L’introduzione della Legge 23 settembre 2025, n. 132, recante “Disposizioni e deleghe al Governo in materia di intelligenza artificiale” (25G00143) , segna il tentativo del legislatore italiano di incastonare l’uso dell’IA all’interno dei principi fondamentali della Repubblica, agendo primariamente come norma di armonizzazione e di specificazione settoriale rispetto al Regolamento (UE) 2024/1689, entrato in vigore nell’agosto precedente. La qualità strutturale del testo risiede proprio nel suo esplicito intento di conformità: l’Articolo 1, comma 2, stabilisce chiaramente che tutte le disposizioni devono essere interpretate e applicate in coerenza con la normativa europea, tanto che l’Articolo 3, comma 5, precisa che la legge nazionale non genera nuovi obblighi per i sistemi o i modelli di IA per finalità generali rispetto a quelli già imposti dal Regolamento UE. Questo approccio garantisce un allineamento normativo essenziale per l’operatività transfrontaliera e risponde alla primaria domanda del pubblico professionale sul rapporto tra i due ordinamenti. La legge si fonda sulla dimensione “antropocentrica” promossa dall’Articolo 1, ponendo il corretto, trasparente e responsabile utilizzo dell’IA a garanzia dei diritti fondamentali e dei principi di trasparenza, proporzionalità, non discriminazione e cybersicurezza lungo l’intero ciclo di vita. In particolare, l’elevazione della cybersicurezza a “precondizione essenziale” (Art. 3, c. 6) non è un dettaglio, ma un riconoscimento fondamentale che l’affidabilità etica e la prevenzione del danno (Art. 3, c. 3) dipendono strutturalmente dalla resilienza del sistema contro tentativi di alterazione, conferendo un peso specifico cruciale alla vigilanza tecnica.
La Legge risponde con grande chiarezza a una delle maggiori preoccupazioni espresse dal pubblico e dai professionisti in merito alla sostituzione algoritmica del giudizio umano, stabilendo confini netti nelle aree ad alto impatto sociale, come delineate nel Capo II. Nel settore sanitario, l’Articolo 7 sancisce inequivocabilmente che i sistemi di IA debbano costituire un mero supporto nei processi di diagnosi e cura, lasciando sempre impregiudicata e riservata agli esercenti la professione medica la decisione finale. Tale riserva si riflette specularmente nell’attività giudiziaria, dove l’Articolo 15, comma 1, riserva tassativamente al magistrato ogni decisione sull’interpretazione della legge e sulla valutazione dei fatti e delle prove, confinando l’IA a funzioni meramente strumentali e di supporto organizzativo. Analogamente, nella Pubblica Amministrazione, l’uso dell’IA è limitato a supporto dell’attività provvedimentale, con la persona fisica che resta l’unica responsabile del provvedimento adottato (Art. 14, c. 2). L’uniformità di questo principio su tutti i settori critici (Sanità, Giustizia, PA) è una mossa strategica che preserva le strutture di responsabilità professionale e amministrativa esistenti, demandando al professionista l’onere di vigilanza critica sull’output algoritmico. Parallelamente, sul fronte della ricerca, la legge offre un impulso decisivo all’innovazione, dichiarando di “rilevante interesse pubblico” (Art. 8) l’utilizzo secondario di dati sanitari pseudo-anonimizzati per lo sviluppo di sistemi di IA finalizzati alla prevenzione e cura, fornendo una solida base legale per affrontare il problema della scarsa liquidità dei dati necessari all’addestramento di modelli nazionali.
L’impianto istituzionale delineato dal Capo III introduce un modello di governance duale che solleva questioni di coordinamento e di bilanciamento tra promozione e vigilanza. L’Articolo 20 designa l’Agenzia per l’Italia Digitale (AgID) quale autorità responsabile per la promozione e lo sviluppo dell’IA e per le procedure di notifica e accreditamento degli organismi di valutazione della conformità, affiancandole l’Agenzia per la Cybersicurezza Nazionale (ACN) quale autorità di vigilanza del mercato, inclusa l’attività ispettiva e sanzionatoria, e punto di contatto unico con le istituzioni europee. Questa separazione tra l’autorità che facilita l’ingresso sul mercato (AgID) e quella che esercita il potere sanzionatorio (ACN) è concepita per garantire l’autonomia della vigilanza dai meccanismi di incentivazione allo sviluppo, ma richiederà un coordinamento estremamente rigoroso, gestito dal Comitato di coordinamento (Art. 20, c. 3), per evitare conflitti di competenza o rallentamenti procedurali per le imprese innovative. In aggiunta, l’Articolo 25 risolve il dibattito fondamentale sul diritto d’autore, modificando la Legge 633/1941 per specificare che la protezione si applica solo alle opere dell’ingegno umano, qualificando l’IA come mero ausilio strumentale e fornendo certezza giuridica agli operatori creativi, sebbene le riproduzioni e le estrazioni per il Text and Data Mining rimangano consentite in conformità agli articoli esistenti della legge sul diritto d’autore.
Nonostante la robustezza dei principi e dell’architettura di governance, la completezza e la profondità normativa della Legge 132/2025 risultano strutturalmente limitate dall’ampio ricorso alle deleghe legislative (Art. 16 e 24). L’Articolo 24, in particolare, delega il Governo ad adeguare pienamente il quadro sanzionatorio amministrativo (anche in deroga alla Legge 689/1981) e a definire i criteri per l’imputazione della responsabilità penale (considerando l’effettivo controllo dell’agente sul sistema) e civile (prevedendo la ripartizione dell’onere della prova in base alla classificazione di rischio dell’IA). Inoltre, il Capo V ha introdotto modifiche immediate e significative al codice penale, con la previsione di una nuova fattispecie di reato per la diffusione illecita di contenuti generati o alterati con sistemi di IA (Art. 612-quater c.p.), nota come reato di deepfake, e l’introduzione di una nuova aggravante (Art. 61, n. 11-decies c.p.) per chi commette reati utilizzando l’IA come mezzo insidioso. Sebbene la risposta penale sia immediata e mirata alla tutela contro gli abusi tecnologicamente avanzati, la deferenza sui dettagli amministrativi e sulla responsabilità civile e penale (da emanare entro dodici mesi) lascia le imprese in una fase di incertezza regolatoria prolungata, costringendole a calcolare i rischi operativi senza conoscere ancora l’esatta portata delle sanzioni edittali o i criteri definitivi per la ripartizione dell’onere della prova. La legge si configura, dunque, come un’efficace carta costituzionale dell’IA, autorevole e ben strutturata sui principi, ma ancora in attesa del suo corpus normativo di dettaglio, essenziale per la piena certezza del diritto e l’effettiva operatività industriale
