Legge n. 132 del 23 settembre 2025: L’Italia guida la regolamentazione nazionale dell’IA
Con l’approvazione della Legge n. 132 del 23 settembre 2025, l’Italia diventa il primo stato membro dell’Unione Europea ad aver adottato una legge completa e specifica per conformarsi alle disposizioni del Regolamento UE n. 2024/1689, anticipando l’entrata in vigore di tale regolamento e stabilendo un quadro nazionale per la governance, supervisione e supporto all’innovazione nel campo dell’Intelligenza Artificiale (IA).
Contesto
Il Disegno di Legge 1146/24 ha ricevuto vari pareri dalle autorità di settore, inclusa il Garante per la protezione dei dati personali e la Commissione Europea. Quest’ultima, nel suo parere del 12 settembre 2024, ha evidenziato la necessità di maggiore coerenza con l’IA Act e di una maggiore apertura verso l’uso dell’intelligenza artificiale. Il testo, modificato in parte secondo le raccomandazioni ricevute, è stato approvato dal Parlamento italiano il 17 settembre 2025 e pubblicato nella Gazzetta Ufficiale n. 223 del 25 settembre 2025.
I settori interessati
La prima sezione della Legge, dedicata ai principi generali, introduce una strategia nazionale sull’IA, che sarà aggiornata ogni due anni dal Comitato Interministeriale per la Transizione Digitale con il supporto del Dipartimento per la Trasformazione Digitale della Presidenza del Consiglio dei Ministri. Questa strategia servirà come riferimento per le decisioni politiche e normative sull’IA.
La seconda sezione contiene regole per singoli settori, indicando aree e modalità di utilizzo dell’IA. In particolare, nel settore sanitario e nella ricerca scientifica, l’IA è consentita come strumento di supporto, ma non può essere utilizzata per discriminare o decidere l’accesso ai trattamenti; il ruolo umano rimane centrale, con gli esseri umani responsabili delle decisioni finali. La ricerca pubblica e privata senza scopo di lucro è classificata come di significativo interesse pubblico, consentendo il trattamento dei dati personali senza consenso, previo approvazione dei comitati etici e notifica al Garante.
Settore del lavoro
Nel settore del lavoro, la Legge introduce specifiche salvaguardie per la gestione dei processi di selezione, valutazione e monitoraggio dei lavoratori utilizzando sistemi di IA. Stabilisce obblighi di trasparenza per i datori di lavoro, il diritto all’informazione per i dipendenti e la necessità di valutazioni d’impatto per prevenire discriminazioni algoritmiche.
Inoltre, la Legge istituisce un osservatorio sull’impatto dell’IA sul lavoro, con l’obiettivo di massimizzare i benefici e mitigare i rischi derivanti dall’uso dei sistemi di intelligenza artificiale nei luoghi di lavoro e promuovere la formazione per lavoratori e datori di lavoro nel campo dell’intelligenza artificiale.
Settore della giustizia
Nel settore della giustizia, la legislazione stabilisce criteri rigorosi per l’uso dei sistemi di IA nella sfera giudiziaria, sia per la gestione dei casi che per il supporto decisionale. La supervisione umana è rafforzata e l’uso dell’IA per attività interpretative è vietato: l’uso di strumenti di analisi automatica è limitato a scopi organizzativi, di semplificazione del lavoro e amministrativi, garantendo così la piena protezione del diritto di difesa e della riservatezza delle parti.
Proprietà intellettuale
La Legge specifica che è riconosciuta anche la protezione del diritto d’autore per le opere “create con l’ausilio dell’intelligenza artificiale”, a condizione che siano il risultato del lavoro intellettuale dell’autore. Si chiarisce quindi che il materiale generato esclusivamente dall’IA non è soggetto a protezione. La riproduzione e l’estrazione di testi e dati utilizzando l’IA è consentita se le fonti sono legittimamente accessibili.
Governance
In termini di governance, la strategia nazionale per l’IA è affidata alla Presidenza del Consiglio dei Ministri, con il coinvolgimento dell’Agid e dell’Agenzia Nazionale per la Cybersecurity come autorità nazionali, e le autorità di vigilanza settoriali (Banca d’Italia, CONSOB, IVASS), nell’ambito delle rispettive competenze. Particolare attenzione è riservata alla cybersecurity, considerata un prerequisito essenziale durante il ciclo di vita dei sistemi e modelli di IA.
A livello istituzionale, il coordinamento tra le autorità nazionali (Agid/ACN, autorità settoriali) e il Garante per la protezione dei dati sarà decisivo per allineare le valutazioni dei rischi dei sistemi di IA, anche dal punto di vista del GDPR e delle valutazioni di impatto etico.
Interconnessioni con l’IA Act, NIS2 e GDPR
La Legge copre in modo decisivo le aree lasciate fuori dall’IA Act: identifica le autorità di vigilanza e i poteri, regola le ispezioni, supporta le PMI e le pubbliche amministrazioni e definisce sanzioni per comportamenti non pienamente armonizzati (ad es. deepfake). Anche all’interno dei vincoli dell’armonizzazione europea, il legislatore nazionale alza il livello sulle salvaguardie organizzative e i requisiti “procedurali” (trasparenza, controlli, formazione, documentazione), estendendoli a casi a basso rischio e settori sensibili come lavoro, salute e giustizia.
Per quanto riguarda l’IA generativa e i deepfake, l’Italia adotta un approccio più prescrittivo: introduce reati penali e meccanismi per la tracciabilità e autenticità dei contenuti, mentre l’IA Act favorisce gli obblighi informativi e i codici di condotta (con requisiti rafforzati per i sistemi che presentano rischi sistemici). Il risultato è un modello integrato con il GDPR, NIS2 e le norme settoriali, che mira a tradurre le clausole generali europee in controlli operativi verificabili.
Conclusioni
In termini concreti, la conformità dipenderà dalla capacità di orchestrare governance e controlli. Tra le priorità per le aziende, possiamo certamente identificare la necessità di:
- mappare i sistemi e classificare i rischi;
- integrare le valutazioni d’impatto sulla protezione dei dati (DPIA);
- definire ruoli e responsabilità di sviluppatori e utenti;
- includere clausole contrattuali “pronte per l’IA Act” nella catena di fornitura;
- implementare misure tecniche, anche per la mappatura dei contenuti e la gestione degli incidenti e delle segnalazioni.
Infine, è necessaria una monitoraggio attivo degli atti esecutivi europei e delle linee guida nazionali (incluso quelle del Garante per la protezione dei dati), poiché questi standard daranno origine a criteri di valutazione, parametri tecnici e priorità di ispezione. Coloro che agiscono ora non solo ridurranno il rischio di sanzioni, ma guadagneranno anche un vantaggio competitivo: trasformando la conformità in un requisito di qualità, sicurezza e affidabilità dei sistemi di IA.
