Il 10 giugno 2026 il Consiglio dei Ministri ha approvato in via preliminare due decreti legislativi attuativi della Legge n. 132/2025, rendendo l’Italia il primo Stato membro dell’UE ad operazionalizzare un quadro normativo nazionale sull’intelligenza artificiale pienamente allineato al Regolamento UE sull’AI Act (Reg. (UE) 2024/1689).
Di seguito un’analisi di tutte le disposizioni rilevanti — dall’IA nel lavoro e nelle professioni regolamentate, alla sorveglianza biometrica, alla responsabilità civile e alle nuove sanzioni penali — e delle implicazioni pratiche per imprese, professionisti e cittadini.
Perché i decreti attuativi italiani sull’AI Act sono rilevanti?
Una caratteristica distintiva di questi decreti è la loro piena conformità all’AI Act europeo. Non introducono un regime regolatorio alternativo, ma traspongono e rendono operativo il quadro europeo all’interno dell’ordinamento italiano — una distinzione rilevante per le imprese già impegnate nell’adeguamento all’AI Act. I due decreti coprono rispettivamente:
- Poteri delle autorità nazionali; utilizzo dell’IA nell’istruzione e nella formazione professionale; IA nei rapporti di lavoro.
- IA nelle attività di polizia (inclusa l’identificazione biometrica); responsabilità civile per danni da IA; nuove disposizioni penali.
Il principio trasversale è il modello antropocentrico della Legge n. 132/2025: l’IA è uno strumento a supporto della decisione umana, mai un suo sostituto.
IA e professioni regolamentate
Per avvocati, medici, ingegneri e tutte le altre professioni regolamentate, i decreti introducono l’obbligo di formazione sull’IA sia nella fase iniziale che in quella di aggiornamento professionale continuo. La formazione deve coprire tre dimensioni:
- Tecnica — funzionamento dei sistemi di IA, potenzialità e limiti.
- Giuridica — AI Act e normativa nazionale applicabile.
- Deontologica — responsabilità del professionista nell’uso dell’IA, obblighi di disclosure nei confronti del cliente e principio antropocentrico.
Gli ordini professionali devono aggiornare i propri regolamenti entro sei mesi. La responsabilità per il lavoro svolto con l’ausilio dell’IA resta in capo al professionista — non si trasferisce allo strumento tecnologico.
I parametri di compensazione — inclusi i tariffari forensi — dovranno essere aggiornati entro dodici mesi per riflettere la classificazione di rischio del sistema di IA utilizzato, con criteri trasparenti a tutela sia del professionista che del cliente.
IA nei rapporti di lavoro: il divieto di licenziamento automatizzato
Questa è probabilmente la disposizione di maggiore impatto immediato per le imprese. La regola fondamentale è netta:
Le decisioni relative alla costituzione, alla modificazione o all’estinzione del rapporto di lavoro — comprese le misure disciplinari e i licenziamenti — non possono essere adottate sulla base del solo trattamento automatizzato. La decisione finale è riservata a una persona fisica dotata di potere decisionale. Il licenziamento adottato in violazione di tale divieto è nullo.
Ulteriori obblighi a carico del datore di lavoro:
- Adempiere a tutti gli obblighi di informativa previsti dalla legge prima di avviare il trattamento automatizzato.
- Fornire al lavoratore, su richiesta e con il coinvolgimento di una persona fisica, una spiegazione intelligibile delle decisioni che lo riguardano, indicando l’impatto potenziale del sistema di IA e i principali parametri considerati.
- I diritti di accesso ai dati rimangono pienamente in vigore.
Le autorità nazionali di vigilanza sull’AI Act
I decreti definiscono l’assetto delle autorità nazionali competenti per l’attuazione dell’AI Act in Italia:
| Autorità | Ruolo ai sensi dell’AI Act |
|---|---|
| AgID (Agenzia per l’Italia Digitale) | Autorità di notifica |
| ACN (Agenzia per la Cybersicurezza Nazionale) | Autorità di vigilanza del mercato; punto di contatto unico con le istituzioni UE |
| Banca d’Italia, CONSOB, IVASS | Vigilanza sui sistemi di IA ad alto rischio nel settore dei servizi finanziari |
| Garante per la protezione dei dati personali | Sistemi di IA ad alto rischio in materia di forze dell’ordine, gestione delle frontiere, giustizia e democrazia |
Il regime sanzionatorio è graduato e proporzionato. L’Italia ha esercitato la facoltà prevista dall’AI Act di fissare massimali edittali inferiori ai tetti europei, calibrati sul grado di responsabilità dei soggetti coinvolti nella catena del valore dell’IA. Le autorità nazionali devono presentare una relazione annuale alla Presidenza del Consiglio dei Ministri.
IA nelle forze dell’ordine e sorveglianza biometrica
I decreti consentono l’utilizzo dell’IA per rafforzare la prevenzione e il contrasto dei reati, ma solo entro un perimetro giuridico rigoroso. La sorveglianza di massa è esplicitamente vietata.
Identificazione biometrica in tempo reale
Consentita solo in conformità all’articolo 5 dell’AI Act, e limitatamente a:
- Prevenire minacce specifiche e gravi all’ordine e alla sicurezza pubblica.
- Ricercare persone scomparse o vittime di sequestro, tratta o sfruttamento sessuale.
È necessaria l’autorizzazione dell’autorità giudiziaria. Ogni autorizzazione è limitata nel tempo e nello spazio, riferita a soggetti determinati, e non può superare i quindici giorni (prorogabili con motivazione). Il confronto è consentito solo con banche dati adeguatamente costituite e lecitamente compilate — è escluso il confronto con banche dati create attraverso scraping indiscriminato del web.
Riconoscimento facciale post-evento
In conformità all’articolo 26, par. 10, dell’AI Act, il riconoscimento facciale post-evento mediante sistemi di videosorveglianza lecitamente installati può essere attivato solo:
- Dopo la commissione di un reato (anche tentato), per identificare indagati sulla base di elementi obiettivi e verificabili.
- Sotto la titolarità del trattamento del Ministero dell’Interno (Dipartimento della Pubblica Sicurezza).
- Previo svolgimento di una valutazione d’impatto e consultazione con il Garante.
La conservazione locale dei dati è limitata a sette giorni. I log sono immodificabili per cinque anni. È vietato adottare decisioni basate sul solo output del sistema di IA, così come qualsiasi utilizzo non mirato o generalizzato. La costituzione di banche dati biometriche attraverso raccolta indiscriminata di dati dal web è espressamente vietata.
Responsabilità civile per danni da IA
I decreti colmano il vuoto di tutela determinato dal ritiro della proposta di Direttiva sulla responsabilità per IA da parte della Commissione europea. Nuovi strumenti processuali sono messi a disposizione dei soggetti danneggiati da sistemi di IA, senza imporre nuovi obblighi sostanziali agli operatori:
- Accesso alla documentazione tecnica del sistema di IA, per consentire al danneggiato di comprenderne le caratteristiche rilevanti.
- Una presunzione relativa di causalità, che alleggerisce — senza eliminare — l’onere probatorio.
- Un foro alternativo prossimo alla residenza del danneggiato (persona fisica), per ridurre il costo dell’accesso alla tutela giurisdizionale.
- L’azione diretta nei confronti dell’assicuratore, quale strumento ulteriore per garantire l’effettività del risarcimento.
Le tutele esistenti in materia di protezione dei dati personali e responsabilità da prodotto rimangono pienamente in vigore.
Responsabilità penale: il nuovo articolo 437-bis c.p.
I decreti introducono l’articolo 437-bis del codice penale, che punisce:
- L’omessa adozione delle misure di sicurezza prescritte nei sistemi di IA ad alto rischio.
- L’alterazione di tali sistemi, quando l’una o l’altra condotta crea un pericolo concreto per la vita, la sicurezza pubblica o la sicurezza dello Stato.
Elementi qualificanti della fattispecie:
- La responsabilità può estendersi all’ente ai sensi del D.Lgs. 231/2001, garantendo che la responsabilità non gravi solo sulle persone fisiche.
- La punibilità è ancorata al pericolo concreto e, per la condotta colposa, alla colpa grave, evitando la criminalizzazione di ogni deviazione tecnica o errore operativo.
Il messaggio è inequivocabile: chiunque sviluppi, metta in produzione o utilizzi sistemi di IA ad alto rischio è tenuto a mantenere rigorosamente le misure di sicurezza per l’intero ciclo di vita del sistema. La responsabilità rimane umana e organizzativa.
Riepilogo: le regole principali in sintesi
| Ambito | Regola chiave | Scadenza / Limite |
|---|---|---|
| Professioni regolamentate | Formazione obbligatoria sull’IA (tecnica, giuridica, deontologica) | Ordini: 6 mesi; tariffari: 12 mesi |
| Lavoro e licenziamenti | Licenziamento basato sul solo trattamento automatizzato è nullo | Immediata |
| Biometria in tempo reale | Autorizzazione giudiziaria obbligatoria; solo minacce gravi | Max 15 giorni per autorizzazione |
| Riconoscimento facciale post-evento | Solo post-reato; titolarità al Ministero dell’Interno | Conservazione dati: 7 giorni |
| Responsabilità civile | Presunzione di causalità; azione diretta verso l’assicuratore | Immediata |
| Sanzioni penali (art. 437-bis c.p.) | Omissioni su sistemi ad alto rischio; pericolo concreto richiesto | Immediata |
Domande frequenti
Cosa sono i decreti attuativi italiani sull’IA?
Sono due decreti legislativi approvati in via preliminare dal Consiglio dei Ministri il 10 giugno 2026, in attuazione della Legge n. 132/2025 e di allineamento dell’ordinamento italiano all’AI Act (Reg. (UE) 2024/1689).
L’Italia è il primo Paese UE ad attuare l’AI Act a livello nazionale?
Sì. Con la Legge n. 132/2025 e questi decreti attuativi, l’Italia è il primo Stato membro dell’UE ad adottare un quadro normativo nazionale sull’IA completo, settoriale e pienamente complementare all’AI Act europeo.
I decreti introducono la sorveglianza di massa o banche dati biometriche?
No. I decreti vietano esplicitamente la sorveglianza biometrica di massa e la costituzione di banche dati biometriche attraverso scraping non mirato del web. L’identificazione biometrica in tempo reale è consentita solo in casi eccezionali, previa autorizzazione giudiziaria, con limiti temporali e geografici rigorosi.
Un datore di lavoro può licenziare un dipendente sulla base di una decisione adottata solo dall’IA?
No. Il licenziamento adottato sulla base del solo trattamento automatizzato è nullo. Le decisioni finali sui rapporti di lavoro devono sempre essere assunte da una persona fisica titolare del potere decisionale.
Quali nuovi reati introducono i decreti?
I decreti introducono l’articolo 437-bis c.p., che punisce l’omessa adozione delle misure di sicurezza prescritte o l’alterazione di sistemi di IA ad alto rischio quando tali condotte creano un pericolo concreto per la vita, la sicurezza pubblica o la sicurezza dello Stato. La responsabilità può estendersi all’ente ai sensi del D.Lgs. 231/2001.
Quali autorità vigilano sul rispetto dell’AI Act in Italia?
AgID è l’autorità di notifica. ACN è l’autorità di vigilanza del mercato e punto di contatto unico con le istituzioni UE. Banca d’Italia, CONSOB e IVASS vigilano sull’IA nel settore finanziario. Il Garante interviene sui sistemi di IA ad alto rischio in materia di forze dell’ordine, gestione delle frontiere, giustizia e democrazia.
I decreti si applicano anche alle imprese straniere che operano in Italia?
Sì. Qualsiasi impresa che immette sul mercato italiano sistemi di IA o li utilizza nel territorio nazionale rientra nell’ambito di applicazione dell’AI Act e delle relative misure nazionali di attuazione. Gli operatori con sistemi di IA ad alto rischio devono verificare la propria conformità a entrambi i livelli normativi.
Su un argomento simile è possibile leggere l’articolo “L’Autorità Garante per la Protezione dei Dati Personali emette una decisione sull’analisi del sentiment tramite IA nel contesto lavorativo“.
About the Author: Giulio Coraggio
