Dal 10 ottobre 2025 è in vigore il testo definitivo della Legge Delega 23 settembre 2025, n. 132, intitolata “Disposizioni e deleghe al Governo in materia di Intelligenza Artificiale” pubblicato nella Serie Generale n. 223 del 25/09/2025 della Gazzetta Ufficiale.
Il comma uno dell’articolo uno della legge recita: “La presente legge reca principi in materia di ricerca, sperimentazione, sviluppo, adozione e applicazione di sistemi e di modelli di intelligenza artificiale. Promuove un utilizzo corretto, trasparente e responsabile, in una dimensione antropocentrica, dell'intelligenza artificiale, volto a coglierne le opportunita'. Garantisce la vigilanza sui rischi economici e sociali e sull'impatto sui diritti fondamentali dell'intelligenza artificiale.”
Dal momento che la normativa italiana è subordinata al Regolamento Comunitario che è direttamente applicabile e vincolante per gli Stati membri dell’Unione Europea, la legge italiana non crea un apparato normativo autonomo o alternativo rispetto a quello europeo, ma ne definisce alcuni principi in relazione a determinati settori di particolare rilievo quali la sicurezza dei sistemi, il lavoro, le professioni regolamentate e l’attività di vigilanza delle autorità nazionali.
La legge prevede principi e disposizioni generali, seguite da norme specifiche per ambiti sensibili e da una delega al governo per l’adozione di decreti legislativi entro 12 mesi.
I principi cardine sono:
· centralità della persona umana e antropocentrismo dell’Intelligenza Artificiale;
· trasparenza e spiegabilità dei sistemi;
· responsabilità degli operatori;
· non discriminazione e inclusione;
· tutela della dignità e dei diritti fondamentali;
· protezione dei dati personali e sicurezza informatica.
Tali principi costituiranno il presupposto delle successive norme delegate e dell’attività normativa secondaria.
In ossequio al presupposto fondamentale “dell’autodeterminazione umana” che mette al centro di tutte le attività dell’Intelligenza Artificiale l’autonomia ed il potere decisionale dell’uomo, l’Intelligenza Artificiale deve essere utilizzata nel rispetto dei principi di trasparenza, proporzionalità, sicurezza, tutela dei diritti fondamentali, protezione dei dati personali e non discriminazione.
Tali principi, mutuati all’AI Act, o Regolamento dell’Intelligenza Artificiale, assumono nel contesto nazionale un valore interpretativo per cui ogni utilizzo di sistemi di Intelligenza Artificiale, anche indiretto o occasionale, deve garantire che le decisioni finali restino riconducibili alla responsabilità umana e che i processi algoritmici siano verificabili, spiegabili e documentabili.
Rientrano nell’ambito di applicazione della legge:
· i fornitori che sviluppano o immettono sul mercato sistemi di IA, sia in modo autonomo sia come parte di altri prodotti o servizi;
· gli importatori e distributori che rendono disponibili sul mercato nazionale o europeo tali sistemi;
· gli utilizzatori professionali, vale a dire le imprese e i professionisti che impiegano l’IA nello svolgimento della propria attività economica o organizzativa;
· i fabbricanti di prodotti che incorporano componenti o moduli di IA, anche se la funzione di Intelligenza Artificiale non rappresenta l’elemento principale del prodotto;
· gli enti pubblici che utilizzano l’IA per l’esercizio di funzioni amministrative o di interesse generale.
Pertanto, anche soggetti che non si percepiscono come “operatori del settore IA” – quali studi professionali, società di servizi o imprese che utilizzano software gestionali o applicativi contabili
dotati di moduli predittivi o algoritmici – possono trovarsi pienamente ricompresi nel campo di applicazione della legge che enfatizza la necessità di assicurare adeguati livelli di cybersicurezza, considerata una precondizione essenziale per l’affidabilità e la legittimità dell’impiego della tecnologia. Conseguentemente non può ritenersi conforme all’ordinamento un sistema privo di misure tecniche e organizzative atte e prevenire intrusioni, manipolazioni dei dati o utilizzi non autorizzati.
La disciplina delineata dalla legge in commento si coordina strettamente con il Regolamento (UE) 2016/679 (GDPR) e con il D.Lgs. 196/2003 (Codice Privacy), configurandosi come un’estensione settoriale dei principi di protezione dei dati personali applicata al dominio tecnologico dell’Intelligenza Artificiale
Il coordinamento tra Legge IA e GDPR si manifesta in particolare su tre piani:
1. Base giuridica del trattamento e valutazione d’impatto (DPIA) – L’impiego di sistemi di IA per finalità che comportino la profilazione, la valutazione automatizzata o la previsione di comportamenti umani richiede una base giuridica conforme agli articoli 6 e 9 del GDPR.
Nella maggior parte dei casi, tale base è rappresentata dall’esecuzione di un contratto, dall’adempimento di un obbligo legale o dal legittimo interesse del titolare, ma potrebbe essere necessario effettuare una Data Protection Impact Assessment (DPIA) ai sensi dell’articolo 35 GDPR, valutando in anticipo i rischi specifici per i diritti e le libertà degli interessati.
2. Trasparenza e diritto all’informazione – L’utente o la persona interessata deve essere in grado di comprendere quando un sistema di Intelligenza Artificiale partecipa al processo decisionale che lo riguarda.
Ad esempio, se un’azienda utilizza un sistema di IA per analizzare la produttività dei dipendenti o per selezionare candidature di lavoro, deve informare gli interessati del fatto che tali decisioni sono basate su un algoritmo, precisando che sarà sempre garantito un controllo umano finale sulla decisione.
3. Sorveglianza umana e diritto di opposizione – In armonia con l’articolo 22 del GDPR, la Legge IA rafforza il diritto della persona di non essere sottoposta a una decisione basata unicamente su un trattamento automatizzato. Se un’impresa utilizza, ad esempio, un algoritmo per determinare la concessione di un bonus ai dipendenti dovrà consentire al lavoratore di chiedere una revisione manuale del risultato ottenuto.
La Legge IA rafforza inoltre il ruolo del Garante per la protezione dei dati personali, che mantiene la propria competenza generale su tutti i trattamenti di dati personali, anche quando eseguiti da sistemi di IA. L’Autorità, in collaborazione con l’Agenzia per la Cybersicurezza Nazionale (ACN), potrà emanare linee guida specifiche sui requisiti di sicurezza, trasparenza e responsabilità degli algoritmi, nonché disporre controlli o sanzioni in caso di trattamenti illeciti o non conformi.
Viene poi introdotto un obbligo specifico in capo al datore di lavoro che deve informare il lavoratore quando siano utilizzati sistemi di IA che incidano, anche indirettamente, sull’organizzazione, sulla gestione o sulla valutazione delle prestazioni. L’informativa deve essere preventiva, chiara ed aggiornata e deve garantire la possibilità dell’intervento umano sui risultati prodotti dai sistemi automatizzati.
Le informazioni devono essere comunicate anche alle RSA o RSU competenti o, in mancanza, alle sedi territoriali delle associazioni sindacali comparativamente più rappresentative sul piano nazionale. Chiarimenti sul tema sono stati forniti dal Ministero del Lavoro e delle Politiche sociali con la circolare 19/2022, in cui viene precisato che il datore di lavoro ha l’obbligo di informare il lavoratore dell’utilizzo di tali sistemi automatizzati, quali ad esempio: gps e geolocalizzatori, sistemi per il riconoscimento facciale, sistemi di rating e ranking ecc.
L’adozione, consapevole o meno, di strumenti o applicazioni che integrano componenti di Intelligenza Artificiale può far emergere una serie di rischi di natura generale e trasversale, che rappresentano quell’insieme di minacce giuridiche, organizzative e operative che possono
interessare l’intera struttura aziendale, indipendentemente dall’area di attività o dal tipo di servizio erogato.
Il primo e più diffuso rischio consiste nell’impiego da parte di dipendenti o collaboratori di strumenti di Intelligenza Artificiale non autorizzati dall’organizzazione, fenomeno comunemente definito shadow AI.
L’utilizzo di chatbot, assistenti virtuali o applicazioni generative non autorizzate (pertanto neppure conosciute) dall’azienda su dispositivi aziendali o personali può determinare la trasmissione a soggetti terzi di informazioni aziendali riservate o di dati personali, con conseguente violazione delle normative in materia di riservatezza, protezione dei dati e sicurezza informatica, con l’aggravante che l’assenza di tracciabilità degli accessi e delle operazioni svolte mediante tali strumenti, rende estremamente difficile attribuire eventuali errori, fughe di dati o condotte illecite a specifici responsabili, esponendo la società a responsabilità oggettive o presunte.
Inoltre, la natura automatizzata e, spesso, opaca dei sistemi di IA pone il problema della trasparenza algoritmica e della tracciabilità delle decisioni.
Ogni organizzazione che impieghi, direttamente o indirettamente, strumenti basati su Intelligenza Artificiale deve poter dimostrare – in sede giudiziale, amministrativa o ispettiva – che le decisioni adottate siano il risultato di un processo controllato e verificabile, non esclusivamente affidato a un meccanismo automatico. L’assenza di tale dimostrabilità può comportare violazioni dei principi di correttezza e di accountability sanciti dall’art. 5 del GDPR e dall’art. 3 della legge IA.
Un ulteriore rischio trasversale è rappresentato dal profilo della cybersicurezza.
La Legge IA considera la sicurezza dei sistemi informatici e dei dati una precondizione essenziale per la liceità dell’utilizzo della tecnologia.
L’inserimento di moduli di IA nei flussi operativi aziendali comporta l’apertura di nuove superfici di attacco: accessi remoti non controllati, condivisione di API con fornitori esterni, addestramento su dataset non verificati o contaminati da codice malevolo.
Tali vulnerabilità possono sfociare in violazioni di dati personali (data breach) o in interruzioni dei servizi, con conseguente responsabilità dell’impresa sia ai sensi del GDPR sia del D.Lgs. 231/2001, e, in caso di obbligo, anche della Direttiva NIS2, qualora tali eventi siano imputabili a carenze organizzative o alla mancata adozione di modelli di prevenzione adeguati.
La direttiva UE n. 2022/2555, nota come Direttiva NIS2, ha come obiettivo il rafforzamento della sicurezza informatica in tutta l'UE, anche se non tutte le aziende sono considerate "vitali" o "essenziali".
Le entità escluse tendono a essere quelle che non operano in settori critici per la sicurezza e la continuità della vita economica e sociale.
In particolare, non sono generalmente tenute a seguire le norme della direttiva, a titolo esemplificativo e non esaustivo:
· le società che operano in settori non essenziali e non critici quali quelle che non gestiscono infrastrutture critiche e non sono ritenute essenziali per la sicurezza, l'economia o la vita quotidiana dei cittadini;
· le società che non forniscono servizi digitali o che non sono classificate come "fornitori di servizi digitali" (DSP);
· le aziende che non offrono servizi come cloud computing, motori di ricerca o marketplace online;
· i fornitori di software o soluzioni IT che non hanno una rilevanza per le infrastrutture critiche;
· le PMI, a meno che non forniscano servizi essenziali o digitali a entità critiche. In tal caso potrebbero essere soggette a regolamentazioni, in quanto la loro attività potrebbe avere un impatto significativo;
· le aziende che operano in settori che non dipendono da tecnologie digitali o che non offrono servizi di rete.
L'Italia ha recepito la Direttiva UE con il D.Lgs. 4 settembre 2024, n. 138, entrato in vigore il 16 ottobre 2024.
La norma, per le aziende che ne hanno l’obbligo, introduce una responsabilità diretta e non delegabile degli organi di amministrazione e direttivi nella gestione del rischio cyber, segnando una discontinuità rispetto al passato.
Gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e importanti sono tenuti a:
1. approvare le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica;
2. sovraintendere all'implementazione degli obblighi in materia dei rischi e della sicurezza informatica;
3. seguire una formazione specifica in materia ed offrirla periodicamente ai dipendenti.
Gli organi di amministrazione (per le società cooperative il Consiglio di Amministrazione) sono deputati alle decisioni di livello strategico: approvazione delle politiche di sicurezza, allocazione delle risorse, definizione degli obiettivi di sicurezza informatica in coerenza con la strategia aziendale, supervisione dell'adeguatezza del sistema di gestione del rischio.
Gli organi direttivi, che operano su delega degli organi di amministrazione, hanno invece responsabilità operative: attuazione concreta delle misure approvate, supervisione dell'implementazione tecnica, monitoraggio continuo dell'efficacia delle misure, reporting periodico al Consiglio di Amministrazione.
Il D.Lgs. 138/2024 impone agli Amministratori di seguire una formazione specifica in materia di cybersecurity, con i necessari aggiornamenti, per garantire che i vertici aziendali dispongano delle competenze minime necessarie per comprendere i rischi, valutare le misure proposte e assumere decisioni informate.
Sarà quindi necessario che gli Amministratori, pur non avendo una conoscenza tecnica specifica, acquisiscano un livello di alfabetizzazione digitale sufficiente per comprendere la natura e la portata dei rischi cyber a cui l'organizzazione è esposta, per valutare l'adeguatezza delle misure tecniche e organizzative proposte dal management, nonché per interpretare i dati e gli indicatori relativi alla sicurezza dell'organizzazione.
Le suddette disposizioni si inseriscono nel più ampio dovere di diligente amministrazione che grava sui membri del Consiglio di Amministrazione. La mancata approvazione delle misure, l'omessa supervisione o il difetto di formazione – potrebbe integrare una violazione del generale dovere di diligenza, con conseguente responsabilità per i danni cagionati alla società, ai creditori sociali e ai terzi, anche perché potrebbe essere segno rivelatore della mancata adozione di un assetto adeguato ai sensi dell’articolo 2086 del codice civile.
Francesco Agresti