Home Artificial IntelligenceNuova legge italiana sull’IA vs legge UE sull’IA: cosa c’è da sapere

Nuova legge italiana sull’IA vs legge UE sull’IA: cosa c’è da sapere

23 Settembre 2025 by

Il 17 settembre 2025, il Senato italiano ha approvato una legge storica sull’intelligenza artificiale (IA), rendendo l’Italia il primo paese dell’UE a promulgare una legge nazionale che regola specificamente l’IA, in linea con la legge UE sull’IA.

Questa legge, il decreto del Senato n. 1146-B, porta con sé ambizione, opportunità e sfide significative in materia di conformità, in particolare per avvocati, enti pubblici e professionisti. Di seguito, esaminiamo il contenuto della legge, il suo rapporto con il quadro normativo dell’UE e gli obblighi dei professionisti del settore legale.

Legge italiana sull’IA: cosa prevede la nuova normativa nazionale

La nuova legge italiana sull’IA:

  • Richiede tracciabilità, supervisione umana e sicurezza per le decisioni basate sull’IA in tutti i settori, compresi sanità, lavoro, istruzione, giustizia, pubblica amministrazione e sport.
  • Impone il consenso dei genitori per l’accesso ai sistemi di IA da parte dei minori di 14 anni.
  • Criminalizza l’uso improprio di contenuti generati o manipolati dall’IA (ad esempio, i deepfake) con pene da 1 a 5 anni di reclusione se viene causato un danno; prevede inoltre pene più severe per il furto di identità, la frode, ecc.
  • Chiarisce le norme sul diritto d’autore: le opere realizzate con l’IA possono essere protette solo se vi è un contributo umano creativo dimostrabile; limita inoltre il text & data mining basato sull’IA a materiali non protetti da copyright o alla ricerca scientifica autorizzata.
  • Assegna la supervisione della legge all’AGID (Agenzia per l’Italia Digitale) e all’ACN (Agenzia nazionale per la sicurezza informatica).
  • Autorizza fino a 1 miliardo di euro di finanziamenti a sostegno delle aziende nei settori dell’IA, della sicurezza informatica, delle telecomunicazioni, ecc.

Si tratta di un pacchetto ampio e ambizioso, ma che si sovrappone alla legislazione europea in modi che gli operatori del settore devono valutare con attenzione.

AGID e ACN spiegate: le nuove autorità italiane per l’IA

La legge conferisce poteri normativi a:

  • AGID – Agenzia per l’Italia Digitale, che coordina la trasformazione digitale del settore pubblico, le infrastrutture ICT e la politica dell’innovazione. Ai sensi della legge, l’AGID agisce come autorità di notifica, accreditando gli organismi di conformità, promuovendo l’innovazione nell’ambito dell’IA e sostenendo l’applicazione della legge.
  • ACN – Agenzia per la Cybersecurity Nazionale, che supervisiona la sicurezza informatica, le ispezioni e le sanzioni dei sistemi di IA, in particolare nei settori critici.

Si tratta di agenzie governative, non di autorità di regolamentazione completamente indipendenti come l’Autorità italiana per la protezione dei dati. Questa scelta ha sollevato alcune preoccupazioni, poiché la legge UE sull’IA pone grande enfasi sui diritti fondamentali e una supervisione indipendente avrebbe potuto fornire maggiori garanzie di imparzialità.

In che modo la legge italiana sull’IA è in linea con la legge UE sull’IA e in che modo se ne discosta

La legge UE sull’IA (Regolamento 2024/1689) è entrata in vigore il 1° agosto 2024. I suoi obblighi sono graduali:

  • Da febbraio 2025: divieti di pratiche IA proibite e obblighi di alfabetizzazione IA.
  • A partire dall’agosto 2025: norme per i modelli di IA per uso generico (GPAI) (trasparenza, sintesi dei dati di addestramento, sicurezza informatica).
  • A partire dall’agosto 2026: obblighi per i sistemi di IA ad alto rischio (valutazioni di conformità, gestione della qualità, supervisione umana).
  • Entro il 2027: sistemi di IA integrati nei prodotti completamente regolamentati.

La legge nazionale italiana è stata concepita per integrare, e non contraddire, questo quadro normativo. In caso di sovrapposizioni, le aziende devono considerare le disposizioni italiane come livelli aggiuntivi, ad esempio le norme penali sui deepfake o l’obbligo di consenso dei genitori per i minori di 14 anni.

Obblighi per le professioni intellettuali: avvocati, notai e commercialisti

Una caratteristica distintiva della legge italiana è la regolamentazione delle professioni intellettuali quali avvocati, notai, commercialisti, architetti.

Obblighi principali:

  1. AI solo come supporto – I professionisti possono utilizzare strumenti di IA solo a supporto, e non in sostituzione, del loro lavoro intellettuale. Il professionista deve sempre rimanere il decisore.
  2. Divulgazione della lettera di incarico – Gli avvocati e altri professionisti devono informare i clienti per iscritto, di solito nella lettera di incarico, se verrà utilizzata l’IA, spiegando che tipo di IA, come verrà utilizzata, quali dati potranno essere trattati e quali garanzie si applicano.
  3. Supervisione umana e responsabilità – La responsabilità finale rimane del professionista. Questi deve convalidare i risultati dell’IA e garantire che siano coerenti, equi e legittimi.
  4. Etica e formazione – I professionisti devono considerare le questioni etiche (pregiudizi, trasparenza, equità) ed essere pronti a dimostrare di aver esercitato la supervisione.

Questo è uno degli obblighi più concreti previsti dalla legge e ha un impatto diretto sul modo in cui gli avvocati italiani redigono i contratti con i clienti e gestiscono i rapporti con essi.

Matrice RACI e governance dell’IA: uno strumento pratico per la conformità legale

Con più autorità di regolamentazione (AGID, ACN, Garante, autorità di settore), la conformità può diventare complessa. È qui che entra in gioco la matrice RACI.

RACI sta per:

  • Responsible: chi esegue il compito
  • Accountable: chi ha la responsabilità finale/l’approvazione
  • Consulted: chi fornisce input
  • Informed: chi viene aggiornato sui progressi

Per i progetti di IA, questo strumento aiuta i team legali a definire:

  • Chi è responsabile delle comunicazioni relative all’IA nelle lettere ai clienti
  • Chi è responsabile delle comunicazioni alle autorità di regolamentazione
  • Chi deve essere consultato (responsabile della protezione dei dati, responsabile della conformità, sindacati)
  • Chi deve essere informato (direzione, clienti, revisori)

Questa chiarezza riduce i rischi di conformità e dimostra una buona governance in caso di controlli da parte delle autorità di regolamentazione.

IA nella sanità e nella ricerca: interesse pubblico vs. rischi per la protezione dei dati

La legge sostiene esplicitamente l’uso dell’IA nella diagnostica medica e nella ricerca, citando “l’interesse pubblico rilevante” come base per un uso più ampio dei dati.

Ma le aziende devono anche rispettare:

  • GDPR e i suoi rigorosi principi di protezione dei dati
  • Il prossimo Regolamento europeo sullo spazio dei dati sanitari, che crea regole specifiche per l’uso secondario dei dati sanitari
  • Regolamentazione dei dispositivi medici, in cui le funzioni di IA possono comportare obblighi di marcatura CE

In pratica, ciò significa che gli operatori sanitari e le aziende del settore delle scienze della vita devono eseguire valutazioni dei rischi multi-framework per l’implementazione dell’IA.

IA sul posto di lavoro e monitoraggio dei dipendenti: cosa devono sapere i datori di lavoro

La legge italiana richiede trasparenza e supervisione per i sistemi di IA sul posto di lavoro.

I datori di lavoro devono considerare:

  • Lo Statuto dei lavoratori italiano e le norme sulla privacy, che limitano il monitoraggio dei dipendenti
  • Le linee guida del Garante della Privacy sui metadati e la sorveglianza sul posto di lavoro
  • Gli obblighi di formazione e alfabetizzazione previsti dalla legge UE sull’IA per i dipendenti interessati dall’IA

Ad esempio, l’uso dell’IA per valutare la produttività, monitorare i tasti digitati o prevedere l’assenteismo può essere ad alto rischio e soggetto a una rigorosa supervisione. I datori di lavoro dovrebbero aggiornare i contratti collettivi, le politiche e i programmi di conservazione.

Copyright e opere generate dall’IA: la creatività umana rimane essenziale

La legge conferma che il copyright si applica solo alle opere frutto della creatività umana. I risultati generati esclusivamente dall’IA non possono essere protetti dal copyright.

Per le aziende:

  • Conservare i registri del coinvolgimento umano nei progetti creativi
  • Documentare la provenienza dei set di dati per la formazione/messa a punto
  • Rispettare le rinunce al text-and-data mining
  • Ottenere licenze per i dati protetti da copyright

Ciò allinea l’Italia alla giurisprudenza europea e a casi internazionali come Thaler v. Copyright Office negli Stati Uniti.

L’IA nella pubblica amministrazione e nella giustizia: trasparenza e supervisione umana

La pubblica amministrazione e la magistratura devono applicare la spiegabilità e il processo decisionale finale umano.

I contratti di appalto richiederanno sempre più spesso:

  • Valutazioni dei rischi dell’IA
  • Documentazione di conformità agli obblighi della legge UE sull’IA
  • Monitoraggio dei risultati e meccanismi di ricorso per i cittadini

Per i fornitori, ciò significa preparare file di conformità dettagliati come parte delle offerte.

Tempistica della legge UE sull’IA rispetto alla legge italiana sull’IA: scadenze chiave per la conformità
  • Febbraio 2025: inizio dei divieti e degli obblighi di alfabetizzazione dell’UE
  • Agosto 2025: applicazione delle norme GPAI; entrata in vigore anche della legge italiana
  • Agosto 2026: norme sui sistemi ad alto rischio
  • 2027: completa introduzione delle norme relative ai prodotti

Le aziende devono considerare la legge UE sull’IA come la colonna portante e aggiungere gli obblighi italiani, in particolare in materia di diritto penale e protezione dei minori.

Lista di controllo pratica per la conformità per avvocati e aziende
  1. Aggiornare le lettere di incarico con le informative sull’IA
  2. Mappare tutti gli strumenti di IA in uso nell’organizzazione
  3. Garantire la supervisione umana e le tracce di audit per tutti i risultati dell’IA
  4. Formare il personale per soddisfare gli obblighi di alfabetizzazione sull’IA
  5. Rivedere gli appalti per richiedere la documentazione GPAI ai fornitori
  6. Preparare le valutazioni di conformità per i sistemi ad alto rischio
  7. Allineare l’IA sul posto di lavoro con il diritto del lavoro e della privacy
  8. Documentare la provenienza del copyright per i set di dati di addestramento dell’IA.
Rischi, limiti e future revisioni della legge italiana sull’IA

Sebbene ambiziosa, la legge deve affrontare alcune sfide:

  • La mancanza di autorità di regolamentazione indipendenti potrebbe indebolire la credibilità dell’applicazione
  • La sovrapposizione con la legge UE sull’IA rischia di duplicare gli obblighi di conformità
  • Definizioni poco chiare (ad esempio, professioni intellettuali, creatività dimostrabile) potrebbero portare a contenziosi
  • Le future revisioni saranno inevitabili una volta che gli obblighi della legge UE saranno pienamente applicabili entro il 2026-2027

In breve: la legge è un primo passo coraggioso, ma non è l’ultima parola.

Ascolta la discussione completa sul nostro podcast

Per approfondire la legge italiana sull’IA, il suo impatto sugli avvocati e le misure pratiche che le aziende devono adottare, ascolta l’episodio completo del nostro podcast:

(Visited 1 times, 1 visits today)

About the Author:

Giulio Coraggio è un partner e location head del dipartimento di Intellectual Property & Technology dello studio legale DLA Piper in Italia

Related Posts

L’uso dell’Intelligenza Artificiale nelle frodi assicurative

L’intelligenza artificiale (IA) offre numerosi vantaggi: può migliorare l’efficienza, aiutare a...

Artificial Intelligence

Come si intrecciano governance dell’IA, privacy e innovazione: una conversazione con Emerald De Leeuw-Goggin

La governance dell’IA non è più un concetto astratto, ma è diventata una necessità fondamentale per...

Anonimizzazione dei Dati Personali e il Rischio del DPO come Esecutore

La recente decisione del Garante per la protezione dei dati personali ha fornito indicazioni sul vero...

Close Search Window