Cerca
Chiudi questo box di ricerca.

La prima legge italiana sull’intelligenza artificiale

La prima legge italiana sull’intelligenza artificiale
Tabella dei Contenuti

A cura di Giovanni Masi

Introduzione

L’Italia ha approvato in via definitiva la sua prima legge organica sull’intelligenza artificiale. Il disegno di legge 1146‑B, diventato legge con il voto del Senato del 17 settembre 2025, costruisce un quadro nazionale che si coordina con il regolamento europeo 2024/1689, l’AI Act. È un testo ampio, articolato in sei Capi e ventotto articoli, che intreccia principi, tutele, organizzazione istituzionale, incentivi e nuove fattispecie penali. In queste pagine lo spieghiamo in modo chiaro e senza gergo, mettendo in luce cosa cambia davvero per cittadini, imprese, PA, sanità, scuola, giustizia e mondo del lavoro.

Perché una legge nazionale se c’è l’AI Act europeo

La legge italiana non riscrive l’AI Act e non lo duplica. Chiarisce invece che le sue disposizioni si interpretano e si applicano in coerenza con il regolamento UE. In pratica definisce principi e strumenti attuativi nazionali, stabilisce chi vigila e come, introduce misure settoriali (per esempio in sanità e nella PA), crea una strategia nazionale e, dove serve, integra il diritto interno con modifiche mirate in materia civile, penale e di diritto d’autore. L’obiettivo è duplice: cogliere le opportunità economiche e scientifiche dell’IA e, insieme, presidiare rischi e impatti sui diritti fondamentali.

I principi cardine: antropocentrismo, trasparenza e sicurezza

Il Capo I (articoli 1‑6) enuncia il “perché” e il “come” dell’IA in Italia. La legge promuove un uso corretto, trasparente e responsabile dei sistemi e dei modelli di IA, in una prospettiva antropocentrica. Vengono richiamati i capisaldi dello Stato di diritto: rispetto della Costituzione, dei diritti e delle libertà, proporzionalità, accuratezza, non discriminazione, parità di genere, sostenibilità, tutela dei dati personali e della riservatezza. È sottolineato il ruolo della cybersicurezza lungo tutto il ciclo di vita dei sistemi, come precondizione per la fiducia. L’IA non deve alterare il metodo democratico, né il dibattito pubblico, né la ripartizione delle competenze tra istituzioni, e deve essere accessibile anche alle persone con disabilità.

Informazione e privacy: parole semplici, consenso rafforzato per i minori

Sempre nel Capo I, l’articolo 4 tutela libertà e pluralismo dell’informazione e afferma che, quando si trattano dati connessi a sistemi di IA, le comunicazioni all’utente devono essere chiare e comprensibili. Per i minori di 14 anni l’accesso a tecnologie di IA e il relativo trattamento dei dati richiedono il consenso di chi esercita la responsabilità genitoriale; dai 14 ai 18 anni il consenso può essere espresso direttamente dal minore, purché informato con linguaggio semplice. È un punto pratico che tocca scuole, app e piattaforme.

Sviluppo economico e sovranità tecnologica

L’articolo 5 spinge sull’adozione dell’IA lungo le catene del valore, anche attraverso la robotica, con un’attenzione dichiarata alle PMI, vero tessuto produttivo del Paese. Le amministrazioni sono invitate a facilitare l’accesso a dati di qualità per imprese e comunità scientifica e a favorire ecosistemi innovativi e aperti. Nel procurement pubblico si potranno privilegiare soluzioni che garantiscono elevati standard di sicurezza e trasparenza nell’addestramento, nel rispetto della concorrenza.

Sicurezza e difesa

L’articolo 6 esclude dall’ambito della legge le attività per la sicurezza nazionale svolte da intelligence, ACN, Forze armate e Forze di polizia per i reati transnazionali. Restano comunque fermi i diritti fondamentali e i principi democratici. È prevista una disciplina regolamentare ad hoc per declinare concretamente tali principi nelle attività sensibili.

Sanità, ricerca e disabilità: cosa cambia davvero

Il Capo II introduce misure di settore e guarda molto alla sanità. L’articolo 7 afferma che l’IA deve migliorare prevenzione, diagnosi e cura, senza mai sostituire il medico nella decisione finale. I sistemi devono essere periodicamente verificati, aggiornati e basati su dati affidabili, con l’obiettivo di minimizzare errori e innalzare la sicurezza del paziente. Viene promosso lo sviluppo di tecnologie che accrescono autonomia, accessibilità e inclusione delle persone con disabilità.

L’articolo 8 dichiara di rilevante interesse pubblico varie attività di ricerca e sperimentazione in ambiti come sviluppo di farmaci, terapie, protesi e interfacce, salute pubblica e perfino studio della biomeccanica e della fisiologia anche in ambito non sanitario. In questo quadro, si apre all’uso secondario di dati personali privi di identificativi diretti per finalità di ricerca, con informativa generale e potere di blocco del Garante. Si disciplinano inoltre anonimizzazione, pseudonimizzazione e creazione di dati sintetici; AGENAS potrà emanare linee guida tecniche su come farle bene.

L’articolo 9 annuncia un decreto del Ministro della Salute, entro centoventi giorni, per fissare modalità semplificate ma sicure nel trattamento dei dati personali a fini di ricerca e sperimentazione, compresi eventuali “spazi speciali di sperimentazione”. In parallelo, l’articolo 10 inserisce nel decreto sul Fascicolo Sanitario Elettronico un nuovo articolo 12‑bis che istituisce una piattaforma nazionale di IA in sanità, affidata ad AGENAS in qualità di Agenzia nazionale per la sanità digitale.

Questa piattaforma fornirà suggerimenti non vincolanti ai professionisti per la presa in carico, ai medici nella pratica clinica quotidiana e agli utenti per l’accesso ai servizi delle Case della comunità. I tipi di dati trattati, le operazioni e le misure di sicurezza dovranno essere specificati da AGENAS con valutazione d’impatto e parere di Ministero della Salute, Garante Privacy e ACN.

Lavoro, professioni e pubblica amministrazione

L’articolo 11 stabilisce che l’IA deve migliorare condizioni di lavoro, sicurezza e produttività, senza violare dignità e riservatezza. Il datore di lavoro ha obblighi informativi trasparenti sull’uso dell’IA. L’articolo 12 crea presso il Ministero del Lavoro un Osservatorio sull’adozione di sistemi di IA, incaricato di definire strategie, monitorare impatti e promuovere formazione per lavoratori e datori di lavoro. Nessun nuovo onere per la finanza pubblica: l’Osservatorio opera con risorse esistenti.

Per le professioni intellettuali (articolo 13) la legge chiarisce che l’IA è solo strumentale e di supporto, non sostitutiva della prestazione intellettuale. Il professionista deve informare il cliente, in modo chiaro ed esaustivo, su come e con quali sistemi utilizza l’IA.

Nella pubblica amministrazione (articolo 14) l’IA serve a rendere più efficienti procedimenti e servizi, ma resta sempre la persona a firmare decisioni e atti. La PA dovrà investire in misure tecniche, organizzative e formative per un uso responsabile e tracciabile.

Giustizia: supporto, non sostituzione

L’articolo 15 ribadisce che, anche quando si sperimentano o impiegano sistemi di IA negli uffici giudiziari, la decisione su fatti, prove e diritto resta sempre del magistrato. Il Ministero della Giustizia definirà gli impieghi per l’organizzazione dei servizi, la semplificazione del lavoro e le attività amministrative accessorie. Fino all’attuazione completa dell’AI Act, sperimentazioni e impieghi negli uffici giudiziari sono autorizzati dal Ministero, sentite le Autorità nazionali competenti. Sono previste attività di formazione per magistrati e personale amministrativo sugli impieghi dell’IA e sui relativi rischi e benefici.

Deleghe al Governo: dati, algoritmi, responsabilità e sanzioni

La legge delega il Governo a intervenire entro dodici mesi con decreti legislativi in due direzioni complementari.

La prima (articolo 16) riguarda una disciplina organica su uso di dati, algoritmi e metodi matematici per addestrare sistemi di IA. La delega dovrà individuare quando e come regolare questi usi, prevedendo strumenti di tutela risarcitori o inibitori e un sistema sanzionatorio in caso di violazioni. Dovrà anche precisare i criteri con cui ripartire responsabilità penale e amministrativa, tenendo conto del livello di controllo effettivo sui sistemi, e introdurre tutele di diritto civile, inclusi criteri sull’onere della prova. Infine, dovrà regolamentare l’uso dei sistemi di IA nelle indagini preliminari, nel rispetto di difesa, privacy, proporzionalità e non discriminazione.

La seconda direttrice è nell’articolo 24, che affida al Governo il compito di adeguare in modo puntuale l’ordinamento italiano all’AI Act. È previsto di attribuire alle autorità nazionali tutti i poteri di vigilanza, ispettivi e sanzionatori previsti dal regolamento europeo e di coordinare la normativa vigente anche nei settori bancario, finanziario, assicurativo e dei pagamenti. Si promuovono alfabetizzazione e formazione sull’uso dei sistemi di IA, con specifici percorsi per professionisti e operatori di settore; si incoraggia inoltre il rafforzamento delle competenze STEM, inclusa la componente artistica, nei curricoli scolastici.

Strategia nazionale e governance: chi fa cosa

Il Capo III disegna l’architettura istituzionale. La strategia nazionale per l’IA è predisposta dalla struttura della Presidenza del Consiglio competente per innovazione e transizione digitale, d’intesa con le Autorità nazionali per l’IA e sentiti i ministeri chiave. È approvata almeno ogni due anni dal Comitato interministeriale per la transizione digitale. La Presidenza coordina e monitora l’attuazione, avvalendosi di AgID e coinvolgendo ACN, Banca d’Italia, CONSOB e IVASS quando si tratta di vigilanza sui mercati.

Accanto alla strategia, la legge istituisce un Comitato di coordinamento delle attività di indirizzo su enti, organismi e fondazioni che operano nell’innovazione digitale e nell’IA. È presieduto dal Presidente del Consiglio o dall’Autorità politica delegata e riunisce i ministri e le autorità più rilevanti; non comporta nuovi oneri e serve a dare coerenza e massa critica agli sforzi pubblici e para‑pubblici su ricerca, trasferimento tecnologico e formazione.

Le Autorità nazionali per l’IA

Il cuore operativo sta nell’articolo 20: due soggetti sono designati come Autorità nazionali per l’IA. L’Agenzia per l’Italia Digitale (AgID) promuove innovazione e sviluppo dell’IA e gestisce procedure di notifica, valutazione, accreditamento e monitoraggio degli organismi di valutazione della conformità.

L’Agenzia per la Cybersicurezza Nazionale (ACN) è l’autorità di vigilanza del mercato ai sensi dell’AI Act, con poteri ispettivi e sanzionatori, e rimane il punto di contatto unico con le istituzioni europee. Insieme, AgID e ACN istituiscono e gestiscono spazi di sperimentazione per favorire lo sviluppo di sistemi conformi, coordinandosi con Difesa e Giustizia quando i casi riguardano usi duali o ambito giudiziario. Restano fermi i poteri del Garante per la protezione dei dati personali e, per i profili da Coordinatore dei Servizi Digitali, dell’AGCOM.

Investimenti e incentivi: fino a un miliardo sul venture capital

L’articolo 23 autorizza investimenti fino a un miliardo di euro, sotto forma di equity e quasi‑equity, in imprese italiane dell’IA, della cybersicurezza e delle tecnologie abilitanti, comprese le tecnologie quantistiche e i sistemi di telecomunicazioni (con riferimento anche a 5G, edge computing, architetture aperte software, Web3, elaborazione del segnale).

L’azione è pensata in particolare per PMI innovative in fase seed, start‑up, early‑stage e scale‑up, ma può sostenere anche imprese non PMI con alto potenziale, per favorire la nascita di “campioni nazionali”. Le risorse si muovono tramite la SGR pubblica del Fondo di sostegno al venture capital, anche con fondi dedicati e coinvestimenti. Partecipano alla governance dei fondi, senza compensi, Presidenza del Consiglio per l’innovazione e ACN insieme al MIMIT investitore.

Giovani e sport

Nel Capo II, l’articolo 22 valorizza i percorsi per studenti ad alto potenziale, permettendo attività presso istituzioni della formazione superiore con riconoscimento di crediti, e favorisce l’uso dell’IA per il benessere psicofisico e l’inclusione nello sport, anche delle persone con disabilità. Sono previste applicazioni per l’organizzazione delle attività sportive e, sul piano della ricerca, una cornice che consente trattamenti di dati per studiare movimenti e prestazioni nel rispetto dei principi della legge e dei diritti economici connessi alle attività agonistiche.

Diritto d’autore e text‑&‑data mining: come si tutelano creatori e dataset

Il Capo IV interviene sul diritto d’autore. Da un lato, chiarisce che le “opere dell’ingegno” sono opere dell’ingegno umano. Se un contenuto è creato con l’ausilio di strumenti di IA, può essere protetto solo se è il risultato dell’apporto intellettuale dell’autore. Dall’altro, introduce un nuovo articolo nella legge sul diritto d’autore che disciplina riproduzioni ed estrazioni da opere e materiali a fini di estrazione di testo e dati tramite modelli e sistemi di IA, anche generativa, rinviando alle eccezioni e condizioni già previste dal quadro europeo sul text‑&‑data mining. La novità non autorizza scraping indiscriminato: richiama regole e limiti esistenti e spinge verso pratiche rispettose dei diritti e della qualità delle fonti.

Le nuove norme penali: aggravanti e reati per i “deepfake dannosi”

Il Capo V interviene con chirurgia normativa. Viene prevista un’aggravante comune quando un reato è commesso mediante sistemi di IA e questi costituiscono mezzo insidioso, ostacolano la difesa o aggravano le conseguenze. Aumentano le pene in specifici delitti se l’inganno o la manipolazione avvengono tramite IA, specie in materia di aggiotaggio e abusi di mercato.

La novità più comprensibile a tutti è l’introduzione di un nuovo reato che punisce l’illecita diffusione, senza consenso, di immagini, video o voci falsificate o alterate con IA e idonee a ingannare sulla loro genuinità. È la risposta penale ai deepfake dannosi, che colpiscono reputazione, vita privata e talvolta sicurezza. La pena prevista va da uno a cinque anni, con procedibilità a querela salvo i casi più gravi o quando la vittima è incapace o pubblico ufficiale colpito per ragioni d’ufficio.

Processi e controversie sull’IA: dove si va in giudizio

In ambito civile, la legge assegna al tribunale ordinario ampliato la competenza per le cause che hanno a oggetto il funzionamento di un sistema di IA, e prevede che le sezioni specializzate in materia d’impresa siano competenti per le controversie sulla futura disciplina di dati e algoritmi adottata con i decreti delegati. Sul versante amministrativo e regolatorio, i poteri sanzionatori previsti dall’AI Act dovranno essere esercitati, a livello nazionale, dalle autorità designate, con procedure coordinate e coerenti con l’ordinamento italiano.

Pubblica amministrazione digitale e cybersicurezza

La legge consolida il ruolo dell’ACN nel promuovere l’IA come risorsa per la cybersicurezza nazionale, anche attraverso collaborazioni pubblico‑private e partenariati. Nella PA l’IA diventa leva per velocità e qualità dei servizi, ma accompagnata da obblighi di tracciabilità, formazione e supervisione umana. L’intento è combinare innovazione e accountability, evitando l’opacità algoritmica nella gestione di diritti e procedimenti.

Cosa aspettarsi adesso

Per molte disposizioni serviranno atti successivi. Entro dodici mesi il Governo dovrà adottare i decreti legislativi su dati/algoritmi e sull’adeguamento all’AI Act, specificando nel dettaglio poteri, sanzioni, responsabilità e strumenti di tutela. AGENAS dovrà impostare e governare la nuova piattaforma di IA per la sanità, definendo dati, processi e misure di sicurezza. La strategia nazionale andrà aggiornata con cadenza almeno biennale e gli investimenti sul venture capital dovranno tradursi in fondi tematici operativi, inclusi meccanismi di coinvestimento.

Un bilancio complessivo

La legge prova a tenere insieme promozione e garanzia. Spinge su ricerca, trasferimento tecnologico e capitale di rischio, rafforza la governance con ruoli chiari per AgID, ACN e Presidenza del Consiglio, mette al centro la cybersicurezza e pone paletti in sanità, PA, lavoro e giustizia a tutela della persona. Sul fronte dei diritti, chiarisce la natura “umana” delle opere protette, normalizza il text‑&‑data mining entro i binari europei e introduce un reato specifico contro i deepfake lesivi.

La partita più delicata si giocherà però nei decreti attuativi e nella capacità amministrativa di far funzionare piattaforme, sandbox, organismi di valutazione e catene di responsabilità senza frenare l’innovazione. L’orizzonte dichiarato è una transizione digitale centrata sull’uomo, che coniughi competitività, sicurezza e tutela dei diritti.

Conclusione

L’Italia si dota di una cornice legale ampia e coerente con l’Europa. Il messaggio è chiaro: l’IA è una tecnologia abilitante che deve potenziare persone, imprese e servizi pubblici, non sostituire la responsabilità umana, né comprimere i diritti. La sfida che inizia oggi è trasformare parole e principi in pratiche affidabili, misurabili e utili per tutti.

By Giovanni Masi

Condividi Articolo

Leggi anche

DEI CONSACRATI ALLA SCUOLA DEL WEB

In collaborazione con il Centro Comunicazioni Sociali della Pontificia Università Urbaniana, la UISG ha ideato un corso di communicazione intitolato “Come fare uno sito web?”.

05/04/2018