La nuova frontiera della compliance aziendale.
L’irrompere delle nuove tecnologie, prima fra tutte l’intelligenza artificiale (o “Artificial Intelligence” – “AI”), ha in breve tempo trasformato la realtà che ci circonda, portando con sé nuove opportunità, ma anche e soprattutto nuove sfide.
Il tema si ripropone con vivacità anche nel mondo del diritto penale ed è di recente approdato nel campo della c.d. Criminal Compliance, portandola – per l’appunto – nella sua dimensione “digital”.
La sempre maggiore complessità del quadro normativo e regolamentare di riferimento nonché la circostanza che i rischi da fronteggiare, molto spesso, si avvalgono essi stessi della nuova “offerta” digitale, stanno infatti spingendo le imprese a dotarsi di appositi strumenti digitali allo scopo di rimanere compliant anche di fronte ad un simile scenario.
Una tale esigenza, dapprima avvertita unicamente in ambiti altamente regolamentati, quali il bancario ed il finanziario, è ora all’ordine del giorno dei “compliance team” aziendali nei settori più disparati, soprattutto nelle medio-grandi imprese.
Com’è facile intuire, l’utilizzo delle nuove tecnologie nel campo della compliance aziendale e, in particolare, nell’ambito della prevenzione del rischio di commissione di reati, costituisce una grande occasione per le imprese, ma altresì comporta una non ben definita serie di problematiche, rispetto alle quali non ci si potrà esimere dall’offrire soluzioni utili nel prossimo futuro.
Il presente articolo mira ad offrire, senza presunzione di esaustività, una panoramica dei benefici e dei rischi che la versione digital della compliance prospetta, con specifico riguardo a quella che da subito è stata denominata “Digital Criminal Compliance”.
I benefici.
È agevole intuire le ragioni dell’importanza che le nuove tecnologie (tra le quali, oltre all’AI e al c.d. Machine Learning, anche i sistemi di Blockchain e gli Smart Contracts) stanno assumendo per l’organizzazione e la gestione dei processi aziendali interni ed esterni da parte delle imprese ai fini della compliance normativa e, in particolar modo, in punto di prevenzione del rischio-reato.
Se infatti una buona compliance aziendale non può considerarsi tale senza un’adeguata gestione dei dati e dei flussi informativi e finanziari – in ciò trovando il modello preventivo idoneo ed efficace richiesto dalla “disciplina 231” la propria ragion d’essere – appare chiaro come le potenzialità della nuova “offerta” tecnologica possano rivelarsi a dir poco efficaci per il raggiungimento di tali scopi.
La capacità degli algoritmi e dei software di intelligenza artificiale di elaborare, analizzare e confrontare, in modo del tutto automatizzato ed in brevissimo tempo, una mole significativa di dati (c.d. Big Data), supera di gran lunga il livello di efficienza dei tradizionali modelli “analogici”, in quanto tali più inclini alla commissione di errori dovuti al fattore umano.
Dette capacità aprono il campo a forme di controllo prima impensabili, tanto in una logica ex ante quanto in una logica ex post.
Sotto il primo profilo, la transizione digitale della compliance potrebbe consentire, tra le altre cose, verifiche massive delle e-mail e, in generale, delle comunicazioni scambiate nel contesto aziendale; analisi di interi blocchi documentali; verifiche degli adempimenti e report in tempo reale al management e agli organi di controllo circa eventuali rischi e segnali d’allarme nelle operazioni societarie (c.d. red flags); nonché una meticolosa due diligence delle terze parti, eventualmente mediante l’analisi di fonti aperte di dati.
Risultato immediato di siffatte potenzialità non è altro che un significativo incremento della capacità preventiva dei modelli organizzativi, in tanto e in quanto si permette all’ente di intervenire in presenza di un semplice sospetto o di una anomalia, vale a dire in un momento di molto antecedente alla commissione dell’illecito, evitandolo; ciò che senz’altro segna una svolta significativa nel campo della gestione del rischio.
Ma quand’anche il reato non potesse essere prevenuto nemmeno mediante il ricorso a simili strumenti – e veniamo al secondo profilo di intervento – la digitalizzazione della compliance porterebbe comunque significativi vantaggi sul piano della ricostruzione del fatto criminoso, permettendo all’ente di ripercorrere le modalità di commissione del reato e di risalire al responsabile; e ciò grazie all’accurata registrazione (e dunque tracciabilità) delle operazioni intervenute ed alla garanzia dell’immodificabilità dei dati immessi nel sistema (rispetto alla quale, un ruolo fondamentale è sicuramente rivestito dai sistemi di blockchain).
Ma v’è di più, i ritrovati tecnologici potrebbero sensibilmente migliorare le stesse modalità di costruzione del modello organizzativo, sia con riguardo alla fase di risk assessment che rispetto alla fase di risk management, oltre a curarne in maniera di gran lunga più tempestiva ed efficiente l’aggiornamento.
Quanto al primo versante, va infatti segnalata la possibilità per l’ente che si sia dotato di simili strumenti digitali di servirsene già in sede di mappatura del rischio (ossia di individuazione delle attività nel cui ambito possono venirsi a verificare reati ai sensi dell’art. 6, comma 2, lett. a), d.lgs. n. 231/2001), attesa la maggiore capacità di dette tecnologie di analizzare il contesto aziendale sulla base dei dati raccolti, elaborandoli e confrontandoli tra loro in cerca di possibili anomalie. E ciò non soltanto fornendo una fotografia molto più accurata della specifica realtà d’impresa, ma altresì permettendo il necessario adattamento delle cautele apprestate alle singole peculiarità dell’ente.
Inoltre, le nuove tecnologie potrebbero risultare vantaggiose sul piano della definizione dei presidi, dal momento che – come già detto – assicurerebbero un controllo ed una prevenzione superiori a quelli tradizionali, potendo, da un lato, costituire strumento di monitoraggio in tempo reale dei processi di formazione e attuazione delle decisioni e, dall’altro, arrivare alla automatica procedimentalizzazione delle singole aree di attività, conformandole immediatamente ai dettati normativi in modo da limitare lo spazio d’azione degli individui.
Per quanto poi concerne la fase di aggiornamento del modello organizzativo, la transizione digitale dei sistemi di compliance consentirebbe di rilevare in real time i singoli mutamenti normativi o le modifiche del contesto aziendale, potendo addirittura spingersi sino al loro recepimento automatico (anche mediante sistemi di machine learning, ovvero basandosi sull’esperienza di monitoraggio pregressa in un’ottica di aggiornamento costante del modello).
In definitiva, si ha a che fare con la possibilità, oggi più concreta che mai, di una vera e propria “automazione” della compliance aziendale, la quale assicurerebbe prestazioni, in termini di rapidità ed efficacia, fino a qualche tempo fa inattingibili.
I profili a rischio
Tuttavia, come anticipato, anche qui come in altri settori, l’innovazione tecnologica porta con sé una buona dose di rischi e problematiche delle quali occorre essere consapevoli in vista di una sempre maggiore implementazione degli strumenti in parola.
Anche qui si pongono, in primo luogo, i profili di rischio tipici dei sistemi di intelligenza artificiale, legati alla qualità dei dati immessi nel sistema (dalla cui attendibilità dipende essenzialmente l’esattezza delle scelte compiute dallo stesso) e al fenomeno della c.d. black box, vale a dire il rischio derivante dalla difficoltà di ricostruire i processi di calcolo effettuati dal sistema di AI e, dunque, nel caso di specie, la non facile verificabilità dall’esterno del percorso valutativo e deliberativo di gestione del rischio compiuto.
A preoccupare maggiormente sono tuttavia le possibili ripercussioni sul piano della Privacy e della tutela dei lavoratori che, in particolar modo, potrebbero derivare dalla già richiamata possibilità di operare verifiche massive sulle e-mail dei dipendenti in cerca di anomalie e dalla eventuale implementazione di report in tempo reale verso il management e gli organismi di controllo.
Il timore, in buona sostanza, è che per mezzo di algoritmi – si è detto – “inquisitori”, si sacrifichino, in nome della conformità normativa dell’ente, interessi fondamentali, quali la protezione dei dati personali, la tutela della dignità dei lavoratori ed il principio di non discriminazione.
In quest’ottica – potendo in questa sede fare giusto qualche cenno – la digital compliance potrebbe scontrarsi, oltre che con le norme in tema di trattamento dei dati personali, altresì con la disciplina dei controlli sui lavoratori nonché riproporre nell’ambito delle dinamiche organizzative interne dell’ente il dibattito sviluppatosi intorno agli strumenti di c.d. predictive policing (che in tal caso sarebbero da valutare non già rispetto al potere delle autorità statali, bensì con riguardo alle prerogative di auto-organizzazione preventiva dei soggetti privati).
Va da ultimo segnalata la presenza di questioni incidenti sulla struttura stessa della responsabilità dell’ente, tra le quali meritano senz’altro menzione la possibilità che in forza dell’implementazione delle nuove tecnologie in ambito compliance possa addirittura addivenirsi ad una rivisitazione del ruolo ricoperto dall’Organismo di vigilanza e dagli stessi amministratori, oltre che, a monte, l’incidenza sulla stessa logica dell’autonormazione e sul modo di intendere la colpevolezza organizzativa.
Quanto a quest’ultimo profilo, in particolare, ci si è chiesti se debba o meno ritenersi sussistente la colpa di organizzazione della persona giuridica nel caso in cui la commissione del reato sia stata resa possibile proprio dalle inefficienze del sistema preventivo informatico di cui l’ente si sia eventualmente dotato senza tuttavia esserne il produttore.
In conclusione, nell’ottica di attingere ai numerosi benefici che offre la transizione tecnologica della compliance, questi ed altri profili problematici non potranno che essere adeguatamente affrontati.
A tal fine, è senz’altro auspicabile non perdere di vista l’importanza del ruolo che in ogni caso mantiene il fattore umano, privilegiando soluzioni che contemplino quantomeno la costante supervisione dello stesso sui processi automatizzati. Pare inoltre opportuno che nella ricerca delle soluzioni più appaganti si mantenga sempre quale punto di riferimento indefettibile il rispetto dei diritti fondamentali della persona.