possa essere allocata la loro responsabilità per eventuali danni prodotti da un cattivo funzionamento di tali sistemi di IA. Il problema si pone anche in merito alla concreta possibilità di esprimere e motivare un eventuale dissenso – anch’esso informato – di uno o più componenti del board, rispetto all’output del sistema di IA.

» Per l'intero contenuto effettuare il login inizio

8.1. Il rischio “etico” del dominio dell’IA sull’essere umano. L’approccio procedimentale delle linee guida etiche dell’HLEG

Si è accennato in apertura al rischio di appiattimento sugli output degli algoritmi. Alla luce di quanto sopra esposto, va accolta con favore la conferma della Commissione europea verso il sostegno a un approccio antropocentrico nei confronti dell’IA. Al riguardo, detta istituzione ha precisato che la fiducia verso l’IA costituisce una condizione indispensabile: in particolare «l’intelligenza artificiale non è fine a se stessa, ma è uno strumento a servizio delle persone che ha come fine ultimo quello di migliorare il benessere degli esseri umani» [[75]]. Entrano allora in correlazione la dignità umana, intesa anche come autodeterminazione dell’individuo, e l’IA strumentale e quindi antropocentrica [[76]]. La questione sconfina nell’etica e proprio le recenti Ethic Guidelines for Trustworthy AI pubblicate dall’Independent High-Level Expert Group on Artificial Intelligence (HLEG) forniscono preziosi spunti per una corretta soluzione dei problemi enunciati [[77]]. Segnatamente le menzionate linee guida declinano i requisiti del rispetto del­l’autonomia umana; della fairness; dell’explicability; dell’intervento e della sorveglianza umani; della robustezza; della riservatezza e della governance dei dati; della diversità, non discriminazione ed equità; del benessere sociale e ambientale. Per ciò che qui interessa, riguardo al primo [continua ..]

» Per l'intero contenuto effettuare il login inizio

8.2. La proposta di regolamento c.d. “AI Act” e il difficile rapporto con il diritto societario

Si è fatto cenno in apertura alla Proposta di regolamento predisposta dalla Commissione europea, c.d. Artificial Intelligence Act (AIA), che però pone alcune problematiche di coordinamento con il diritto societario. Il tema non può essere qui approfondito, ma va segnalato, in primo luogo, il criterio non chiaro e piuttosto rigido con cui l’AIA distingue sistemi di IA “ad alto rischio” da sistemi di IA “non ad alto rischio” [[86]]. In secondo luogo, e soprattutto per ciò che qui interessa, l’AIA prevede una serie obblighi di compliance – oltre ai menzionati studi di impatto dei rischi e documentazione di come detti rischi siano minimizzati – a carico degli operatori che impiegano sistemi di IA “ad alto rischio”, chiaramente ispirati alle linee guida etiche. Nondimeno, detti obblighi di compliance non sono previsti per gli operatori che impiegano sistemi di IA “non ad alto rischio” (l’AIA demanda in tal caso all’adozione volontaria di codici di autodisciplina). Manca, inoltre, qualsiasi riferimento al regime di responsabilità civile [[87]]. Da tutto ciò consegue un evidente scollamento tra lo Schema di proposta del Parlamento del 2020 e la Proposta dell’AIA della Commissione: non è facilmente riscontrabile la compatibilità tra un regime di responsabilità oggettiva (supra, § 1) e la previsione dei menzionati [continua ..]

» Per l'intero contenuto effettuare il login inizio

8.3. Un appiglio normativo dal GDPR

Preziose indicazioni di ordine normativo si rinvengono nel GDPR, con particolare riferimento alla profilazione dei dati nonché soprattutto al processo decisionale automatizzato [[88]]. Come noto, l’art. 22 GDPR statuisce il divieto di sottoporre l’interessato a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, qualora ciò produca effetti giuridici sull’interessato o qualora tale decisione incida in modo analogo significativamente sulla sua persona. La medesima disposizione prevede altresì eccezioni a tale regola. Per legittimare alcune di queste eccezioni il GDPR richiede che «il titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione» (para. 3). Già in tale disposizione normativa si trovano elementi in qualche modo comparabili con quelli menzionati nelle linee guida etiche. È il caso de «i diritti, le libertà (…) dell’interessato» che certamente includono i «diritti fondamentali» menzionati dall’HLEG, oltre che della possibilità – elevata a diritto – di dialogare con e soprattutto di contestare la decisione. Al riguardo il GDPR introduce l’importante [continua ..]

» Per l'intero contenuto effettuare il login inizio

9. Il secondo livello di difficoltà: IA quale membro di un consiglio di amministrazione

Elevando ancora l’asticella di complessità del discorso, l’impiego di un sistema di IA quale sostituto di un “normale” membro di un consiglio di amministrazione è meno fantascientifico di quanto si possa pensare, seppure ad oggi si è risolto sostanzialmente in trovate pubblicitarie [[101]]. Un sistema di IA potrebbe allora entrare a far parte di un collegio. Qui la problematica involve anche la necessaria soggettività giuridica che dovrebbe avere l’algoritmo per assumere la carica di amministratore, anche solo considerando i profili di delega e rappresentanza [[102]]. Il tema non concerne tanto le deleghe funzionali o “discendenti” (supra, § 6), quanto piuttosto le deleghe in senso tecnico (o “ascendenti”), che l’art. 2381 c.c. consente di attribuire ai soli soggetti che abbiano la qualifica di amministratore [[103]]. In un simile contesto parrebbe ancora più a rischio la protezione della BJR soprattutto per gli amministratori che volessero dissentire dalla “decisione” assunta dall’IA. Si è criticata in altra sede la Risoluzione del Parlamento europeo del 2017 che ha ipotizzato di istituire normativamente una “personalità elettronica” («electronic person») da attribuire all’IA – rispetto alla quale lo stesso Parlamento ha fatto retromarcia – e si crede che la prospettiva “a [continua ..]

» Per l'intero contenuto effettuare il login inizio

10. Il terzo livello di difficoltà: IA quale sostituto di un intero consiglio di amministrazione

Il terzo livello di difficoltà implica la sostituzione di un intero consiglio di amministrazione, o comunque dell’organo gestorio di una società, con un sistema di IA (c.d. robo-board). Questa soluzione richiede in linea di principio un grado di evoluzione dell’IA ad oggi ancora non raggiunto. Ciò nondimeno, pochi anni orsono venne effettuato un tentativo di disintermediazione avveniristico, un progetto denominato “The DAO” (decentralised autonomous organisation): si trattava di un’organizzazione che operava tramite smart contracts e le cui transazioni e regole di funzionamento erano codificate nell’am-bito di una rete blockchain. Il DAO era una sorta di venture capital che intendeva operare tramite criptomonete e i cui investimenti e finanziamenti erano decisi tramite una piattaforma, su cui i partecipanti condividevano ovvero finanziavano diversi progetti [[114]]. Si è osservato nel precedente paragrafo che non può essere conferita una delega “ascendente” di funzioni gestorie a un sistema di IA: questa eventualità a fortiori non può verificarsi per un sistema di IA sostituto di un intero board, essendo tale sistema privo di soggettività [[115]]. A ciò va aggiunto che, la sostituzione totale degli amministratori con un sistema di IA è ostacolata dalla previsione di cui all’art. 2380-bis c.c., previsione rafforzata dalla recente riforma [continua ..]

» Per l'intero contenuto effettuare il login inizio

NOTE

» Per l'intero contenuto effettuare il login inizio