Intelligenza Artificiale: approvata la prima legge organica. Contenuti, raccordo con l’AI Act e impatti

L’approvazione della legge italiana sull’intelligenza artificiale segna un passaggio di sistema: non un provvedimento spot, ma una cornice che organizza principi, ruoli istituzionali e settori d’impiego in coerenza con il quadro europeo. Per chi progetta, gestisce e utilizza sistemi di IA – dalla PA alle strutture sanitarie, fino agli studi professionali – cambiano i presupposti di responsabilità, trasparenza e documentazione.

La decisione rimane umana, ma i processi si attrezzano: servono tracciabilità, misure tecniche ed evidenze di conformità. Il raccordo con l’AI Act evita sovrapposizioni e concentra la legge nazionale su governance, profili penali, ambiti sensibili e indicazioni per l’attuazione.

Il risultato è un percorso più chiaro per integrare l’IA nei servizi pubblici e nelle attività professionali, con tutele rafforzate su privacy, sicurezza e diritti fondamentali.

 

Legge italiana IA 2025: principi, ambiti e finalità

Per inquadrare correttamente il testo, è utile evidenziare l’architettura normativa e gli obiettivi di fondo su cui poggia l’intervento.

La legge si articola in più Capi che definiscono:

• Principi generali (antropocentricità, trasparenza, proporzionalità, sicurezza, qualità e accuratezza, non discriminazione, parità di genere, sostenibilità, sorveglianza umana, cybersicurezza lungo il ciclo di vita);
• Governance nazionale (Strategia, autorità competenti, coordinamento);
• Disposizioni settoriali per PA, giustizia, sanità, lavoro e professioni;
• Presidi su diritto d’autore e profili penali;
• Disposizioni finali e deleghe per l’attuazione.

Finalità: favorire ricerca, sviluppo e impiego responsabile dei sistemi di IA, prevenendo rischi per diritti e libertà fondamentali e assicurandone la coerenza con il Regolamento (UE) 2024/1689 – AI Act, che costituisce il quadro vincolante di riferimento. La legge nazionale non introduce oneri tecnici ulteriori rispetto all’AI Act, ma disciplina ruoli, processi e ambiti di competenza interna.

 

Struttura e principi generali della legge sull’Intelligenza Artificiale

La legge approvata presenta un impianto ordinato in principi e disposizioni generali, cui seguono norme dedicate agli ambiti sensibili (PA, giustizia, sanità, lavoro e professioni) e una delega al Governo per l’adozione di decreti legislativi entro 12 mesi dall’entrata in vigore. L’obiettivo è raccordare l’ordinamento interno all’AI Act evitando sovrapposizioni, chiarendo ruoli e procedure nazionali e predisponendo gli strumenti attuativi per i settori più esposti.

Principi fondamentali

Prima di entrare nel dettaglio applicativo, il legislatore fissa una serie di principi cardine che guidano interpretazione e attuazione della disciplina. In sintesi:

• Centralità della persona e impostazione antropocentrica dell’IA, con decisione finale in capo all’umano.
• Trasparenza ed elementi di spiegabilità dei sistemi, proporzionati al rischio e al contesto d’uso.
• Responsabilità degli operatori lungo il ciclo di vita (progettazione, addestramento, impiego, monitoraggio).
• Non discriminazione e inclusione, con presidi su qualità dei dati e mitigazione dei bias.
• Tutela della dignità e dei diritti fondamentali, anche nei casi d’uso automatizzati o ad alto impatto.
• Protezione dei dati personali e cybersicurezza, secondo il principio di privacy/security by design.

Questi principi, sebbene di natura generale, costituiscono la cornice interpretativa delle norme delegate e dovranno orientare sia i decreti legislativi sia le linee guida delle autorità competenti.

Governance

Il disegno istituzionale assegna un ruolo centrale ad AgID e ACN: la prima come autorità di notifica e conformità (notifiche, accreditamento e monitoraggio degli organismi di valutazione), la seconda come autorità di vigilanza del mercato, con poteri ispettivi e sanzionatori e responsabilità sui profili di cybersicurezza. Il coordinamento avviene in raccordo con la Presidenza del Consiglio e le autorità indipendenti – in primis il Garante per la protezione dei dati personali (nonché AGCOM e, per il settore finanziario, Banca d’Italia, CONSOB e IVASS). A livello politico-amministrativo opera un Comitato di coordinamento presso la Presidenza del Consiglio, con funzioni di indirizzo e raccordo interministeriale e con il compito di allineare strategie, attuazione e sandbox regolamentari.

  

Raccordo con il diritto dell’Unione. AI Act e prevalenza del diritto UE

Prima di entrare nei capitoli settoriali, va chiarito come la normativa si posizioni rispetto al quadro europeo, per evitare equivoci su obblighi e competenze.

La legge si applica e si interpreta in coerenza con l’AI Act, che prevale quale regolamento direttamente applicabile. Al livello nazionale sono regolati:

• l’architettura istituzionale (autorità, coordinamento, sandbox),
• alcuni settori di impiego (PA, giustizia, sanità, lavoro, professioni),
• i profili penali e le deleghe per definire gli usi illeciti.

Per operatori e fornitori resta centrale l’adeguamento all’AI Act (gestione del rischio, qualità dei dati, documentazione tecnica, trasparenza, marcatura CE ove prevista); la legge italiana assicura attuazione e vigilanza nel contesto nazionale.

LEGGI ANCHE
Regole sull'Intelligenza Artificiale: ci siamo, l'AI ACT europeo diventa operativo
Dal 2 agosto 2025 l’intelligenza artificiale entra nell’età della responsabilità: l’AI Act diventa operativo, il Codice di condotta GPAI offre una corsia di conformità, e in Italia scatta il pacchetto di decreti attuativi. Trasparenza sui dataset, tutela copyright e red‑teaming non saranno più opzioni ma obblighi. Scopri regole, scadenze, opportunità per imprese, sviluppatori e pubbliche amministrazioni che puntano sull’innovazione in Europa. 

 

Governance nazionale: ruoli, coordinamento e sandbox

AgID, ACN e Comitato di coordinamento per l’IA

Il funzionamento concreto del sistema passa dalla governance: chi fa cosa, con quali poteri e come si sperimentano soluzioni innovative in modo controllato.

• AgID è autorità di notifica e conformità: gestisce notifiche, accreditamento e monitoraggio degli organismi di valutazione e supporta l’implementazione dei processi di conformità.
• ACN è autorità di vigilanza del mercato: esercita poteri ispettivi e sanzionatori, con attenzione ai profili di cybersicurezza dei sistemi di IA, ai requisiti di resilienza, integrità e gestione degli incidenti.
• Presso la Presidenza del Consiglio è istituito un Comitato di coordinamento, per l’allineamento tra amministrazioni e autorità indipendenti (Garante, AGCOM e – per il settore finanziario – Banca d’Italia, CONSOB, IVASS).
• Sono previsti spazi di sperimentazione regolamentata (sandbox), utili per progetti innovativi con controllo dei rischi e misure di salvaguardia: strumento strategico per PA, utility e filiere critiche.

Cosa comporta per i progettisti/fornitori: procedure più chiare per la conformità e canali definiti per il dialogo regolatorio (sandbox), con effetti diretti sulla pianificazione di audit, test, red teaming e piani di gestione del rischio.

 

Intelligenza artificiale nella PA: trasparenza, tracciabilità e controllo umano

Nel perimetro pubblico, l’IA è uno strumento abilitante per efficienza e qualità dei servizi, ma non sostituisce la decisione umana. Occorre quindi impostare sin dall’inizio regole chiare di uso e di responsabilità.

La PA può impiegare l’IA per migliorare efficienza e qualità dei servizi, ma l’uso resta strumentale e di supporto:

• va garantita la conoscibilità di finalità, funzionamento essenziale e limiti dei sistemi;
• deve essere assicurata la tracciabilità dell’uso (logiche, esiti, interventi umani significativi);
• la decisione resta in capo alla persona (funzione di controllo/sorveglianza);
• occorrono misure tecniche, organizzative e formative adeguate.

Correzione applicata: anziché parlare di “registri d’uso” (non espressamente nominati), si raccomanda di prevedere misure documentali e di tracciabilità che permettano auditabilità e accountability dei processi decisionali e dei risultati.

Indicazioni pratiche per capitolati e progetti PA

Per trasformare i principi in pratica operativa, nei progetti e nei bandi conviene strutturare i requisiti come segue:

1. Mappatura dei processi e basi giuridiche (GDPR, Codice Privacy, AI Act).
2. Tracciabilità: log degli eventi chiave, versioning dei modelli, politiche di aggiornamento e roll-back.
3. Human-in-the-loop: definizione di soglie e casi di intervento umano obbligatorio.
4. Trasparenza verso l’utenza: informative e segnalazioni quando l’esito è assistito da sistemi di IA.
5. Formazione e policy interne su qualità dei dati, bias, gestione degli incidenti.

IA nei tribunali: divieto di sostituzione del giudice, uso ausiliario ammesso

Il capitolo giustizia è quello in cui il confine tra supporto tecnologico e decisione è più delicato. La legge lo traccia con nettezza, tutelando terzietà e diritti delle parti.

Divieto espresso: l’IA non può sostituire il magistrato in interpretazione e applicazione della legge, valutazione dei fatti e delle prove, adozione dei provvedimenti.

Uso ammesso: strumenti organizzativi e di supporto (smistamento, ricerche, gestione agenda/atti, reportistica), sperimentazioni autorizzate dal Ministero della Giustizia con garanzie e limiti temporali, in attesa della piena attuazione dell’AI Act.

Implicazioni progettuali: le soluzioni per uffici giudiziari dovranno privilegiare explainability, verificabilità e audit trail, con chiara separazione tra supporto tecnologico e momento decisionale umano.

 

IA e lavoro: informazione al lavoratore, dignità, non discriminazione

Nei processi HR l’uso dell’IA può accelerare selezione e valutazione, ma espone a rischi di bias e opacità. Il legislatore interviene su tutele e informazioni dovute ai lavoratori.

La legge afferma che l’IA deve migliorare sicurezza, affidabilità e qualità dell’organizzazione del lavoro nel rispetto di dignità e non discriminazione.

• Obbligo di informativa ai lavoratori sugli strumenti di IA che incidono su assunzione, valutazione, monitoraggio, mansioni (richiamo al d.lgs. 152/1997).
• Istituzione di un Osservatorio presso il Ministero del Lavoro per strategia, monitoraggio degli impatti, settori più esposti e formazione.
• Coerenza con l’AI Act: i sistemi di IA impiegati per selezione, valutazione e gestione del personale rientrano tra quelli ad alto rischio, con requisiti di gestione del rischio, qualità dei dati e misure anti-bias.

Per le imprese e gli studi: serve una valutazione d’impatto sui processi HR (rischi di discriminazione, errori sistematici, explainability) e l’adozione di controlli umani significativi nei passaggi critici.

  

IA nelle professioni intellettuali: supporto sì, prevale l’opera intellettuale

La disciplina per le professioni mira a valorizzare l’innovazione senza comprimere l’autonomia e la responsabilità del professionista verso il cliente.

Per ingegneri, architetti, geometri e altre professioni, l’IA è strumento di supporto; deve comunque prevalere l’opera intellettuale del professionista.

• Va comunicato al cliente, con linguaggio chiaro e completo, se e come l’IA viene impiegata nella prestazione (es. generazione di elaborati, analisi dati, simulazioni).
• Nelle politiche interne, indicare criteri di qualità dei dati, versioning dei modelli, verifica dei risultati e responsabilità finale del professionista.

  

Sanità digitale, dati per ricerca e garanzie privacy

In ambito sanitario la legge apre spazi importanti per ricerca e sperimentazione, bilanciando innovazione e protezione dei dati sensibili.

La legge prevede una cornice per la ricerca e la sperimentazione in ambito sanitario (pubblico e privato senza scopo di lucro), con uso secondario dei dati anche di categorie particolari, nel rispetto di privacy by design e criteri di minimizzazione.

• Il Ministero della Salute emanerà un decreto che disciplina trattamento, modalità semplificate e uso secondario dei dati in progetti di IA/ML (sentito il Garante); sono previsti termini procedurali.
• È valorizzato l’impiego di anonimizzazione, pseudonimizzazione e dati sintetici (con linee guida AGENAS previo parere del Garante).
• Comunicazione al Garante: per specifici trattamenti, invio di una comunicazione contenente gli elementi richiesti dal GDPR (artt. 24, 25, 32, 35). Decorso di 30 giorni, in assenza di provvedimenti di blocco, l’attività può essere avviata.

Per strutture sanitarie e IRCCS: predisporre DPIA quando richiesto, mantenere cataloghi dei dataset, tracciare catene di trasformazione (anonimizzazione/sintesi) e documentare finalità e basi giuridiche anche nell’uso secondario.

  

Diritto d’autore e contenuti generati con IA

L’evoluzione degli strumenti generativi impone un aggiornamento delle regole su creazione, riuso e diritti di terzi. Il testo interviene in questa direzione con impatti pratici per progettazione e comunicazione tecnica.

Il testo interviene per aggiornare la disciplina del diritto d’autore rispetto ad opere e contenuti realizzati con l’ausilio dell’IA. Per i professionisti (progetti, grafica, modellazione, BIM, reportistica) ciò implica:

• chiarire nei contratti processo creativo e apporto umano;
• gestire diritti di terzi su dataset e materiali di training;
• predisporre metadati e policy per l’uso editoriale e pubblico dei contenuti generati/assistiti.

  

Reati, illeciti e responsabilità da IA: cosa sapere

Sul fronte sanzionatorio la legge aggiorna fattispecie penali e prefigura ulteriori interventi delegati, mentre per la responsabilità civile resta applicabile il mosaico di regole generali.

Il Capo V aggiorna alcune fattispecie penali e introduce riferimenti a condotte mediate dall’IA (fra cui interventi su aggiotaggio, plagio e manipolazioni del mercato informativo).
Sul piano civile non vi è – ad oggi – una disciplina organica autonoma del danno da IA: si applicano le regole generali (contrattuale/extracontrattuale), integrate dagli obblighi di conformità dell’AI Act. Le deleghe legislative annunciano ulteriori interventi su usi illeciti dell’IA e possibili coordinamenti con il diritto UE (anche con le evoluzioni in materia di responsabilità prodotto/AI).

Suggerimento operativo: nei contratti di fornitura e servizio includere clausole di allocazione del rischio, piani di incident response, assicurazioni dedicate, e obblighi documentali coerenti con l’AI Act (risk management, logging, data governance, testing).

  

Appalti pubblici ed e-procurement 

Il tema della localizzazione dei dati si traduce in un indirizzo per le piattaforme di acquisto pubbliche, non in un obbligo generalizzato. Serve quindi una modulazione caso per caso.

La legge indirizza (non impone in via generalizzata) le piattaforme di e-procurement a privilegiare soluzioni che garantiscano, quando in gioco vi siano dati strategici, la localizzazione e l’elaborazione in data center sul territorio nazionale, con disaster recovery e business continuity anch’essi in Italia. Il tutto nel rispetto di concorrenza, non discriminazione e proporzionalità.

Per i RUP e i progettisti di gara: inserire requisiti tecnici e di sicurezza graduati sul rischio del dato (strategico vs non strategico), con valutazioni d’impatto e metriche su disponibilità, integrità e riservatezza.

   

Privacy e Codice Privacy: interferenze e adempimenti

Il raccordo con GDPR e Codice Privacy è trasversale: senza basi giuridiche solide, informative chiare e misure tecniche adeguate, l’adozione dell’IA non è sostenibile né conforme.

Il testo rafforza l’approccio privacy by design:

• Informativa trasparente e linguaggio chiaro, con attenzione ai minori: sotto i 14 anni serve il consenso del titolare della responsabilità genitoriale; dai 14 ai 18 anni il minore può prestare consenso se adeguatamente informato.
• Basi giuridiche coerenti con le finalità; DPIA per trattamenti ad alto rischio; misure tecniche e organizzative (minimizzazione, pseudonimizzazione/anonimizzazione, sicurezza by design).
• Raffronto con AI Act: i requisiti di trasparenza, qualità dei dati e gestione del rischio dei sistemi di IA si sommano – senza sovrapporsi – agli obblighi GDPR.

  

Attuazione pratica: checklist per PA, studi e fornitore

Per agevolare l’implementazione, di seguito una checklist essenziale, anticipata da una breve guida alla sua applicazione.

Come usare la checklist
Leggere ogni punto come un requisito da pianificare e documentare: definire responsabili, tempistiche, evidenze e criteri di verifica.

Per la PA

• Mappare processi e basi giuridiche;
• Definire misure di tracciabilità (log eventi, versioni modello, explainability);
• Prevedere intervento umano nei casi ad alto impatto;
• Informative chiare agli utenti;
• Piano formazione e gestione incidenti;
• Valutare, nei capitolati, requisiti su sicurezza e – dove pertinente – localizzazione dei dati strategici.

Per studi e imprese
Per i soggetti privati valgono logiche simili, con maggiore attenzione a clausole contrattuali e responsabilità professionale:

• Dichiarare ai clienti se e come l’IA supporta l’attività professionale;
• Politiche su qualità dei dati, verifica dei risultati, diritti d’autore;
• DPIA e misure anti-bias per sistemi HR;
• Contratti con clausole su responsabilità, assicurazioni, audit e piani di remediation.

PER APPROFONDIRE
SCARICA IL DOCUMENTO APPROVATIO DAL SENATO (DDL 1146-B) E IL RELATIVO DOSSIER