UniCa - Università degli studi di Cagliari
HOLMES “Harmonizing Ownership and Legal Measures for Ethical AI Systems”

Approvata la legge italiana sull’IA. Verso un primato europeo?

Il disegno di legge n. 1146/2024, approvato definitivamente dal Senato della Repubblica il 17 settembre 2025, è stato pubblicato in Gazzetta Ufficiale il 23 settembre come legge n. 132 ed entrerà in vigore il 10 ottobre.

Rappresenta il primo intervento organico del legislatore italiano nella disciplina dell’intelligenza artificiale. L’Italia è il primo Stato membro ad aver completato l’iter legislativo per una legge quadro nazionale organica sull’IA dopo l’entrata in vigore dell’AI Act, creando un modello normativo che altri Stati membri potrebbero seguire nell’implementazione delle disposizioni europee.

L’analisi del presente contributo si concentra sulla struttura normativa, sui principi fondanti e sulle scelte di governance adottate dal legislatore italiano e indaga, in chiave critica, la capacità della novella di rispondere alla chiamata europea sul campo della vera innovazione.

In questo senso, la tecnica legislativa adottata merita particolare attenzione: il legislatore ha optato per un sistema misto di norme immediatamente precettive e ampie deleghe al Governo, con termine di dodici mesi per l’adozione dei decreti attuativi. Tale scelta, se da un lato, riflette la complessità della materia e la necessità di garantire flessibilità normativa in un settore caratterizzato da rapida evoluzione tecnologica, dall’altro preoccupa per diversi motivi, tutti relativi alla tenuta democratica del Paese.

Si procederà dapprima ad analizzare ora i singoli Capi ed articoli, per poi soffermarsi sul drafting legislativo e sugli aspetti critici rilevati; la legge n. 132 si compone di 28 articoli distribuiti su sei Capi, riassumibili in tre aree di intervento:

  • principi generali (artt. 1-6) in cui si stabiliscono finalità, ambito di applicazione e i principi fondamentali come trasparenza, sicurezza e protezione dei dati, in coerenza con l’AI Act europeo.
  • disposizioni settoriali (artt. 7-18) che regolamentano l’uso dell’IA in ambiti specifici quali sanità, lavoro, professioni intellettuali, pubblica amministrazione e giustizia.
  • strategia nazionale e governance (artt. 19-28) in cui si definiscono gli obiettivi strategici, si istituiscono le autorità nazionali competenti per l’IA e si prevedono misure di sostegno economico per il settore.

CAPO I – PRINCIPI E FINALITÀ (Articoli 1-6)

Articolo 1 – Finalità e ambito di applicazione

Il legislatore delinea nell’articolo di apertura la cornice teleologica dell’intervento normativo, articolando tre obiettivi fondamentali: la promozione di un utilizzo “corretto, trasparente e responsabile” dell’IA, la valorizzazione delle opportunità tecnologiche e la vigilanza sui rischi per i diritti fondamentali. Il comma 2 stabilisce il principio di conformità interpretativa con il diritto dell’Unione europea, configurando un rapporto di complementarietà normativa, anzichè di mera trasposizione.

L’espressione “dimensione antropocentrica” introduce un elemento qualificante che permea l’intero impianto normativo, ponendo l’essere umano come parametro di riferimento valoriale per lo sviluppo tecnologico e, quindi, in totale accordo di vedute sul tema con l’AI Act.

Articolo 2 – Definizioni

La tecnica definitoria adottata si caratterizza per il rinvio formale alle definizioni contenute nel Regolamento UE 2024/1689. Il legislatore ha optato per una trasposizione testuale delle definizioni chiave, come, ad esempio:

  • sistema di intelligenza artificiale: la definizione riprende integralmente l’articolo 3, punto 1, dell’AI Act, incentrandosi sui concetti di autonomia variabile e capacità inferenziale
  • dato: definizione onnicomprensiva che abbraccia qualsiasi rappresentazione digitale di informazioni
  • modelli di intelligenza artificiale: definizione funzionale che enfatizza la capacità di identificazione di strutture ricorrenti e la versatilità applicativa

Tale scelta garantisce uniformità terminologica nel contesto europeo, evitando divergenze interpretative che potrebbero compromettere l’armonizzazione normativa.

Articolo 3 – Principi generali

L’articolo enuncia un catalogo di principi sostanziali che costituiscono il substrato assiologico della disciplina. Il comma 1 elenca i principi cardine: trasparenza, proporzionalità, sicurezza, protezione dei dati personali, riservatezza, accuratezza, non discriminazione, parità dei sessi e sostenibilità.

Il comma 2 introduce requisiti qualitativi per i dati e i processi di sviluppo, mentre il comma 3 stabilisce principi operativi specifici: autonomia decisionale umana, prevenzione del danno, conoscibilità e spiegabilità.

Particolare rilievo assume il comma 4, che introduce una tutela specifica del processo democratico, vietando utilizzi dell’IA che possano pregiudicare “lo svolgimento con metodo democratico della vita istituzionale e politica”. Il comma 5 pone la cybersicurezza come “precondizione essenziale”, richiedendo un approccio proporzionale basato sul rischio. Il comma 6 garantisce l’accessibilità alle persone con disabilità, richiamando la Convenzione ONU del 2006.

Articolo 4 – Principi in materia di informazione e riservatezza dei dati personali

L’articolo declina i principi generali nel contesto informativo e del trattamento dati. Il comma 1 tutela il pluralismo informativo e la libertà di espressione. Il comma 2 ribadisce i principi del GDPR in materia di liceità, correttezza e trasparenza del trattamento.

Il comma 3 introduce l’obbligo di utilizzare “linguaggio chiaro e semplice” nelle comunicazioni relative al trattamento dati. Il comma 4 disciplina il consenso per i minori, differenziando tra infraquattordicenni (consenso genitoriale necessario) e minori tra 14 e 18 anni (consenso autonomo per il trattamento dati).

Articolo 5 – Principi in materia di sviluppo economico

L’articolo configura il ruolo promozionale dello Stato nello sviluppo dell’IA. La lettera a) identifica l’IA come strumento per migliorare l’interazione uomo-macchina e la competitività del sistema economico nazionale. La lettera b) promuove mercati innovativi e concorrenziali. La lettera c) facilita l’accesso a dati di qualità. La lettera d) introduce criteri preferenziali per il procurement pubblico, privilegiando soluzioni con localizzazione nazionale dei data center e trasparenza nell’addestramento dei modelli, nel rispetto della normativa sulla concorrenza.

Articolo 6 – Disposizioni in materia di sicurezza e difesa nazionale

L’articolo delimita il perimetro applicativo della legge, escludendo le attività degli organismi di intelligence (DIS, AISE, AISI) e dell’Agenzia per la cybersicurezza nazionale quando operano per finalità di sicurezza nazionale, nonché le attività delle Forze armate per scopi di difesa.

Il comma 2 mantiene, comunque, l’applicabilità delle garanzie costituzionali e delle tutele specifiche previste per il trattamento dati da parte di tali organismi. Il comma 3 demanda a regolamenti attuativi la definizione delle modalità applicative per tali ambiti sensibili.

CAPO II – DISPOSIZIONI DI SETTORE (Articoli 7-16)

Articolo 7 – Uso dell’intelligenza artificiale in ambito sanitario e di disabilità

L’articolo stabilisce una cornice normativa per l’utilizzo dell’IA in sanità, bilanciando innovazione e tutela dei diritti. Il comma 2 vieta discriminazioni nell’accesso alle prestazioni sanitarie basate su criteri algoritmici. Il comma 3 garantisce il diritto all’informazione sull’uso di IA e sulla logica decisionale utilizzata.

Il comma 4 promuove lo sviluppo di sistemi di IA per migliorare le condizioni di vita delle persone con disabilità. Il comma 5 configura l’IA come strumento di “supporto” lasciando “impregiudicata la decisione” del medico, cristallizzando il principio della centralità del giudizio clinico umano. Il comma 6 richiede affidabilità e aggiornamento periodico dei sistemi utilizzati.

Articolo 8 – Ricerca e sperimentazione scientifica in ambito sanitario

L’articolo introduce un regime speciale per i trattamenti dati nella ricerca scientifica sanitaria. Il comma 1 dichiara di “rilevante interesse pubblico” tali trattamenti quando finalizzati a prevenzione, diagnosi, cura, sviluppo farmaceutico e tecnologie medicali.

Il comma 2 autorizza l’uso secondario di dati pseudonimizzati con sola informativa generale, eliminando l’obbligo di consenso specifico (questa è una delle disposizioni più rilevanti). Il comma 3 prevede un doppio livello di controllo: approvazione dei comitati etici e comunicazione al Garante PDP con silenzio-assenso dopo 30 giorni. Il comma 4 preserva i poteri di intervento del Garante.

Articolo 10 – Fascicolo sanitario elettronico e governo della sanità digitale

L’articolo inserisce nel D.L. 179/2012 il nuovo articolo 12-bis che disciplina l’uso dell’IA nel settore sanitario. Viene istituita una piattaforma di IA presso AGENAS per supporto ai professionisti sanitari, ai medici nella pratica clinica e agli utenti per l’accesso ai servizi delle Case della comunità.

La piattaforma opera secondo il principio di minimizzazione dei dati e richiede pareri preventivi del Ministero della Salute, del Garante PDP e dell’ACN. 

Articolo 11 – Disposizioni sull’uso dell’intelligenza artificiale in materia di lavoro

L’articolo stabilisce le finalità dell’uso dell’IA in ambito lavorativo: miglioramento delle condizioni di lavoro, tutela dell’integrità psico-fisica, accrescimento della qualità e produttività. Il comma 2 richiede che l’utilizzo sia “sicuro, affidabile, trasparente” e rispetti la dignità umana, con obbligo informativo secondo le modalità del D.lgs. 152/1997.

Il comma 3 vieta discriminazioni basate su caratteristiche personali, richiamando, implicitamente, il principio di uguaglianza sostanziale di cui all’art. 3 Cost.

Articolo 12 – Osservatorio sull’adozione di sistemi di IA nel mondo del lavoro

Viene istituito presso il Ministero del Lavoro un Osservatorio con funzioni di definizione strategica, monitoraggio dell’impatto occupazionale, identificazione dei settori maggiormente interessati e promozione della formazione.

La composizione e il funzionamento sono demandati a decreto ministeriale da emanarsi entro 90 giorni. Il comma 2 esclude compensi per i componenti. 

Articolo 13 – Disposizioni in materia di professioni intellettuali

L’articolo limita l’uso dell’IA nelle professioni intellettuali ad “attività strumentali e di supporto”, mantenendo la prevalenza del lavoro intellettuale umano. Il comma 2 impone trasparenza comunicativa verso il cliente con “linguaggio chiaro, semplice ed esaustivo” per preservare il rapporto fiduciario.

Articolo 14 – Uso dell’intelligenza artificiale nella pubblica amministrazione

L’articolo delinea gli obiettivi dell’uso dell’IA nella PA: incremento dell’efficienza, riduzione dei tempi procedimentali, miglioramento quali-quantitativo dei servizi. Il comma 2 configura l’IA come strumento “strumentale e di supporto” all’attività provvedimentale, mantenendo ferma la responsabilità umana.

Il comma 3 richiede misure tecniche, organizzative e formative per un uso responsabile.

Articolo 15 – Uso dell’intelligenza artificiale nell’attività giudiziaria

L’articolo delimita rigorosamente l’ambito di utilizzo dell’IA in ambito giudiziario a funzioni di “organizzazione e semplificazione del lavoro” e “ricerca giurisprudenziale e dottrinale”. Il Ministero della Giustizia disciplina l’impiego per gli uffici giudiziari ordinari, mentre le altre giurisdizioni seguono i rispettivi ordinamenti.

Il comma 2 riserva “sempre” al magistrato la decisione su interpretazione normativa, valutazione probatoria e adozione di provvedimenti, escludendo qualsiasi forma di automazione decisionale.

Articolo 17 – Modifiche al codice di procedura civile

L’articolo modifica l’art. 9 c.p.c. attribuendo competenza esclusiva al tribunale per le cause aventi ad oggetto “il funzionamento di un sistema di intelligenza artificiale”, creando una specializzazione giurisdizionale per la complessità tecnica della materia.

Articolo 18 – Uso dell’intelligenza artificiale per il rafforzamento della cybersicurezza nazionale

L’articolo integra il D.L. 82/2021 aggiungendo tra le funzioni dell’ACN la promozione e sviluppo di iniziative, anche in partenariato pubblico-privato, per valorizzare l’IA come risorsa per la cybersicurezza nazionale.

CAPO III – STRATEGIA NAZIONALE, AUTORITÀ NAZIONALI E AZIONI DI PROMOZIONE (Articoli 17-22)

Articolo 19 – Strategia nazionale per l’intelligenza artificiale

L’articolo disciplina la governance strategica dell’IA. La strategia è predisposta dalla Presidenza del Consiglio (struttura competente per l’innovazione digitale) d’intesa con le Autorità nazionali IA, sentiti il MIMIT per i profili industriali e il Ministero della Difesa per i sistemi dual use.

L’approvazione avviene con cadenza biennale tramite il Comitato Interministeriale per la transizione digitale. Il comma 2 delinea gli obiettivi: favorire collaborazioni pubblico-privato, coordinare l’azione amministrativa, promuovere ricerca e diffusione delle conoscenze, indirizzare misure e incentivi.

Il comma 3 affida il coordinamento e monitoraggio alla struttura della Presidenza del Consiglio, che si avvale di AgID e ACN, con report annuale alle Camere. Il comma 4 integra la composizione del CITD con il Ministro dell’Università e Ricerca.

Articolo 20 – Autorità nazionali per l’intelligenza artificiale

L’articolo designa AgID e ACN quali Autorità nazionali IA con ripartizione funzionale:

  • AgID (lett. a): promozione dell’innovazione e sviluppo; procedure e funzioni di notifica, valutazione, accreditamento e monitoraggio degli organismi di valutazione della conformità
  • ACN (lett. b): vigilanza, attività ispettive e sanzionatorie; promozione dell’IA per profili di cybersicurezza
  • Congiuntamente (lett. c): gestione degli spazi di sperimentazione

Il comma 2 istituisce presso la PCM un Comitato di coordinamento composto dai DG di AgID e ACN e dal Capo Dipartimento per la trasformazione digitale, senza compensi. Il comma 3 salvaguarda le competenze del Garante Privacy.

Articolo 21 – Applicazione sperimentale al MAECI

L’articolo autorizza una spesa di 300.000 euro annui per il biennio 2025-2026 per progetti sperimentali di applicazione dell’IA ai servizi del Ministero degli Affari Esteri. 

Articolo 22 – Misure di sostegno ai giovani e allo sport

Il comma 1 modifica il D.lgs. 209/2023 includendo l’attività di ricerca in IA tra i requisiti. Il comma 2 consente agli studenti ad alto potenziale cognitivo di accedere a percorsi formativi superiori in deroga al possesso del titolo, con riconoscimento dei crediti acquisiti.

Il comma 3 promuove l’accessibilità ai sistemi di IA per il benessere psicofisico attraverso lo sport e l’inclusione delle persone con disabilità.

Articolo 23 – Investimenti nei settori dell’intelligenza artificiale

L’articolo autorizza investimenti fino a un miliardo di euro tramite la SGR di cui all’art. 1, comma 116, L. 145/2018 per partecipazioni in:

  • PMI innovative con sede in Italia nei settori IA, cybersicurezza, quantum computing, telecomunicazioni (lett. a)
  • Imprese con elevato potenziale per promuovere campioni tecnologici nazionali (lett. b)

Gli investimenti utilizzano il Fondo di sostegno al venture capital. Il comma 3 prevede la partecipazione agli organi di governo dei fondi di rappresentanti della PCM e dell’ACN, senza compensi.

Articolo 24 – Deleghe al Governo in materia di intelligenza artificiale

L’articolo contiene due deleghe legislative. La prima (comma 1) per l’adeguamento all’AI Act europeo entro 12 mesi, con procedura ex art. 31 L. 234/2012 e pareri parlamentari e del Garante Privacy.

I criteri direttivi (comma 2) includono: designazione autorità competenti; percorsi di alfabetizzazione; formazione professionale con possibile equo compenso; potenziamento competenze STEM; attività formative universitarie e ITS; valorizzazione ricerca e trasferimento tecnologico.

La seconda delega (comma 3) riguarda la disciplina organica dei casi di uso illecito dell’IA, con proposta del PCM e Ministro Giustizia, di concerto con il Ministro dell’Interno.

I principi direttivi (comma 5) prevedono: strumenti inibitori e sanzionatori; nuove fattispecie di reato per omessa sicurezza e tutela beni giuridici specifici; circostanza aggravante speciale; revisione normativa complessiva.

CAPO IV – DISPOSIZIONI A TUTELA DEGLI UTENTI E IN MATERIA DI DIRITTO D’AUTORE (Articolo 25)

Articolo 25 – Tutela del diritto d’autore delle opere generate con l’ausilio dell’intelligenza artificiale

L’articolo modifica la L. 633/1941. La lettera a) specifica che le opere dell’ingegno tutelate sono quelle dell'”ingegno umano”, anche se create con ausilio IA purché costituenti “risultato del lavoro intellettuale dell’autore”.

La lettera b) inserisce l’art. 70-septies che consente riproduzione ed estrazione tramite IA in conformità agli articoli 70-ter e 70-quater sul text and data mining.

CAPO V – DISPOSIZIONI PENALI (Articolo 26)

Articolo 26 – Modifiche al codice penale e ulteriori disposizioni penali

L’articolo introduce modifiche sostanziali al sistema penale:

Il comma 1 modifica il codice penale:

  • Lett. a): aggiunge l’aggravante comune n. 11-decies per reati commessi mediante IA quando costituisca mezzo insidioso o ostacoli la difesa
  • Lett. b-l): introduce aumenti di pena per specifici reati (usurpazione funzioni, sostituzione di persona, rialzo/ribasso fraudolento, truffa, frode informatica, riciclaggio) quando commessi mediante IA
  • Lett. e): introduce l’art. 612-quater c.p. “Illecita diffusione di contenuti generati o alterati con sistemi di IA”, punito con reclusione 1-5 anni, procedibile a querela salvo connessione o vittima incapace (si introduce, così, il reato relativo al deep fake)

Il comma 2 modifica l’art. 2637 c.c. sull’aggiotaggio. Il comma 3 modifica la legge sul diritto d’autore. Il comma 4 modifica il TUF per i reati finanziari.

CAPO VI – DISPOSIZIONI FINANZIARIE (Articolo 26)

Articolo 26 – Clausola di invarianza finanziaria

L’articolo stabilisce che dall’attuazione della legge, eccetto l’art. 19, non devono derivare nuovi o maggiori oneri per la finanza pubblica. Le amministrazioni provvedono con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente.

SUL DRAFTING LEGISLATIVO.

Soffermandosi sulla tecnica scelta dal legislatore per disciplinare la materia relativa alla Intelligenza Artificiale, si nota un sistema normativo a geometria variabile, formalmente sistematico, ma sostanzialmente frammentato, dove l’operatività effettiva dipende criticamente dai futuri decreti attuativi. Questa scelta tecnica rivela, forse, la tensione tra l’ambizione regolatoria immediata e la necessità di flessibilità evolutiva.

Particolarmente incisiva risulta l’osservazione sulla clausola di invarianza finanziaria (art. 27) che appare incompatibile con l’apparato organizzativo previsto, quasi una fiction normativa. Tale contraddizione rischia di compromettere l’effettività dell’intero impianto normativo.

Il ricorso massiccio a clausole generali (“dimensione antropocentrica”, “spiegabilità”) rappresenta una scelta deliberata di elasticità normativa che, tuttavia, trasferisce eccessiva discrezionalità interpretativa agli organi applicativi, con potenziali rischi di disomogeneità applicativa (vista anche la compresenza di più autorità controllanti).

Si sottolinea, inoltre, la disomogeneità nella determinatezza dei criteri di delega (art. 24), oscillanti tra precisione tecnica e genericità programmatica. Tale aspetto solleva legittime perplessità costituzionali, specialmente per le deleghe in materia penale, in cui il principio di legalità richiederebbe maggiore determinatezza. A titolo meramente esemplificativo si indica l’art. 24, comma 1, lett. h) in cui si rimanda alla decretazione attuativa “la previsione di una apposita disciplina per l’utilizzo di sistemi di intelligenza artificiale per l’attività di polizia”, ma nulla si dice, ad esempio, sul perimetro rispettoso dei corollari del principio di legalità entro cui pensare di far usare queste tecnologie invasive.

È possibile, poi, rilevare un approccio, per così dire, ambivalente al coordinamento normativo: mentre il DDL approvato dichiara conformità al diritto UE e salvaguarda formalmente le competenze del Garante PDP, manca di meccanismi operativi di raccordo, lasciando irrisolte potenziali sovrapposizioni tra AgID, ACN e altre autorità.

Insomma, la tecnica della normazione per principiadottata se è vero che risponde alla natura evolutiva della materia, delega però eccessive responsabilità alla normazione secondaria. Il successo dell’impianto dipenderà, quindi, non tanto dalla legge quadro quanto dalla qualità dei decreti delegati e dalla capacità delle autorità di sviluppare prassi coerenti – un esito tutt’altro che scontato data l’indeterminatezza di molte disposizioni chiave.

CONSIDERAZIONI CRITICHE.

Non si può omettere qualche riflessione critica che solleva la nuova legge italiana sulla IA.

Prima di tutto, la scelta di dividere le competenze tra AgID (promozione e certificazione) e ACN (vigilanza e sanzioni) presenta criticità strutturali che potrebbero compromettere l’efficacia del sistema.

Ci potrebbe essere, infatti, un problema di conflitto del ruolo: L’ACN, nata per la cybersicurezza nazionale con forti legami con l’intelligence, si trova a dover vigilare su sistemi IA utilizzati dalle stesse amministrazioni da cui dipende gerarchicamente. Quando un sistema IA governativo violerà il regolamento, l’ACN avrà realmente l’autonomia per sanzionare la Presidenza del Consiglio da cui dipende? Tale preoccupazione è stata rilevata nel marzo del 2024 anche dal Garante PDP, il quale in una lettera segnalava al Parlamento e al Governo di “possedere i requisiti di competenza e indipendenza necessari per attuare il Regolamento europeo sull’intelligenza artificiale coerentemente con l’obiettivo di un livello elevato di tutela dei diritti fondamentali”, con ciò ribadendo che “…l’AI Act si fonda sull’articolo 16 del Trattato sul funzionamento dell’Unione europea, che è la base giuridica della normativa di protezione dei dati, e lo stesso Regolamento sull’intelligenza artificiale prevede il controllo delle Autorità di protezione dei dati personali su processi algoritmici che utilizzino dati personali”.

Inoltre, la separazione tra chi certifica (AgID) e chi sanziona (ACN) crea un potenziale cortocircuito procedurale. Un’azienda che sviluppa IA dovrà interfacciarsi con due autorità diverse per aspetti interconnessi, moltiplicando tempi e costi di compliance. Si pensi al caso in cui AgID certifichi un sistema di IA come conforme sulla base di determinati standard tecnici e documentali. Tuttavia, ACN, con il suo focus su cybersicurezza e gestione del rischio, potrebbe in seguito valutare lo stesso sistema in modo più stringente in caso di incidente, applicando interpretazioni diverse o più severe. Un’azienda potrebbe quindi essere certificata, ma non sentirsi comunque al sicuro da eventuali sanzioni. Oppure, ancora, per ottenere la conformità, un’azienda dovrà produrre documentazione tecnica, analisi di rischio e report per AgID. In caso di audit o incidente, dovrà fornire documentazione molto simile, ma forse in un formato diverso o con un fulcro di indagine differente, anche ad ACN. Questo raddoppia l’onere burocratico, nonchè i costi legali e di consulenza.

In secondo luogo, l’articolo 27 rappresenta il paradosso più evidente della nuova legge. Si istituiscono un Osservatorio sul lavoro (art. 12), due Comitati di coordinamento (artt. 19 e 20), una piattaforma nazionale IA presso AGENAS (art. 10) e spazi di sperimentazione normativa (art. 20) senza nuovi oneri. È tecnicamente impossibile. Le autorità designate dovranno assumere esperti di IA, data scientist, giuristi specializzati. Il vero prezzo di questa legge si vedrà quando il sistema, privo di risorse adeguate, si bloccherà, danneggiando proprio le piccole e medie imprese che si volevano aiutare.

E sebbene l’art. 23 autorizzi investimenti fino a un miliardo in IA e cybersecurity, senza una strategia industriale chiara, questi fondi rischiano di disperdersi in mille rivoli. Si dovrebbero definire chiaramente criteri di selezione delle imprese, metriche di successo, meccanismi di exit e sinergie con il tessuto produttivo esistente.

Passando al versante più tecnico, l’articolo 17 attribuisce al tribunale la competenza esclusiva per le controversie sull’IA, escludendo il giudice di pace. Questa scelta pare nasconda un problema sistemico: concentrerà tutto il contenzioso IA presso tribunali già sovraccarichi e spesso privi di competenze tecniche specifiche.

Non si prevede alcuna specializzazione dei magistrati né sezioni dedicate. Si auspica che un futuro decreto delegato specifichi questi aspetti, altrimenti il risultato sarebbe quello di avere tempi biblici per controversie che richiederebbero decisioni rapide in un settore in evoluzione costante.

Sul piano penale, l’art. 24, comma 5, lett. b) introduce il concetto di reati di pericolo per omessa adozione di misure di sicurezza nell’IA. Questa formulazione apre ad interrogativi molto seri. A titolo esemplificativo, quale sarà lo standard di sicurezza richiesto in un campo in continua evoluzione? Chi definirà cosa costituisce “pericolo concreto” in sistemi probabilistici? 

Il rischio è di paralizzare l’innovazione per timore di responsabilità penali indefinite.

Ancora, la legge rimanda ai decreti delegati (art. 24, comma 5, lett. d) la definizione dei criteri di ripartizione dell’onere probatorio nella responsabilità civile. Questo è un punto rilevantissimo completamente inevaso: chi risponde quando un’IA causa un danno? Si è consapevoli della dottrina in materia, ma sarebbe stato opportuno dare almeno una direttrice specifica da seguire, in modo da non lasciare completamente in mano alla discrezionalità del decreto delegato una questione giuridica delicata e di complessa composizione.

Anche qui, senza questi criteri, le aziende opereranno in un limbo legale che scoraggerà investimenti e innovazione.

Spostandosi sul piano sanitario, invece, si autorizza sempre, ex art. 8, l’uso secondario di dati sanitari pseudonimizzati per la ricerca con l’IA a fronte di una semplice informativa generale. Questo approccio, decisamente innovativo, rappresenta una delle novità più importanti, molto attesa da gran parte della dottrina più avanzata. La disposizione, infatti, consente a ricercatori e aziende sanitarie di dotarsi di una base giuridica dedicata per anonimizzare, pseudonimizzare e creare dati sintetici con i dati personali, anche sensibili, che detengono, per fini di ricerca scientifica sanitaria con sistemi di IA e di governo della salute.

Per ciò che concerne le professioni intellettuali, la legge limita l’uso di sistemi intelligenti ad attività “strumentali e di supporto” con “prevalenza del lavoro intellettuale”. Ma chi definirà questa prevalenza? Come si misura percentualmente il contributo intellettuale?

Nel campo della giustizia si è dimostrato poco coraggio. L’articolo 15 esclude categoricamente l’IA dalle decisioni giudiziarie. Mentre altri paesi sperimentano con cautela sistemi di supporto decisionale, l’Italia si autoesclude completamente. Il paradosso? I magistrati potranno usare IA per ricerca giurisprudenziale, ma non per analizzare pattern decisionali. Una distinzione artificiale che ignora come funziona realmente l’IA.

Emerge, poi, sul piano applicativo vero e proprio, il rischio di gold plating normativo nella misura in cui le aziende dovranno rispettare l’AI Act e conformarsi alle specificità italiane, ma, per farlo, dovranno attendere i decreti delegati per capire cosa fare concretamente.

Se questo triplo livello normativo creerà uno svantaggio competitivo per le imprese italiane rispetto ai competitors europei, lo sapremo solo dopo aver analizzato l’operato degli altri Stati membri.

Luci ed ombre; conclusioni.

La neonata legge sulla IA italiana potrebbe posizionare l’Italia come laboratorio giuridico europeo per l’implementazione dell’AI Act, conferendo al Paese un vantaggio temporale significativo nell’ecosistema normativo continentale. Essere i primi significa poter definire standard interpretativi e prassi operative che potrebbero influenzare le scelte degli altri Stati membri.

In un contesto in cui l’incertezza normativa rappresenta il principale freno agli investimenti in IA, l’Italia offre ora alle imprese un quadro regolatorio definito. In linea astratta, adesso le aziende possono pianificare investimenti e strategie con maggiore prevedibilità, elemento importante per attrarre capitali internazionali. 

La scelta di disciplinare specificamente sanità, lavoro, giustizia e PA potrebbe risultare decisiva perchè permetterebbe di creare sandbox regolamentari mirati per settore, sviluppare best practices verticali esportabili, attrarre investimenti specializzati in nicchie ad alto valore aggiunto.

Ad esempio, l’Italia potrebbe diventare hub europeo per l’IA sanitaria o per le applicazioni nella PA, sfruttando la specificità normativa come vantaggio competitivo.

L’articolo 8 sul trattamento dei dati sanitari per ricerca, seppur con le dovute cautele privacy, sblocca, infatti, un patrimonio informativo enorme. Il SSN italiano, con i suoi dati centralizzati e standardizzati, rappresenta un asset unico in Europa. La normativa permette, finalmente, di valorizzarlo per ricerca e innovazione, potenzialmente posizionando l’Italia come leader nell’IA medicale.

L’articolo 5, con il riferimento esplicito a microimprese e PMI e la preferenza per data center nazionali nel procurement pubblico potrebbe essere vista come strategia industriale. Crea un mercato interno protetto in cui le aziende italiane possono crescere prima di competere globalmente, mentre il riferimento alla sovranità tecnologica legittima politiche di supporto all’ecosistema nazionale.

Si ritiene, poi, che l’attribuzione della competenza esclusiva ai tribunali potrebbe diventare un’opportunità per creare poli giudiziari specializzati in IA. Milano, Roma, Napoli potrebbero sviluppare expertise specifiche, attraendo arbitrati internazionali e diventando forum di riferimento per il contenzioso IA in Europa.

Inoltre, avere una normativa definita permette alle università e agli ITS Academy di strutturare percorsi formativi allineati al quadro normativo. L’Italia può formare una generazione di giuristi, tecnici e manager specializzati in compliance IA prima degli altri Paesi, esportando poi queste competenze.

Da un lato, essere i primi ad implementare l’AI Act trasforma l’Italia in un riferimento naturale per gli altri Stati membri che dovranno affrontare le stesse sfide implementative, creando opportunità per esportare competenze consulenziali e attrarre sedi di organismi europei specializzati. Questo capitale reputazionale si traduce in influenza concreta nei tavoli decisionali europei in cui si definiranno gli standard futuri dell’IA.

Dall’altro lato, la definizione chiara dei confini normativi, compresi i divieti espliciti come quello sull’uso dell’IA nelle decisioni giudiziarie, facilita gli investimenti anziché frenarli. Le aziende possono infatti concentrare risorse e innovazione nei settori espressamente permessi, evitando di disperdere capitali in aree destinate a restrizioni future. In un settore caratterizzato da forte incertezza normativa, sapere con precisione cosa non si può fare diventa prezioso quanto sapere cosa è consentito, permettendo una pianificazione mirata e riducendo il rischio di investimenti che potrebbero essere vanificati da successive regolamentazioni.

Il testo appena pubblicato, con tutti i suoi limiti, rappresenta, sì, un atto di coraggio normativo. Mentre altri Paesi attendono, l’Italia si muove, sperimenta e, si sa, il vero valore non sta nella perfezione della norma, bensì nell’esperienza accumulata nella sua implementazione.

Allo stesso tempo rappresenta, però, un pericolo per alcuni diritti fondamentali. La legge avrebbe potuto e dovuto essere più coraggiosa, anziché affidare all’esecutivo così tanti e delicati profili: sembra che, in nome dell’efficienza amministrativa, sia lecito giustificare l’aumento dell’impiego delle IA in campo militare e sulla sicurezza.

Non solo. Le perplessità di tenuta democratica riguardano il timore che si possa ricorrere ad una sorveglianza selvaggia dei cittadini (si parla di telecamere antispaccio, ad esempio) e la ampia delega al governo preoccupa per la possibile deriva securitaria che ne potrebbe seguire; inoltre, l’IA entrerà sempre più nei gangli delle decisioni pubbliche, ma senza un controllo adeguato si potrebbe abdicare alla responsabilità decisionale umana.

Quello delle tecnologie è un campo che merita riflessioni più profonde e più meditate, poiché la tecnologia corre velocissima, la regolamentazione, soprattutto quella che arriva dopo, dovrebbe prendersi più tempo per risolvere i nodi più complessi sul tavolo parlamentare e non delegare sbrigativamente all’esecutivo.

Se l’Italia saprà correggere rapidamente gli inevitabili errori attraverso i decreti delegati, monitorare costantemente l’applicazione e comunicare efficacemente questo primato a investitori e imprese internazionali, il first-mover advantage potrebbe tradursi in un reale vantaggio competitivo nel mercato europeo dell’IA.

Il punto ora è trasformare il primato temporale in leadership sostanziale, evitando che l’essere stati i primi significhi, semplicemente, l’essere stati i più frettolosi.

L’idea, insomma, è di trovarsi di fronte ad un bivio tra un’affermazione di sovranità giuridico-tecnologica e il rischio di un’autoreferenzialità normativa tanto ambiziosa quanto sterile. E ciò perché il processo di normopoiesi in ambito tecnologico ha delle peculiarità rispetto ad altri ambiti.

Infatti, la tentazione di supplire alla fisiologica lentezza del dibattito parlamentare con lo strumento della delega all’esecutivo rappresenta una scorciatoia densa di pericoli. Se da un lato risponde a un’esigenza di celerità, dall’altro rischia di sacrificare la ponderazione necessaria a disciplinare una materia ad altissima complessità e impatto sistemico. Una regolamentazione ex post, per sua natura, deve fondarsi su un’analisi consolidata dei fenomeni; una delega affrettata, al contrario, trasla l’onere di risolvere nodi giuridici fondamentali dal legislatore all’amministrazione, con potenziali deficit di legittimità democratica e di stabilità del quadro normativo. Ma per gli operatori del settore, la certezza del diritto è, per così dire, un asset non negoziabile.

Detto questo, si auspica che i decreti attuativi verranno intesi come strumenti di manutenzione normativa, capaci di emendare, con precisione chirurgica e rapidità, le inevitabili imperfezioni di un testo pioniere.

Nondimeno, si spera che i meccanismi di sorveglianza regolamentare permanenti, come sandbox o osservatori congiunti (istituzioni-imprese), possano essere davvero messi in condizioni di operare per valutare l’impatto de facto della legge sul tessuto economico e adattarla all’evoluzione tecnologica.

L’ordinamento italiano è ora esposto ad una biforcazione strategica, siamo stati i primi. Resteremo tali?

Di Enrica Priolo
Avvocato iscritto all’Ordine degli Avvocati di Cagliari e consulente esperto in diritto delle nuove tecnologie, protezione dei dati personali, cybersecurity e governance digitale. E’ relatrice in vari convegni ed autrice di pubblicazioni in materia di nuove tecnologie, data protection e compliance aziendale.