Home Artificial IntelligenceL’Italia ha la sua legge sull’intelligenza artificiale: approvato il DDL AI

L’Italia ha la sua legge sull’intelligenza artificiale: approvato il DDL AI

24 Settembre 2025 by

Nella seduta del 17 settembre 2025, il Senato ha approvato in via definitiva il Disegno di Legge n. 1146-B, recante “Disposizioni e deleghe al Governo in materia di intelligenza artificiale”.

Il testo, adottato senza ulteriori modifiche rispetto a quello licenziato dalla Camera dei Deputati il 25 giugno 2025, diventa così legge dello Stato e attende ora solo la pubblicazione in Gazzetta Ufficiale per la sua entrata in vigore.

La nuova legge (“Legge sull’AI”), composta da 28 articoli suddivisi in VI Capi, delinea principi fondamentali, ambiti applicativi, strategie nazionali, tutela dei diritti, responsabilità e cooperazione internazionale nel settore dell’intelligenza artificiale (“AI”). Non introduce nuovi obblighi rispetto al Regolamento (UE) 2024/1689 (“AI Act”), bensì previsioni complementari sia sulla base di quanto demandato agli Stati membri dallo stesso AI Act, sia per tenere conto delle specificità del contesto nazionale.

L’approvazione definitiva del Senato ha confermato le modifiche introdotte dalla Camera, che avevano alleggerito alcuni vincoli tecnici e ridefinito i meccanismi di controllo, introducendo al contempo chiarimenti e integrazioni mirate a rafforzare la coerenza con il quadro europeo e ad ampliare le garanzie democratiche e sociali. La conclusione dell’iter legislativo consegna quindi al Paese una prima cornice normativa nazionale sull’intelligenza artificiale: una cornice importante, ma che, come vedremo, resta ancora in gran parte da riempire.

Il contenuto della Legge sull’AI

La Legge sull’AI si ispira ai principi guida dell’AI Act, ossia centralità dei diritti fondamentali, proporzionalità delle regole, tutela della sicurezza e trasparenza, ma se ne discosta nell’impostazione. Mentre il regolamento europeo adotta un approccio trasversale fondato su livelli di rischio applicabili a tutti i settori (con poche eccezioni settoriali, ad esempio con riguardo a taluni sistemi di AI ad alto rischio in ambito finanziario e assicurativo), la normativa italiana si concentra su specifici ambiti ritenuti di particolare rilevanza:

  • Ambito sanitario: l’art. 7 vieta espressamente l’impiego dei sistemi di AI per selezionare o condizionare l’accesso alle prestazioni sanitarie, impone l’obbligo di informare il paziente sull’utilizzo di tecnologie AI e dispone la misurazione continua delle performance per minimizzare il rischio di errori; al contempo ribadisce che l’intelligenza artificiale deve restare un mero supporto alla prevenzione, diagnosi e cura, lasciando al medico la responsabilità ultima della decisione clinica e l’onere di monitorare e verificare gli output dei sistemi.
  • Ricerca scientifica: l’art. 8 qualifica come di rilevante interesse pubblico, ai sensi dell’art. 9 co. 2 lett. g) del GDPR, le attività di sviluppo di sistemi di AI nel settore sanitario svolte da soggetti privati senza scopo di lucro o da IRCCS – nonché da soggetti pubblici e privati in partnership con tali enti – consentendo il trattamento di dati personali senza consenso degli interessati. La liceità del trattamento resta però subordinata alla preventiva comunicazione al Garante per la protezione dei dati personali. L’art. 8 consente inoltre, previa informativa agli interessati, il trattamento dei dati personali – anche sensibili – per finalità di anonimizzazione, pseudonimizzazione o sintetizzazione per finalità di ricerca scientifica, anche in ambito sportivo, nel rispetto dei principi generali della legge e dei diritti economici degli organizzatori delle attività agonistiche.
  • Lavoro: l’art. 11 impone ai datori l’obbligo di informare in modo adeguato i lavoratori circa l’impiego di sistemi di AI. Nel fare ciò, la norma si allinea con le regole già definite dalla normativa italiana sul controllo a distanza dei lavoratori, ma determina un obbligo informativo più ampio rispetto a quello previsto dall’art. 26 co. 7 dell’AI Act, che si applica invece solo ai sistemi di AI ad alto rischio. Inoltre, l’art. 12 prevede l’istituzione di un Osservatorio nazionale incaricato di monitorare gli impatti occupazionali dell’AI, elaborare linee strategiche regolatorie e individuare i settori maggiormente interessati dalla trasformazione digitale.
  • Professioni intellettuali: l’art. 13 vieta al professionista di affidare integralmente la propria prestazione a un sistema di AI e impone un obbligo informativo chiaro e comprensibile sull’uso della tecnologia. Restano però aperte rilevanti questioni applicative sulla distinzione fra impiego meramente ausiliario e utilizzo prevalente, nonché sulle conseguenze delle violazioni (che stanno già emergendo nella giurisprudenza, ad esempio con una recente sentenza del Tribunale di Torino che ha qualificato come lite temeraria la presentazione di un ricorso infondato formulato con l’uso dell’AI senza controllo e revisione da parte dell’avvocato).
  • Giustizia e pubblica amministrazione: gli artt. 14 e 15 stabiliscono che l’AI può operare soltanto come strumento di supporto e non può sostituire la valutazione e la decisione dell’operatore umano, mentre contestualmente si promuovono programmi di formazione volti a sviluppare le competenze digitali necessarie per un uso responsabile delle tecnologie.
  • Diritto d’autore: l’art. 25 estende in modo esplicito la tutela autorale alle opere realizzate con l’ausilio di sistemi di AI, purché siano il risultato del “lavoro intellettuale” dell’autore umano, lasciando tuttavia in sospeso la definizione dei criteri di prevalenza dell’apporto umano su quello del sistema di AI. La norma in questione consente, inoltre, le operazioni di riproduzione ed estrazione (text and data mining) da materiali legittimamente accessibili per finalità di addestramento dei modelli e sistemi di AI, in continuità con le previsioni degli artt. 70-ter e 70-quater della Legge sul Diritto d’Autore.
  • Diritto processuale e penale: il legislatore assegna al tribunale la competenza esclusiva per le controversie inerenti al funzionamento dei sistemi di AI (modifica all’art. 9 c.p.c.), mentre introduce nel codice penale aggravanti specifiche correlate all’uso di AI nella commissione di reati e disciplina una nuova fattispecie penale volta a sanzionare la diffusione illecita di deepfake.

Quanto alle autorità competenti in materia di AI, l’Italia ha designato:

  • l’Agenzia per l’Italia digitale (AgID), con il ruolo di autorità di notifica con funzioni di accreditamento e monitoraggio dei soggetti incaricati di verificare la conformità dei sistemi di AI; e
  • l’Agenzia per la cybersicurezza nazionale (ACN), con il ruolo di autorità di vigilanza e, quindi, di far rispettare la normativa in materia di AI e irrogare sanzioni in caso di violazioni, oltre che di autorità guida per l’uso dell’AI per la cybersicurezza.

Nella gestione dell’AI, Banca d’Italia, CONSOB e IVASS mantengono un ruolo di vigilanza settoriale per l’ambito creditizio, finanziario e assicurativo. Restano inoltre salve le competenze del Garante Privacy e quelle di AGCOM come Coordinatore dei Servizi Digitali ai sensi del Digital Services Act. La designazione di AgID e ACN, autorità governative, pare tuttavia trascurare il requisito di indipendenza già segnalato nel parere circostanziato sulla prima bozza del DDL AI formulato dalla Commissione europea nel novembre 2024 (C(2024) 7814). Facendo leva sui requisiti di indipendenza e sull’interrelazione tra AI e protezione dei dati, inclusi i processi decisionali automatizzati, nella primavera del 2024 il Garante Privacy aveva scritto a Parlamento e Governo per indurli a riconsiderare la propria scelta.

Infine, l’art. 19 della Legge sull’AI prevede l’istituzione di un Comitato di Coordinamento, incaricato di affiancare il Governo nell’elaborazione e nell’attuazione della strategia sull’AI, coordinando le iniziative pubbliche e private e garantendo un approccio integrato tra ministeri, enti di ricerca e stakeholder del settore.

Un primato europeo, ma con un quadro non ancora completo

Nonostante l’approvazione definitiva da parte del Senato abbia reso l’Italia il primo Paese europeo ad adottare una legge nazionale in linea con l’AI Act, il quadro normativo complessivo resta tutt’altro che completo. Numerose disposizioni della Legge sull’AI restano infatti sospese, in attesa dell’emanazione di decreti, regolamenti o linee guida che ne definiscano concretamente modalità di attuazione:

  • In ambito sanitario, il Ministero della Salute dovrà emanare due decreti: uno per regolare le sperimentazioni di progetti basati su AI e machine learning, con la creazione di “spazi di sperimentazione”, e l’altro per definire le condizioni di utilizzo dei sistemi di AI nel settore sanitario. Parallelamente, AGENAS potrà predisporre linee guida per le procedure di anonimizzazione di dati personali e creazione di dati sintetici per finalità di ricerca scientifica.
  • Nel settore del lavoro, l’istituzione dell’Osservatorio nazionale sull’AI resta subordinata a un decreto del Ministero del Lavoro, che dovrà definirne funzioni, strumenti e modalità di interazione con le parti sociali.
  • L’art. 16 affida al Governo l’adozione di decreti legislativi per stabilire criteri sui dati e sugli algoritmi impiegati per addestrare i sistemi di AI, materia centrale e delicata che richiederà il coinvolgimento di ministeri, autorità indipendenti e passaggi parlamentari. La questione è intricata, poiché l’addestramento di sistemi di AI presenta svariate implicazioni giuridiche, tra cui in materia di AI Act, proprietà intellettuale, privacy e in relazione alle normative di settore. Pertanto, i futuri interventi mirati a regolare questo ambito dovranno misurarsi con un complesso tessuto normativo, facendo attenzione a non alterarne gli equilibri.
  • L’art. 19 demanda al Governo la predisposizione della Strategia nazionale per l’AI, destinata a coordinare le iniziative pubbliche e private, tra Stato, imprese, università e centri di ricerca. Avevamo parlato della Strategia italiana per l’AI in questo articolo.
  • Infine, l’art. 24 attribuisce al Governo un ampio insieme di deleghe per adottare decreti legislativi in diversi ambiti, tra cui regolamentazione dell’uso dell’AI nei settori finanziario e assicurativo, adeguamento della pubblica amministrazione, criteri per l’adozione dei sistemi di AI e disciplina delle sanzioni.

Conclusioni

Se è vero che la Legge sull’AI si colloca formalmente in linea con l’AI Act, non introducendo nuovi obblighi o definizioni divergenti, essa resta comunque insufficiente a garantire un pieno allineamento del quadro nazionale al regolamento europeo. L’armonizzazione effettiva dipenderà dall’emanazione dei decreti e delle linee guida, un processo complesso e destinato a richiedere tempi prolungati.

Nel frattempo, diverse disposizioni dell’AI Act risultano già applicabili e altre diverranno operative nel 2026, generando inevitabili incertezze per gli operatori pubblici e privati, costretti a muoversi in una duplice dimensione normativa. In definitiva, nei prossimi mesi le imprese e gli operatori dovranno orientarsi soprattutto sull’AI Act, che ha scadenze e obblighi già certi, monitorando con attenzione l’evoluzione degli atti italiani per capire quando e come queste regole aggiuntive diventeranno operative.

Autori: Marianna Riedo e Giacomo Lusardi

(Visited 4 times, 4 visits today)

Related Posts

Nuova legge italiana sull’IA vs legge UE sull’IA: cosa c’è da sapere

Il 17 settembre 2025, il Senato italiano ha approvato una legge storica sull’intelligenza artificiale...

L’uso dell’Intelligenza Artificiale nelle frodi assicurative

L’intelligenza artificiale (IA) offre numerosi vantaggi: può migliorare l’efficienza, aiutare a...

Artificial Intelligence

Come si intrecciano governance dell’IA, privacy e innovazione: una conversazione con Emerald De Leeuw-Goggin

La governance dell’IA non è più un concetto astratto, ma è diventata una necessità fondamentale per...

Close Search Window