Avv. Giuseppe Croari – Dott. Francesco Rabottini
La prima legge italiana sull’Intelligenza Artificiale (L. n. 132/2025), successivamente ad una serie di atti preparatori e programmatici, privi di efficacia vincolante, è stata finalmente approvata il 17 settembre 2025. La legge, in vigore a partire dal prossimo 10 ottobre 2025, costituisce il primo quadro normativo nazionale in Europa atto a disciplinare sviluppo, adozione e governance dei sistemi di IA, inserendosi nel solco del Regolamento (UE) 2024/1689, il c.d. “AI Act” (ne abbiamo parlato qui), e prevedendo un maggior livello di specificazione delle condotte da adottare in settori particolarmente sensibili, tra i quali spiccano sanità, lavoro, giustizia e cybersicurezza.
Sostegno finanziario e governance
La legge favorisce la creazione di un mercato dell’AI innovativo, promuovendo una ricerca collaborativa e l'utilizzo della tecnologia come strumento per migliorare l'interazione uomo-macchina nei settori produttivi. Tutto questo verrà reso possibile grazie all’autorizzazione, contenuta nella nuova legge, di un programma di investimenti da 1 miliardo di euro in equity e quasi-equity, avente lo scopo di sostenere startup, PMI e grandi imprese nei settori chiave relativi ad AI, cybersicurezza e tecnologie emergenti.
L'Italia si dota di un quadro stabile e pro-innovazione, offrendo regole trasparenti e una governance affidabile, elementi cruciali per attrarre investimenti, individuando a tal fine l’ACN (Agenzia per la Cybersicurezza nazionale) e l’AgID (Agenzia per l’Italia Digitale) come autorità competenti: mentre la prima avrà compiti di vigilanza – con poteri ispettivi – circa l’adeguatezza e la sicurezza dei sistemi di AI impiegati, la seconda sarà deputata alla gestione delle notifiche e alla promozione dei casi d’uso sicuri per cittadini e imprese.
L'impatto sulle aziende italiane: tempistiche, oneri e opportunità
L’attuazione della legge in parola avverrà tramite l’azione del Governo, al quale la stessa affida una serie di deleghe, legislative e regolamentari, che definiscono le tempistiche principali. In questo ambito, le aziende avranno a disposizione una limitata finestra temporale per adeguarsi in modo proattivo, attraverso la mappatura degli asset AI, l’aggiornamento dei contratti, la preparazione di valutazioni d'impatto e il rafforzamento delle proprie capabilities tecniche e legali.
Come si può intuire, si tratta di un significativo salto di qualità nella governance e nell'implementazione dell'IA, che avrà il fine ultimo di adeguare l'uso dell’AI a standard più rigidi di trasparenza, responsabilità e sicurezza.
Innanzitutto, in conformità al D.Lgs. 152/1997, alle richieste dei dipendenti relative alle informazioni utili sui sistemi utilizzati, il datore di lavoro avrà l'obbligo di rispondere con le indicazioni richieste per iscritto ed entro 30 giorni: nel particolare caso in cui l’uso dei sistemi preveda un controllo a distanza sull’attività dei dipendenti (abbiamo approfondito l’argomento in questo articolo), inoltre, sarà necessario esperire le procedure di consultazione o autorizzazione di cui all’art. 4 della L. n. 300/1970.
In secondo luogo, le aziende saranno tenute a produrre documentazione tecnica dei sistemi impiegati, audit interni ed esterni, registri tecnici e procedure per condurre test riproducibili relativi alle decisioni automatizzate. Queste misure, tuttavia, non saranno sufficienti, stando il dovere di implementare misure di sicurezza tecniche e organizzative ne strutturate per assicurare la protezione dei dati trattati.
Una costante ricerca di equilibrio
Come abbiamo visto, la nuova normativa offre un mix di sostegno finanziario e opportunità di sviluppo ma, a fare da contraltare a queste previsioni, stanno complessi oneri di compliance. L’Italia, infatti, scegliendo di non uniformarsi passivamente all'approccio UE di "prevenzione e difesa", ha deciso di adottate una strategia di "sviluppo" particolarmente impegnativa sotto il punto di vista della compliance aziendale.
Tale approccio impone alle aziende un inevitabile aumento dei costi operativi con riferimento alla necessità di adeguarsi ad alti standard di trasparenza e sicurezza, superiori a quelli previsti a livello europeo: grandi cambiamenti si registrano anche sotto il profilo delle responsabilità, con l’introduzione di nuove fattispecie di reato collegate all’omessa adozione o adeguamento delle misure di sicurezza nell’uso professionale di sistemi di AI, nelle ipotesi in cui da tali condotte derivi un pericolo concreto per la vita, l’incolumità pubblica o la sicurezza dello Stato.
La legislazione nazionale sta finalmente dando ottimi segnali di adeguamento all’avvento delle nuove tecnologie, circoscrivendo le problematiche inizialmente sorte e rendendosi sempre più consapevole dei rischi e pericoli inseti nel loro utilizzo. Il livello di compliance richiesto cresce in modo direttamente proporzionale alla contezza che di tale fenomeno il legislatore sta progressivamente assumendo. Adesso è il momento di prendere atto di questo. Le aziende non potranno più rimanere inerti, non solo per evitare sanzioni, ma anche e soprattutto per rimanere al passo con i tempi e non perdere la propria competitività commerciale.
Se sei un’azienda e necessiti di supporto in tema di intelligenza artificiale rivolgiti ai nostri partner dello Studio Legale FCLEX esperti di diritto dell’informatica e delle nuove tecnologie.