Intel·ligència artificial i responsabilitat penal de les persones jurídiques

Articles26 de maig del 2026
L'ús de sistemes d'intel·ligència artificial dins de les organitzacions no només augmenta l'eficiència operativa, sinó que també introdueix noves àrees de risc que tenen un impacte directe en la responsabilitat penal de les empreses.

A finals de 2026, els requisits més estrictes de la Regulació Europea d'Intel·ligència Artificial (AIR) entraran en vigor per als sistemes classificats com a d'alt risc, amb un règim sancionador que pot arribar als 35 milions d'euros o al 7 % de la facturació global de l'infractor. Aquesta data no s'ha d'entendre només en termes administratius: marca el moment en què la intel·ligència artificial deixa de ser, legalment parlant, un fenomen emergent i es converteix en un vector estructural del risc penal corporatiu. La tesi d'aquest article és senzilla: l'ús —ja sigui per part de l'organització mateixa o per tercers— de sistemes d'IA dins de l'organització reconfigura el panorama de riscos de l'article 31 bis del Codi Penal i exigeix una actualització dels models organitzatius i de gestió, per tal que no perdin el seu efecte exculpatori.


A aquesta convergència reguladora s'hi suma un fenomen de facto que no s'ha d'ignorar: l'anomenada IA ombra. Segons l'Índex de tendències laborals 2024 de Microsoft, el 78 % dels usuaris d'IA a la feina utilitzen les seves pròpies eines sense el coneixement del departament de TI, i el 38 % admet haver compartit informació sensible. El cas Samsung, en què diversos enginyers van filtrar codi font de semiconductors a través de ChatGPT, il·lustra fins a quin punt la línia entre l'ús autoritzat i el no autoritzat s'ha difuminat en la pràctica empresarial.


El marc de l'article 31 bis del Codi Penal en relació amb la IA

L'article 31 bis del Codi Penal, consolidat després de la reforma de la Llei Orgànica 1/2015, considera responsable a la persona jurídica dels delictes comesos en nom seu o per compte seu, ja sigui pels seus administradors o representants legals, o pels empleats quan hi ha hagut una infracció greu dels deures de supervisió, vigilància i control. L'exempció requereix l'adopció i la implementació efectiva, abans de la comissió de l'infracció, d'un model d'organització i gestió adequat per prevenir-la o reduir significativament el risc de la seva comissió.


L'aparició de la IA opera dins d'aquest marc de dues maneres. D'una banda, la IA és una aliada del compliment normatiu: permet la detecció de patrons anòmals, el seguiment de comunicacions i operacions en temps real i l'automatització de controls, la qual cosa redueix l'error humà —el que la doctrina jurídica ha anomenat «Compliment Penal Digital». D'altra banda, i aquest és l'angle menys explorat, opera com un nou factor criminogènic que reconfigura el catàleg d'infraccions atribuïbles a les persones jurídiques, que ara comprèn 41 infraccions d'acord amb la Llei Orgànica 4/2023.


Els exemples són tangibles i creixents:

  • Esfera financera. El frau (article 251 bis del Codi Penal) es comete utilitzant deepfakes de veu o vídeo que suplanten directius per autoritzar transferències —el conegut 'frau del CEO' ('CEO fraud' ) permès per la IA generativa— mentre que el blanqueig de capitals (article 302 del Codi Penal) es pot facilitar mitjançant transaccions automatitzades que en dificulten la traçabilitat.
  • Informació, dades i secrets. Delictes relacionats amb la descoberta i la revelació de secrets (art. 197 quinquies del Codi Penal) i el dany informàtic (art. 264 quater del Codi Penal) adquireixen una nova dimensió quan agents autònoms exfiltren informació confidencial —el fenomen de la «fuga a l'ombra» identificat per l'AEPD en les seves directrius de febrer de 2026 sobre la IA agentiva— o quan els empleats introdueixen dades sensibles en eines no regulades.
  • Drets dels treballadors. Les infraccions contra els drets dels treballadors (art. 318 bis del Codi Penal) poden ser provocades per sistemes algorítmics de selecció, avaluació o vigilància que donin lloc a discriminació, una àrea especialment sensible perquè la RIA classifica expressament aquests sistemes com d'alt risc.

La convergència amb la RIA és estructural: les àrees que la regulació europea classifica com a d'alt risc —ocupació, crèdit, justícia, salut, infraestructures crítiques, migració— coincideixen en gran part amb aquelles en què el Codi Penal concentra el major risc de responsabilitat penal de les empreses. En conseqüència, la llista és extensa i complexa, i depèn tant de cada cas d'ús identificat com del context i l'entorn de risc propis de l'organització.


Governança de dades

L'article 10 de la RIA eleva la governança de dades a una obligació legal: els sistemes d'alt risc només es poden entrenar utilitzant conjunts de dades rellevants i prou representatius que siguin tan lliures d'errors i complets com sigui possible, sotmesos a una anàlisi de biaix i a processos documentats de recollida, etiquetatge i neteja. Traduït al dret penal, aquest requisit és inequívoc: una governança deficient de les dades i dels models —formació amb conjunts de dades esbiaixats, manca de traçabilitat, absència de registres, manca de transparència explicativa o una supervisió humana merament nominal— pot servir com a prova objectiva del «defecto organitzatiu» que la doctrina jurídica i la jurisprudència identifiquen com a base per a la condemna d'una persona jurídica.


El problema de la 'caixa negra' esdevé, per tant, crític. La circular 1/2016 de l'Oficina del Fiscal General va advertir que els programes de compliment normatiu no són un 'salvoconducto per a la impunitat', sinó l'expressió d'una cultura ètica. Si les decisions del sistema són opaques o inexplicables, l'empresa tindrà dificultats per demostrar la seva diligència deguda davant del tribunal. Delegar el control a un algorisme no exonera l'òrgan de direcció: li imposa un deure de diligència addicional, és a dir, entendre, auditar i supervisar activament l'eina.


Ampliació de l'abast de la responsabilitat

La incorporació de la IA tendeix a ampliar l'abast de la responsabilitat de dues maneres.

  • En primer lloc, amplia l'abast dels empleats i processos les decisions dels quals poden donar lloc a la responsabilitat de la societat, fent que amb més freqüència s'apliqui el segon motiu de l'article 31 bis: la infracció greu dels deures de supervisió.
  • En segon lloc, eleva el nivell de diligència exigit al consell d'administració, que ha de demostrar que ha entès, auditat i controlat activament eines que són opaques i estan en evolució.

Llei italiana 132/2025

El sistema jurídic italià ja ha fet el primer pas. La Llei 132/2025, de 23 de setembre, ha introduït a l'article 61 del Codi Penal italià una circumstància agreujant general aplicable als delictes comesos mitjançant sistemes d'IA, juntament amb un nou delicte de difusió il·lícita de contingut generat o alterat per IA (art.612-quater) i circumstàncies agreujants específiques relatives a la manipulació del mercat i les violacions dels drets polítics.


Tot i que la llei no modifica directament la llista de delictes de la Llei de 231/2001 sobre la responsabilitat penal de les persones jurídiques, la doctrina jurídica italiana coincideix que requereix una revisió dels models d'organització, gestió i control per incorporar els nous riscos que sorgeixen de l'ús corporatiu de la IA. És raonable preveure que la legislació espanyola evolucionarà en una direcció similar.


Models de prevenció

Ara són inevitables quatre línies d'acció. En primer lloc, integrar en el mapa de riscos del model aquells delictes la comissió dels quals pugui ser desencadenada o agreujada per l'ús de la IA en cada procés empresarial. En segon lloc, establir protocols específics per a la validació, la supervisió humana i la traçabilitat de les decisions automatitzades, amb registres auditables i processos de revisió documentats. En tercer lloc, incorporar clàusules contractuals sobre compliment, seguretat i explicabilitat que siguin exigibles contra els proveïdors d'IA, així com l'obligació de cooperar en cas d'un incident. En quart lloc, formar els empleats i els directius en l'ús responsable de la IA i canalitzar la IA fantasma cap a les eines corporatives regulades, atès que una prohibició general, segons les dades disponibles, és ineficaç: el 63 % dels empleats sotmesos a una prohibició expressa la incompleixen igualment.


Conclusió

Els requisits de la RIA —gestió de riscos, govern de dades, documentació, traçabilitat, supervisió humana i canals d'informe— són, en essència, els d'un programa de compliment penal adaptat a l'era algorítmica. Qualsevol model organitzatiu i de gestió que pretengui ser eficaç a l'efecte de l'article 31 bis del Codi Penal ha d'incorporar ara necessàriament l'avaluació dels riscos penals derivats de l'ús de la IA dins de l'empresa.


Qualsevol que no ho faci abans de finals del 2026 no només s'enfrontarà a sancions administratives: es trobarà amb un model de prevenció que un tribunal podria considerar inadequat precisament pel que no va incorporar.


Llegiu l'article complet aquí.

La imagen muestra una vista desde abajo de una estructura arquitectónica moderna con paredes curvas y un cielo azul de fondo.
  • Inteligencia Artificial

Sòcies/socis relacionats

ACTUALITAT #ECIJA