EU AI Act Desglosado: Italia avanza en IA – ¿más allá del EU AI Act?
Italia se ha convertido en el primer Estado miembro de la UE en adoptar una Ley Marco de IA integral. Aprobada el 17 de septiembre de 2025, esta ley no es un segundo AI Act, sino un marco nacional que se sitúa junto al Reglamento (UE) 2024/1689. Define principios, asigna poderes de supervisión, ajusta reglas en sectores sensibles y modifica áreas dejadas a la discreción nacional, como el trabajo, la salud, los derechos de autor y el derecho penal.
1. Principios fundamentales y alcance
La Ley Marco de IA de Italia comienza con un conjunto de principios generales diseñados para guiar la adopción, desarrollo y despliegue de la IA. Estas disposiciones son deliberadamente de alto nivel: no imponen nuevos deberes de cumplimiento a los proveedores o implementadores de sistemas de IA, pero establecen el tono legal y político sobre cómo se espera que opere la IA en Italia.
La ley afirma un enfoque antropocéntrico – la IA debe apoyar la toma de decisiones humanas, respetar los derechos fundamentales y nunca desplazar la responsabilidad humana. La investigación, experimentación y uso de la IA deben cumplir con los derechos constitucionales, la legislación de la UE y principios como la transparencia, proporcionalidad, precisión, no discriminación, igualdad de género, privacidad y ciberseguridad. La supervisión humana y la capacidad de intervenir son esenciales a lo largo del ciclo de vida de la IA.
Una innovación notable es la garantía expresa de que el uso de la IA no debe perjudicar el debate democrático. La ley prohíbe desplegar sistemas de manera que socaven los procesos democráticos o el libre intercambio de opiniones, reflejando preocupaciones crecientes sobre la amplificación algorítmica, los deepfakes y la desinformación.
Finalmente, la ley limita su propio alcance: no está destinada a crear nuevas obligaciones más allá del AI Act de la UE. Las empresas deben considerar el AI Act como la fuente de deberes de cumplimiento y ver la ley italiana como un marco que establece guardrails nacionales, asigna responsabilidades de supervisión y añade reglas sectoriales en salud, trabajo, administración pública, propiedad intelectual y derecho penal.
2. Gobernanza y roles institucionales
La Ley Marco de IA traza el mapa de supervisión para Italia, alineando responsabilidades nacionales con el AI Act de la UE mientras aborda prioridades internas. Define quién está a cargo de la supervisión, coordinación y aplicación.
En el centro se encuentra un nuevo Comité de Coordinación establecido en la Oficina del Primer Ministro, responsable de diseñar y actualizar la estrategia nacional de IA de Italia y garantizar la consistencia interinstitucional.
Dos agencias especializadas son designadas como autoridades nacionales de IA:
- AgID (Agencia de Transformación Digital de Italia) actúa como la autoridad notificadora. Gestiona la acreditación y monitoreo de los organismos de evaluación de conformidad, promueve la adopción de IA y supervisa la operación de los entornos de prueba.
- ACN (Agencia Nacional de Ciberseguridad) se convierte en la autoridad de vigilancia del mercado. Tiene poderes de investigación y sanción, particularmente enfocados en la seguridad y resiliencia de los sistemas de IA, y sirve como el único punto de contacto de Italia con la UE.
Ambas autoridades deben cooperar con los reguladores existentes: (i) AGCOM como Coordinador de Servicios Digitales bajo la DSA; (ii) el Garante para la protección de datos; y (iii) el Banco de Italia, CONSOB y IVASS en el sector financiero.
3. Guardrails sectoriales
La Ley Marco de IA complementa el AI Act de la UE al introducir reglas nacionales específicas en áreas de alta sensibilidad social (y legal). Estas disposiciones se centran menos en deberes técnicos de cumplimiento y más en establecer límites que reflejen valores constitucionales y prioridades políticas.
3.1. Salud y discapacidad
La IA es reconocida como una herramienta valiosa para la prevención, diagnóstico y tratamiento. Los sistemas de IA no pueden determinar o restringir el acceso a la atención médica por motivos discriminatorios, y los pacientes tienen el derecho a ser informados cuando se utiliza IA en su atención. Para fomentar la innovación, la ley califica ciertos usos de datos de salud para la investigación de IA como de “interés público relevante”, habilitando al Ministro de Salud para emitir decretos que simplifiquen el uso secundario de datos para I+D.
3.2. Empleo
Los empleadores deben garantizar que la IA en el lugar de trabajo sea segura, confiable y no intrusiva, y los trabajadores deben ser informados cuando se implementen tales herramientas. Esto refleja y amplía los deberes existentes de la legislación laboral italiana (en particular bajo el Decreto Legislativo 152/1997). La ley también crea un Observatorio de IA Laboral dentro del Ministerio de Trabajo para monitorear el impacto de la IA, promover la capacitación y guiar las respuestas políticas.
3.3. Administración pública y justicia
Los organismos públicos pueden implementar IA para simplificar procedimientos y mejorar la eficiencia, pero la responsabilidad no puede ser delegada. Se requieren expresamente la transparencia y la trazabilidad. En el ámbito judicial, la línea es aún más clara: los jueces conservan el poder decisional exclusivo. La IA puede apoyar tareas organizativas o analíticas, pero nunca puede reemplazar el razonamiento judicial o la interpretación de la ley. Además, la jurisdicción para disputas sobre el funcionamiento de un sistema de IA se asigna al Tribunale (corte de primera instancia), un movimiento deliberado para centralizar la experiencia y la coherencia.
3.4. Menores
La Ley Marco de IA va más allá del GDPR al establecer reglas específicas de consentimiento relacionadas con la IA para menores de 18 años. Los niños menores de 14 años solo pueden acceder a tecnologías de IA con el consentimiento de sus padres; aquellos de 14 a 17 años pueden consentir por sí mismos siempre que la información sea clara y comprensible.
4. Propiedad intelectual, contenido y derecho penal
Junto con los guardrails sectoriales, la Ley Marco de IA modifica los códigos de propiedad intelectual y penal de Italia para abordar los riesgos planteados por contenido sintético y creatividad asistida por IA. Estos no son duplicaciones del AI Act de la UE, sino ajustes nacionales en áreas donde los Estados miembros retienen competencia.
4.1. Derechos de autor y minería de texto y datos
La ley modifica la Ley de Derechos de Autor de Italia (Ley 633/1941) para reafirmar que las obras protegidas siguen siendo “obras de la inteligencia humana”, incluso si herramientas de IA asistieron en su creación. La protección se aplica solo si el autor humano ha hecho una contribución creativa genuina.
La ley también afina las reglas sobre minería de texto y datos (TDM) para la formación de IA. Se señala a los desarrolladores que deben referirse a las excepciones y limitaciones de TDM de la UE (Arts. 70-ter y 70-quater de la Ley de Derechos de Autor). De manera crucial, la ley modifica las disposiciones penales (Art. 171) para convertir la TDM no autorizada en un delito penal, elevando lo que anteriormente era una cuestión de responsabilidad civil a una posible exposición penal.
4.2. Innovaciones en derecho penal
La estatuta introduce un nuevo delito independiente de difusión ilícita de imágenes, videos o audios generados o alterados por IA (es decir, deepfakes) donde dicho material causa daño injusto. Codificado como Art. 612-quater del Código Penal, conlleva penas de uno a cinco años de prisión.
Más en general, la Ley Marco de IA redefine la responsabilidad penal a través de un enfoque por capas. El uso de la IA puede operar ahora como una circunstancia agravante general bajo el nuevo Art. 61(11-decies) del Código Penal, que establece que cualquier delito cometido “mediante IA” de maneras que aumenten la insidiosidad, dificulten la defensa o agraven las consecuencias atrae penas más severas. Junto a esta regla general, una serie de circunstancias agravantes especiales endurecen las penas para delitos específicos: (i) infracción de derechos políticos, (ii) suplantación de identidad, (iii) manipulación fraudulenta de precios, (iv) fraude y fraude informático, y (v) delitos financieros que incluyen lavado de dinero, uso de ganancias ilícitas y auto-lavado.
En mercados financieros, la Ley Marco modifica tanto el Código Civil (Art. 2637) como el Acta Financiera Consolidada (Art. 185) para aumentar las sanciones por manipulación del mercado realizada a través de IA. Las penas incluyen prisión de dos a siete años, más multas de hasta 6 millones de euros bajo el Acta Financiera Consolidada.
5. Desarrollo económico, señales de contratación pública y estrategia nacional
La Ley Marco de IA de Italia combina gobernanza con una agenda pro-inversión y pro-contratación. Está diseñada para influir en tres áreas: estrategia nacional, elecciones de contratación y flujo de inversión pública.
- Estrategia Nacional de IA. La Oficina del Primer Ministro debe preparar y mantener actualizada una Estrategia Nacional de IA, aprobada cada dos años, y coordinar su implementación mientras informa anualmente al Parlamento. Se espera que la estrategia alinee incentivos, habilidades y adopción del sector público, e identifique casos de uso prioritarios.
- Dirección de contratación pública. Las administraciones están dirigidas a ajustar las plataformas de contratación electrónica para privilegiar soluciones de IA que: (i) mantengan datos estratégicos procesados y almacenados en centros de datos italianos con recuperación ante desastres/continuidad de negocio también en Italia; y (ii) para IA generativa, demuestren altos estándares de seguridad y transparencia en los métodos de formación.
- Capital para escalas. El Art. 23 autoriza hasta 1.000 millones de euros (capital y quasi-capital) a través del vehículo estatal de capital de riesgo para invertir directa o indirectamente en empresas de IA/ciberseguridad italianas y tecnologías habilitadoras (incluyendo cuánticas y telecomunicaciones como 5G, computación perimetral móvil, arquitecturas abiertas y Web3), con un fuerte sesgo de semilla a escala y la posibilidad de respaldar campeones tecnológicos nacionales. Las inversiones se canalizan a través del marco del Fondo de Apoyo al Capital de Riesgo de Italia.
6. Legislación delegada
La Ley Marco de IA de Italia hace mucho en su cara, pero también establece un programa exigente de legislación secundaria.
Dentro de los 12 meses de entrada en vigor, el Gobierno debe adoptar tres delegaciones legislativas:
- Datos de entrenamiento, algoritmos y métodos. El Gobierno debe adoptar uno o más decretos legislativos que establezcan un marco nacional “orgánico” para el uso de datos, algoritmos y métodos matemáticos para entrenar sistemas de IA. La delegación abarca expresamente: (i) quién tiene qué derechos y obligaciones al usar datos/algoritmos de entrenamiento; (ii) remedios por agravio/injunction y sanciones por incumplimiento; y (iii) jurisdicción exclusiva de los tribunales empresariales para disputas relacionadas.
- Usos ilícitos de IA. En paralelo, una segunda delegación de 12 meses empodera al Gobierno para “ajustar y especificar” reglas sobre el desarrollo y uso ilícito de sistemas de IA, incluyendo medidas de interim y eliminación para inhibir la difusión de contenido generado por IA ilícito, respaldadas por sanciones efectivas, proporcionales y disuasorias.
- Conformidad con el AI Act de la UE. Una delegación separada requiere decretos legislativos para alinear la legislación nacional con el AI Act de la UE, incluyendo: la concesión de poderes de inspección y sanción a las autoridades nacionales designadas por la ley; enmiendas a lo largo de los regímenes sectoriales (banca, servicios financieros, seguros, pagos); uso de reglas secundarias por esas autoridades donde sea apropiado; y la implementación de la arquitectura de sanciones del Art. 99 del AI Act de la UE.
En el corto plazo, las medidas ministeriales llegan más pronto. El Ministro de Salud tiene 120 días para emitir un decreto que habilite vías simplificadas, conformes al GDPR, para datos de investigación de IA/ML (incluyendo uso secundario). El Ministerio de Trabajo debe establecer el Observatorio de IA Laboral dentro de 90 días. Hasta que el AI Act de la UE esté completamente implementado, cualquier piloto de IA en los tribunales ordinarios requiere autorización del Ministerio de Justicia. AGENAS también puede emitir orientaciones sobre anonimización y datos sintéticos en salud.
7. Conclusiones
La Ley Marco de IA de Italia no es un segundo código de cumplimiento superpuesto al AI Act de la UE. Su verdadero significado radica en establecer la arquitectura institucional y los puntos de fricción legal y comercial que las empresas pueden encontrar en Italia. Las prioridades de contratación, los deberes hacia trabajadores y pacientes, las salvaguardias para menores y la elevación de las infracciones de derechos de autor/TDM a la esfera penal son ahora parte de la base nacional.
Dicho esto, queda por ver si las empresas podrían argumentar que cualquier medida nacional que vaya más allá de – o se perciba como que va más allá de – el régimen armonizado del AI Act de la UE podría entrar en conflicto con la legislación de la Unión, dada la finalidad del Acta de asegurar la libre circulación de sistemas de IA y limitar restricciones adicionales de los Estados miembros a menos que estén expresamente autorizadas.
