Legge 132/2025 e GDPR: il nuovo regime sanzionatorio per l'IA in Italia

La Legge 132/2025 e il GDPR rappresentano oggi i due pilastri normativi che ridefiniscono il perimetro di responsabilità per chi sviluppa, distribuisce e utilizza sistemi di intelligenza artificiale in Italia. L’entrata in vigore, il 10 ottobre 2025, del primo quadro normativo organico nazionale sull’IA non ha semplicemente aggiunto un nuovo strato di compliance: ha innescato una trasformazione sistemica che impone ai professionisti della sicurezza informatica di ripensare processi, documentazione e governance. Questo contributo analizza le implicazioni operative concrete per CISO, DPO, security architect e legal counsel, identificando i nodi critici dell’integrazione tra normativa privacy e regolamentazione dell’intelligenza artificiale.

Il contesto: una convergenza normativa senza precedenti

Chi osserva l’evoluzione del quadro regolatorio europeo con l’occhio del practitioner riconosce immediatamente la portata della sfida. Nel 2025, le autorità privacy dello Spazio Economico Europeo hanno inflitto 335 sanzioni per violazioni del GDPR, per un ammontare complessivo di 1,1 miliardi di euro secondo il GDPR Enforcement Tracker. Tre soli provvedimenti – TikTok (530 milioni di euro), Google (325 milioni di euro, comminati dalla CNIL francese in applicazione della normativa nazionale) e Shein (150 milioni di euro) – rappresentano il 91% del totale, ma sarebbe un errore considerare questo dato come rassicurante per le organizzazioni di dimensioni minori.

La media delle sanzioni “ordinarie”, esclusi i dieci provvedimenti più elevati, si attesta infatti a 298.000 euro: un importo che può compromettere seriamente la sostenibilità di una PMI. E questo scenario si inserisce in un momento storico in cui l’Italia ha deciso di non limitarsi a recepire passivamente il Regolamento UE 2024/1689 (AI Act), ma di anticiparne l’applicazione con una legge nazionale che introduce obblighi specifici e un apparato sanzionatorio autonomo.

La Legge 23 settembre 2025, n. 132, pubblicata in Gazzetta Ufficiale il 25 settembre e operativa dal 10 ottobre, rappresenta il primo intervento organico del legislatore italiano in materia di intelligenza artificiale. Non si tratta di un documento di principi: è una norma che tocca la responsabilità penale, civile e amministrativa di chiunque interagisca con sistemi di IA e che impone un ripensamento radicale delle strategie di compliance.

Legge 132/2025 e GDPR: l’integrazione funzionale tra due mondi normativi

L’elemento distintivo della Legge 132/2025 risiede nella scelta del legislatore di non creare un sistema parallelo al GDPR, ma di costruire un’architettura di integrazione funzionale. L’articolo 4 della legge italiana stabilisce con chiarezza cristallina che “l’utilizzo di sistemi di intelligenza artificiale garantisce il trattamento lecito, corretto e trasparente dei dati personali e la compatibilità con le finalità per le quali sono stati raccolti, in conformità al diritto dell’Unione europea in materia di dati personali”.

Questo richiamo esplicito ai principi dell’articolo 5 del GDPR non è una clausola di stile: è il fondamento di una accountability condivisa che distribuisce le responsabilità lungo l’intera catena del valore dell’IA. Sviluppatori, fornitori e utilizzatori (deployer) non possono più trincerarsi dietro compartimentazioni formali delle competenze. Il principio di responsabilizzazione richiede che ogni attore della filiera sia in grado di dimostrare la conformità delle proprie attività, anche quando dipendono da componenti tecnologici sviluppati da terzi.

Per il DPO, questo significa assumere un ruolo di coordinamento che travalica i confini tradizionali della funzione. La valutazione dei rischi privacy deve ora integrarsi con l’analisi dei rischi specifici dell’intelligenza artificiale: discriminazione algoritmica, erosione dell’autonomia decisionale umana, opacità dei processi decisionali automatizzati. Non è più sufficiente verificare che esista una base giuridica per il trattamento: occorre valutare se il sistema di IA rispetti i requisiti di trasparenza, spiegabilità e proporzionalità imposti dalla nuova normativa.

Articolo 11: gli obblighi per i datori di lavoro nell’era dell’IA

Se il quadro generale delineato dall’articolo 4 impone un ripensamento strategico, l’articolo 11 della Legge 132/2025 traduce questi principi in obblighi operativi specifici per il contesto lavorativo. La norma introduce una disciplina dettagliata sull’uso dell’intelligenza artificiale nei rapporti di lavoro, stabilendo che il datore di lavoro che utilizzi strumenti basati su IA deve informare preventivamente i lavoratori secondo le modalità previste dal D.lgs. 152/1997, come modificato dalla stessa legge.

L’informativa deve indicare in modo chiaro e comprensibile elementi che fino a ieri appartenevano al lessico esclusivo dei data scientist: finalità e ambito di applicazione dell’IA nel contesto lavorativo, logica di funzionamento anche in termini non tecnici, parametri e metriche utilizzati per la valutazione o la profilazione, livello di accuratezza e robustezza del sistema, potenziali rischi di bias o discriminazioni.

Per i CISO e i security architect, questa disposizione implica un coinvolgimento diretto nella definizione delle specifiche tecniche dei sistemi di IA destinati alla gestione del personale. Non è più possibile acquisire soluzioni “chiavi in mano” senza una due diligence approfondita sulla documentazione tecnica fornita dal vendor. Il deployer deve essere in grado di spiegare ai lavoratori come funziona il sistema che li riguarda: se non dispone di questa conoscenza, non può adempiere agli obblighi informativi.

La connessione con l’articolo 4 dello Statuto dei Lavoratori (Legge 300/1970), richiamato esplicitamente dalla norma, aggiunge un ulteriore strato di complessità. L’utilizzo di sistemi di IA per finalità di ottimizzazione o miglioramento delle prestazioni non può tradursi in forme di sorveglianza o monitoraggio senza le garanzie previste dalla legge: accordo sindacale o autorizzazione dell’Ispettorato Nazionale del Lavoro. Il confine tra “supporto decisionale” e “controllo a distanza” diventa oggetto di interpretazioni che richiederanno tempo per consolidarsi, ma il rischio di sanzioni nel periodo di incertezza è reale e non trascurabile.

Articolo 26: le aggravanti penali e il nuovo reato di deepfake

Il Capo V della Legge 132/2025 rappresenta probabilmente l’innovazione più significativa sul piano sistematico: l’introduzione di fattispecie penali autonome e circostanze aggravanti specifiche per l’uso illecito dell’intelligenza artificiale. L’Italia è il primo Stato membro dell’UE ad approvare una normativa di questo tipo, e la scelta di non limitarsi a principi generali o raccomandazioni etiche merita attenzione.

L’articolo 26, comma 1, lettera a), introduce una nuova circostanza aggravante comune all’articolo 61 del codice penale (numero 11-decies): il reato è aggravato quando è commesso “mediante l’impiego di sistemi di intelligenza artificiale, quando gli stessi, per la loro natura o per le modalità di utilizzo, abbiano costituito mezzo insidioso, ovvero quando il loro impiego abbia comunque ostacolato la pubblica o la privata difesa, ovvero aggravato le conseguenze del reato”.

La portata di questa disposizione è trasversale: si applica a qualsiasi reato, dalla truffa alle minacce, dall’estorsione alla diffamazione. Per le organizzazioni che utilizzano sistemi di IA, questo significa che un utilizzo improprio o negligente della tecnologia può trasformare un illecito “ordinario” in un reato aggravato, con conseguenze sul piano sanzionatorio e, potenzialmente, sulla responsabilità amministrativa degli enti ai sensi del D.lgs. 231/2001.

L’articolo 26 introduce inoltre il nuovo articolo 612-quater del codice penale: “Illecita diffusione di contenuti generati o alterati con sistemi di intelligenza artificiale”. La norma punisce con la reclusione da uno a cinque anni chiunque cagioni un danno ingiusto a una persona cedendo, pubblicando o diffondendo senza il suo consenso immagini, video o voci falsificati o alterati mediante l’impiego di sistemi di intelligenza artificiale e idonei a indurre in inganno sulla loro genuinità.

Per i professionisti della cybersecurity, questa disposizione impone una riflessione sulla gestione dei sistemi di IA generativa all’interno delle organizzazioni. Chi può utilizzare questi strumenti? Per quali finalità? Con quali controlli? L’assenza di policy interne chiare può esporre l’organizzazione a rischi penali diretti, oltre che reputazionali.

La DPIA estesa: valutare i rischi specifici dell’intelligenza artificiale

La Legge 132/2025 estende l’ambito della valutazione d’impatto sulla protezione dei dati (DPIA) prevista dall’articolo 35 del GDPR, introducendo l’obbligo di considerare i rischi specifici dell’intelligenza artificiale. Questa non è una semplice integrazione documentale: è un cambio di paradigma che sposta il focus dalla protezione dei dati alla governance dell’algoritmo lungo l’intero ciclo di vita del sistema.

La DPIA tradizionale si concentra sui rischi per i diritti e le libertà degli interessati derivanti dal trattamento dei dati personali. La DPIA estesa per l’IA deve includere anche la valutazione della discriminazione algoritmica: il rischio che il sistema produca output che penalizzano sistematicamente determinate categorie di persone in base a fattori protetti (sesso, età, origini etniche, orientamento religioso o sessuale).

Il caso Amazon del 2018 – un algoritmo di recruiting che aveva “imparato” a preferire candidati maschi perché addestrato su dataset storici dove le donne erano sottorappresentate – non è un aneddoto: è l’archetipo di un rischio che ogni organizzazione che utilizza IA nel processo di selezione deve saper riconoscere, valutare e mitigare. E la discriminazione può emergere anche in forme meno evidenti, attraverso correlazioni statistiche che sfuggono all’osservazione diretta.

È in questo contesto che assumono rilevanza i principi di explainable AI (XAI) e machine unlearning promossi dalla Legge 132/2025. L’obbligo di spiegabilità non si esaurisce nella generazione di documentazione tecnica per gli esperti: le informazioni devono essere rese “con linguaggio chiaro e semplice, in modo da garantire all’utente la conoscibilità dei relativi rischi e il diritto di opporsi ai trattamenti autorizzati dei propri dati personali” (articolo 4, comma 3).

Il machine unlearning, ovvero la capacità di rimuovere l’influenza di specifici dati dal modello addestrato, diventa uno strumento essenziale per garantire l’esercizio effettivo del diritto alla cancellazione previsto dall’articolo 17 del GDPR. Se un interessato richiede la cancellazione dei propri dati e questi sono stati utilizzati per addestrare un modello di IA, l’organizzazione deve essere in grado di dimostrare che l’influenza di quei dati è stata effettivamente eliminata.

Il coordinamento multi-autorità: Garante Privacy, AgID, ACN

La governance dell’intelligenza artificiale in Italia si articola su tre pilastri istituzionali: il Garante per la protezione dei dati personali, l’Agenzia per l’Italia Digitale (AgID) e l’Agenzia per la Cybersicurezza Nazionale (ACN). L’articolo 20 della Legge 132/2025 designa AgID e ACN quali autorità nazionali responsabili dell’attuazione della normativa nazionale ed europea sull’IA, mentre il Garante mantiene le proprie competenze in materia di protezione dei dati personali.

Questo assetto istituzionale impone alle organizzazioni di gestire interlocuzioni multiple e potenzialmente sovrapposte. Un incidente che coinvolga un sistema di IA può richiedere la notifica al Garante (se comporta una violazione di dati personali), all’ACN (se rientra negli obblighi NIS2) e potenzialmente ad AgID (per profili di conformità dell’IA). La mancanza di un coordinamento efficace può tradursi in oneri amministrativi significativi e nel rischio di comunicazioni incoerenti.

Il caso OpenAI è emblematico di questa complessità. Il 20 dicembre 2024, il Garante per la protezione dei dati personali ha comminato a OpenAI una sanzione di 15 milioni di euro per violazioni connesse alla gestione del servizio ChatGPT: mancata notifica del data breach del marzo 2023, trattamento dei dati personali per l’addestramento del modello senza adeguata base giuridica, violazione del principio di trasparenza, assenza di meccanismi per la verifica dell’età. Il Tribunale di Roma ha successivamente sospeso la sanzione con ordinanza del 21 marzo 2025, ma il procedimento prosegue e le questioni di fondo restano aperte.

Per i CISO e i DPO, questo precedente offre indicazioni operative concrete: la conformità al GDPR per i sistemi di IA richiede attenzione specifica alla base giuridica del trattamento per finalità di addestramento, alla trasparenza delle informative, ai meccanismi di verifica dell’età per servizi accessibili ai minori. Non basta dichiarare di essere compliant: occorre essere in grado di dimostrarlo.

Implicazioni operative: una checklist per i professionisti

La transizione verso un regime di compliance integrata GDPR-IA richiede interventi su più livelli. Per i professionisti della sicurezza informatica, della privacy e della compliance, alcuni adempimenti risultano prioritari.

Aggiornamento delle informative privacy. Le informative esistenti devono essere integrate per includere informazioni specifiche sull’utilizzo di sistemi di IA: finalità del trattamento automatizzato, logica decisionale, conseguenze previste per l’interessato, diritto di ottenere l’intervento umano. Il linguaggio deve essere accessibile anche a utenti non tecnici.

Formazione obbligatoria. L’articolo 4 dell’AI Act europeo impone obblighi di alfabetizzazione in materia di IA che si applicano già dal 2 febbraio 2025. La Legge 132/2025 rafforza questo obbligo nel contesto italiano. Le organizzazioni devono predisporre programmi formativi per il personale che sviluppa, gestisce o utilizza sistemi di IA, con particolare attenzione ai rischi etici, alla discriminazione algoritmica e ai diritti degli interessati.

Revisione dei Modelli 231. Le nuove fattispecie penali introdotte dalla Legge 132/2025 – in particolare l’aggravante generale e le aggravanti speciali per manipolazione del mercato e aggiotaggio – richiedono un aggiornamento dei Modelli di Organizzazione, Gestione e Controllo ai sensi del D.lgs. 231/2001. I protocolli devono includere controlli specifici sull’utilizzo di sistemi di IA.

Mappatura dei sistemi di IA. Le organizzazioni devono procedere a un censimento completo dei sistemi di IA in uso, identificando per ciascuno: fornitore, finalità, categorie di dati trattati, base giuridica, documentazione tecnica disponibile, rischi specifici. Questo inventario è il presupposto per qualsiasi valutazione d’impatto.

Clausole contrattuali con i vendor. I contratti con i fornitori di sistemi di IA devono includere clausole specifiche su: responsabilità per violazioni della normativa privacy e IA, obblighi di documentazione tecnica, diritti di audit, procedure di incident response, cooperazione in caso di esercizio dei diritti degli interessati.

Prospettive: verso una compliance dinamica

La Legge 132/2025 delega il Governo a emanare, entro dodici mesi dall’entrata in vigore, decreti legislativi per adeguare la normativa nazionale all’AI Act europeo e specificare la disciplina dei casi di realizzazione e impiego illeciti di sistemi di IA. Questo significa che il quadro normativo è destinato a evolversi rapidamente, e le organizzazioni devono prepararsi a una compliance dinamica che richiede monitoraggio continuo e capacità di adattamento.

Il tasso di adozione dell’IA nelle imprese italiane si attesta all’8,2% contro una media UE del 13,5% secondo i dati ISTAT 2024. Questo gap competitivo rischia di ampliarsi se la normativa viene percepita esclusivamente come un ostacolo anziché come un’opportunità per costruire un ecosistema di intelligenza artificiale affidabile. Le organizzazioni che avranno già avviato il processo di adeguamento si troveranno in posizione di vantaggio, potendo influenzare l’evoluzione interpretativa della normativa attraverso il dialogo costruttivo con le autorità.

La sfida per i professionisti della sicurezza informatica, della privacy e della compliance non è solo tecnica: è culturale. Richiede la capacità di dialogare con interlocutori diversi – sviluppatori, data scientist, giuristi, management – e di tradurre requisiti normativi complessi in procedure operative sostenibili. La Legge 132/2025 e il GDPR forniscono gli strumenti; sta a noi saperli utilizzare.

Conclusioni

Il regime sanzionatorio per l’IA delineato dalla Legge 132/2025 e dal GDPR impone un cambio di passo nella gestione della compliance. Non si tratta più di adempimenti formali o checklist da spuntare: è necessaria una governance integrata che consideri l’intero ciclo di vita dei sistemi di intelligenza artificiale, dalla progettazione all’utilizzo, dalla valutazione dei rischi alla risposta agli incidenti.

Per CISO, DPO, threat researcher, security architect e legal counsel, questo significa assumere un ruolo proattivo nella definizione delle strategie organizzative sull’IA. La Legge 132/2025 e il GDPR non sono vincoli esterni da subire: sono il perimetro entro cui costruire innovazione responsabile.

Il precedente OpenAI, le sanzioni miliardarie del GDPR Enforcement Tracker 2025, le nuove aggravanti penali per l’uso illecito dell’IA: sono tutti segnali di un enforcement che diventerà sempre più incisivo. Chi attende di essere costretto alla compliance rischia di trovarsi impreparato; chi anticipa i requisiti normativi costruisce resilienza organizzativa e vantaggio competitivo.

La Legge 132/2025 e il GDPR segnano l’inizio di una nuova fase nella regolamentazione dell’intelligenza artificiale in Italia. I prossimi mesi saranno decisivi per definire le prassi interpretative e applicative. I professionisti che sapranno guidare le proprie organizzazioni in questa transizione non saranno solo compliance officer: saranno architetti di un futuro digitale responsabile.

Condividi sui Social Network:

Tailscale: la VPN open source semplice e sicura

Framework SLSA: guida completa ai livelli di sicurezza e strategie di implementazione per la Software Supply Chain

Il metaverso per la salute mentale

EU Cyber Blueprint: il nuovo paradigma europeo per la gestione delle crisi cibernetiche

Neurotecnologia e mental health: il metaverso per la salute mentale tra potenzialità tecniche e tutela della personalità

La Prima Rivista Italiana Dedicata alla Sicurezza Informatica

ICT Security Magazine