La recente legge italiana sull’intelligenza artificiale, il Disegno di legge 1146/2024 approvato definitivamente dal Senato lo scorso 17 settembre 2025, è il primo quadro normativo nazionale in Europa che disciplina sviluppo, adozione e governance dei sistemi AI.
La legge si basa su principi di uso antropocentrico, trasparente e sicuro dell’AI, con attenzione particolare a innovazione, cybersicurezza, accessibilità e tutela della riservatezza. Integra e completa il Regolamento UE “AI Act”, prevedendo garanzie di tracciabilità, responsabilità umana e centralità della decisione finale da parte di persone fisiche. Le autorità nazionali designate per la governance sono l’Agenzia per la Cybersicurezza Nazionale (ACN), con poteri ispettivi, e l’Agenzia per l’Italia Digitale (AgID), che gestisce notifiche e promuove casi d’uso sicuri. La norma poi interviene in vari settori critici (come sanità, lavoro, pubblica amministrazione, giustizia, formazione e sport), con un’attenzione particolare alle responsabilità e ai diritti fondamentali nel contesto dell’AI.
La legge contiene 28 articoli divisi in sei capi, con uno schema programmatico e disposizioni specifiche per i settori critici, e si propone di rafforzare la tutela dai rischi legati all’impiego dell’AI nel contesto italiano, mantenendo coerenza con le disposizioni europee. Inoltre, contiene una disposizione che autorizza l’utilizzo di una somma già a disposizione di Cdp Venture Capital (pari a 1 miliardo di euro) per l’investimento nel capitale di rischio di Pmi e grandi imprese per progetti di AI, cybersecurity e quantum computing.
I principi guida della legge italiana sull’AI
I principi guida ribaditi dalla nuova legge italiana sull’intelligenza artificiale sono:
- Centralità della persona umana e antropocentrismo dell’AI, per mettere al centro l’uso umano e responsabile della tecnologia.
- Trasparenza e spiegabilità dei sistemi AI, per garantire comprensione e tracciabilità delle decisioni automatizzate.
- Responsabilità degli operatori, con obblighi chiari su chi risponde degli effetti dei sistemi AI.
- Non discriminazione e inclusione, per prevenire bias e garantire pari opportunità.
- Tutela della dignità e dei diritti fondamentali delle persone.
- Protezione dei dati personali e sicurezza informatica, in coerenza con GDPR e norme privacy.
Come la nuova legge si rapporta con l’AI Act europeo
La legge italiana si pone come un’integrazione e un rafforzamento delle norme europee, con un’attenzione più marcata su contesti sensibili e sul controllo nazionale, ma mantenendo piena coerenza con i principi dell’AI Act. Adotta un approccio precauzionale, con divieti espliciti e obblighi anche in contesti a basso rischio, mentre l’AI Act adotta un modello basato sul rischio, classificando i sistemi AI in base al livello di rischio e imponendo obblighi proporzionati solo per usi ad alto rischio. Obblighi generali e trasparenza sono temi comuni a entrambe, ma la legge italiana impone obblighi più rigidi anche per usi a basso rischio e rafforza il ruolo della supervisione umana.
La legge italiana è poi settoriale, con norme dettagliate per sanità, lavoro, giustizia e pubblica amministrazione, mentre l’AI Act ha un ambito trasversale, applicabile a tutti i settori, e stabilisce usi vietati o ad alto rischio indipendentemente dal contesto. Secondo le nuove disposizioni, ad esempio nell’ambito sanitario, l’utilizzo dell’AI è consentito a determinate condizioni (come supporto per diagnosi e cure) ma la decisione finale deve sempre rimanere ai medici e i pazienti hanno il diritto dei pazienti di essere informati. In materia di lavoro, è prevista l’attivazione di un Osservatorio nazionale: inoltre si stabilisce che è obbligatorio che il committente o lo stesso datore di lavoro informino il lavoratore dell’utilizzo dell’AI in azienda. Lo stesso obbligo di comunicazione sussiste da parte dei professionisti nei confronti dei propri clienti. Anche in ambito giudiziario la norma sancisce che ogni decisione sull’interpretazione e sull’applicazione delle leggi è sempre riservata ai magistrati (non può essere delegata all’AI).
In termini di Governance, l’AI Act istituisce un Ufficio Europeo dell’IA, mentre la legge italiana ha affidato la governance a due autorità nazionali, l’Agenzia per la Cybersicurezza Nazionale (ACN) e l’Agenzia per l’Italia Digitale (AgID), rispettivamente con funzioni ispettive e di promozione.
Importante poi l’aspetto penale introdotto dalla legge italiana, che prevede sanzioni penali per alcune violazioni, come l’uso dei deepfake e AI generativa (mentre l’AI Act si concentra su obblighi informativi). Si parte dall’integrazione nel Codice penale del reato di «illecita diffusione di contenuti generati o manipolati con sistemi di IA» (punito da uno a 5 anni «se dal fatto deriva un danno ingiusto») fino al riconoscimento di “circostanza aggravante” (con aumento delle pene) per l’impiego di sistemi AI nei casi di sostituzione di persona, truffa, riciclaggio, autoriciclaggio, aggiotaggio.
In tema di copyright, una disposizione quadro prevede che anche le opere create con l’ausilio di strumenti di intelligenza artificiale siano protette dal diritto d’autore, a condizione che la loro creazione derivi del lavoro intellettuale dell’autore. La riproduzione e l’estrazione da opere o da altri materiali contenuti in rete o in banche di dati cui si ha legittimamente accesso, effettuata tramite l’utilizzo di modelli e sistemi AI, è consentita solo se non c’è copertura del copyright (o se ciò avviene fa parte di enti di ricerca e istituti culturali per scopi di ricerca scientifica).
Gli impatti nelle aziende italiane
La normativa italiana, nel solco dell’AI Act europeo, richiede un salto di qualità nella governance e nell’implementazione dell’intelligenza artificiale nelle imprese, coinvolgendo tecnologie, processi e personale dedicato. È previsto quindi che influirà in modo significativo l’uso dell’AI nelle aziende, con impatti che coinvolgeranno organizzazione interna, responsabilità e compliance. Le imprese dovranno adeguare l’uso dell’AI a standard più rigidi di trasparenza, responsabilità e sicurezza, producendo documentazione tecnica, audit e registri delle decisioni automatizzate. Sarà necessario garantire la supervisione umana e un’accountability rafforzata oltre al rispetto di GDPR.
La classificazione del rischio dei sistemi AI in base alle disposizioni (inaccettabile, alto, limitato, minimo) determina obblighi diversi, con particolare attenzione a limitare o vietare usi rischiosi come profilazioni massive, analisi biometriche e riconoscimento emotivo. Le aziende che usano software o strumenti AI, anche terzi (es. ERP, CRM, chatbot), dovranno conoscere e garantire la conformità della componente AI dei propri sistemi.
Molte disposizioni sono collegate a un uso responsabile e sicuro dei dati collegati ai sistemi AI. In linea con il GDPR, sono previsti rigorosi requisiti di privacy e sicurezza
- Ogni trattamento di dati personali da parte di sistemi AI deve avere una base legale valida (consenso, interesse legittimo con condizioni restrittive, obblighi contrattuali) e rispettare i principi di minimizzazione, liceità, trasparenza e integrità.
- Le aziende devono documentare le fonti dei dati usati per addestrare i modelli AI, assicurando che non siano impiegate informazioni ottenute illecitamente o senza consenso.
- È obbligatorio implementare misure di sicurezza tecniche e organizzative per proteggere i dati da accessi non autorizzati, perdite o manipolazioni, incluse misure come crittografia e controllo degli accessi.
- La normativa richiede trasparenza verso gli utenti, che devono essere informati del trattamento AI, della natura automatizzata delle decisioni e dei loro diritti di accesso, rettifica o opposizione.
- Per usi innovativi o a rischio elevato, occorre eseguire valutazioni d’impatto sulla protezione dei dati (DPIA) per valutare e mitigare i rischi.
- La governance dei dati dovrà essere integrata tra AI Act, GDPR e le autorità italiane competenti (Garante Privacy, AgID, Agenzia per la Cybersicurezza Nazionale), con obblighi di collaborazione e controllo.
- La legge richiede inoltre la localizzazione dei dati critici dell’AI (es. dati personali) in datacenter UE o italiani per tutelare la sovranità e la sicurezza dei dati sensibili dei cittadini. Il principio vale soprattutto per enti pubblici e infrastrutture strategiche, che devono riferirsi a data center nazionali anche per servizi di disaster recovery e business continuity.
In sostanza, la legge italiana sull’AI ribadisce i requisiti di sicurezza per dati e soluzioni AI, e pone una specifica enfasi sulla localizzazione dei dati per salvaguardare la sicurezza nazionale, la privacy e la governance autonoma dei dati, soprattutto per i sistemi AI usati in ambiti pubblici e strategici.
