L’approvazione della Legge 23 settembre 2025, n. 132, recante “Disposizioni e deleghe al Governo in materia di intelligenza artificiale,” rappresenta il momento in cui l’ordinamento italiano ha deciso di non limitarsi a recepire passivamente il Regolamento (UE) 2024/1689 (il cosiddetto AI Act), ma di incastonare il fenomeno tecnologico all’interno dei suoi principi supremi.
In questo contesto normativo, l’Articolo 3, intitolato “Principi generali,” assume un ruolo di importanza cardinale, configurandosi non solo come un mero elenco di intenti etici, ma come la vera e propria Carta Fondamentale che governa l’intero ciclo di vita dell’IA, dalla ricerca alla sua applicazione finale.
La qualità strutturale e l’autorevolezza di questo dettato risiedono nella sua capacità di tradurre imperativi etici in precetti giuridici operativi, intercettando in modo puntuale le principali domande che la società, i professionisti e l’industria rivolgono al diritto: come garantire che l’IA sia sicura, controllabile e non discriminatoria.
Il Comma 1 definisce immediatamente il perimetro normativo, elevando i diritti fondamentali e le libertà previste dalla Costituzione e il diritto dell’Unione europea a filtri interpretativi inderogabili per tutte le attività connesse all’IA: ricerca, sperimentazione, sviluppo, adozione, applicazione e utilizzo di sistemi e modelli per finalità generali.
A questo ancoraggio di livello superiore si affianca una lista esaustiva di principi operativi che devono informare l’azione di tutti gli operatori.
Tra questi spiccano la trasparenza e la proporzionalità, essenziali per commisurare gli obblighi di cautela al rischio effettivo , ma anche la sicurezza, la protezione dei dati personali e la riservatezza, che affrontano il problema della fiducia nel trattamento delle informazioni.
L’inclusione di principi come l’accuratezza, la non discriminazione, la parità dei sessi e la sostenibilità conferisce al testo una completezza e una profondità che vanno oltre il solo profilo tecnico-legale, proiettando l’IA in una dimensione di responsabilità sociale e ambientale, garantendo che l’innovazione non avvenga a detrimento degli equilibri civili e naturali. L’analisi del testo conferma l’elevata leggibilità e accessibilità di questa sezione, che utilizza un linguaggio tecnico ma chiaro per stabilire immediatamente gli obblighi di conformità che non possono essere negoziati.
La coerenza e la profondità della norma sono ulteriormente confermate nel Comma 2, che affronta la questione cruciale della qualità dei dati e dei processi, il fondamento materiale su cui si costruisce l’affidabilità di ogni sistema algoritmico.
Il legislatore impone che lo sviluppo avvenga su dati e tramite processi di cui devono essere garantite e vigilate la correttezza, l’attendibilità, la sicurezza, la qualità, l’appropriatezza e la trasparenza.
Questa disposizione è la risposta giuridica al principio informatico del Garbage In, Garbage Out, rendendo la data governance un onere di diligenza legale. Il requisito di vigilanza sulla qualità dei dati è modulato secondo il principio di proporzionalità in relazione ai settori di utilizzo. Questo elemento tecnico è vitale: in settori ad alto impatto (come sanità o giustizia), la proporzionalità imporrà uno standard di qualità e tracciabilità dei dati di addestramento notevolmente superiore, prevenendo che bias impliciti nei dataset possano generare output discriminatori o inaffidabili.
La struttura e l’organizzazione dei dati in questa sezione dimostrano una chiara consapevolezza che la regolazione dell’IA deve partire dalla base informativa.
Il cuore pulsante dell’Articolo 3, e la risposta più attesa dal pubblico, si trova nel Comma 3, che stabilisce il principio irrinunciabile del primato umano. I sistemi e i modelli di IA devono essere sviluppati e applicati nel rispetto dell’autonomia e del potere decisionale dell’uomo.
Questo precetto non è solo un riferimento teorico, ma una clausola operativa che si riflette in modo coerente in tutto il Capo II della legge: in sanità (Art. 7), l’IA è mero supporto alla decisione medica, che è sempre riservata al professionista; nell’attività giudiziaria (Art. 15), ogni decisione sull’interpretazione della legge e la valutazione delle prove spetta tassativamente al magistrato. La legge pone l’uomo come ultimo filtro critico e responsabile.
A questo si aggiungono le tre direttive fondamentali che mirano a squarciare il velo della black box algoritmica: conoscibilità, trasparenza e spiegabilità.
Un sistema di IA non è legale se non è comprensibile nel suo funzionamento essenziale, permettendo all’utente o al professionista di capirne l’output e l’impatto.
A suggello, la norma impone l’obbligo di assicurare la sorveglianza e l’intervento umano , garantendo che in qualsiasi momento una persona fisica possa monitorare l’attività del sistema e, se necessario, disattivarlo o modificarne il risultato.
La profondità di questo comma è data dal suo duplice obiettivo: tutelare l’individuo dal danno algoritmico (principio di prevenzione del danno ) e preservare la dignità e la responsabilità del professionista.
Il Comma 4 sposta l’attenzione dalla dimensione individuale a quella istituzionale e collettiva, introducendo il principio di tutela della sovranità dello Stato e della democrazia. Si prescrive che l’uso dell’IA non debba pregiudicare lo svolgimento con metodo democratico della vita istituzionale e politica, né l’esercizio delle funzioni delle istituzioni territoriali, tutelando la libertà del dibattito democratico da interferenze illecite, da chiunque provocate.
Questo comma affronta apertamente la minaccia dei deepfakes e della disinformazione su larga scala veicolata da sistemi algoritmici, ponendo un divieto preventivo e rafforzando la tutela degli interessi nazionali e dei diritti fondamentali del cittadino. L’autorevolezza del testo si manifesta in questa dichiarazione programmatica, che anticipa e giustifica le successive modifiche immediate al Codice Penale (Art. 26), che introducono il reato di deepfake per dare una sanzione concreta alla violazione di questo principio di integrità democratica.
Dal punto di vista della tutela preventiva e tecnica, il Comma 6 merita un’analisi approfondita in quanto eleva la cybersicurezza a precondizione essenziale per l’effettivo rispetto di tutti gli altri principi dell’Articolo 3. Il legislatore riconosce lucidamente un dato tecnico: un sistema di IA non sufficientemente resiliente è, per definizione, un sistema non affidabile.
La vulnerabilità a tentativi di alterazione – che possono riguardare l’utilizzo, il comportamento previsto, le prestazioni o le impostazioni di sicurezza – compromette la sua accuratezza, la non discriminazione e la trasparenza.
Pertanto, l’obbligo di assicurare la cybersicurezza si estende lungo tutto il ciclo di vita dei sistemi e dei modelli per finalità generali, secondo un approccio proporzionale e basato sul rischio. Questo impone agli sviluppatori e agli utilizzatori di sistemi ad alto rischio (come quelli definiti dal Regolamento UE 2024/1689) l’adozione di rigorosi controlli di sicurezza, un aspetto che, sebbene tecnico, è fondamentale per la certezza del diritto e la prevenzione del danno.
A completare il quadro dei principi, il Comma 5 svolge una funzione di armonizzazione normativa, stabilendo che la legge italiana non produce nuovi obblighi rispetto a quelli già previsti dal Regolamento (UE) 2024/1689 per i sistemi e i modelli per finalità generali.
Questo passaggio è cruciale per l’accessibilità e l’operatività del diritto, in quanto garantisce che l’intervento legislativo nazionale non diventi un onere regolatorio aggiuntivo (gold-plating) che possa penalizzare l’innovazione delle imprese italiane rispetto ai competitor europei.
Infine, il Comma 7 attesta l’approccio antropocentrico della legge espandendo la sua portata sociale: garantisce alle persone con disabilità il pieno accesso ai sistemi di IA, su base di uguaglianza e senza discriminazione, in conformità con la Convenzione ONU sui diritti delle persone con disabilità. Questo principio assicura che lo sviluppo tecnologico sia un veicolo di inclusione, non di esclusione, rafforzando la legittimità costituzionale e sociale del testo.
L’Articolo 3 della Legge 132/2025 è un testo di altissima qualità normativa e autorevolezza, caratterizzato da una struttura compatta che riesce a condensare in sette commi un corpus di principi vasto e interconnesso.
Esso fornisce risposte chiare ai principali interrogativi del pubblico sulla gestione dei dati, la supremazia umana, la tutela democratica e la sicurezza informatica, fungendo da bussola per l’interpretazione di tutta la legge.
𝘼 𝙘𝙪𝙧𝙖 𝙙𝙚𝙡𝙡’𝘼𝙫𝙫. 𝘼𝙡𝙛𝙤𝙣𝙨𝙤 𝙎𝙘𝙖𝙛𝙪𝙧𝙤
𝑅𝑒𝑠𝑝𝑜𝑛𝑠𝑎𝑏𝑖𝑙𝑒 𝐴𝑟𝑒𝑎 𝐼𝑛𝑛𝑜𝑣𝑎𝑧𝑖𝑜𝑛𝑒, 𝐷𝑖𝑔𝑖𝑡𝑎𝑙𝑖𝑧𝑧𝑎𝑧𝑖𝑜𝑛𝑒 𝑒 𝐼𝑛𝑡𝑒𝑙𝑙𝑖𝑔𝑒𝑛𝑧𝑎 𝐴𝑟𝑡𝑖𝑓𝑖𝑐𝑖𝑎𝑙𝑒 𝑑𝑖 𝐹𝑖𝑠𝑎𝑝𝑖
