AI Act: il primato italiano nell’adozione di una disciplina nazionale

Inquadramento

Il Disegno di Legge 1146/24 era stato oggetto di vari pareri da parte delle autorità di settore, tra cui il Garante per la Protezione dei Dati Personali (il Garante) e la Commissione Europea. Quest’ultima, con parere del 12 settembre 2024, aveva evidenziato la necessità di maggiore coerenza con l'AI Act e quella riflettere una maggiore apertura verso l'uso dell'intelligenza artificiale. Il testo, modificato in parte secondo le indicazioni ricevute, è stato approvato dal Parlamento italiano il 17 settembre 2025 e pubblicato nella Gazzetta Ufficiale n. 223 del 25 settembre 2025.

I settori interessati

La prima sezione della Legge, dedicata ai principi generali, introduce una strategia nazionale sull'IA, da aggiornare ogni due anni dal Comitato interministeriale per la transizione digitale con il supporto del Dipartimento per la trasformazione digitale della Presidenza del Consiglio. Tale strategia fungerà da riferimento per le decisioni politiche e regolatorie in materia di IA.

La seconda sezione, invece, contiene le norme per i singoli settori, indicando ambiti e modalità d'uso dell'IA. Nello specifico, in sanità e nella ricerca scientifica, l'IA è ammessa come strumento di supporto, ma non può essere utilizzata per discriminare o decidere l'accesso alle cure; resta infatti centrale il ruolo umano, che rimane responsabile delle decisioni finali. La ricerca pubblica e privata senza fini di lucro è qualificata come di rilevante interesse pubblico, consentendo il trattamento di dati personali senza consenso, previa approvazione dei comitati etici e comunicazione al Garante per la protezione dei dati personali. Inoltre, la seconda sezione si concentra sui settori lavoro e giustizia. L'impianto italiano enfatizza l'accountability dei "deployer", estendendo presidi organizzativi anche oltre il perimetro del rischio elevato e raccordando i nuovi oneri con quelli già noti in ambito privacy (DPIA, privacy by design, data governance).

Lavoro

Nel settore lavoro, la Legge introduce specifiche garanzie per la gestione dei processi di selezione, valutazione e monitoraggio dei lavoratori tramite sistemi di IA. Sono previsti obblighi di trasparenza per i datori di lavoro, il diritto all'informazione per i dipendenti e la necessità di valutazioni d'impatto per prevenire discriminazioni algoritmiche. La Legge istituisce inoltre un Osservatorio sull’impatto dell'IA sul lavoro, al fine di massimizzare i benefici e contenere i rischi derivanti dall'impiego di sistemi di intelligenza artificiale in ambito lavorativo e di promuovere la formazione dei lavoratori e dei datori di lavoro in materia di intelligenza artificiale.

Giustizia

Nel settore giustizia, la normativa stabilisce criteri rigorosi per l'utilizzo di sistemi di IA nell'ambito giudiziario, sia per la gestione dei fascicoli che per il supporto alle decisioni. Viene rafforzata la supervisione umana e vietato l'uso di IA per le attività interpretative: l'impiego di strumenti di analisi automatica è limitato ai soli fini organizzativi, di semplificazione del lavoro e amministrativi, garantendo così la piena tutela del diritto di difesa e della riservatezza delle parti.

IP

La Legge si preoccupa di specificare che la tutela del diritto d'autore viene riconosciuta anche alle opere "create con l'ausilio di strumenti di intelligenza artificiale", a condizione che costituiscano il risultato del lavoro intellettuale dell'autore. Si chiarisce dunque che non è soggetto a protezione il materiale generato dall'IA. Sono consentite le riproduzioni ed estrazioni di testo e dati tramite IA, se da fonti legittimante accessibili.

Governance

Sul piano della governance, la strategia nazionale per l'IA è affidata alla Presidenza del Consiglio dei Ministri, con il coinvolgimento dell'Agenzia per l'Italia Digitale (AgID) e dell'Agenzia per la Cybersicurezza Nazionale (ACN) quali Autorità nazionali, e delle autorità di vigilanza di settore (Banca d'Italia, CONSOB, IVASS), per quanto di loro competenza. Particolare attenzione è riservata alla cybersicurezza, considerata precondizione essenziale lungo tutto il ciclo di vita dei sistemi e dei modelli di IA. Sul piano istituzionale, il coordinamento fra Autorità nazionali (AgID/ACN, Autorità di settore) e Garante sarà decisivo per allineare le valutazioni del rischio dei sistemi di IA, anche dal punto di vista del GDPR e le valutazioni di impatto etico.

Le interconnessioni con AI Act, NIS2 e GDPR

La Legge presidia con decisione gli spazi lasciati dall'AI Act: individua autorità e poteri di vigilanza, disciplina ispezioni, sostiene PMI e PA e definisce apparati sanzionatori per condotte non pienamente armonizzate (ad es. deepfake). Pur nel perimetro vincolato dell'armonizzazione europea, il legislatore nazionale alza l'asticella sui presidi organizzativi e sui requisiti "processuali" (trasparenza, controlli, formazione, documentazione), estendendoli anche a casi a basso rischio e a settori sensibili come lavoro, sanità e giustizia.

Sul fronte dell'IA generativa e dei deepfake, l'Italia adotta una traiettoria più prescrittiva: introduce fattispecie penali e meccanismi di tracciabilità e autenticità dei contenuti, mentre l'AI Act privilegia obblighi informativi e codici di condotta (con oneri rafforzati per i sistemi a rischio sistemico). Il risultato è un modello integrato con GDPR, NIS2 e regole di settore, che mira a tradurre le clausole generali europee in controlli operativi verificabili.

Conclusioni

In concreto, la conformità si giocherà sulla capacità di orchestrare governance e prove di controllo. Tra le priorità per le aziende possiamo certamente individuare la necessità di: (i) mappare i sistemi e classificare i rischi; (ii) integrare le DPIA; (iii) definire ruoli e responsabilità di sviluppatori e utilizzatori; (iv) inserire clausole contrattuali "AI Act ready" nella catena di fornitura; (v) implementare misure tecniche, anche per la mappatura dei contenuti e la gestione incidenti e segnalazioni.

Occorre, infine, un monitoraggio attivo degli atti esecutivi europei e delle linee guida nazionali (incluse quelle del Garante), perché da tali standard deriveranno criteri di valutazione, parametri tecnici e priorità ispettive. Chi si muove fin d'ora non solo riduce il rischio sanzionatorio, ma conquista un vantaggio competitivo: trasformare la compliance in requisito di qualità, sicurezza e affidabilità dei sistemi di IA.