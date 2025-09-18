Con il voto definitivo del Senato del 17 settembre 2025, il disegno di legge n. 1146 (“Disposizioni e deleghe al Governo in materia di intelligenza artificiale”) è stato approvato in via definitiva, trasformandosi nella prima legge italiana organica in materia di intelligenza artificiale. Si tratta di un intervento normativo di notevole rilievo, che si inserisce in un contesto europeo segnato dall’entrata in vigore, il 1° agosto 2024, del Regolamento (UE) 2024/1689 (AI Act), destinato a costituire il quadro giuridico vincolante per l’uso dei sistemi di IA nell’Unione.

L'Italia, con questa legge, sceglie di non limitarsi a un recepimento passivo delle disposizioni europee, ma di introdurre una disciplina nazionale che, pur dichiarandosi complementare e coerente con l'AI Act, intende regolare aspetti peculiari del contesto interno, attraverso principi, regole di governance e deleghe legislative che saranno concretizzate nei prossimi mesi.

L'articolo che segue si propone di analizzare la struttura e i contenuti principali della legge, mettendo in luce le implicazioni sistematiche con il diritto dell'Unione, le interferenze con il Regolamento (UE) 2016/679 (GDPR) e il Codice Privacy (d.lgs. 196/2003, come modificato dal d.lgs. 101/2018), nonché le criticità legate alla responsabilità civile e penale, alla tutela dei diritti fondamentali e all'attuazione pratica.

1. Struttura e principi generali della legge delega sull’Intelligenza Artificiale

La legge approvata si articola in una parte di principi e disposizioni generali, seguita da norme specifiche per ambiti sensibili e da un’ampia delega al Governo per l’adozione di decreti legislativi entro 12 mesi.

1.1. Principi fondamentali

I principi cardine individuati dal legislatore possono essere sintetizzati nei seguenti: centralità della persona umana e antropocentrismo dell’Intelligenza Artificiale ;

; trasparenza e spiegabilità dei sistemi ;

; responsabilità degli operatori ;

; non discriminazione e inclusione ;

; tutela della dignità e dei diritti fondamentali ;

; protezione dei dati personali e sicurezza informatica. Tali principi, per quanto ampiamente dichiarativi, costituiscono la cornice interpretativa delle successive norme delegate e dovranno orientare l’attività normativa secondaria.

1.2. Governance

La legge attribuisce un ruolo centrale all’Agenzia per l’Italia digitale (AgID) e all’Agenzia per la Cybersicurezza Nazionale (ACN), chiamate a vigilare, coordinare e monitorare l’attuazione della disciplina, in raccordo con il Governo e con le autorità indipendenti, in primis il Garante per la protezione dei dati personali.

È previsto inoltre un Comitato interministeriale per l’intelligenza artificiale, incaricato di definire le linee strategiche e di coordinare l’azione dei diversi ministeri.

2. Rapporti con il diritto europeo: AI Act e GDPR

2.1. Complementarità con l’AI Act

Il legislatore dichiara espressamente che la legge nazionale deve essere letta in coerenza con l’AI Act. In particolare, le categorie di rischio dei sistemi di IA, così come definite dal regolamento europeo (alto rischio, rischio limitato, rischio minimo), restano la griglia di riferimento. Tuttavia, la legge italiana interviene con regole ulteriori in specifici ambiti (minori, giustizia, sanità) introducendo potenzialmente obblighi più stringenti.

2.2. Rapporti con il GDPR e il Codice Privacy

Il trattamento dei dati personali mediante Intelligenza Artificiale è soggetto al GDPR e al Codice Privacy. La legge ribadisce tale cornice, ma aggiunge: l’obbligo di consultazione preventiva del Garante in caso di utilizzo di sistemi di IA che trattano dati sensibili per ricerca o sanità;

l’obbligo di adozione di misure tecniche e organizzative aggiuntive rispetto all’art. 32 GDPR, per i sistemi ad alto rischio;

la previsione di informative specifiche agli interessati quando i loro dati sono utilizzati per addestramento algoritmico. È evidente la volontà del legislatore di evitare conflitti con il diritto europeo, ma non si può escludere il rischio di gold-plating: l’imposizione di obblighi più onerosi rispetto al minimo europeo, con possibili criticità di compatibilità.



3. Ambiti settoriali disciplinati

3.1. Giustizia

La legge stabilisce che l’impiego di sistemi di Intelligenza Artificiale nell’ambito giudiziario può riguardare solo funzioni di supporto (analisi giurisprudenziale, gestione degli atti, predizione statistica), ma non le decisioni fondamentali, che restano nella competenza esclusiva del magistrato.

È previsto un regime di trasparenza e tracciabilità, con obbligo di segnalare nei provvedimenti ogni contributo derivante da Intelligenza Artificiale.

3.2. Sanità e ricerca

Sono ammessi sistemi di Intelligenza Artificiale per diagnosi, terapie e ricerca, ma con l’obbligo di coinvolgere comitati etici, ottenere pareri del Garante per la privacy e garantire la supervisione medica. I trattamenti di dati sensibili devono rispettare il principio di minimizzazione, oltre a specifiche misure di sicurezza rafforzate.

3.3. Minori

È introdotto un regime più restrittivo: sotto i 14 anni, l’utilizzo di strumenti di Intelligenza Artificiale che comportino il trattamento di dati personali richiede il consenso dei genitori. Questa previsione si aggiunge all’art. 8 GDPR (che fissa la soglia a 13/16 anni con possibilità di scelta nazionale) e solleva dubbi di compatibilità.

4. Responsabilità civile e penale

4.1. Responsabilità civile

La legge non introduce un sistema unitario di responsabilità, ma rinvia ai decreti delegati. Le ipotesi in discussione includono: una responsabilità oggettiva del fornitore per danni causati da sistemi ad alto rischio;

per danni causati da sistemi ad alto rischio; una responsabilità solidale tra sviluppatore, distributore e utilizzatore;

tra sviluppatore, distributore e utilizzatore; obblighi assicurativi per operatori e imprese. La mancanza di chiarezza immediata espone a incertezza applicativa, specie per le imprese.

4.2. Responsabilità penale

Sono previste nuove fattispecie o aggravanti quando il reato è commesso mediante sistemi di IA, in particolare per: diffusione di deepfake e manipolazioni audiovisive ingannevoli;

frodi, truffe o reati informatici agevolati dall’uso di IA. Queste disposizioni pongono questioni di proporzionalità e di compatibilità con la libertà di espressione e la satira.

5. Criticità sistematiche

5.1. Ambiguità definitorie

Le definizioni adottate dalla legge non sempre coincidono con quelle dell’AI Act. Termini come “decisione automatizzata” o “sistema ad alto rischio” risultano talvolta vaghi, generando il rischio di conflitti interpretativi.

5.2. Governance complessa

La molteplicità di autorità coinvolte (AgID, ACN, Garante privacy, comitati etici, ministeri) rischia di creare frammentazione e conflitti di competenza. Una governance multilivello richiede meccanismi chiari di coordinamento.

5.3. Attuazione finanziaria

Il testo approvato contiene la clausola di invarianza finanziaria (“nessun nuovo o maggiore onere per la finanza pubblica”), che potrebbe rivelarsi problematica: le attività di certificazione, audit, vigilanza e formazione richiedono inevitabilmente risorse.

5.4. Rischio di overregulation

Alcune previsioni nazionali, più severe dell’AI Act, potrebbero scoraggiare investimenti e innovazione, generando un effetto di forum shopping a vantaggio di Paesi UE con discipline meno onerose.

6. Prospettive applicative

Il cuore operativo della riforma risiederà nei decreti legislativi attuativi che il Governo dovrà adottare entro 12 mesi. Saranno questi a: definire criteri tecnici di certificazione e audit dei sistemi;

disciplinare la responsabilità civile e gli obblighi assicurativi;

precisare l’uso dei sistemi in ambiti sensibili;

armonizzare il ruolo delle autorità. È prevedibile che il Garante privacy, l’ACN e l’AgID giocheranno un ruolo determinante, sia nell’elaborazione dei decreti, sia nell’interpretazione e applicazione concreta.

7. Conclusioni

La nuova legge sull’intelligenza artificiale rappresenta un passaggio storico per l’Italia, che sceglie di dotarsi di un quadro normativo interno a complemento dell’AI Act europeo. L’impianto complessivo, basato su principi generali e ampie deleghe, mostra ambizione ma lascia aperte molte incognite.

Le principali sfide saranno: garantire coerenza con il diritto europeo, evitando duplicazioni e conflitti;

chiarire il regime delle responsabilità;

assicurare effettività ai diritti degli interessati, in particolare in relazione ai dati personali;

dotare le autorità di risorse adeguate;

bilanciare innovazione e tutela, senza cadere nell’overregulation. Il vero banco di prova sarà dunque l’attuazione: solo attraverso decreti legislativi ben calibrati, linee guida tecniche e un dialogo costante con gli operatori sarà possibile tradurre i principi della legge in strumenti concreti ed efficaci di regolazione.

