Analisi a cura di Tommaso Faelli, partner di BonelliErede e leader del Focus Team Innovazione e Trasformazione digitale
La Legge 132/2025 segna un passaggio decisivo per il quadro normativo italiano ed europeo: definisce il rapporto tra tecnologia e diritti fondamentali. In un contesto in cui l’intelligenza artificiale entra in sanità, lavoro, finanza e informazione, emerge una doppia esigenza: promozione dello sviluppo tecnologico e tutela della centralità umana. La normativa si inserisce nel quadro dell’AI Act europeo, con specificità nazionali e un percorso di attuazione che richiederà ulteriori interventi.
Principi e ambito di applicazione. La legge adotta un approccio antropocentrico: i sistemi di IA devono garantire autonomia decisionale umana, trasparenza e prevenzione del danno. Il testo disciplina ricerca, sperimentazione, sviluppo e applicazione dell’IA in settori strategici come sanità, lavoro, pubblica amministrazione e professioni intellettuali.
Tutela dei dati e protezione dei minori. Il legislatore conferma il principio già previsto dal Codice Privacy: consenso dei genitori per il trattamento dei dati dei minori di 14 anni e possibilità per i ragazzi dai 14 anni in su di esprimere il consenso, purché ricevano informazioni chiare e comprensibili. La legge estende questa regola al contesto dei sistemi di IA, rafforzando la trasparenza sui rischi e sulle modalità di utilizzo. Si tratta di un parallelismo importante: la protezione dei minori rimane un cardine, anche in un ambiente tecnologico in rapida evoluzione.
Sanità e ricerca scientifica. L’IA assume il ruolo di supporto nelle decisioni mediche, con responsabilità finale in capo al medico. I trattamenti di dati per progetti di ricerca senza scopo di lucro acquisiscono la qualifica di “rilevante interesse pubblico”, consentendo utilizzi secondari in forma pseudonimizzata per prevenzione, diagnosi e sviluppo di terapie. Questa apertura favorisce la creazione di banche dati e modelli di base, con l’obiettivo di accelerare innovazione e sicurezza.
Lavoro e professioni. L’impiego di algoritmi in assunzioni, valutazioni o cessazioni del rapporto di lavoro richiede un’informativa completa ai dipendenti su scopi, dati utilizzati e meccanismi di controllo. Nasce un Osservatorio per il monitoraggio dell’impatto dell’IA sul mercato del lavoro. Per le professioni intellettuali, la legge impone la prevalenza dell’apporto umano e l’obbligo di trasparenza verso i clienti, con percorsi di formazione e alfabetizzazione digitale promossi dagli ordini professionali.
Diritto d’autore e IA generativa. Le opere realizzate con strumenti di IA ottengono tutela di diritto d’autore solo in presenza di contributo creativo umano prevalente. Per il text e data mining, vale a dire la raccolta robotizzata di dati presso banche dati e pubblicazioni altrui, vale il principio dell’opt‑out: chi intenda impedire questa attività sulle proprie banche dati e pubblicazioni deve apporre una riserva d’uso tramite segnali digitali semplici e leggibili anche dai sistemi robotizzati. Il risultato, nei fatti, è una forte limitazione dei sistemi di scraping indiscriminati per l’addestramento dei modelli di IA.
Responsabilità penale e compliance aziendale. Il legislatore introduce aggravanti per reati commessi mediante IA (manipolazione di mercato, deepfake, violazioni dei diritti politici) e una nuova fattispecie per diffusione illecita di contenuti generati o alterati con IA. Le imprese devono aggiornare i Modelli 231, integrando la compliance all’AI Act con quella prevista dal D.Lgs. 231/2001. Il Governo, attraverso decreti delegati, potrà introdurre ulteriori reati legati a omissioni di misure di sicurezza, con impatti significativi sui sistemi di gestione del rischio. In concreto, la mappatura dei sistemi, l’aggiornamento dei rischi, le regole etiche sull’uso dell’IA e la formazione diventano presidi organizzativi essenziali per proteggere la società e gli amministratori da eventuali responsabilità penali e amministrative. Anche nella mappatura dei rischi per reati già compresi nel D.lgs 231/2001 (per esempio i reati informatici) sarà necessario tener conto delle minacce poste dall’uso distorto dell’IA.
Governance e prospettive. AgID e Agenzia per la Cybersicurezza Nazionale (ACN) assumono il ruolo di autorità nazionali, con poteri di vigilanza, ispezione e gestione di sandbox per sperimentazioni sicure. AgID, quale autorità di notifica, cura promozione, procedure e valutazioni di conformità (incluse le valutazioni d’impatto per i sistemi ad alto rischio); ACN, quale autorità di vigilanza, esercita poteri ispettivi e sanzionatori e svolge il ruolo di punto di contatto UE per la cybersicurezza. Le Autorità gestiranno congiuntamente sandbox per sperimentazioni controllate. Banca d’Italia, CONSOB e IVASS, in quanto autorità di vigilanza del mercato, hanno competenza anche sull’utilizzo dei sistemi di intelligenza artificiale nella misura in cui tali sistemi siano direttamente collegati alla fornitura dei servizi finanziari. Entro 12 mesi, il Governo adotterà decreti attuativi per la definizione dei poteri ispettivi, l’introduzione di nuove fattispecie penali e di strumenti sanzionatori.
Foto di Pamela Hallam su Unsplash
