Italia, prima nell’UE con una legge nazionale sull’IA: cosa cambia per le imprese
È stata approvata in via definitiva la Legge 23 settembre 2025, n. 132, pubblicata in Gazzetta Ufficiale il 25 settembre 2025 entrata in vigore il 10 ottobre 2025. L’Italia è il primo Paese UE ad affiancare all’AI Act un quadro normativo organico che trova applicazione nel territorio nazionale.
Per un inquadramento operativo dell’AI Act e del calendario degli adempimenti europei, clicca qui per il nostro articolo dedicato.
Che cosa disciplina la Legge 132/2025
La Legge detta principi generali sull’uso dell’IA, assumendo una chiave antropocentrica, nel rispetto dei diritti fondamentali e dei valori costituzionali ed europei. L’articolo 3 elenca i principi cardine: trasparenza, proporzionalità, sicurezza, protezione dei dati, riservatezza, accuratezza, non discriminazione, parità di genere e sostenibilità. Viene ribadita la necessità di controllo e intervento umano sui processi decisionali supportati dall’IA.
Il legislatore individua due autorità nazionali competenti.
AgID svolge il ruolo di autorità di notifica e accreditamento degli organismi di valutazione per i sistemi ad alto rischio; ACN esercita funzioni di vigilanza e sanzione e guida i profili di cybersicurezza. Sono previsti comitati di coordinamento presso la Presidenza del Consiglio e l’aggiornamento periodico della strategia nazionale.
Il Capo II introduce regole settoriali. In sanità, l’IA è ammessa come supporto a prevenzione, diagnosi e cura, ma la decisione resta al medico; l’interessato ha diritto a essere informato sull’uso di tecnologie di IA; i sistemi e i dati vanno verificati e aggiornati.
Per le professioni intellettuali, l’IA resta strumento ausiliario; la prestazione rimane umana, con obblighi informativi chiari verso il cliente.
Nel lavoro, si istituisce un Osservatorio presso il Ministero del Lavoro; il datore deve informare i lavoratori sull’impiego di IA secondo l’art. 1-bis del D.Lgs. 152/1997. È vietata la valutazione automatizzata senza possibilità di contestazione. Nella giustizia, l’IA può supportare ma non sostituire la decisione del magistrato.
Il Capo V interviene sul codice penale. Nasce il nuovo reato di illecita diffusione di contenuti generati o alterati con IA (deepfake), oggi collocato all’art. 612-quater c.p. Viene introdotta anche un’aggravante comune ex art. 61 n. undecies c.p. quando l’uso di sistemi di IA costituisce mezzo insidioso, ostacola la difesa o aggrava le conseguenze del reato.
La Legge contiene varie deleghe al Governo. Entro dodici mesi dall’entrata in vigore, dovranno arrivare decreti legislativi su: dati/algoritmi e metodi per l’addestramento; poteri ispettivi e sanzionatori nazionali in coordinamento con l’AI Act; profili di responsabilità civile e criteri di imputazione della responsabilità penale delle persone fisiche e amministrativa degli enti (d.lgs. 231/2001) nei casi di illeciti connessi a sistemi di IA.
Il raccordo con l’AI Act: scadenze da conoscere
L’AI Act ha un calendario di applicazione graduale. Dal 2 febbraio 2025 sono vietati i sistemi ad “rischio inaccettabile” e si rafforzano gli obblighi di alfabetizzazione. Dal 2 agosto 2025 si applicano le regole per i modelli di IA di uso generale (GPAI), con enforcement pieno dal 2 agosto 2026; per i GPAI immessi prima del 2 agosto 2025 la conformità slitta al 2027. Le regole “core” per la maggior parte dei sistemi ad alto rischio si applicano dal 2 agosto 2026; per alcune categorie legate a normative di prodotto UE il termine arriva a 36 mesi dall’entrata in vigore.
Effetti pratici per le imprese
Per le aziende che sviluppano, integrano o usano sistemi di IA, la priorità è allineare il proprio ciclo di vita del prodotto/servizio ai principi dell’art. 3 e al regime di ruoli e responsabilità dell’AI Act (provider, deployer, importatore, distributore). Serve un inventario dei sistemi di IA, con mappatura del rischio e delle basi giuridiche del trattamento dati, e un piano di adeguamento che tenga distinti obblighi UE e regole italiane di settore. Le funzioni compliance, legale, IT e sicurezza devono procedere insieme.
Nei processi HR è necessario aggiornare informative e policy sul digitale, formare i lavoratori e documentare l’eventuale uso di IA in selezione, valutazione o scheduling, garantendo canali di contestazione. Gli obblighi informativi richiamano il D.Lgs. 152/1997 e si innestano sullo Statuto dei Lavoratori e sul GDPR.
Per i professionisti e gli studi, l’IA va usata come supporto, non come sostituto dell’opera intellettuale. Occorre informare i clienti con linguaggio chiaro sui sistemi impiegati e sui limiti del loro uso. La mancata vigilanza umana può rilevare anche sul piano deontologico e della responsabilità.
Nel settore sanitario, i fornitori dovranno garantire qualità dei dataset, tracciabilità, aggiornamento dei modelli e informative efficaci agli interessati; le strutture sanitarie dovranno presidiare decisioni cliniche e logging dei sistemi, mantenendo la “ultima parola” in capo al medico.
Sul fronte penale e 231, la nuova fattispecie sui deepfake e l’aggravante per uso di IA impongono presidi organizzativi specifici: procedure di approvazione dei contenuti generati con IA, verifiche di autenticità, canali di segnalazione e blocco. Le deleghe annunciano un probabile allineamento del catalogo 231 o, comunque, criteri di imputazione ad hoc che guarderanno al “livello di controllo” sul sistema IA. Conviene anticipare l’adeguamento del Modello 231 e del sistema disciplinare.
Il nuovo quadro italiano non sostituisce l’AI Act: lo accompagna e lo rende operativo nei nostri settori chiave. Le aziende che agiscono ora potranno innovare in modo sicuro, evitare blocchi e sanzioni e presentarsi pronte agli audit europei e nazionali.
Per un assessment rapido dei tuoi casi d’uso, la mappatura degli obblighi AI Act/Legge 132 e l’aggiornamento di policy, contratti e Modello 231, contatta lo Studio Vocati. Possiamo affiancare la tua impresa nella definizione della governance IA, nella formazione del personale e nella gestione dei rischi legali lungo tutto il ciclo di vita dei sistemi.
