Nuova legge italiana sull’Intelligenza Artificiale: obblighi, riflessi operativi e coordinamento con l’AI Act europeo

Il 17 settembre 2025 il Senato ha approvato in via definitiva la Legge n.1146/2025, che introduce la prima disciplina nazionale sull’intelligenza artificiale.

Questo intervento normativo si colloca nel contesto europeo definito dal Regolamento UE 2024/1689 (noto come AI Act), con cui si integra, anticipando l’adozione di misure nazionali volte a facilitarne l’attuazione, con particolare attenzione ai settori della sanità, della giustizia e del lavoro.

L’approvazione della legge rappresenta una scelta strategica da parte dell’Italia, che ha deciso di intervenire con una normativa nazionale prima dell’entrata in vigore di tutte le disposizioni europee. Da un lato, emerge la volontà di assumere un ruolo guida nel panorama europeo, posizionandosi come primo Paese dell’Unione a dotarsi di una legge organica sull’intelligenza artificiale, riaffermando principi generali quali trasparenza, proporzionalità, sicurezza e supervisione umana. Dall’altro, si evidenza l'esigenza di adattare il quadro europeo alle specificità italiane, in particolare nei settori ad alto impatto sociale, dove l'utilizzo dell’IA può incidere direttamente su diritti fondamentali.

La legge punta anche a stimolare l’innovazione e attrarre investimenti, offrendo sin da subito un quadro normativo chiaro e prevedibile per chi sviluppa, sperimenta o adotta soluzioni basate sull’intelligenza artificiale. In questo modo, l’Italia mira a rafforzare la propria competitività tecnologica e industriale, promuovendo collaborazioni pubblico-private già nel corso del 2025.

Ambito di applicazione

 La legge si applica a:

• Sistemi e modelli di IA a finalità generali, ovvero tecnologie capaci di svolgere compiti trasversali e adattabili a diversi contesti (es. modelli linguistici, sistemi predittivi, strumenti di analisi automatica).
• Soggetti pubblici e privati che sviluppano, integrano o utilizzano IA, inclusi enti pubblici, imprese, startup, centri di ricerca e professionisti.
• Attività di ricerca e sperimentazione, che restano consentite ma devono rispettare garanzie etiche, di sicurezza e trasparenza, soprattutto in relazione al trattamento dei dati.
• Settori regolamentati, come sanità, giustizia e lavoro, per i quali sono previsti decreti ministeriali attuativi che definiranno standard tecnici, requisiti di supervisione umana e percorsi formativi obbligatori.

Alcune delle novità introdotte dalla Legge

La legge introduce misure complementari che rafforzano il quadro operativo per imprese e professionisti, tra cui:

• Ricerca scientifica: è ammesso l’uso secondario dei dati personali privi di identificativi diretti, anche senza consenso, purché sia fornita un’informativa generale.
• Professioni intellettuali: viene posto un divieto per i professionisti di affidare le loro prestazioni integralmente a sistemi di IA, con la possibilità di utilizzarli al solo esercizio delle attività strumentali e di supporto, imponendo un obbligo di informare il cliente sull’uso dell’IA, con linguaggio chiaro e completo.
• Autorità competenti:
• l'Agenzia per l’Italia digitale (AgID) per lo sviluppo dell’IA, 
• l'Agenzia per la cybersicurezza nazionale (ACN) per la cybersicurezza e le ispezioni, 
• Il Garante Privacy e AGCOM per la vigilanza e il coordinamento dei servizi digitali. Art. 20 Legge 1146/2025
• Responsabilità civile: il Governo è delegato a disciplinare i casi di danni da IA, prevedendo strumenti a tutela del danneggiato, anche attraverso una redistribuzione dell’onere della prova.
• Decreti legislativi: entro 12 mesi dall’entrata in vigore, il Governo dovrà adottare i decreti per adeguare la normativa nazionale all’AI Act e, tra gli altri, disciplinare i casi di impiego illecito dei sistemi di IA.

Checklist operativa per imprese e amministrazioni pubbliche

Con l’entrata in vigore della Legge n. 1146/2025, imprese e pubbliche amministrazioni sono chiamate ad avviare un primo ciclo di attività, finalizzate a garantire la conformità sia alla normativa nazionale che al quadro europeo dell’AI Act. Queste attività costituiscono il nucleo operativo dell’adeguamento e la base per una governance responsabile dell’intelligenza artificiale:

1. Mappatura e classificazione dei sistemi IA: censire e classificare tutti i sistemi di IA in uso o in fase di sviluppo, identificandone finalità, livello di rischio, conformità normativa e ambito di applicazione.
2. Definizione della governance interna: nominare un referente IA e adottare procedure interne di audit, controllo e supervisione.
3. Revisione dei contratti con fornitori e partner tecnologici: aggiornare i contratti per includere clausole su conformità normativa, responsabilità per danni da IA, correzione dei bias e manutenzione dei sistemi.
4. Aggiornamento della documentazione privacy: rivedere le informative GDPR e svolgere DPIA rafforzate, con particolare attenzione ai dati sensibili e sanitari.
5. Supervisione umana nei sistemi ad alto rischio: garantire e documentare la supervisione umana nei processi decisionali automatizzati.
6. Formazione interna per ruoli chiave: attivare programmi formativi per manager, sviluppatori, legali e responsabili compliance.
7. Audit periodici e tracciabilità documentale: predisporre audit tecnici e organizzativi, con conservazione delle evidenze documentali.