Scroll to top

Nuove tecnologie e compliance: criticità attuali e prospettive future

di Giorgia Castellano

tecnologie-coronavirus

Il risk management e il rispetto della legalità nelle organizzazioni economiche, più o meno complesse, rappresentano principi strategici per l’attività imprenditoriale. 

Le imprese e il loro core business devono fare i conti oggi anche con la capacità di anticipare, analizzare e gestire i rischi reato in maniera efficace trasformando l’aspetto della compliance in opportunità di miglioramento organizzativo e di corretta gestione societaria. 

Di fronte a cambiamenti normativi e regolamentari costanti e dai risvolti sempre più complessi l’IA potrebbe offrire alle imprese l’introduzione di nuove architetture organizzative societarie e nuovi metodi di svolgimento dell’attività attraverso il rafforzamento della capacità di verifica dei requisiti di compliance in termini di qualità dei dati, integrità dell’operato aziendale e conformità ai parametri normativi di rilievo per le singole realtà imprenditoriali. 

L’analisi predittiva dei rischi di non compliance quale efficace presidio e valido strumento per fornire al management un report in real time dei potenziali fattori di anomalia ravvisabili nei processi aziendali è un dato prospettico che non possiamo ignorare. 

La tecnologia, già in molti settori, ha rappresentato la chiave di svolta per la semplificazione di taluni processi aziendali e fornito all’individuo le migliori condizioni per poter svolgere il proprio lavoro valutando, ad esempio, un numero maggiore di alternative in un inferiore arco di tempo e tralasciando lavori di modesto rilievo e a carattere ripetitivo. 

Ma l’impatto di questi nuovi strumenti, che da un lato determinano certamente risultati positivi in termini di incremento della produttività ed efficienza delle imprese, impone tuttavia una riflessione in termini di coordinamento tra il loro utilizzo e il rispetto dei principi di governance delle imprese, nonché, talvolta, degli stessi principi costituzionali. 

Si tratta di sistemi in grado di emulare funzioni e ragionamenti tipici dell’essere umano agendo nella dimensione fisica o virtuale in modo da percepire l’ambiente circostante, acquisire e interpretare dati, sviluppare una capacità di ragionamento sulle conoscenze acquisite e giungere a conclusioni proprie fondate sulle evidenze raccolte in ordine alle migliori azioni da intraprendere al fine di raggiungere l’obiettivo prefissato, anche in situazioni non esplicitamente predeterminate. 

La versatilità di questi strumenti e le enormi potenzialità ad essi correlate ne favoriscono l’utilizzo e le aspettative soprattutto nell’ambito dei sistemi di compliance aziendale; questi ultimi, infatti, necessitano di una continua integrazione con altri sistemi gestionali della società, devono essere flessibili e adattabili, garantire la tracciabilità e il controllo dei processi operativi, una comunicazione efficace con i soggetti apicali e, in particolare, essere dotati di capacità di gestione della corposa documentazione legislativa di interesse per l’impresa di cui si compone oggi il sistema normativo nazionale e sovranazionale. 

Applicazioni concrete del servizio fornito dai sistemi di Artificial Intelligence per la gestione del rischio reato sono rinvenibili, ad esempio, con riguardo al rischio corruzione (si pensi alla tecnologia Blockchain) ovvero alla prevenzione di illeciti in tema di market abuse nonché in materia ambientale. 

In tutti i casi, e a prescindere dalla focalizzazione dei sistemi di Big Data Analytics verso l’una o l’altra categoria di reati, si tratta di procedure la cui implementazione potrebbe comportare un vero e proprio mutamento del volto attuale della compliance da un sistema che ruota attorno alle attività umane di valutazione e indagine preventiva sul campo ad un sistema (anche solo parzialmente) automatizzato in cui è la macchina ad assumere su di sé il ruolo di valutare il rischio e individuare le procedure per gestirlo, residuando in capo alla figura umana il compito di assicurarsi che il software intelligente abbia riserve di carburante (ovverosia dati) sufficienti a poter svolgere i propri adempimenti di sorveglianza. 

Le tecnologie di intelligenza artificiale e apprendimento automatico, in altre parole, sono incredibilmente potenti ma le aspettative non devono superare le concrete possibilità di realizzazione nel contesto, sociale ed economico, in cui ci si trova ad operare. 

Potrebbe essere necessario, infatti, un sostanziale investimento di tempo e risorse – anche e soprattutto economiche – per consentire alle imprese di adottare sistemi di IA e Machine Learning nei loro iter di conformità alla normativa esistente; ciò rappresenterebbe un costo notevole – rischiando addirittura di diventare controproducente – soprattutto per le realtà medio-piccole (le più diffuse nel contesto italiano) che già oggi faticano ad essere compliant attraverso metodologie di gestione del rischio c.d. tradizionali. 

Vi è poi il problema della provenienza dei dati da fonti affidabili e sicure; solo su questo presupposto, infatti, i red flags che i sistemi di IA identificano possono essere credibili e garantire un’efficace ed efficiente analisi del rischio. 

Assicurare una corretta e credibile formazione della base dati su cui i sistemi di Big Data Analytics operano in ottica compliance appare essenziale. 

Al riguardo è di agevole intuizione, ad esempio, che ciò non possa certo verificarsi attraverso l’utilizzo in questi processi dell’analisi dell’intera quantità di dati presenti in Internet; quest’ultimo modus operandi rischierebbe, senz’altro, di produrre un risultato fuorviante. 

E ancora. 

Rispetto a questi sistemi tecnologici dalla prassi sembra emergere come sia sempre più onere delle singole organizzazioni private decidere, oltre alla struttura del software di analisi da utilizzare e la base dati da inserire nel sistema, anche quali indagini far svolgere alla macchina e in quali procedure aziendali prevedere l’applicazione dei sistemi intelligenti.

In questo senso non è trascurabile la necessità di creare metodologie di indagine informatica il più possibili uniformi e ispirate alle migliori ‘best practice’ nel campo dell’individuazione e della gestione del rischio reato. 

D’altronde, i sistemi di IA rappresentano procedure di analisi multiformi e come tali in grado di assumere rilievo, a seconda delle tecniche con cui sono costruiti e sviluppati, sia nell’ambito del risk assessment sia in quello del risk management

È, però, dall’integrazione o meno di tali procedure nei singoli protocolli operativi di gestione del rischio reato che potrebbe dipendere, in futuro, l’effettivo beneficio di questi sistemi per il settore della compliance aziendale. 

Solo in questi termini la prospettiva del loro utilizzo nelle organizzazioni economiche potrebbe trascendere l’idea del mero strumento di analisi e valutazione del rischio a favore della prospettiva di un effettivo strumento di prevenzione del rischio reato, e quindi anche eventualmente di gestione, innervato nei protocolli di controllo e tale da non poter essere eluso se non ricorrendo a condotte fraudolente di notevole complessità tecnica. 

In ogni caso, anche considerando le criticità sopra esposte, non è erroneo affermare che le nuove tecnologie, in futuro, potrebbero determinare indubbi vantaggi nel rafforzamento del sistema di compliance delle nostre imprese.

L’utilizzo e l’implementazione di questi sistemi esporrà comunque queste ultime a rischi legali su versanti diversi, ma non meno delicati, per la cui gestione sarà indispensabile un approccio di conoscenze il più possibile integrato.

A tal riguardo un accenno merita senza dubbio il tema della legittimità del trattamento dei dati personali dei soggetti coinvolti dalle indagini informatiche il quale, anche in considerazione di quanto disposto dall’art. 22 del Regolamento Europeo sulla protezione dei dati personali e dall’art. 11 della Direttiva 2016/680/UE sulla protezione dei dati personali nell’attività di prevenzione, indagine, accertamento e perseguimento di reati, diviene particolarmente rilevante per il risk management

Si tratta del divieto di decisioni basate unicamente sul trattamento dei dati automatizzato e del conseguente diritto dell’interessato ad ottenere l’intervento umano nel procedimento di formazione della volontà da parte del titolare del trattamento.

La questione – già sperimentata con riferimento all’utilizzo di algoritmi intelligenti nelle c.d. attività di sentencing da parte del giudice – potrebbe a ben vedere trovare terreno fertile anche nell’ambito della compliance aziendale.  

Infatti, se da un lato le imprese potrebbero dover fare i conti con output prodotti dal sistema di IA sulla base di un trattamento di dati integralmente automatizzato e senza alcun intervento umano di ‘mediazione valutativa’, dall’altro l’utilizzo di strumenti di tal genere potrebbe condurre l’impresa alla scoperta di nuovi elementi fattuali indizianti a carico di diversi dipendenti o altri soggetti operanti nella realtà aziendale coinvolti nell’analisi informatica. 

Tutto ciò rappresenta, senza dubbio, un aspetto critico legato alla privacy da cui le imprese non potranno certamente prescindere nel prossimo futuro e solo un adeguato controllo in ordine alla legittimità del trattamento dei dati consentirà ad esse di beneficiare appieno dei vantaggi dell’applicazione di sistemi di IA e Machine Learning all’interno delle loro realtà professionali. 

Le organizzazioni economiche che adotteranno soluzioni di IA per la gestione del rischio reato potranno, quindi, ricavarne significativi vantaggi – ad esempio in termini di efficienza e riduzione dei costi di conformità – a condizione di sapere correttamente gestire gli impatti che tali sistemi avranno sulla trasformazione dei processi aziendali esistenti tanto dal punto di vista della governabilità dei rischi di non compliance nella gestione dei dati quanto in termini di adeguato coordinamento dell’intera organizzazione aziendale nella gestione del rischio, anche attraverso una bilanciata cooperazione tra uomo e macchina per ciò che riguarda, in particolare, l’utilizzo nell’impresa dei sistemi intelligenti.