legge italiana sull'intelligenza artificiale - legge italiana sull'intelligenza artificiale - Legge 132/2025 sull'IA

La legge italiana sull’intelligenza artificiale: tra conformismo europeo e ambizioni nazionali

A cura di:Redazione Ore

La legge italiana sull’intelligenza artificiale rappresenta un momento cruciale nella storia normativa del Paese: il 23 settembre 2025, con l’approvazione della Legge 132, l’Italia è diventata il primo Stato membro dell’Unione Europea a dotarsi di un framework legislativo organico che disciplina sviluppo, adozione e governance dei sistemi di IA nel rispetto dei principi costituzionali e in piena coerenza con l’AI Act europeo.

Pubblicata nella Gazzetta Ufficiale n. 223 del 25 settembre 2025 ed entrata in vigore il 10 ottobre dello stesso anno, questa normativa composta da 28 articoli suddivisi in sei capi tocca ogni aspetto della rivoluzione algoritmica: dalla sanità al lavoro, dalla giustizia alle professioni intellettuali, dalla tutela del diritto d’autore alla lotta contro i deepfake. Con la designazione di AgID e ACN come autorità nazionali, l’istituzione di una strategia biennale e lo stanziamento di un miliardo di euro per startup e PMI innovative, la legge disegna un’architettura ambiziosa che mira a bilanciare innovazione tecnologica e tutela dei diritti fondamentali.

Ma dietro le apparenze di una normativa completa e strutturata, emergono interrogativi sulla reale portata innovativa di questo intervento. L’articolo 1, comma 2 stabilisce una subordinazione interpretativa al Regolamento UE 2024/1689, mentre l’articolo 3, comma 5 garantisce che non verranno introdotti obblighi più stringenti di quelli europei. La clausola di invarianza finanziaria dell’articolo 27 nega alle nuove autorità mezzi finanziari aggiuntivi. Le ampie deleghe al Governo per l’emanazione di decreti attuativi entro 12 mesi lasciano irrisolte questioni fondamentali su responsabilità civile, standard tecnici e meccanismi sanzionatori.

Siamo dunque di fronte a un’architettura normativa ambiziosa che può posizionare l’Italia come leader europeo nella governance dell’IA, o a un esercizio di conformità formale verso Bruxelles? Questo documento offre un’analisi critica e approfondita della Legge 132/2025, esaminandone punti di forza e debolezze strutturali, comparando l’approccio italiano con le strategie di altri Paesi europei, e valutando se il nostro Paese saprà tradurre principi teorici in un ecosistema regolatorio realmente efficace.

La legge italiana sull’intelligenza artificiale: l’architettura di una subordinazione volontaria

La prima cosa che colpisce leggendo il testo è la scelta netta operata all’articolo 1, comma 2: “Le disposizioni della presente legge si interpretano e si applicano conformemente al regolamento (UE) 2024/1689“. Non si tratta di una semplice clausola di compatibilità, ma di una vera e propria subordinazione ermeneutica. Il legislatore italiano ha rinunciato preventivamente a qualsiasi margine di interpretazione divergente rispetto all’AI Act europeo.

Questa scelta può apparire prudente, persino saggia. In fondo, perché creare frammentazioni in un mercato unico digitale che funziona solo se armonizzato? Ma confrontando l’approccio italiano con quello di altri Stati membri, emerge un pattern diverso.

La Francia ha annunciato 109 miliardi di euro di investimenti pubblico-privati nell’IA nei prossimi anni, creando ecosistemi nazionali di eccellenza attraverso campus di data center e fondi dedicati. La Germania punta a generare il 10% del PIL attraverso l’IA entro il 2030, concentrandosi sul trasferimento tecnologico nei settori industriali e manifatturieri. L’Italia, invece, ha scelto la via della certezza giuridica minimale.

E non si è fermata qui. L’articolo 3, comma 5 stabilisce che “La presente legge non produce nuovi obblighi rispetto a quelli previsti dal regolamento (UE) 2024/1689”. È una clausola di non-aggravamento che suona quasi come una promessa agli investitori: “Qui non troverete vincoli più severi dell’Europa”. Dal punto di vista della competitività economica ha senso. Ma significa anche rinunciare a utilizzare lo spazio normativo disponibile per affrontare rischi specifici del contesto nazionale o per sperimentare regolamentazioni più protettive in settori sensibili come la sanità pubblica o l’istruzione.

Il paradosso è che questa scelta di minimalismo normativo convive con una proliferazione di organismi, comitati e autorità di coordinamento che genera l’impressione opposta: quella di un apparato burocratico pesante e stratificato.

Il labirinto delle Autorità: governance policentrica o confusione organizzativa?

Il modello italiano di governance dell’intelligenza artificiale somiglia a un organismo multicefalo dove ogni testa ha competenze specifiche ma i meccanismi di coordinamento appaiono fragili. Da un lato c’è l’AgID (Agenzia per l’Italia Digitale), incaricata di promuovere l’innovazione, gestire le procedure di notifica e accreditare gli organismi che valutano la conformità dei sistemi. Dall’altro c’è l’ACN (Agenzia per la Cybersicurezza Nazionale), che si occupa di vigilanza, ispezioni, sanzioni e rappresenta il punto di contatto unico con le istituzioni europee.

A queste si aggiungono le autorità settoriali: Banca d’Italia, CONSOB e IVASS per il mondo finanziario; il Garante per la Privacy per la protezione dei dati personali; AGCOM per i servizi digitali. Poi ci sono i comitati: il Comitato di coordinamento tra le agenzie, il CITD (Comitato Interministeriale per la Transizione Digitale) che approva la strategia nazionale, l’Osservatorio sul lavoro istituito presso il Ministero del Lavoro.

Sulla carta, questo policentrismo garantisce specializzazione e competenza settoriale. Nella pratica, solleva interrogativi pressanti: cosa succede quando due autorità hanno interpretazioni divergenti su un caso concreto? Il Comitato di coordinamento previsto dall’articolo 20 ha poteri vincolanti per risolvere controversie o è solo un tavolo di discussione? E soprattutto, considerando che l’articolo 27 stabilisce l’invarianza finanziaria (nessuna nuova spesa), come faranno AgID e ACN a esercitare funzioni ispettive e sanzionatorie complesse con le risorse esistenti?

La storia della regolamentazione italiana è piena di autorità che sulla carta hanno competenze ampie ma nella pratica operano con mezzi risicati e personale insufficiente. Il rischio concreto è che questo modello di governance produca più coordinamento formale che vigilanza effettiva, più riunioni che enforcement reale.

La strategia nazionale: strumento di direzione o documento simbolico?

L’articolo 19 prevede una strategia nazionale biennale per l’intelligenza artificiale, da predisporre attraverso un processo complesso che coinvolge la Presidenza del Consiglio, le Autorità nazionali, vari ministeri competenti e infine l’approvazione del CITD. Sulla carta è uno strumento di pianificazione strategica. Ma osservando più da vicino, emergono fragilità strutturali.

Innanzitutto, la vincolatività: questa strategia produce obblighi giuridici concreti per amministrazioni pubbliche e operatori privati, o rimane un documento di indirizzo politico? La legge non lo chiarisce. Poi c’è la questione delle risorse: senza dotazioni finanziarie dedicate (ancora una volta, clausola di invarianza), come si traducono le priorità strategiche in azioni concrete? E infine, la cadenza biennale appare anacronistica per un settore dove l’evoluzione tecnologica procede a ritmi frenetici. Una strategia che si aggiorna ogni due anni rischia di essere superata dagli eventi prima ancora di essere pienamente implementata.

Il monitoraggio annuale trasmesso alle Camere dovrebbe garantire accountability, ma la storia parlamentare italiana suggerisce che questi meccanismi di rendicontazione spesso si riducono a rituali formali senza conseguenze operative. Per funzionare davvero, la strategia avrebbe bisogno di KPI misurabili, milestone verificabili e soprattutto meccanismi sanzionatori per amministrazioni inadempienti. Nulla di tutto questo è presente nel testo.

Il settore sanitario: prudenza o paralisi?

Gli articoli dedicati alla sanità (7-10) incarnano bene l’approccio generale della legge: enfasi sulla tutela, sul controllo umano, sulla responsabilità professionale, ma con genericità che lasciano irrisolte questioni pratiche cruciali. L’articolo 7, comma 5 stabilisce un principio netto: i sistemi di intelligenza artificiale “costituiscono un supporto nei processi di prevenzione, diagnosi, cura e scelta terapeutica, lasciando impregiudicata la decisione, che è sempre rimessa agli esercenti la professione medica.”

Questo approccio del “supporto non sostitutivo” sembra ragionevole, quasi ovvio. Ma proviamo a calarlo in scenari concreti. Immaginiamo un pronto soccorso sotto pressione, dove un algoritmo di triage basato su intelligenza artificiale potrebbe ottimizzare l’allocazione delle risorse analizzando simultaneamente centinaia di variabili cliniche. Se la legge richiede che ogni decisione passi comunque attraverso validazione umana, l’efficienza del sistema viene drasticamente ridotta.

Oppure pensiamo ai sistemi di diagnostica per immagini: alcuni algoritmi hanno ormai dimostrato accuratezza elevata nell’identificazione di certe patologie. Se il medico disattende il suggerimento dell’IA e commette un errore che il sistema avrebbe evitato, qual è la sua responsabilità medico-legale?

La legge non distingue tra sistemi di supporto decisionale debole (che forniscono informazioni aggiuntive) e sistemi di supporto decisionale forte (che propongono decisioni con evidenza statistica robusta). Questa mancanza di granularità rischia di produrre incertezza applicativa e, paradossalmente, di frenare l’adozione di tecnologie che potrebbero migliorare gli outcome clinici.

L’articolo 10 introduce un’innovazione potenzialmente significativa: una piattaforma nazionale di intelligenza artificiale gestita dall’AGENAS (Agenzia Nazionale per i Servizi Sanitari Regionali) per supportare l’assistenza territoriale. È un tentativo ambizioso di centralizzare servizi IA per il Servizio Sanitario Nazionale. Ma anche qui, il diavolo si nasconde nei dettagli assenti: quali standard di interoperabilità? Come si gestisce il consenso informato dei pazienti? Quali protocolli di sicurezza informatica per proteggere dati sanitari sensibilissimi? Quali meccanismi di governance tra Stato, Regioni e ASL? La legge tace su tutto questo, rimandando a futuri provvedimenti AGENAS che dovranno affrontare questioni tecniche e politiche di enorme complessità.

Il mondo del lavoro: tutele dichiarate, applicazione incerta

Gli articoli sul lavoro (11-12) cercano di bilanciare innovazione organizzativa e tutela dei diritti dei lavoratori, ma restano su un livello di generalità che lascia aperte le questioni più controverse. L’articolo 11 stabilisce che l’uso dell’intelligenza artificiale in ambito lavorativo deve essere “sicuro, affidabile, trasparente” e non può violare “la dignità umana né la riservatezza dei dati personali”. Il datore di lavoro deve informare il lavoratore dell’utilizzo dell’IA “nei casi e con le modalità” previste dal decreto legislativo 152/1997.

Ma cosa significa concretamente “trasparenza” quando si parla di algoritmi di gestione delle prestazioni lavorative? I sistemi di rating automatico dei rider, gli algoritmi che assegnano turni nei call center, i software che monitorano produttività degli smart worker: sono tutti sistemi di IA ad alto rischio secondo l’AI Act? E se lo sono, quali specifiche tutele devono essere implementate? La legge italiana non fornisce chiarimenti aggiuntivi rispetto al Regolamento europeo.

Poi c’è la questione spinosa del consenso. Fino a che punto il consenso di un lavoratore all’uso di sistemi IA può considerarsi libero, data l’asimmetria di potere contrattuale intrinseca al rapporto di lavoro subordinato? Se un algoritmo valuta le performance e influenza promozioni o licenziamenti, il lavoratore può realmente “opporsi” senza subire conseguenze?

L’Osservatorio istituito dall’articolo 12 presso il Ministero del Lavoro dovrebbe monitorare l’impatto dell’IA sul mercato del lavoro e promuovere formazione. Ma senza poteri normativi, budget dedicato o meccanismi di enforcement, rischia di diventare l’ennesimo organismo consultivo che produce report mai letti e raccomandazioni mai implementate. Il testo specifica addirittura che ai componenti dell’Osservatorio non spettano “compensi, gettoni di presenza, rimborsi di spese o altri emolumenti”. È difficile aspettarsi un impegno continuativo e di qualità da chi lavora gratuitamente in aggiunta alle proprie funzioni principali.

Giustizia algoritmica: conservatorismo necessario?

L’articolo 15 traccia una linea netta: nell’attività giudiziaria “è sempre riservata al magistrato ogni decisione sull’interpretazione e sull’applicazione della legge, sulla valutazione dei fatti e delle prove e sull’adozione dei provvedimenti”. Nessuna delega, nessuna automazione, nessuna sostituzione.

Questo approccio conservativo si spiega con la natura costituzionalmente garantita dell’indipendenza della magistratura e con i rischi evidenti di bias algoritmici in decisioni che incidono su libertà fondamentali. Eppure, pone interrogativi pratici. Sistemi di intelligenza artificiale sono già usati in altri ordinamenti per analisi predittiva del rischio di recidiva (che influenza decisioni cautelari), per ricerca giurisprudenziale avanzata, per analisi di enormi masse documentali in casi di criminalità economica complessa.

La legge prevede che sperimentazione e impiego di sistemi IA negli uffici giudiziari siano autorizzati dal Ministero della Giustizia, sentite le Autorità nazionali. Questa procedura centralizzata e autorizzativa potrebbe rallentare significativamente l’innovazione.

In Europa, diversi Paesi stanno sperimentando soluzioni di “justice analytics”. La Francia ha implementato piattaforme come Predictice per analisi predittive su probabilità di successo delle cause, ottenendo una maggiore prevedibilità delle decisioni. L’Estonia ha annunciato nel 2019 lo sviluppo di un “robot judge” per controversie civili minori sotto i 7.000 euro, anche se il progetto rimane in fase sperimentale.

L’Italia, con il suo approccio ultra-conservativo che riserva ogni decisione al magistrato, potrebbe rimanere indietro in un’evoluzione tecnologica che sta già modificando i sistemi giudiziari più avanzati.

L’articolo 15, comma 4 prevede attività formative per magistrati su IA, il che è certamente positivo. Ma formare i magistrati su tecnologie che poi non possono usare in modo significativo ha utilità limitata. Sarebbe stato più coraggioso definire casi d’uso specifici dove l’assistenza algoritmica è ammessa con adeguate garanzie, piuttosto che un divieto generale temperato da vaghe possibilità di sperimentazione.

La rivoluzione penale: deepfake e aggravanti tecnologiche

L’articolo 26 introduce modifiche rilevanti al codice penale, con una portata innovativa che contrasta con il conservatorismo di altre parti della legge. Il nuovo articolo 612-quater punisce con reclusione da uno a cinque anni chi diffonde contenuti generati o alterati con IA (i cosiddetti deepfake) senza consenso della persona rappresentata, causandole danno ingiusto.

È una norma necessaria, considerando la proliferazione di deepfake pornografici, diffamatori o elettorali. Ma solleva questioni interpretative complesse. Cosa significa esattamente “idoneo a indurre in inganno sulla genuinità”? Un deepfake satirico palesemente inverosimile (pensiamo a un video del Presidente che canta rap) è punibile? E se il contesto di pubblicazione (un sito di satira politica) chiarisce la natura fittizia del contenuto, sussiste ancora l’idoneità ingannatoria?

La punibilità a querela (salvo casi specifici) potrebbe essere inadeguata per deepfake virali, dove il danno reputazionale è spesso irreversibile prima che la querela possa produrre effetti. Sarebbe stato più protettivo prevedere procedibilità d’ufficio almeno per i deepfake a contenuto sessuale o diffamatorio.

L’aggravante introdotta all’articolo 61 numero 11-decies del codice penale (pena aumentata per reati commessi mediante IA quando costituisce “mezzo insidioso” o ostacola la difesa) è ancora più problematica. Quando l’uso di IA è “insidioso”? Solo quando l’autore del reato la usa deliberatamente per occultare la propria identità, o l’opacità algoritmica intrinseca ai sistemi di IA rende sempre l’uso “insidioso”? Se qualcuno usa un traduttore automatico (che è IA) per scrivere email di phishing, l’aggravante si applica?

La formulazione amplissima rischia applicazioni giurisprudenziali disomogenee e imprevedibili. Nei prossimi anni vedremo probabilmente contenzioso intenso su questi punti, con sentenze che dovranno riempire di contenuto categorie molto generiche.

Diritto d’Autore: la riaffermazione dell’umano (e i suoi paradossi)

L’articolo 25 modifica la legge sul diritto d’autore stabilendo che la tutela spetta alle opere dell'”ingegno umano”, anche se create con ausilio di IA, purché siano “risultato del lavoro intellettuale dell’autore”. È una riaffermazione di antropocentrismo creativo che contrasta con chi vorrebbe estendere la tutela autorale anche agli output puramente generati da macchine.

Ma anche qui, la pratica si vendicherà della teoria. Cosa costituisce “lavoro intellettuale dell’autore” quando si usano modelli generativi? Chi scrive prompt complessi e iterativi per ottenere un’opera specifica da GPT-4 o DALL-E esercita lavoro intellettuale tutelabile? E chi seleziona tra centinaia di output generati quello da pubblicare? E chi modifica successivamente l’output dell’IA?

Non ci sono risposte univoche nel testo. Casi borderline richiederanno valutazioni giudiziarie onerose, con conseguente incertezza giuridica per artisti, designer, scrittori che usano strumenti IA nel loro processo creativo. Questa incertezza potrebbe paradossalmente frenare l’adozione di tecnologie che amplificano la creatività umana.

Il nuovo articolo 70-septies sulla legittimità dell’estrazione di testi e dati per training di modelli IA apre un’altra zona grigia. Stabilisce che l’estrazione è consentita “in conformità” agli articoli 70-ter e 70-quater che a loro volta richiamano il rispetto della Convenzione di Berna. Ma questo significa sistema opt-out (l’uso è lecito salvo riserva esplicita dell’autore) o opt-in (serve autorizzazione preventiva)? Come si gestiscono le opere orfane, di cui non si identificano i titolari? L’uso commerciale dei modelli addestrati è rilevante per la liceità del training?

Questi interrogativi alimenteranno contenzioso per anni. Le major dell’editoria, della musica e dell’audiovisivo hanno già intentato cause miliardarie contro OpenAI, Stability AI e altre aziende che sviluppano modelli generativi. La formulazione generica della legge italiana non aiuterà a risolvere queste dispute, ma semplicemente le trasferirà nelle aule dei tribunali.

Il paradosso finanziario: regolare senza spendere

L’articolo 27 stabilisce la clausola di invarianza finanziaria: dall’attuazione della legge “non devono derivare nuovi o maggiori oneri a carico della finanza pubblica”. Le amministrazioni provvederanno “con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente”.

È una formula standard nella legislazione italiana, imposta dai vincoli di bilancio. Ma applicata a una legge che istituisce nuove autorità, nuovi osservatori, nuove funzioni di vigilanza e ispezione, produce un cortocircuito logico. Come può l’ACN esercitare vigilanza su potenzialmente migliaia di sistemi IA ad alto rischio, condurre ispezioni tecniche complesse, comminare sanzioni dopo istruttorie articolate, tutto senza personale aggiuntivo e senza budget dedicato?

La risposta più probabile è: non può. O meglio, farà vigilanza selettiva su casi eclatanti, lasciando la gran parte del mercato sostanzialmente non vigilato. AgID dovrà gestire procedure di notifica e accreditamento di organismi di valutazione senza risorse dedicate. L’Osservatorio sul lavoro dovrà monitorare l’impatto dell’IA sull’occupazione con membri che lavorano gratuitamente nel tempo libero.

Questo è il paradosso italiano: si costruiscono architetture normative complesse, si istituiscono organismi e procedure, poi si nega loro i mezzi per funzionare davvero. Il risultato sarà prevedibilmente un mix di adempimenti formali, reportistica simbolica e vigilanza a campione su casi che diventano mediatici. L’enforcement sistematico e capillare previsto dall’AI Act europeo rimarrà largamente sulla carta.

L’eccezione è l’articolo 23, che autorizza investimenti fino a un miliardo di euro in equity di PMI innovative nei settori IA, cybersicurezza e tecnologie quantistiche. È una cifra significativa, da utilizzare attraverso la società di gestione del risparmio già esistente. Ma anche qui, l’assenza di criteri di selezione specificati nella legge, di KPI misurabili, di governance chiara dei fondi solleva interrogativi sull’effettiva efficacia di questi investimenti.

Le deleghe legislative: uno spazio di incertezza pericolosa

Gli articoli 16 e 24 conferiscono al Governo deleghe ampissime per adottare decreti legislativi di attuazione entro 12 mesi. La delega dell’articolo 24 è particolarmente rilevante: riguarda l’adeguamento completo della normativa italiana all’AI Act, l’introduzione di fattispecie penali specifiche per illeciti legati all’IA, la disciplina dell’uso di IA nelle indagini penali.

I principi e criteri direttivi sono formulati in modo ampio: “attribuire poteri di vigilanza”, “prevedere sanzioni proporzionate”, “regolare l’uso di IA in indagini preliminari”, “potenziare competenze STEM nei curricoli”. Questa genericità concede al Governo margini interpretativi enormi. Cosa impedisce che i decreti attuativi divergano significativamente dalle intenzioni del Parlamento?

Il termine di 12 mesi appare stretto per la complessità delle materie. Considerando i tempi per consultazioni con stakeholder, pareri parlamentari (60 giorni) e del Garante Privacy, è probabile che si ricorra a decreti attuativi sequenziali, con prima implementazione degli aspetti core (autorità, sanzioni, registri) e successivo completamento degli ambiti settoriali. Questo processo incrementale aumenta il rischio di incoerenze e lacune.

La delega sulla disciplina penale degli illeciti IA (articolo 24, commi 3-5) è particolarmente delicata. Prevede l’introduzione di fattispecie colpose per omessa adozione di misure di sicurezza quando deriva “pericolo concreto”. Ma qual è lo standard di diligenza richiesto? Un’startup con risorse limitate ha gli stessi obblighi di una big tech? Il rischio di iper-criminalizzazione è concreto, con potenziale effetto raffreddante sull’innovazione.

Le lacune strutturali: quello che manca

Al di là di quanto la legge dice, conta anche quello che non dice. L’assenza di meccanismi strutturati di partecipazione della società civile ai processi decisionali è evidente. Nessuna previsione di consultazioni pubbliche obbligatorie, di board multi-stakeholder, di rappresentanza di associazioni consumatori o ONG digitali negli organismi di governance. Questo contrasta con best practice internazionali.

La dimensione ambientale dell’IA è completamente ignorata. L’impatto energetico di data center e modelli linguistici grandi è significativo e crescente. L’articolo 3 menziona “sostenibilità” tra i principi generali ma poi non si traducono obblighi concreti su efficienza energetica, localizzazione di data center, utilizzo di energie rinnovabili. È un’occasione mancata, considerando che la transizione digitale dovrebbe essere anche ecologica.

Il rapporto tra AI Act e GDPR rimane da chiarire. Chi è titolare del trattamento quando un sistema IA coinvolge multipli attori (fornitore del modello, sviluppatore dell’applicazione, utilizzatore finale)? Come si applicano i diritti degli interessati (spiegabilità delle decisioni automatizzate) a sistemi IA complessi tipo large language model? Il coordinamento tra Garante Privacy e Autorità IA è menzionato ma non regolato in dettaglio.

Infine, l’assenza di clausole di revisione automatica (sunset clauses) è problematica. Data la rapidità dell’evoluzione tecnologica, sarebbe stato saggio prevedere revisione obbligatoria ogni 3 anni con valutazione d’impatto e eventuale riforma. Senza meccanismi di auto-aggiornamento normativo, la legge rischia obsolescenza precoce.

I pareri degli esperti: tra entusiasmo e preoccupazioni

La Legge 132/2025 ha suscitato reazioni contrastanti nel mondo accademico, istituzionale e professionale, dividendo gli esperti tra chi vede un passo avanti necessario e chi teme un’occasione mancata.

Le critiche del Garante Privacy

Il Garante per la protezione dei dati personali ha espresso riserve significative già nella fase preliminare del disegno di legge. Il Presidente Pasquale Stanzione ha sottolineato in una segnalazione ufficiale a Parlamento e Governo che “il Garante per la protezione dei dati personali possiede i requisiti di competenza e indipendenza necessari per attuare il Regolamento europeo sull’intelligenza artificiale coerentemente con l’obiettivo di un livello elevato di tutela dei diritti fondamentali”.

La preoccupazione principale riguarda la frammentazione delle competenze tra AgID, ACN e altre autorità settoriali. Secondo Stanzione, “la sinergia tra le due discipline” (protezione dati e IA) “e la loro applicazione da parte di un’unica Autorità è quindi determinante per l’effettività dei diritti e delle garanzie sanciti”.

Il Garante ha anche richiamato l’attenzione sul fatto che “l’AI Act si fonda sull’articolo 16 del Trattato sul funzionamento dell’Unione europea, che è la base giuridica della normativa di protezione dei dati, e lo stesso Regolamento sull’intelligenza artificiale prevede il controllo delle Autorità di protezione dei dati personali su processi algoritmici che utilizzino dati personali”.

I rilievi della Commissione Europea

Prima dell’approvazione definitiva, la Commissione europea ha formulato critiche sostanziali nel suo parere circostanziato C(2024)7814 del 5 novembre 2024, rilevando incongruenze significative con l’AI Act:

  1. Le definizioni non possono distaccarsi da quelle utilizzate nell’AI Act e la norma nazionale dovrebbe limitarsi a fare riferimento alle definizioni già contenute nel regolamento senza replicarle
  2. I settori sanitario, delle professioni intellettuali e dell’amministrazione giudiziaria rischiano di essere soggetti a obblighi eccessivi
  3. AgID e ACN sono autorità governative e, per questo, non assicurano piena indipendenza come richiesto dal Regolamento europeo

Come riportato dal Senato, la Commissione ha suggerito modifiche specifiche su vari articoli del disegno di legge. Il testo finale approvato ha accolto solo parzialmente questi rilievi: se il primo punto sulle definizioni è stato affrontato, i restanti rilievi sulla governance e sugli obblighi settoriali “non sembrano essere stati presi in considerazione”.

Le posizioni del Sottosegretario Butti

Il Sottosegretario all’Innovazione Alessio Butti ha difeso la scelta di AgID e ACN come autorità nazionali. In un’intervista al Sole 24 Ore, riportata da Fortune Italia, Butti ha spiegato che “un’Autorità potrebbe non avere le competenze necessarie per gestire l’AI, al contrario di Agid (che ha già integrato l’intelligenza artificiale nel suo programma nazionale per l’informatica) e Agenzia per la cybersicurezza”.

Successivamente, in un’intervista a Startmag, Butti ha ulteriormente motivato l’orientamento: “Un’Authority indipendente potrebbe mancare della competenza tecnica specifica e dell’integrazione con il sistema digitale nazionale che Agid e Acn già possiedono ed esercitano. Ambedue gli organismi, grazie alla loro esperienza e all’integrazione di cui godono nel contesto nazionale, offrono un controllo coordinato e a tutto tondo sull’IA, con un bilanciamento ottimale tra innovazione e tutela dei diritti”.

Nell’annuncio ufficiale dell’approvazione definitiva della legge, Butti ha dichiarato: “L’Italia è il primo Paese UE con un quadro nazionale pienamente allineato all’AI Act. È una scelta che riporta l’innovazione nel perimetro dell’interesse generale, orientando l’IA a crescita, diritti e la piena tutela dei cittadini”.

Le posizioni del mondo accademico

Il dibattito accademico ha evidenziato luci e ombre. Esperti di informatica giuridica hanno sottolineato che “l’uso dell’intelligenza artificiale come strumento di supporto del lavoro degli operatori del diritto e dei tribunali è ancora un fenomeno embrionale in Europa”, mettendo in guardia contro aspettative eccessive sulla giustizia predittiva.

La Commissione europea sull’efficacia della giustizia (CEPEJ) ha evidenziato che “le sfide poste dall’Intelligenza artificiale nel settore della giustizia potranno essere trattate in maniera più efficace soltanto attraverso una fusione dei saperi”, raccomandando la creazione di équipe pluridisciplinari composte da magistrati, ricercatori in scienze sociali e informatici.

Come sottolineato in un’analisi su Internazionale sulla questione dei finanziamenti europei per l’IA, esperti del settore hanno evidenziato la necessità di andare oltre un approccio eccessivamente concentrato su regolamenti e aspetti etici, per coinvolgere maggiormente “matematici, informatici e ingegneri per affrontare i problemi più complessi e costruire l’infrastruttura tecnologica necessaria”.

Le preoccupazioni degli operatori del diritto

Gli ordini professionali forensi hanno espresso preoccupazioni sull’impatto dell’IA sulla professione forense. L’articolo 13 della legge, che limita l’utilizzo dell’IA nelle professioni intellettuali “al solo esercizio delle attività strumentali e di supporto”, è stato accolto con favore da chi teme la sostituzione del lavoro intellettuale, ma criticato da chi vede un freno all’innovazione.

Alcuni esperti hanno sottolineato che la formulazione sulla prevalenza del lavoro intellettuale rischia di creare incertezza applicativa: quando un avvocato usa l’IA per la ricerca giurisprudenziale o per la redazione di atti, dove si colloca il confine tra “supporto” e “prevalenza”?

Il mondo delle imprese e dell’innovazione

Le reazioni del settore tecnologico sono state caute. Se da un lato la certezza normativa è stata accolta positivamente, dall’altro permangono dubbi sulla capacità del sistema italiano di garantire tempi rapidi per autorizzazioni e sperimentazioni, specialmente considerando la clausola di invarianza finanziaria.

Un commento di Marco Scialdone, Head Litigation and Academic Outreach di Euroconsumers, ha evidenziato: “Bene che si inizi a fare chiarezza su questo punto. Potrebbe essere l’occasione per ridefinire le competenze di Agid e rilanciarne la struttura e le ambizioni. Bisogna essere consapevoli che il soggetto designato dovrà operare una importante opera di raccordo con le autorità settoriali (in particolare, Concorrenza, Data Protection, Comunicazioni), essendo l’AI una materia trasversale”.

Le voci istituzionali

Il Ministro delle Imprese Adolfo Urso ha evidenziato al Vertice internazionale per l’Azione sull’Intelligenza Artificiale di Parigi che l’Europa deve “costruire un piano di sviluppo dell’AI che segua una strada autonoma, equilibrata e sicura, secondo la propria visione antropocentrica”, ma che “le regole da sole non bastano: sono necessari gli strumenti utili ad abilitare gli investimenti”.

Il Direttore Generale di AgID, Mario Nobile, in occasione della pubblicazione della Strategia Italiana per l’Intelligenza Artificiale 2024-2026, ha dichiarato: “Università e mondo della ricerca italiani, al settimo posto a livello mondiale, dimostrano la nostra capacità di innovazione e le diffuse competenze, insieme alle nostre imprese altamente competitive nel mercato globale. Tutto questo rappresenta un terreno fertile per lo sviluppo dell’IA in Italia”.

Analisi giuridiche specializzate

Gli studi legali specializzati hanno evidenziato che “l’efficacia di questa legge dipenderà interamente dalla qualità e dalla tempestività dei futuri decreti legislativi, che dovranno tradurre i principi generali in regole operative chiare e applicabili”.

Un’analisi su Appalti e Contratti ha definito il massiccio ricorso alla delega come “la vera incognita”, sottolineando che il Governo avrà ampi margini su “materie tecnicamente complesse e giuridicamente delicate come l’addestramento degli algoritmi e la disciplina del danno”.

Un’analisi critica pubblicata su Agenda Digitale ha sottolineato che “il parere europeo sottolinea l’importanza delle Autorità indipendenti nella sorveglianza delle applicazioni di intelligenza artificiale. La proposta italiana, che coinvolge organismi governativi, è stata criticata perché minerebbe questo principio fondamentale nell’UE”.

Il dibattito sulla giustizia predittiva

Particolare attenzione ha suscitato l’approccio conservativo della legge sulla giustizia. Esperti di diritto processuale hanno sottolineato che “una giustizia predittiva funzionante può comportare un salto di qualità sia per l’economia che per la giustizia”, ma che l’Italia rischia di rimanere indietro rispetto a esperienze europee più avanzate.

Il progetto pilota di Brescia, avviato già nel 2018 tramite convenzione tra Corte di Appello, Tribunale e Università di Brescia, ha dimostrato la fattibilità di sistemi che “forniscono a utenti e avvocati la durata prevedibile di un procedimento e gli orientamenti esistenti nei diversi uffici”, ma la legge nazionale non sembra valorizzare pienamente queste esperienze.

Il tema della governance e della sostenibilità

Il direttore generale di ACN, Bruno Frattasi, ha evidenziato “il conflitto tra la tecnica che si evolve e tende a svilupparsi secondo proprie regole e la sua regolazione”, proponendo la creazione di “spazi di sperimentazione normativa applicati a tutti gli ambiti toccati dagli aspetti tecnologici innovativi”, come le sandbox regolatorie previste dall’AI Act.

Tuttavia, né Frattasi né altri esperti hanno affrontato pubblicamente in modo approfondito il tema dell’impatto ambientale dell’IA, che resta una lacuna significativa nel dibattito italiano, nonostante l’articolo 3 della legge menzioni la “sostenibilità” tra i principi generali.

Sintesi delle posizioni

Il quadro che emerge dalle voci degli esperti è di cauto ottimismo temperato da preoccupazioni concrete:

Aspetti positivi riconosciuti:
  • Primo framework nazionale organico in Europa;
  • Certezza giuridica per operatori e imprese;
  • Approccio antropocentrico coerente con i valori costituzionali;
  • Investimenti dedicati (1 miliardo di euro);
  • Coordinamento tra più autorità specializzate.
Criticità principali evidenziate:
  • Frammentazione della governance tra AgID, ACN e autorità settoriali;
  • Assenza di requisiti stringenti di indipendenza delle autorità designate;
  • Clausola di invarianza finanziaria che nega risorse aggiuntive;
  • Dipendenza totale dai decreti attuativi per l’effettiva applicazione;
  • Genericità di alcune disposizioni che genera incertezza applicativa,
  • Rischio di non conformità piena con i requisiti europei di indipendenza.
Rischi identificati:
  • Attuazione formale senza sostanza operativa;
  • Sotto-finanziamento cronico delle autorità di vigilanza;
  • Lentezza burocratica nell’autorizzazione di sperimentazioni;
  • Incapacità di attrarre investimenti rispetto ad altri Paesi europei (Francia, Germania);
  • Enforcement selettivo invece che sistematico;
  • Possibile disapplicazione di norme nazionali ritenute contrastanti con l’AI Act.

La sfida, come sottolineato concordemente da più parti, sarà trasformare un testo normativo teoricamente solido in un sistema operativo realmente efficace. E su questo punto, come evidenziato da diversi osservatori, la storia italiana della regolamentazione tecnologica non offre precedenti particolarmente incoraggianti: il rischio è che si replichi il pattern di normative ambiziose sulla carta ma cronicamente sotto-implementate nella pratica.

Prospettive: tre futuri possibili

Guardando avanti, possiamo immaginare tre scenari per l’implementazione di questa legge.

Il primo è quello dell’attuazione formale: i decreti legislativi vengono emanati nei termini ma con contenuti minimali, le autorità sono operative sulla carta ma sotto-finanziate nella pratica, la vigilanza è simbolica e limitata a casi eclatanti. In questo scenario, la legge assolve principalmente la funzione di adempimento verso l’Unione Europea senza produrre impatto trasformativo sul sistema nazionale. È lo scenario più probabile, data la tradizione italiana di normative ambiziose seguite da implementazione tiepida.

Il secondo scenario è quello dell’implementazione incrementale: attraverso un processo graduale, si costruiscono capacità regolatorie effettive, emergono primi casi di enforcement significativo, si sviluppa giurisprudenza interpretativa che riempie di contenuto le formulazioni generiche della legge. C’è convergenza progressiva verso standard europei con alcune eccellenze settoriali (magari nella sanità digitale o nel govtech). Richiede costanza amministrativa, investimenti selettivi e capacità di apprendimento istituzionale.

Il terzo è lo scenario dell’evoluzione proattiva: l’Italia usa strategicamente i margini di manovra residui, fa investimenti significativi superando la logica dell’invarianza, sviluppa un ecosistema nazionale IA competitivo che attrae talenti e capitali, arriva a influenzare lo standard-setting europeo portando la propria esperienza. È lo scenario più auspicabile ma anche il meno probabile, perché richiede volontà politica, risorse finanziarie e visione strategica che attualmente non si intravedono.

Per passare dal primo al terzo scenario servirebbero: revisione della clausola di invarianza con stanziamenti dedicati per le autorità; maggiore ambizione strategica che vada oltre la mera conformità; semplificazione della governance con meno comitati di coordinamento e più poteri operativi alle autorità; meccanismi di fast-track normativo per aggiornamenti tecnici rapidi; coinvolgimento sistematico di società civile, accademia e imprese nei processi decisionali.

Una conclusione aperta: il test sarà nell’applicazione

La Legge 132/2025 rappresenta un punto di partenza, non di arrivo. La sua natura prevalentemente organizzativa e procedurale lascia ampio spazio ai decreti attuativi, alla normativa secondaria delle autorità e soprattutto alla prassi applicativa. Sarà l’enforcement concreto a dire se l’Italia ha costruito un framework regolatorio efficace o solo una facciata di conformità europea.

La vera sfida non è l’adozione formale della legge ma la sua traduzione in un ecosistema regolatorio agile, competente e capace di bilanciare innovazione tecnologica con tutele sostanziali. Servono autorità dotate di mezzi adeguati, professionisti formati sia giuridicamente che tecnicamente, meccanismi di aggiornamento rapido delle norme, dialogo continuo con gli operatori del settore.

Il triennio 2025-2028 sarà decisivo. In questo periodo vedremo se l’Italia riuscirà a costruire una governance dell’intelligenza artificiale all’altezza delle sfide oppure se avrà semplicemente spuntato una casella di compliance europea lasciando che il mercato proceda sostanzialmente autoregolato. La risposta dipenderà non tanto dal testo normativo quanto dalla volontà politica di investire risorse, dalla capacità amministrativa di costruire competenze, dalla determinazione a fare dell’Italia un protagonista e non un comprimario nella rivoluzione dell’intelligenza artificiale.

Per ora, abbiamo una legge. Se diventerà anche un sistema funzionante, lo scopriremo solo vivendo.

Condividi sui Social Network:

Ultimi Articoli

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy

Chiudi