🤖 La legge italiana 🇮🇹 sull'IA, spiegata bene - Legge Zero #90
L'Italia conquista un primato nel settore dell'intelligenza artificiale: è il primo Paese UE a dotarsi di una legge organica in materia. In questo numero trovate tutto quello che dovete sapere.
🧠 L’Italia ha approvato una legge nazionale sull’IA
Quella che sta per concludersi è stata un’ordinaria settimana di fermento sul fronte dell’intelligenza artificiale: provider che annunciano nuovi prodotti e funzionalità, nuovi studi che parlano dei rischi dell’IA (ad esempio, in relazione alla perdita di posti di lavoro), major di Hollywood che fanno l’ennesima causa a startup per scraping selvaggio di contenuti protetti, governi e istituzioni di tutto il mondo che lavorano a norme per governare la rivoluzione in corso.
Per noi, però, la vera notizia della settimana è che il 17 settembre 2025 il Senato ha approvato in via definitiva la prima legge italiana in materia di intelligenza artificiale.
Di questo provvedimento hanno parlato anche i media stranieri (come Guardian e Reuters) enfatizzando che, con questa legge, l’Italia è stato il primo Paese UE a dotarsi di un quadro normativo nazionale completo in materia di intelligenza artificiale (nella cornice dell’AI Act). Come se fosse un valore arrivare primi e non scrivere norme efficaci, in grado di tutelare i diritti delle persone e, al tempo stesso, abilitare l’innovazione in un Paese che non è sicuramente tra i protagonisti del settore. Almeno finora.
Comunque la pensiate, se siete lettori affezionati di questa newsletter, ricorderete che abbiamo seguito l’iter del DDL n. 1146 sin dall’inizio (la prima volta ne abbiamo scritto in LeggeZero #22 e l’ultima in LeggeZero #80). Ora, dopo 512 giorni, possiamo finalmente provare a spiegare - in modo chiaro e senza l’aiuto dell’IA- cosa prevede la legge italiana sull’intelligenza artificiale e cosa dobbiamo aspettarci ora. Mettetevi comodi, il discorso è lungo.
Innanzitutto, partiamo dal testo approvato, lo trovate qui sotto (in .pdf) e si compone di 28 articoli suddivisi in sei capi:
● Principi e finalità (artt. 1-6);
● Disposizioni di settore (artt. 7-18);
● Strategia nazionale, autorità nazionali e azioni di promozione (artt. 19-24);
● Disposizioni a tutela degli utenti e in materia di diritto d’autore (art. 25);
● Disposizioni penali (art.26);
● Disposizioni finanziarie e finali (artt. 27-28).
Finalità e struttura della legge
La legge dichiara fin da subito i suoi principi generali: promuovere un uso antropocentrico, trasparente, responsabile e sicuro dell’IA, in linea con i valori costituzionali e i diritti fondamentali. All’art. 1 viene esplicitato il legame con l’AI Act europeo: la legge italiana si interpreta ed applica conformemente al regolamento UE 2024/1689, inserendo nella cornice delle regole UE alcune norme relative a settori o materie che il legislatore europeo ha lasciato ai singoli Stati membri.
Va chiarito fin da subito - ci ritorneremo però - che ci troviamo di fronte soprattutto a una “legge quadro/delega”: molte disposizioni, infatti, richiedono al Governo di emanare successivi decreti legislativi o provvedimenti attuativi. Questo significa che poche norme hanno un effetto immediato: più che regolare in dettaglio gli aspetti tecnici, la legge fissa principi, ripartisce competenze e prepara il terreno per futuri provvedimenti (i famosi decreti attuativi) che conterranno le regole rilevanti per amministrazioni, imprese e cittadini.
I princìpi (generali e di settore)
I primissimi articoli della legge (artt. 1-3) fissano finalità, definizioni e principi generali, ribadendo - ovvie ma giuste - parole programmatiche come trasparenza, sicurezza, protezione dati, non discriminazione, parità di genere, sostenibilità, correttezza e attendibilità dei dati, autonomia decisionale umana, prevenzione del danno, conoscibilità, spiegabilità, sorveglianza umana, tutela della vita democratica e istituzionale, cybersicurezza lungo tutto il ciclo di vita, accessibilità per le persone con disabilità.
Il successivo capo della legge (artt. 7-18) è dedicato a settori specifici, affermando i principi che devono guidare lo sviluppo e l’uso dell’IA.
In ambito sanitario, ad esempio, si riconosce il potenziale dell’IA per diagnosi, prevenzione e cura, ma si ribadisce che il medico resta insostituibile: l’IA può solo supportare i professionisti umani e vanno garantite informative chiare ai pazienti. Ogni paziente ha il diritto di sapere se e come vengono usati sistemi IA nel proprio percorso di cura. Inoltre, la legge promuove l’uso degli algoritmi in sanità in modo inclusivo, come strumento per aumentare l’autonomia delle persone con disabilità e non creare nuove barriere. Operativamente, AGENAS (l’agenzia nazionale per i servizi sanitari regionali) è incaricata di fare da capofila per sviluppare una piattaforma nazionale sull’IA in sanità, assicurando sicurezza, minimizzazione dei dati e rispetto della dignità umana.
Nel mondo del lavoro, l’art. 11 introduce un obbligo specifico: ogni lavoratore deve essere informato se strumenti di IA vengono utilizzati nell’organizzazione, valutazione o gestione del suo lavoro. Questo per evitare decisioni occulte prese da algoritmi su assunzioni, turni, performance, ecc. Si vieta poi qualsiasi discriminazione algoritmica e si incoraggia l’uso dell’IA per migliorare la sicurezza e le condizioni lavorative. A supporto, viene istituito un Osservatorio nazionale sull’IA nel lavoro presso il Ministero del Lavoro, con il compito di monitorare l’evoluzione dell’IA e i suoi impatti sull’occupazione, nonché promuovere nuove competenze e tutele per i lavoratori. Va detto però che i sindacati non sono del tutto soddisfatti: alcuni, ad esempio, hanno definito questa norma un’occasione mancata, rilevando che si limita a obblighi informativi già previsti altrove, senza introdurre reali strumenti di contrattazione o tutela collettiva di fronte all’automazione avanzata (sempre più diffusa in ambito lavorativo).
Anche le professioni regolamentate trovano spazio nella legge: l’art. 13 stabilisce che avvocati, commercialisti, ingegneri e altri professionisti devono informare la clientela se utilizzano sistemi di IA nello svolgimento dell’incarico. Lo scopo è simile agli altri settori: garantire trasparenza verso gli utenti dei servizi professionali e rimarcare che la decisione finale e la responsabilità restano umane. Insomma, si vuole favorire un impiego complementare e non sostitutivo dell’IA nelle attività intellettuali.
Per la pubblica amministrazione (art. 14), invece, la regola è chiara: l’IA può essere usata solo come supporto e mai per sostituire la valutazione o la responsabilità umana. Ogni decisione automatizzata in un ufficio pubblico deve avere un essere umano “in the loop”.
Nel caso della giustizia (art. 15), viene tracciata una linea invalicabile: no al giudice IA. Il provvedimento vieta espressamente l’uso di sistemi di IA per adottare decisioni giurisdizionali, riaffermando che ogni sentenza o atto discrezionale è riservato al magistrato umano. L’IA potrà semmai assistere in compiti di analisi documentale o gestione dei fascicoli, ma in via sperimentale e solo previa autorizzazione ministeriale e parere delle autorità competenti. In pratica, il giudice può avvalersi di strumenti di supporto, ma non delegare mai all’algoritmo il potere decisionale su fatti e prove. Questo punto è considerato essenziale per evitare derive incompatibili con i principi costituzionali e assicurare la sindacabilità delle decisioni (abbiamo diritto ad avere un giudice umano e a conoscere le motivazioni delle decisioni che ci riguardano).
Tutela di utenti e minori
Un altro aspetto importante della legge italiana è la tutela di privacy e minori nell’ecosistema IA. La legge prevede in generale che ogni utilizzo dell’IA debba avvenire nel rispetto del GDPR e del diritto alla protezione dei dati personali, ma aggiunge cautele speciali per i più giovani. In particolare, come previsto dall’art. 4, viene fissato a 14 anni il limite minimo per acconsentire autonomamente all’uso di servizi basati su IA. Sotto i 14 anni sarà necessario il consenso dei genitori (o di chi esercita la responsabilità genitoriale) per poter utilizzare piattaforme o applicazioni di IA. Chi lo dice ora ai ragazzi che già usano quotidianamente i chatbot non solo per i compiti?
Dai 14 ai 18 anni, invece, sulla base della legge appena approvata, il minore potrà prestare da sé il consenso, ma la legge impone che debba essere messo in condizione di capire e scegliere: in altre parole, occorre garantire una informativa e un’esperienza adeguata all’età, affinché il ragazzo comprenda a cosa sta acconsentendo e possa usare consapevolmente l’IA (magari con parental control attivi, come già alcune piattaforme stanno introducendo).
Un’altra novità importante riguarda il riutilizzo dei dati personali (tema cruciale per addestrare gli algoritmi). Nell’ambito sanitario, l’art. 9 permette l’utilizzo secondario di dati sensibili a fini di ricerca scientifica, a patto che siano resi anonimi e che ci sia l’approvazione dei comitati etici competenti. Si tratta di una norma che prova a bilanciare due esigenze: da un lato agevolare la ricerca medica (che spesso ha bisogno di grandi quantità di dati, ad esempio per allenare algoritmi diagnostici), dall’altro tutelare la privacy dei pazienti.
In proposito, la legge delega il Governo a emanare una disciplina organica sull’uso di dati, algoritmi e metodi matematici per l’addestramento dei sistemi di IA. Questo significa che aspetti come il data scraping, l’utilizzo di dati personali o pubblici per addestrare modelli, i criteri di qualità e rappresentatività dei dataset, dovranno essere regolati in dettaglio tramite decreti delegati.
Diritto d’autore e addestramento dell’IA
Il copyright nell’era dell’IA - lo sapete bene - è uno dei temi più controversi e dibattuti. La legge interviene modificando l’art. 1 della Legge sul Diritto d’Autore (LDA) per chiarire un principio fondamentale: solo le opere frutto dell’ingegno umano possono godere della protezione del diritto d’autore, anche se create con l’ausilio dell’IA. Questo significa che se un autore utilizza strumenti di IA per creare un’opera (si pensi a un’immagine generata in parte da un algoritmo ma rifinita dall’artista umano), quell’opera è protetta da copyright purché vi sia originalità derivante dall’apporto intellettuale umano. Viene così espressamente esclusa la protezione per contenuti generati interamente da IA senza un apporto creativo umano.
Sarà però necessario capire come valutare, in concreto, la creatività e la rilevanza del contributo umano: fino a che punto l’intervento di chi utilizza un sistema di IA può essere considerato creativo? E in che modo sarà possibile dimostrarlo? La questione non è banale, se pensiamo alla differenza tra chi si limita a inserire un prompt generico e chi invece costruisce istruzioni articolate, affina il risultato, interviene sul testo o sull’immagine generata fino a renderla effettivamente originale. In altre parole, il legislatore introduce un criterio che rischia di alimentare nuovo contenzioso sul concetto stesso di “originalità” e sulla sua prova.
Sul fronte dell’addestramento dei modelli di IA, le aziende che sviluppano modelli di IA potranno "alimentare" i loro algoritmi con contenuti trovati legalmente in rete o in database accessibili, ma solo se l'accesso a questi materiali è legittimo e se l'obiettivo è l'estrazione di testo e dati per finalità di addestramento (e sempre fatto salvo il diritto di opt-out). Questa disposizione cerca di evitare che lo sviluppo dell'IA si arresti completamente a causa delle restrizioni del copyright, pur mantenendo il rispetto per i diritti degli autori.
Qualcuno avrebbe voluto misure più forti a tutela dei creativi (ad esempio un compenso obbligatorio per l’uso di opere protette nei dataset), ma il Parlamento ha preferito attendere l’evoluzione europea per evitare fughe in avanti (e, forse, anche per evitare di penalizzare l’addestramento con contenuti in italiano).
Da notare che il mancato rispetto di queste disposizioni potrà comportare specifiche sanzioni (come previsto dall’art. 26, comma 3 della legge).
Le misure contro i deepfake
L’intervento normativo italiano sull’IA ha una forte impronta di diritto penale, mirata a contrastare gli usi illeciti e pericolosi dell’intelligenza artificiale. Viene introdotto nel codice penale il nuovo art. 612-quater c.p., denominato “Diffusione illecita di contenuti generati o alterati con sistemi di IA”. È sostanzialmente la risposta legislativa al fenomeno dei deepfake e delle truffe algoritmiche. La nuova fattispecie punisce con la reclusione da uno a cinque anni chi diffonde contenuti (immagini, video, audio) falsificati tramite IA in modo ingannevole e con conseguente danno. In altre parole, creare e diffondere un video deepfake attribuendo false parole o azioni a una persona, causando un danno (alla sua reputazione, ai suoi diritti, ecc.), diventa reato. Il delitto è punibile a querela della persona offesa, ma si procede d’ufficio se il fatto è connesso a reati perseguibili d’ufficio o se è commesso nei confronti di persone incapaci, per età o infermità, o di pubbliche autorità nell’esercizio delle loro funzioni.
Secondo gli estensori, era una lacuna del nostro ordinamento che ora viene colmata. Tuttavia - a parte che i casi estivi dei gruppi e siti sessisti hanno dimostrato che la tutela penale non sempre è efficace - un limite della norma potrebbe essere quello di richiedere la prova del danno subito dalla parte offesa, a differenza di altre normative nazionali (come quella danese di cui abbiamo parlato in LeggeZero #87) che consentono alla vittima di chiedere alle piattaforme la rimozione del deepfake per il semplice fatto che la diffusione non è stata autorizzata dalla persona “imitata”.
Oltre ai deepfake, la legge interviene su varie fattispecie già esistenti nel codice penale introducendo aggravanti generiche quando l’IA viene utilizzata per commettere determinati reati. Ad esempio, nei delitti di truffa, frode informatica, sostituzione di identità, riciclaggio e altri, l’uso di sistemi di IA per aumentarne l’efficacia o la portata del reato sarà un elemento aggravante che comporta pene più severe L’idea è chiara: se ti avvali di un’intelligenza artificiale per commettere un crimine (per esempio una truffa finanziaria con deepfake o attacchi phishing automatizzati su larga scala), sei più pericoloso e quindi meriti una sanzione maggiore. Allo stesso modo, vengono inasprite le pene per reati come la violazione della sicurezza informatica o l’integrità di sistemi e dati, se compiuti mediante strumenti di IA.
Governance italiana dell’IA
Chi vigilerà sull’attuazione di questo articolato impianto normativo? La legge disegna un sistema di governance complesso. Anzitutto, vengono designate due Autorità nazionali competenti in materia di IA: l’Agenzia per l’Italia Digitale (AgID) e l’Agenzia per la Cybersicurezza Nazionale (ACN). Questa scelta ha deluso coloro che avevano contestato l’indipendenza delle due agenzie.
In particolare:
AgID avrà il compito di promuovere l’innovazione e lo sviluppo dell’IA in Italia, gestire le notifiche e in generale favorire “casi d’uso sicuri” per cittadini e imprese.
ACN invece opererà come organo di vigilanza e ispezione: dovrà assicurare l’adeguatezza e la sicurezza dei sistemi di IA, con poteri sanzionatori verso chi non rispetta le regole.
Inoltre, AgID e ACN, ciascuna per quanto di rispettiva competenza, provvederanno all’istituzione e alla gestione congiunta di spazi di sperimentazione finalizzati alla realizzazione di sistemi di intelligenza artificiale conformi alla normativa nazionale e dell’UE. Tuttavia, la legge non istituisce formalmente alcuna sandbox regolatoria nazionale, gli operatori interessati dovranno aspettare i provvedimenti di attuazione.
Accanto a AgID e ACN, la legge mantiene il coinvolgimento delle altre autorità di settore già esistenti: il Garante Privacy continuerà a far valere il GDPR per gli aspetti di protezione dati, Banca d’Italia vigilerà sull’uso dell’IA nei servizi finanziari, la Consob nei mercati e AGCOM nel ruolo di Coordinatore per i servizi digitali previsto dal Digital Services Act.
Vista la frammentazione della governance, va segnalata l’istituzione presso la Presidenza del Consiglio di un Comitato interministeriale di coordinamento in materia di IA. Questo comitato di indirizzo riunirà i ministri e gli enti pubblici più coinvolti (innovazione, università, imprese, difesa, ecc.) per garantire una regia unificata delle politiche sull’IA ed evitare sovrapposizioni o interventi scoordinati. L’idea è che serva una cabina di coordinamento centrale che dia continuità e strategia all’azione pubblica sull’intelligenza artificiale.
A proposito di strategia, la legge prevede che l’Italia adotti e aggiorni periodicamente una Strategia nazionale per l’IA. Il Dipartimento per la Trasformazione Digitale dovrà predisporla e aggiornarla ogni due anni, con il supporto di AgID e ACN e coinvolgendo le autorità settoriali. Inoltre, è previsto un monitoraggio annuale al Parlamento sullo stato di attuazione della strategia e dell’innovazione in ambito IA. Questo è un elemento di trasparenza: ogni anno il Governo dovrà “rendere conto” alle Camere di cosa si sta facendo e con quali risultati (le strategie fin qui adottate non hanno avuto grandi impatti finora).
Cosa aspettarsi ora? I decreti attuativi
Dal 23 aprile 2024 (data della presentazione del disegno di legge) sino al 17 settembre 2025 (data dell’approvazione definitiva) sono passati 512 giorni. Probabilmente pochi per lo standard del legislatore italiano, sicuramente tantissimi per la velocità a cui sta avanzando il settore dell'intelligenza artificiale. Nello stesso periodo, tanto per avere un’idea, sono stati rilasciati oltre 60 modelli IA rilevanti (tra cui DeepSeek e ChatGPT 5). E non è ancora finita, visto che - nei prossimi 12 mesi - dovranno essere adottati almeno 12 tra decreti e provvedimenti attuativi (e l'esperienza ci insegna che non sempre decreti e regolamenti esecutivi arrivano nei tempi previsti).
Viene da chiedersi se sia davvero questo il miglior modo per normare una tecnologia che evolve a velocità esponenziale. E come si concilia la necessità di tutele con le necessità di amministrazioni e imprese di avere certezza sul perimetro normativo. C’è il rischio che - in attesa di conoscere il dettaglio delle regole su training dei sistemi o sull’anonimizzazione dei dati - progetti e sviluppi vengano messi in pausa, non solo per il timore di sanzioni ma anche per evitare di dover tornare più volte su scelte di sviluppo o scelta dei fornitori tecnologici.
Alcuni provvedimenti attuativi potrebbero arrivare entro la fine dell’anno (come l’istituzione dell’Osservatorio sull’impatto dell’IA nel mondo del lavoro o il decreto sull’uso dei dati sanitari per finalità di addestramento). Invece per i decreti delegati il Governo bisognerà aspettare l’autunno 2026 visto che il termine previsto è di dodici mesi e le materie sono decisamente complesse (come quelle legate alla disciplina dei metodi di addestramento).
Una rivoluzione epocale “a costo zero”
Collegato a quello della complessità di attuazione, c’è il tema della scarsità degli investimenti. Eccezion fatta per il miliardo di euro destinato a startup e PMI, desta preoccupazione la clausola di invarianza finanziaria prevista dall’art. 27:
Dall’attuazione della presente legge, ad esclusione dell’articolo 21, non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Le amministrazioni pubbliche interessate provvedono all’adempimento delle disposizioni della presente legge con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente.
In altre parole, non viene stanziato alcun fondo aggiuntivo a supporto delle misure previste (ad esempio per il potenziamento delle autorità di controllo, l’introduzione dell’IA nelle amministrazioni o la realizzazione di programmi di AI literacy). Si tratta di un elemento che rischia di condizionare pesantemente l’attuazione della norma. Staremo a vedere se ci saranno correzioni (e stanziamenti) in corsa.
Noi di LeggeZero, nei prossimi mesi, continueremo a seguire passo passo l’attuazione della legge e il suo impatto sul settore. E a darvene conto.
📺 La legge sull’intelligenza artificiale spiegata dall’IA
Questa settimana - al posto del consueto vocale - abbiamo provato a fare un esperimento: abbiamo chiesto all’IA di trasformare il testo della legge (e questa newsletter) in un video esplicativo.
Il risultato, che potete vedere qui sotto, offre - in poco più di 8 minuti - una lettura organica, ovviamente sintetica, dei principali punti della norma.
Utile anche da utilizzare come pillola di AI literacy in ufficio… in attesa dei nostri corsi.
😂 IA Meme
Secondo molti, la legge italiana sull’IA conferma il tradizionale approccio italico all’innovazione: molte norme, pochi investimenti.
📣 A grande richiesta, torna il Master di LeggeZero: ‘Il CAIO per la pubblica amministrazione’
Siete interessati alla figura del Chief AI Officer e volete approfondire i temi legati all’adozione dell’intelligenza artificiale nella pubblica amministrazione?
Dopo il successo della prima edizione, torna il nostro Master breve sull’IA nella PA. Il corso è dedicato a tutti coloro che vogliono guidare - magari proprio come CAIO - la sfida dell’intelligenza artificiale nelle pubbliche amministrazioni.
Il nostro corso, articolato in 6 appuntamenti dal 22 ottobre al 10 novembre 2025 (per un totale di 24 ore di formazione), affronta le complesse sfide dell'implementazione dell'IA negli uffici pubblici attraverso una prospettiva multidimensionale:
Aspetti tecnologici: strumenti e metodologie per l'adozione consapevole dei sistemi di IA.
Aspetti normativi: conformità alle regolamentazioni emergenti in materia di tecnologie digitali (dall’AI ACT al GDPR, passando per il CAD, le Linee Guida Agid e - ovviamente - la nuova legge italiana sull’IA).
Aspetti organizzativi: strategie di governance dell'innovazione e gestione del cambiamento.
Particolarmente rilevante sarà il focus sull'evoluzione del ruolo del Responsabile per la Transizione Digitale (RTD), figura chiave nell'ecosistema dell'innovazione pubblica.
Non mancheranno esperienze e casi di studio per apprendere dai colleghi di altre amministrazioni buone prassi e errori da evitare.
Se vi interessa, trovate qui info su docenti, programma, iscrizione e costi.
🙏 Grazie per averci letto!
Per ora è tutto, torniamo la prossima settimana. Se la newsletter ti è piaciuta, sostienici: metti like, commenta o fai girare!