🤖 Cosa prevede il disegno di legge sull'IA approvato dal Senato - Legge Zero #66
Dopo un esame durato quasi un anno, il Senato ha approvato il disegno di legge del governo sull'IA. In attesa dell'esame della Camera, vi spieghiamo i principali punti del provvedimento.

🧠 Zero sorprese
Quella che sta per concludersi è stata un’altra intensissima settimana nel mondo dell’IA. Se ci seguite, ormai vi sarete accorti di quanto sia rapida l’evoluzione di modelli e sistemi di intelligenza artificiale (con annunci praticamente quotidiani dei maggiori provider, presentazione di nuove soluzioni e avanzamenti mirabolanti nel mondo della robotica).
Questa velocità ha innegabili ripercussioni in tutti i settori della società - dalla perdita di posti di lavoro alle fake news - e sta spingendo, in tutto il mondo, legislatori e autorità a introdurre disposizioni che consentano di cogliere le opportunità dell’IA, riducendo al minimo i rischi per le libertà e i diritti delle persone. In ogni numero di LeggeZero proviamo a darvene conto, cercando di individuare le cose più rilevanti tra notizie, avanzamenti tecnologici e provvedimenti.
Questa settimana, però, ci prendiamo una pausa dagli annunci dei provider e dalle notizie che arrivano dal resto del mondo per concentrarci su una notizia che viene dall’Italia: il 20 marzo 2025, il Senato ha approvato, con 85 voti favorevoli e 42 contrari, il disegno di legge delega sull'intelligenza artificiale, che ora passa all'esame della Camera.

Qui sotto potete scaricare (in .pdf) il testo votato dal Senato, mentre qui trovate la scheda dei lavori parlamentari (testo originario, audizioni, emendamenti, esame in commissione).
Spoiler alert: non si tratta di un provvedimento particolarmente rivoluzionario. Tuttavia, è comunque importante capire cosa prevede perché:
contiene disposizioni che riguarderanno cittadini, amministrazioni, professionisti italiani e, ovviamente, le imprese che intendono operare sul mercato italiano (specialmente quello della pubblica amministrazione);
in generale, il disegno di legge - e il suo iter - sono particolarmente rappresentativi delle principali questioni che i legislatori europei sono chiamati ad affrontare (nell’era della deregulation promossa dall’amministrazione USA targata Trump- Musk).
Struttura del provvedimento
Il disegno di legge approvato dal Senato è composto da 28 articoli (due in più di quelli presenti nel testo originariamente presentato dal Governo), mira a stabilire una cornice normativa nazionale per uno sviluppo corretto, trasparente e responsabile dell'IA.
Oltre ad enunciare alcuni principi, la norma definisce il sistema di governance italiana dell’IA e detta alcune previsioni settoriali dalla pubblica amministrazione alle professioni, dalla sanità alla giustizia (ci sono però assenti eccellenti: come il settore dei trasporti e quello della scuola).
Questi i sei capi in cui è articolato il provvedimento:
Principi e finalità (artt. 1-6)
Disposizioni di settore (artt. 7-18)
Strategia nazionale, autorità nazionali e azioni di promozione (artt. 19-24)
Disposizioni a tutela degli utenti e in materia di diritto d’autore (art. 25)
Disposizioni penali (art. 26)
Disposizioni finanziarie e finali (artt. 27-28).
Il provvedimento ha subito poche modifiche rispetto al testo presentato quasi un anno fa dall’esecutivo, per cui sono ancora valide le considerazioni che facemmo in LeggeZero #22 a cui rinviamo per un esame sistematico del Disegno di Legge.
🤖 Il DDL del Governo 🇮🇹 su IA, spiegato bene – Legge Zero #22
Nel numero 22 della newsletter trovate la sintesi del testo del DDL presentato dal Governo nel mese di aprile 2024.
Le novità del testo approvato dal Senato
In questo numero abbiamo pensato fosse utile, quindi, concentrarci sulle principali novità del testo approvato dal Senato nei giorni scorsi, anche alla luce del dibattito parlamentare, delle richieste della società civile e del parere espresso dalla Commissione europea - di cui avevamo dato conto in LeggeZero #53 - che aveva richiesto un maggior coordinamento del provvedimento italiano con il Regolamento europeo sull’intelligenza artificiale (il Regolamento UE 2024/1689 di cui abbiamo parlato in LeggeZero #33).
Il rapporto tra DDL 🇮🇹 e AI Act 🇪🇺
Una delle principali novità è l’esplicito allineamento con l’AI Act, che emerge in più punti del testo normativo. Già nell’articolo 1, comma 2, si stabilisce che “Le disposizioni della presente legge si interpretano e si applicano conformemente al regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio, del 13 giugno 2024”. Inoltre, l’articolo 2 rinvia esplicitamente alle definizioni del regolamento europeo, mentre le definizioni originariamente previste dal DDL sono state eliminate.
Tuttavia, emerge una potenziale contraddizione. L’articolo 3, comma 5, stabilisce che la legge italiana non può imporre obblighi ulteriori rispetto a quelli previsti dall’AI Act per i sistemi di IA e i modelli di IA ad uso generale. Nonostante ciò, alcune deleghe contenute nel testo approvato potrebbero, di fatto, introdurre nuovi obblighi. In particolare, l’articolo 14-bis del DDL affida al Governo la regolamentazione dell’uso di dati, algoritmi e metodi matematici per l’addestramento dei sistemi di Intelligenza Artificiale, lasciando quindi margine per interventi normativi aggiuntivi.
La governance italiana dell’IA (e la sandbox che ancora non c’è)
Una delle disposizioni più interessanti è la previsione (art. 20) che riguarda le istituzioni individuate come competenti in materia di intelligenza artificiale. Nonostante le richieste della Commissione europea, delle opposizioni e delle organizzazioni della società civile che ne contestavano l’indipendenza (ne abbiamo parlato in LeggeZero #22 e LeggeZero #49) il testo approvato dal Senato conferma:
l’Agenzia per l’Italia Digitale (Agid) come autorità di notifica;
l’Agenzia per la Cybersicurezza Nazionale (ACN) come autorità di vigilanza del mercato e punto di contatto unico con le istituzioni dell’UE, in conformità all’articolo 70 dell’AI Act.
Si tratta di una scelta importante, anche perché l’Italia è tra i pochi Paesi che non hanno ancora formalmente definito le autorità competenti per l’applicazione dell’AI Act (insieme a Bulgaria, Ungheria, Lettonia, Slovacchia e Svezia).
Nel testo approvato dal Senato, inoltre, è stata aggiunta anche la competenza di CONSOB, IVASS e Banca d’Italia sulle IA introdotte nel mercato, messe in servizio o utilizzate nell’erogazione di servizi nei rispettivi settori. Ad esempio, nel caso di un sistema di IA per il credit scoring utilizzato da una banca, la supervisione spetterebbe alla Banca d’Italia.
Infine, nel DDL non è ancora prevista una norma generale sulle sandboxes, nonostante l’AI Act ne richieda l’istituzione per favorire la sperimentazione controllata di sistemi di intelligenza artificiale. L’assenza di un quadro normativo specifico per le sandbox rappresenta una lacuna significativa, poiché questi ambienti di test sono considerati da tutti strumenti fondamentali per bilanciare innovazione e conformità normativa. Sebbene alcune disposizioni del DDL facciano riferimento a progetti sperimentali in determinati ambiti, manca - per ora - un disegno organico organico che disciplini in modo chiaro e uniforme la creazione e il funzionamento delle sandbox a livello nazionale.
La promozione di ricerca e sviluppo in materia di IA
Un’altra novità del testo approvato dal Senato è l’introduzione del riferimento alla ricerca nel campo dell’intelligenza artificiale e allo sviluppo di IA, con un’attenzione particolare ai partenariati pubblico-privati.
Tuttavia, la formulazione è abbastanza vaga nella misura in cui si prevede (art. 5) che lo Stato e le autorità pubbliche “favoriscono la ricerca collaborativa tra imprese, organismi di ricerca e centri di trasferimento tecnologico in materia di intelligenza artificiale al fine di incoraggiare la valorizzazione economica e commerciale dei risultati della ricerca.”
Nessuna dotazione finanziaria specifica però - come vedremo - supporta questa attenzione per la ricerca e lo sviluppo.
La sovranità digitale
Un aspetto controverso del nuovo testo riguarda la sovranità sui sistemi di intelligenza artificiale. In particolare, l’articolo 6, comma 2, introduce l’obbligo di installare i sistemi di IA destinati a uso pubblico su server ubicati nel territorio nazionale, con l’unica eccezione dei sistemi impiegati all’estero per operazioni militari.
Questa disposizione mira a garantire la sovranità e la sicurezza dei “dati sensibili” dei cittadini (si, è scritto proprio “dati sensibili”), e anche se è inserita in una norma la cui rubrica recita “Disposizioni in materia di sicurezza e difesa nazionale” ha una formulazione apparentemente più ampia che potrebbe recare incertezze applicative che potrebbero frenare l’approvvigionamento di IA in ambito pubblico.
Utilizzo dell’IA in sanità
In ambito sanitario sono state introdotte importanti modifiche al testo normativo. In particolare, viene prevista anche la “diagnosi” tra gli utilizzi possibili (e quindi consentiti). Inoltre, viene attenuato l’obbligo di informazione all’interessato sull’impiego delle tecnologie di IA, che non include più le informazioni sulla logica decisionale utilizzata.
Altra modifica interessante è quella apportata all’art 8, relativo alla ricerca e sperimentazione scientifica di IA in ambito sanitario. In particolare viene esteso l’interesse pubblico di cui agli artt. 32 e 33 Cost. anche agli Istituti di ricovero e cura a carattere scientifico (IRCCS) e ai soggetti privati operanti nel settore sanitario nell'ambito di progetti di ricerca a cui partecipano soggetti pubblici e privati senza scopo di lucro o IRCCS. Vengono inoltre sempre consentite l’anonimizzazione e la produzione di dati sintetici a partire da dati sanitari e delle nuove linee guida per l’Agenzia nazionale per i servizi sanitari nazionali (AGENAS).
Utilizzo dell’IA nel settore giustizia
Sono diverse le novità in ambito giudiziario. Dall’art. 14 viene, infatti, è stata eliminata la limitazione dell’utilizzo dei sistemi IA alla sola semplificazione del lavoro giudiziario e per la mera ricerca giurisprudenziale/dottrinale, così consentendo - implicitamente - di utilizzare i sistemi anche per altre attività estremamente critiche, quale, ad esempio, la redazione delle sentenze e l’esame degli scritti difensivi.
A contemperare tale apertura prova a soccorrere l’espressa riserva, in capo al magistrato, circa la decisione sulla legge da applicare e la sua interpretazione, sulla valutazione dei fatti e delle prove – non degli atti di parte – nonché sull’adozione dei provvedimenti. L’impiego di sistemi di IA negli uffici giudiziari, ai sensi del successivo comma 3, inizierà in fase sperimentale, previa autorizzazione del Ministero della giustizia su parere delle Autorità nazionali per l’IA (Agid e ACN), e sarà accompagnato dalla (più che necessaria) formazione, curata dal Ministro della giustizia, dei magistrati e del personale amministrativo sul tema dell'IA in generale e sugli impieghi dei sistemi di IA nell'attività giudiziaria “finalizzate alla formazione digitale di base e avanzata, all'acquisizione e alla condivisione di competenze digitali, nonché alla sensibilizzazione sui benefici e rischi”.
Non è chiaro però se tale formazione sarà specifica sull’IA o se sarà preceduta dall’accertamento delle competenze digitali di base che - ancora oggi - mancano in molti uffici.
Altro punto poco chiaro è quello rappresentato dalla norma che prevede la (ovvia) competenza del Ministero della Giustizia sulla disciplina degli impieghi dei sistemi di IA “per l'organizzazione dei servizi relativi alla giustizia, per la semplificazione del lavoro giudiziario e per le attività amministrative accessorie”. Questo decreto si occuperà anche di quali saranno gli strumenti utilizzati dai magistrati e delle regole di condotta che gli stessi dovranno seguire nell’utilizzo degli strumenti? Oppure i singoli giudici saranno liberi di scegliere quali soluzioni usare?
Disposizioni in materia di diritto d’autore
Relativamente al diritto d’autore, la disposizione viene completamente stravolta rispetto a quanto previsto nella versione precedente. Ciò probabilmente al fine di rinviare alla disciplina già prevista in materia dall’AI Act. Si segnala, poi, l’aggiunta di un generale riferimento alla Convenzione di Berna per la protezione delle opere letterarie ed artistiche.
Il reato di deep fake
Sul fronte delle disposizioni penali, una novità di rilievo già presente nella precedente versione del DDL è l’introduzione del reato di diffusione illecita di contenuti generati o manipolati attraverso sistemi di intelligenza artificiale. Questo include, ad esempio, l’utilizzo dei deepfake per danneggiare una persona tramite la diffusione, la pubblicazione o cessione dolosa (cosciente e volontaria quindi) dei video.
Va segnalato che l’Italia è uno dei primi paesi a introdurre una specifica fattispecie di reato per la diffusione illecita di contenuti generati o modificati dall’IA. Altri Paesi seguiranno il nostro esempio?
Considerazioni finanziarie e finali
L’esame del provvedimento in Senato non ha sanato una delle principali criticità del testo presentato dal Governo. L’art. 27 (clausola di invarianza finanziaria) recita ancora:
Dall’attuazione della presente legge, ad esclusione dell’articolo 21, non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Le amministrazioni pubbliche interessate provvedono all’adempimento delle disposizioni della presente legge con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente.
Insomma, ad eccezione del miliardo di euro messo a disposizione di Cassa Depositi e Prestiti per le imprese, la promozione dell’IA in Italia non può contare su una dotazione finanziaria. Non è chiaro, quindi, come Autorità e amministrazioni potranno affrontare efficacemente la rivoluzione dell’intelligenza artificiale senza risorse dedicate. Si tratta di un dato che è ancora più problematico se si pensa agli sforzi degli altri Paesi (senza voler scomodare gli investimenti USA, basti pensare ai 109 miliardi di euro del piano voluto in Francia da Macron).
Esaminando il disegno di legge, emerge poi un’altra contraddizione dell’approccio italiano. Da un lato abbiamo l'ambizione di regolamentare un settore all'avanguardia come l'IA, dall'altro lo facciamo seguendo logiche che rischiano di minarne l'efficacia. Il DDL prevede almeno sei tra regolamenti e decreti attuativi, una proliferazione normativa che solleva preoccupazioni alla luce delle esperienze passate – basti pensare alle linee guida Agid sulla blockchain, previste nel 2018 e mai concretizzate. La lezione storica suggerisce che sarebbe più prudente adottare un approccio minimalista nella fase iniziale, limitandosi alle norme essenziali e delegando gli aspetti più specifici a strumenti di softlaw, capaci di adattarsi all'evoluzione tecnologica. Tanto più che siamo nel pieno della prima attuazione dell’AI Act.
Inoltre, l’approccio del DDL non pare tenere conto che - nell’era della deregulation trumpiana - amministrazioni e imprese in Italia potrebbero aspettare Godot (l’adozione di regolamenti attuativi che raramente arrivano tempestivamente), mentre istituzioni e operatori economici di altri Paesi continueranno ad accelerare nello sviluppo e nell’adozione dell’IA privi di questi ulteriori vincoli e incognite.
A ciò si aggiunge la lentezza dell'iter legislativo: l’esame del DDL da parte del Senato - pur senza tradursi in modifiche rilevanti - ha richiesto ben undici mesi di tempo. Questa circostanza evidenzia un ulteriore elemento di criticità: in un ambito caratterizzato da rapida evoluzione come quello tecnologico, la regolazione deve provare a tenere il passo della velocità della tecnologia che intende regolare.
Adesso, dopo l’approvazione del Senato, il testo passerà all’esame della Camera dei Deputati, dove potrebbero essere introdotte ulteriori modifiche prima dell’approvazione definitiva. E in questo caso il testo dovrebbe tornare al Senato.
Nel frattempo, la tecnologia non si fermerà. E noi continueremo a raccontarvelo, settimana dopo settimana.
🎙️ Il disegno di legge approvato dal Senato spiegato dall’IA
Abbiamo provato a fare un esperimento: abbiamo chiesto a Notebook LM di Google il compito di trasformare il testo legislativo del DDL sull'IA recentemente approvato al Senato in un podcast esplicativo.
Il risultato, che potete ascoltare qui sotto, offre - in poco più di 11 minuti - una lettura organica, anche se molto didascalica, del provvedimento normativo.
Ascoltatelo, confrontatelo con l’analisi umana che abbiamo scritto noi, e fateci sapere cosa ne pensate.
💊 Le reazioni all’approvazione del DDL in Senato
La Rete diritti umani digitali (network composto da organizzazioni della società civile come Amnesty International, Hermes Center, Period Think Tank, Privacy Network e The Good Lobby Italia) promette battaglia dopo che l’esame del Senato ha bocciato gli emendamenti sostenuti dalla società civile (come quelli in materia di sorveglianza biometrica e autorità nazionali competenti).
L’Istituto italiano privacy, invece, ha accolto con favore l'approvazione in Senato degli emendamenti al DDL sull'intelligenza artificiale che istituiscono una base giuridica esplicita per l’anonimizzazione, la pseudonimizzazione e la sintetizzazione dei dati, anche sensibili, in ambito sanitario.
Il Sole 24 Ore in un articolo pubblicato il 22 marzo (edizione cartacea e non disponibile online) segnala l’allarme delle Big Tech per l’emendamento al DDL sull’IA, approvato in Senato, che impone l’uso di server localizzati in Italia per i sistemi IA nella PA. La norma, pensata per la sicurezza nazionale, rischierebbe però di essere un ostacolo all’approvvigionamento di sistemi di IA utilizzano infrastrutture (server) in Paesi diversi dall’Italia, anche europei.
🏛️ Arriva un nuovo corso targato LeggeZero: ‘Il CAIO per la pubblica amministrazione’
Siete interessati alla figura del Chief AI Officer e volete approfondire i temi legati all’adozione dell’intelligenza artificiale nella pubblica amministrazione?
Abbiamo organizzato un corso che potrebbe interessarvi: è dedicato a tutti coloro che vogliono guidare - magari proprio come CAIO - la sfida dell’intelligenza artificiale nelle pubbliche amministrazioni (e ovviamente parleremo anche delle implicazioni del DDL recentemente approvato dal Senato).
Il nostro corso, articolato in 6 appuntamenti dal 31 marzo al 17 aprile 2025 (per un totale di 24 ore di formazione), affronta le complesse sfide dell'implementazione dell'IA negli uffici pubblici attraverso una prospettiva multidimensionale:
Aspetti tecnologici: strumenti e metodologie per l'adozione consapevole dei sistemi di IA.
Aspetti normativi: conformità alle regolamentazioni emergenti in materia di tecnologie digitali (dall’AI ACT al GDPR, passando per il CAD e le Linee Guida Agid).
Aspetti organizzativi: strategie di governance dell'innovazione e gestione del cambiamento.
Particolarmente rilevante sarà il focus sull'evoluzione del ruolo del Responsabile per la Transizione Digitale (RTD), figura chiave nell'ecosistema dell'innovazione pubblica.
Non mancheranno esperienze e case di studio per apprendere dai colleghi di altre amministrazioni buone prassi e errori da evitare.
Se vi interessa, trovate qui info su docenti, programma, iscrizione e costi.
📣 Eventi
AI Tour - Milano, 26.03.2025
Master “CAIO, il Chief AI Officer della pubblica amministrazione” - Webinar, 31.03-17.04.2025
Generative AI Summit - Londra, 31.03-02.04.2025
CAIO Summit - New York, 16.04.2025
🙏 Grazie per averci letto!
Per ora è tutto, torniamo la prossima settimana. Se la newsletter ti è piaciuta, commenta o fai girare.