Proprio pochi giorni fa l’Italia ha approvato il suo primo quadro normativo organico sull’intelligenza artificiale: un testo che armonizza la disciplina nazionale con il Regolamento UE noto come AI Act e che mira a definire regole di sviluppo, utilizzo, governance e responsabilità per i sistemi di IA. La legge interviene su temi che vanno dalla tutela della privacy alla sicurezza, dalla responsabilità per deepfake fino alla protezione dei minori, e istituisce strumenti di controllo e incentivi per l’ecosistema tecnologico nazionale.
Di seguito i punti chiave della legge, i riferimenti normativi principali e le implicazioni pratiche per imprese, ricercatori e professionisti della cybersecurity.
1. Quadro normativo di riferimento: AI Act (Regolamento UE) e la delega italiana (ddl n.1146)
La base normativa europea è il Regolamento (UE) 2024/1689 (AI Act), pubblicato nella Gazzetta Ufficiale dell’UE e volto a creare un regime armonizzato per il mercato unico sull’uso dell’IA (classificazione dei rischi, obblighi di trasparenza, sorveglianza di mercato ecc.). L’AI Act costituisce la cornice cui gli Stati membri devono conformarsi.
In Italia il percorso legislativo è passato attraverso il Disegno di legge n.1146 (approvato dal Senato il 20 marzo 2025 e poi licenziato definitivamente), che contiene disposizioni e deleghe al Governo per adeguare l’ordinamento nazionale al Regolamento UE e definire specifiche regole di attuazione, governance e misure di sostegno all’innovazione. Il ddl attribuisce al Governo il compito di emanare i decreti attuativi necessari per declinare sul piano nazionale la disciplina comunitaria, entro i termini previsti dalla delega.
2. Obiettivi e principi ispiratori della legge italiana
La legge italiana esplicita un orientamento “human-centric”: la tecnologia deve servire le persone, nel rispetto dei diritti fondamentali, della dignità, della non discriminazione e della tutela della privacy. In parallelo, la norma si propone di:
• Allineare il quadro nazionale all’AI Act UE.
• Garantire trasparenza e tracciabilità dei sistemi di IA, in particolare quando incidono su diritti e libertà fondamentali.
• Favorire l’innovazione con misure pubbliche di sostegno e con un’architettura di governance nazionale dedicata.
3.Principali disposizioni operative (che impattano aziende e sviluppatori)
a) Classificazione del rischio e obblighi differenziati
Come previsto dall’AI Act, la legge italiana applica una logica basata sul rischio: gli obblighi crescono con il profilo di rischio del sistema (da basso a inaccettabile). I sistemi che incidono su sicurezza, salute, processi decisionali critici o minori sono soggetti a misure più stringenti.
b) Tracciabilità, documentazione e trasparenza
Per molti sistemi viene richiesto il registro di addestramento, la documentazione tecnica e la descrizione delle metriche di performance e bias; questi obblighi agevolano audit, verifiche e obblighi di compliance.
c) Requisiti specifici per settori sensibili
Ambiti come sanità, giustizia, scuola, lavoro e finanza sono espressamente indicati per misure ulteriori di tutela e supervisione, connesse anche al divieto o alla limitazione di alcuni usi senza adeguata certificazione.
d) Misure contro l’abuso (deepfake, frodi, identità)
Il testo prevede misure penali e sanzionatorie più severe per l’uso illecito dell’IA (ad esempio deepfake dannosi, frodi identitarie amplificate da IA): sono previste pene e maggiori responsabilità, oltre alle sanzioni amministrative. Questa dimensione penale e sanzionatoria è stata molto enfatizzata nella discussione parlamentare.
4. Governance, autorità competenti e supervisione
La legge individua o rafforza autorità nazionali di controllo che avranno compiti di vigilanza, coordinamento e intervento:
• Agenzia per l’Italia Digitale (AgID): ruolo nella definizione di linee guida e standard tecnici.
• Agenzia per la Cybersecurity Nazionale: compiti di controllo su sicurezza e resilienza dei sistemi di IA.
Queste autorità coopereranno con i regolatori settoriali (Banca d’Italia, Consob, Garante privacy ecc.) per l’applicazione puntuale delle regole in contesti specifici.
5. Impatti su privacy, dati e diritti d’autore
Privacy e trattamento dei dati personali
La legge italiana ribadisce che il trattamento di dati personali per lo sviluppo e l’addestramento di modelli IA deve rispettare il Regolamento UE 2016/679 (GDPR): basi giuridiche, limiti per finalità, misure di minimizzazione e protezione dei dati sensibili. Per talune operazioni di ricerca sono previste deroghe o regole specifiche, definite con decreti attuativi e in coordinamento con il Ministero della Salute (es. per ambito clinico).
Copyright e contenuti generati da IA
La legge affronta anche il nodo dell’attribuzione di opere generate con IA: tutela per i contenuti in cui sussiste un apporto creativo umano dimostrabile e limiti all’uso massivo di materiale protetto senza licenza. Sul punto il testo italiano precisa alcuni criteri di applicabilità (anche in conformità alle linee europee).
6. Sanzioni, responsabilità e aspetti penali
Il disegno definitivo attribuisce responsabilità chiare ai fornitori di sistemi (developer, integratori) e ai utilizzatori quando l’uso comporta violazioni o danni. Sono previste sanzioni amministrative e, in casi di condotte illecite gravi (es. deepfake finalizzati a frode o lesione di diritti), anche conseguenze penali. Le cronache giornalistiche rilanciano l’intenzione del legislatore di introdurre pene peculiari per abusi significativi.
7. Aspetti economici e incentivi: sostegno all’ecosistema IA
La legge include misure di politica industriale: fondi pubblici, strumenti di venture capital e agevolazioni per startup e ricerca in ambiti strategici quali IA, cybersecurity e telecomunicazioni. L’obiettivo è favorire la competitività nazionale, benché alcuni commentatori ritengano che i fondi stanziati siano insufficienti rispetto alle sfide globali.
8. Tempistiche e attuazione: decreti delegati e step normativi
Il ddl n.1146 è una legge-delega: detta principi e criteri, delegando al Governo l’emanazione di decreti attuativi entro termini prefissati (generalmente 6–12 mesi dalla data di entrata in vigore) per dettagliare obblighi tecnici, procedure di certificazione e compiti delle autorità competenti. È quindi fondamentale seguire l’iter dei decreti attuativi per comprendere la portata reale degli obblighi operativi per imprese e PA.
9. Criticità e questioni aperte (soprattutto per la cybersecurity)
• Interazione con il GDPR: occorrono regole pratiche su come bilanciare trasparenza, spiegabilità dei modelli e protezione dei dati personali.
• Indipendenza delle autorità: alcuni osservatori hanno espresso dubbi sull’effettiva indipendenza dell’assetto di governance previsto (AgID/ACN), rispetto alla necessità di garanzie terze e competenti.
• Efficacia sanzionatoria e enforcement: la normativa prevede sanzioni ma l’efficacia pratica dipenderà da capacità ispettive e risorse delle autorità.
• Equilibrio tra sicurezza e innovazione: esistono timori sul fatto che obblighi troppo stringenti possano frenare le PMI e le startup italiane, aumentando i costi di compliance.
10. Cosa devono fare ora imprese e operatori della cybersecurity (check pratico)
1. Mappare i sistemi di IA in uso e classificarli secondo il livello di rischio previsto dall’AI Act.
2. Predisporre la documentazione tecnica (data sheets, registri di addestramento, valutazioni di impatto).
3. Implementare misure di sicurezza e privacy by design: controllo accessi, logging, gestione delle chiavi, misure anti-tampering e monitoraggio continuo.
4. Rafforzare governance e ruoli interni (CISO/Data Protection Officer/Responsabile IA)
5. Prepararsi a audit e verifiche dalle autorità competenti: avere processi, evidenze e metriche pronte.
La prima legge italiana sull’IA è un passo importante: costruisce un perimetro giuridico nazionale coerente con il Regolamento UE, introduce obblighi concreti di trasparenza, tracciabilità e responsabilità e affida a nuovi enti compiti di vigilanza. Per la cybersecurity rappresenta una chiamata all’azione: non basta rispettare la normativa formale, è necessario rafforzare processi, sicurezza operativa e governance per gestire i rischi specifici dell’IA.
Resta comunque fondamentale seguire l’emanazione dei decreti attuativi per conoscere i dettagli tecnici e i tempi di applicazione; nella fase di transizione, imprese e professionisti devono attivare misure proattive di conformità e gestione del rischio.
Riferimenti principali
• Regulation (EU) 2024/1689 (AI Act) — testo ufficiale, EUR-Lex.
• Disegno di legge n.1146 (19ª Legislatura) — Scheda e testi, Senato della Repubblica.
• Reuters — Italy enacts AI law covering privacy, oversight and child access (report sui contenuti principali della legge).
• The Guardian — Italy first in EU to pass comprehensive law regulating use of AI (approfondimento e reazioni).
• Twobirds / Advant NCTM / other legal analyses — commenti e note tecniche sulla delega e gli effetti.