La Legge 23 settembre 2025, n. 132 disciplina principi, indirizzi e deleghe sull’IA in Italia, in coerenza con il Regolamento (UE) 2024/1689 (AI Act). Per gli imprenditori, la novità è duplice: cornice nazionale su diritti, cybersicurezza, PA, lavoro, giustizia e sanità; governance operativa con autorità, strategia e investimenti. La legge si applica e si interpreta conformemente all’AI Act; non crea obblighi ulteriori dove il regolamento UE è già cogente.
1) Principi generali e finalità
Valori costituzionali, proporzionalità, trasparenza, accuratezza, non discriminazione, sostenibilità. Sorveglianza e intervento umano sempre garantiti. Cybersicurezza come precondizione lungo l’intero ciclo di vita di sistemi e modelli. Accessibilità per le persone con disabilità. Implicazione: requisiti di sicurezza “by design” e responsabilità umana tracciabile in ogni progetto.
2) Pluralismo dell’informazione e dati personali
IA nei media solo se compatibile con libertà di stampa, pluralismo, obiettività e lealtà dell’informazione. Trattamenti dati leciti, trasparenti e proporzionati; informative in linguaggio chiaro e diritto di opposizione. Implicazione: audit editoriali e privacy-by-design per soluzioni di content automation e raccomandazione.
3) Tutela dei minori
Sotto i 14 anni serve consenso dei genitori; dai 14 ai 18 anni consenso autonomo solo con informative semplici e comprensibili. Implicazione: interfacce e informative “youth-friendly”, verifica dell’età e flussi di consenso verificabili.
4) Sviluppo economico e sovranità digitale
Spinta a un mercato IA innovativo e concorrenziale; accesso a dati di alta qualità; e-procurement PA orientato a soluzioni con data center in Italia e DR/BC nazionali; standard elevati per IA generativa. Implicazione: vantaggio competitivo per fornitori con hosting nazionale, catene di fornitura trasparenti e robusti processi di addestramento.
5) Sicurezza e difesa nazionale
Esclusi dall’ambito della legge i casi per sicurezza nazionale, difesa, forze di polizia e Agenzia per la Cybersicurezza Nazionale, nel rispetto dei diritti fondamentali. Implicazione: perimetro distinto, ma con vincoli di legalità e controllo.
6) Sanità e disabilità
IA come supporto a prevenzione, diagnosi, cura; divieto di discriminazioni nell’accesso; diritto all’informazione sull’uso dell’IA; verifiche periodiche dei sistemi. Implicazione: governance clinica, validazioni periodiche e tracciabilità delle decisioni di supporto.
7) Ricerca scientifica in sanità
Ricerca e sperimentazione con uso anche secondario di dati pseudonimizzati/anonimizzati/sintetici, con informative adeguate e comunicazione al Garante; AGENAS può emanare linee guida su anonimizzazione e dati sintetici. Implicazione: percorsi legali più chiari per dataset sanitari e sviluppo di modelli di base medicali.
8) Fascicolo sanitario elettronico e piattaforma AGENAS
Nasce una piattaforma nazionale IA per l’assistenza territoriale, progettata, gestita e titolarizzata da AGENAS; servizi non vincolanti a clinici e cittadini; DPIA e misure tecniche/organizzative approvate con pareri di Ministero Salute, Garante e ACN. Implicazione: polo pubblico per servizi IA sanitari interoperabili e sicuri.
9) Lavoro
IA per migliorare condizioni e produttività, nel rispetto di dignità e privacy; obbligo di informativa al lavoratore quando l’IA è usata nell’organizzazione del lavoro. Implicazione: mappatura degli use case HR, valutazioni di impatto e governance sindacale.
10) Osservatorio IA e lavoro
Presso il Ministero del Lavoro, monitora impatti sul mercato, individua settori esposti, promuove formazione per datori e lavoratori. Implicazione: benchmark pubblici e linee guida operative per adozioni responsabili.
11) Professioni intellettuali
IA solo come strumento di supporto; obbligo di informare il cliente sui sistemi IA usati, con linguaggio chiaro. Implicazione: policy di studio, disclosure standardizzata e responsabilità deontologiche.
12) Pubblica amministrazione
IA per efficienza e qualità dei servizi, con tracciabilità, conoscibilità e decisione finale umana. Implicazione: registri interni d’uso IA, log di decision support e accountability del funzionario.
13) Giustizia
Supporto organizzativo e amministrativo; decisione riservata al magistrato; formazione su benefici, rischi e quadro regolatorio. Implicazione: progetti pilota gestiti e auditabili, senza automazione delle decisioni giudiziarie.
14) Delega su dati, algoritmi e metodi di addestramento
Entro 12 mesi, decreti per disciplina organica di dati/algoritmi/metodi di training, con tutele, rimedi e sanzioni; competenza delle sezioni imprese. Implicazione: certezza giuridica su dataset di training e uso di TDM in chiave industriale.
15) Modifica al codice di procedura civile
Competenza estesa al tribunale per le cause sul funzionamento di un sistema di IA. Implicazione: foro tecnico per contenziosi su malfunzionamenti e responsabilità.
16) Cybersicurezza nazionale
ACN promuove iniziative e partenariati pubblico-privato per valorizzare l’IA a supporto della resilienza nazionale. Implicazione: opportunità di programmi con ACN per soluzioni di difesa e detection.
17) Strategia nazionale per l’IA
Predisposta dalla Presidenza del Consiglio, approvazione biennale; coordinamento con MIMIT, MUR, Difesa; monitoraggio e report alle Camere. Implicazione: allineare roadmap aziendali ai cicli strategici pubblici.
18) Autorità nazionali per l’IA
AgID: promozione, notifiche, accreditamento, organismi di valutazione. ACN: vigilanza, ispezioni e sanzioni, punto di contatto unico UE; coordinamento con Banca d’Italia, CONSOB, IVASS per i settori vigilati dall’AI Act. Implicazione: interlocutori chiari per conformità e controllo.
19) Farnesina: servizi AI ai cittadini e imprese
Progetti sperimentali MAECI 2025-2026 per servizi consolari e d’impresa, con copertura finanziaria dedicata. Implicazione: nuovi sportelli digitali e automazioni per export e internazionalizzazione.
20) Giovani e sport
Percorsi per alto potenziale cognitivo e uso dell’IA per benessere psico-fisico e inclusione. Implicazione: partnership scuola-impresa e soluzioni AI per sport tech inclusivo.
21) Investimenti in IA, cybersicurezza, quantistico
Fino a 1 miliardo di euro tramite fondi di venture capital per PMI, start-up e “campioni” tecnologici; focus anche su 5G, MEC, Web3, telecom e sicurezza reti. Implicazione: leva di capitale paziente per scale-up nazionali.
22) Delega di adeguamento all’AI Act
Decreti per attribuire poteri di vigilanza/sanzione, armonizzare settori (bancario, assicurativo, pagamenti), formare utenti e operatori, disciplinare IA di polizia, potenziare STEM e AFAM. Implicazione: regole secondarie puntuali e coordinamento con la vigilanza di mercato prevista dall’AI Act.
23) Diritto d’autore e TDM
La tutela riguarda opere dell’ingegno umano, anche se create con l’ausilio di IA, purché frutto di lavoro intellettuale dell’autore. Introdotto l’art. 70-septies su estrazioni e riproduzioni per text & data mining nel rispetto della normativa UE. Implicazione: chiarezza sul valore legale delle opere assistite dall’IA e sui limiti allo scraping.
24) Disposizioni penali
Nuove aggravanti per reati commessi con IA; introdotto il delitto di illecita diffusione di contenuti generati/alterati con IA (deepfake) con pene fino a 5 anni; previste future deleghe su responsabilità penale, civile e strumenti cautelari per rimozione rapida. Implicazione: rischio penale concreto per abusi, obbligo di controlli e procedure di notice-and-takedown.
Nota di contesto europeo
La legge rinvia espressamente all’AI Act per definizioni, tempi e vigilanza; le scadenze UE anticipano divieti e governance già dal 2025, con piena applicazione nel 2026. Per gli operatori, conviene allineare da subito processi e documentazione di conformità (modelli di IA per finalità generali inclusi).
