Home

Internal

Global

Contatto

de|en|it

Rödl & Partner Italia: il volume d’affari 2024 cresce ad un livello record di 33,3 milioni di euro |

In tutto il mondo

Utilizziamo cookie tecnici per personalizzare il sito web e offrire all’utente un servizio di maggior valore. Chiudendo il banner e continuando con la navigazione verranno installati nel Suo dispositivo i cookie tecnici necessari ai fini della navigazione nel Sito. L’installazione dei cookie tecnici non richiede alcun consenso da parte Sua. Ulteriori informazioni sono contenute nella nostra Cookie Policy.

Italia pioniera: approvata la prima legge nazionale sull’Intelligenza Artificiale

Ultimo aggiornamento del 29.09.2025 | Tempo di lettura ca. 8 minuti

Con la pubblicazione in Gazzetta Ufficiale del 25 settembre 2025, la Legge n. 132 del 2025 (di seguito “Legge I.A.”) diviene ufficialmente parte dell’ordinamento italiano, con entrata in vigore prevista per il 10 ottobre 2025. La norma, che rappresenta la prima legge nazionale organica in materia di intelligenza artificiale, è il risultato di un iter parlamentare complesso e articolato: dal disegno di legge n. S.1146 presentato al Senato, alla successiva approvazione con emendamenti del DDL C.2316 da parte della Camera dei Deputati, fino al ritorno in Senato e all’approvazione definitiva del testo come DDL S.1146-b.

L’intervento legislativo si colloca in un momento cruciale per lo sviluppo delle tecnologie di intelligenza artificiale (I.A.), a ridosso dell’adozione del Regolamento (UE) 2024/1689 (“A.I. Act”), destinato a diventare il quadro di riferimento europeo, se non un vero e proprio standard normativo globale. L’Italia, con questa legge, intende da un lato armonizzare la disciplina nazionale con il diritto europeo, e dall’altro rafforzare alcuni principi fondamentali, al fine di garantire che l’adozione dell’I.A. avvenga secondo criteri di trasparenza, proporzionalità, sicurezza, tutela dei diritti fondamentali e centralità della persona.

La Legge I.A. stabilisce dunque una serie di principi generali e trasversali, applicabili a tutti i sistemi e modelli di I.A., al contempo introducendo disposizioni specifiche per settori chiave come sanità, ricerca, lavoro, professioni intellettuali, pubblica amministrazione, giustizia, diritto d’autore e diritto penale.

Questa analisi si propone di passare in rassegna i contenuti principali della Legge I.A., illustrandoli e mettendone in luce le implicazioni pratiche e le criticità emerse anche dal dibattito dottrinale e professionale, nonché di formulare alcune raccomandazioni operative rivolte a imprese, professionisti e amministrazioni pubbliche.

I.A. in salsa tricolore: sintesi dei contenuti

Principi generali e diritti fondamentali

Il Capo I della Legge stabilisce che la ricerca, lo sviluppo e l’applicazione dell’I.A. devono avvenire nel rispetto dei diritti costituzionali, del diritto dell’Unione e dei principi di trasparenza, proporzionalità, sicurezza, protezione dei dati personali, non discriminazione, parità di genere e sostenibilità (art. 3). Centrale è la garanzia della supervisione umana: nessuna decisione può essere totalmente delegata a un sistema automatizzato. È altresì sancita la tutela del metodo democratico, con il divieto che l’uso dell’IA comprometta il dibattito politico o la sovranità dello Stato.

In materia di dati e informazione (art. 4), la Legge ribadisce il primato di una serie di principi ben noti, derivanti dal Regolamento (UE) 2016/679 (“GDPR”): liceità, correttezza, trasparenza, limitazione della finalità. Particolare attenzione è rivolta alla tutela dei minori: al di sotto dei 14 anni viene richiesto il consenso dei genitori per l’uso di sistemi I.A., mentre dai 14 ai 18 anni il consenso può essere prestato autonomamente, purché le informazioni fornite agli interessati siano adeguate e da questi comprensibili.

Settori specifici di applicazione

Sanità e ricerca scientifica (artt. 7-10): l’I.A. è riconosciuta come strumento di supporto a diagnosi e cure, ma la decisione finale resta al medico. È vietata qualsiasi discriminazione nell’accesso ai servizi sanitari. La legge valorizza il ruolo dell’Agenzia Nazionale per i Servizi Sanitari Regionali (“AGENAS”), incaricata di gestire una piattaforma nazionale di I.A. per l’assistenza territoriale e di emanare linee guida per l’anonimizzazione e la sintesi dei dati, previo parere del Garante per la Protezione dei Dati Personali. Viene inoltre autorizzato l’utilizzo secondario dei dati personali, anche particolari, per finalità di ricerca e sperimentazione scientifica, a condizione che questi siano soggetti a idonei processi di anonimizzazione, pseudonimizzazione o sintesi;
Lavoro (artt. 11-12): l’impiego dell’I.A. nei rapporti di lavoro è ammesso, seppur nel doveroso rispetto dei diritti dei lavoratori. Vige l’obbligo di informazione chiara su logiche e finalità dei sistemi utilizzati e la garanzia di intervento umano nelle decisioni automatizzate. Presso il Ministero del Lavoro viene inoltre istituito un Osservatorio nazionale per monitorare l’impatto dell’I.A. su occupazione e diritti, con poteri consultivi e propositivi;
Professioni intellettuali (art. 13): L’utilizzo dell’I.A. è consentito come supporto all’attività professionale, ma non può sostituire l’apporto creativo e intellettuale del professionista. È inoltre introdotto l’obbligo di informare il cliente sull’uso di sistemi I.A., per garantire trasparenza e mantenere il rapporto fiduciario;
Pubblica amministrazione (art. 14): l’I.A. potrà essere utilizzata per aumentare efficienza e qualità dei servizi pubblici, ma con obbligo di tracciabilità e conoscibilità del funzionamento dei sistemi impiagati. Rimane ferma la responsabilità personale del funzionario competente;
Giustizia (art. 15): l’impiego dell’I.A. in ambito giudiziario viene consentito unicamente per scopi organizzativi e di ricerca giurisprudenziale. È vietata la delega delle decisioni a sistemi algoritmici: la valutazione dei fatti e l’interpretazione della legge restano competenza esclusiva del giudice;
Diritto d’autore (art. 25): le opere create con l’ausilio dell’I.A. possono essere protette da diritto d’autore, ma solo se frutto di un apporto creativo umano rilevante. È previsto l’obbligo di etichettatura dei contenuti generati o manipolati dall’I.A., al fine di garantirne la tracciabilità.
Diritto penale (art. 26): l’uso dell’I.A. costituisce circostanza aggravante per i reati. È introdotto il nuovo reato di diffusione non autorizzata di deepfake ingannevoli (art. 612-quater c.p.), punito con la reclusione da 1 a 5 anni. Sono previste aggravanti per truffa, illeciti societari e abusi di mercato realizzati tramite I.A..

Autorità competenti e governance

La Legge individua due autorità nazionali per l’I.A.:

l'Agenzia per l'Italia Digitale (“AgID”), responsabile di promuovere innovazione, notifiche, valutazioni e monitoraggio della conformità;
l'Agenzia per la Cybersicurezza Nazionale (“ACN”), responsabile della vigilanza, delle attività ispettive e sanzionatorie, nonché dello sviluppo dell’IA in ambito di cybersecurity.

Accanto ad AgID e ACN, resta confermato il ruolo delle autorità di settore: ad esempio, la Consob per la vigilanza sui mercati finanziari e l’utilizzo dell’I.A. nei servizi di investimento; l’IVASS per il comparto assicurativo; la Banca d’Italia per l’ambito bancario e creditizio. Queste autorità sono chiamate a coordinarsi con le autorità nazionali in materia di I.A. al fine di garantire un’applicazione armonica e integrata delle regole.

Deleghe al Governo

L’art. 24 della Legge 132/2025 contiene una delega molto ampia al Governo, chiamato ad adottare entro i prossimi dodici mesi uno o più decreti legislativi per garantire il completo adeguamento della normativa nazionale all’A.I. Act e disciplinare l’uso lecito dei sistemi di I.A. a livello nazionale, definendo poteri ispettivi, sanzionatori e linee guida in materia.

La delega prevede, sostanzialmente:

Adeguamento normativo generale: l’obbligo in capo al Governo di modificare, integrare o abrogare la normativa nazionale (compresi i settori bancario, finanziario, assicurativo e dei pagamenti) per garantire il pieno recepimento dell’A.I. Act, attribuendo alle autorità nazionali competenti tutti i poteri di vigilanza, ispezione e sanzione previsti dalla disciplina europea;
Disciplina secondaria e sanzioni: possibilità di ricorrere a regolamenti delle autorità indipendenti per la regolamentazione di specifici ambiti, con correlata attribuzione a tali autorità del potere di irrogare sanzioni e misure amministrative conformi;
Formazione e alfabetizzazione: la predisposizione di percorsi di formazione e aggiornamento sull’I.A. rivolti a cittadini, professionisti, studenti e operatori, anche tramite ordini professionali e associazioni di categoria;
Settori specifici: la necessità di implementare una disciplina dedicata per l’impiego di I.A. nelle attività di polizia;
Vigilanza di mercato: l’attribuzione alle autorità di vigilanza del potere di imporre richieste di informazioni, ispezioni, anche senza preavviso, e controlli su sistemi di I.A. ad alto rischio;
Adeguamento sanzionatorio: aggiornamento del quadro nazionale delle sanzioni amministrative e penali, in coerenza con l’A.I. Act.

Timeline di attuazione

15 giorni dalla pubblicazione in Gazzetta Ufficiale: la Legge n. 132/2025 entrerà ufficialmente in vigore dal 10 ottobre 2025;
90 giorni: emanazione del decreto del Ministero del Lavoro per l’istituzione dell’Osservatorio I.A;
120 giorni: emanazione del decreto del Ministero della Salute per l’uso dei dati in ricerca e sperimentazione scientifica;
12 mesi: approvazione dei decreti legislativi attuativi su dati, algoritmi, responsabilità e sanzioni;
Fase transitoria: il Ministero della Giustizia potrà autorizzare sperimentazioni I.A. nei tribunali.

Conclusioni e raccomandazioni operative

La Legge 132/2025 segna un passaggio importante: per la prima volta il legislatore italiano costruisce una cornice giuridica autonoma per l’I.A., in coordinamento con il diritto europeo, anticipando in tale ambito tutti gli altri Stati membri. Tuttavia, permangono ancora alcune criticità interpretative:

il potenziale ampliamento degli obblighi rispetto all’A.I. Act, fonte sovraordinata;
la scarsa distinzione tra i vari attori della filiera (ad esempio fornitori, utilizzatori, distributori) e la mancata valorizzazione del rischio intrinseco connesso alle varie tipologie di sistemi di I.A. (la Legge non pare distinguere in alcun modo, ad esempio, tra sistemi ad alto rischio e sistemi a rischio minimo);
l’estrema genericità di alcune previsioni normative, che lascerà spazio a molteplici interpretazioni e al rischio di una conseguente incertezza normativa (a titolo esemplificativo, si faccia riferimento alla disciplina dell’I.A. in ambito professionale o al rapporto tra la Legge e la disciplina del diritto d’autore e della privacy).

Pertanto, per non incappare in violazioni e relative sanzioni, le imprese, enti pubblici e professionisti, dovrebbero attivarsi quanto prima al fine di procedere con le seguenti attività:

Mappatura interna: identificare i processi e i sistemi I.A. già in uso, al fine di classificarli secondo i criteri di rischio introdotti dall’A.I. Act;
Adeguamento organizzativo: predisporre informative chiare, procedure interne, misure di tracciabilità e audit, aggiornare i Modelli Organizzativi per includere i rischi connessi all’uso illecito dell’I.A.;
Formazione e cultura aziendale: promuovere percorsi di aggiornamento su I.A. e responsabilità legale, coinvolgendo anche i vertici aziendali;
Monitoraggio normativo: tenersi aggiornati e seguire con attenzione l’emanazione dei decreti attuativi che si susseguiranno nei prossimi 12 mesi, al fine di aggiornare tempestivamente processi, governance e contrattualistica;
Gestione dei dati: rafforzare le procedure di protezione dei dati, con particolare attenzione all’anonimizzazione e pseudonimizzazione, in linea con le linee guida AGENAS e le prescrizioni del Garante Privacy.

In definitiva, la Legge 132/2025 costituisce un banco di prova per il sistema giuridico ed economico italiano. La sua efficacia dipenderà non solo dalla qualità dei futuri decreti attuativi, ma anche dalla capacità di imprese, professionisti e amministrazioni di interpretarla e applicarla in modo coerente, responsabile e innovativo.