L’entrata in vigore, il 10 ottobre 2025, della Legge 132/2025 si inserisce in un contesto europeo profondamente ridefinito dall’AI Act, il regolamento con cui l’UE ha stabilito requisiti e limiti per l’utilizzo dell’intelligenza artificiale. Trasparenza, sicurezza, gestione del rischio e supervisione umana sono i pilastri del nuovo quadro, modulati in base al livello di criticità dei diversi ambiti applicativi.
La Legge 132/2025 accoglie questo quadro di riferimento e lo declina a livello nazionale: non si tratta solo di un raccordo tecnico alle norme UE, ma di una vera e propria riforma che, in ambito sanitario, collega innovazione digitale e ricerca scientifica, con l’obiettivo di aumentare efficienza e accessibilità del servizio sanitario, promuovendo al tempo stesso un modello etico di utilizzo dei dati.
In questo contesto, è particolarmente rilevante ricordare che i software di intelligenza artificiale che rientrano nella definizione di dispositivo medico o dispositivo medico-diagnostico in vitro, quando sono soggetti a valutazione di conformità da parte di organismi notificati, sono classificati tra i sistemi di IA ad alto rischio ai sensi dell’AI Act, con conseguente applicazione dei relativi requisiti su gestione del rischio, qualità dei dati, documentazione tecnica e sorveglianza post-commercializzazione.
Ciò significa che molti software clinici già nel perimetro MDR/IVDR dovranno rispettare, oltre alla normativa sui dispositivi, anche gli obblighi specifici previsti per i sistemi di IA ad alto rischio.
Indice degli argomenti
Governance dei dati sanitari
La Legge 132/2025 delinea un quadro normativo rigoroso per l’uso dei dati sanitari nei sistemi di intelligenza artificiale; in particolare l’articolo 7 stabilisce che i sistemi di IA devono operare nel pieno rispetto dei diritti della persona e dei principi di protezione dei dati, garantendo affidabilità e verifiche periodiche per assicurare la sicurezza dei pazienti.
Le attività di ricerca e sperimentazione sono qualificate come di rilevante interesse pubblico, e viene autorizzato anche l’uso secondario di dati privi di identificativi diretti. AGENAS è incaricata di definire e aggiornare le linee guida per anonimizzazione, pseudonimizzazione e tecniche di sintesi, previo parere del Garante per la protezione dei dati personali.
L’articolo 7, comma 6, introduce inoltre un principio cruciale: i sistemi di IA in sanità devono essere affidabili, verificati e aggiornati periodicamente, con controlli che riguardano sia la qualità dei dati sia le prestazioni dei modelli. Un approccio che allinea la normativa italiana agli standard più avanzati di audit e monitoraggio.
Ricerca clinica, sperimentazione e uso secondario dei dati sanitari
Gli articoli 8 e 9 rafforzano in modo significativo il ruolo dell’intelligenza artificiale nella ricerca clinica e nella sperimentazione scientifica, semplificando l’utilizzo dei dati sanitari per finalità di studio.
La legge chiarisce che il trattamento dei dati finalizzato alle operazioni di anonimizzazione, pseudonimizzazione o sintesi è sempre consentito, a seguito di un’adeguata informazione all’interessato, rappresentando un elemento chiave per accelerare progetti di ricerca e percorsi di trasferimento tecnologico, senza indebolire la protezione delle persone.
A questi fini, è inoltre sempre autorizzato l’uso secondario di dati personali privi degli elementi identificativi diretti, anche appartenenti alle categorie particolari di cui all’articolo 9 del GDPR. L’obbligo di informativa può essere assolto anche tramite un’informativa generale pubblicata sul sito del titolare, e non è richiesto un nuovo consenso, salvo i casi in cui la conoscenza dell’identità degli interessati sia inevitabile o necessaria per la tutela della loro salute.
Questa disposizione, nel suo insieme, introduce un equilibrio particolarmente rilevante: da un lato abilita la ricerca clinica, permettendo l’uso di dataset sanitari ampi e aggiornati, dall’altro mantiene un livello elevato di garanzie attraverso l’esclusione sistematica degli identificativi diretti e l’obbligo di trasparenza verso gli interessati.
Si tratta di una scelta normativa matura e pragmatica: riconosce che la ricerca scientifica, e in particolare quella basata su strumenti di IA, necessita di un accesso più fluido ai dati per generare valore, ma evita scorciatoie pericolose. L’impostazione adottata dal legislatore appare coerente con il quadro europeo e rispetta il principio cardine del GDPR: i dati possono circolare e produrre innovazione, purché ciò avvenga con misure adeguate, proporzionate e chiaramente comunicate ai cittadini.
Spazi di sperimentazione
L’introduzione, all’articolo 9, degli “spazi speciali di sperimentazione a fini di ricerca” rappresenta uno dei passaggi più significativi della Legge 132/2025. La norma istituzionalizza un modello che consente a enti di ricerca, aziende e strutture sanitarie pubbliche di sperimentare soluzioni di IA in ambienti regolati, riducendo i margini di incertezza giuridica e di rischio operativo.
In ambito sanitario, dove l’accesso a dati di qualità è essenziale per sviluppare e validare i modelli ma i regimi di tutela sono – giustamente – stringenti, questi spazi funzionano come un vero e proprio ponte regolatorio: consentono l’utilizzo controllato di dati pseudonimizzati o sintetici, prevedono sorveglianza, audit e verifiche ex ante ed ex post e permettono sperimentazioni su scala limitata prima di un’eventuale adozione su larga scala.
Se progettate e governate in modo trasparente, le sandbox regolatorie possono rafforzare la fiducia dei cittadini: rendono più leggibile come e perché i dati vengono riutilizzati, garantiscono un controllo strutturato sugli algoritmi e valorizzano il ruolo delle autorità di garanzia. Al tempo stesso, la creazione di sandbox nazionali può collocare l’Italia fra i paesi di riferimento nell’implementazione dell’AI Act, soprattutto se integrate con le iniziative europee (EHDS, spazi dati sanitari) e aperte alla cooperazione transfrontaliera, generando evidenze utili per l’intero mercato europeo dell’IA in sanità.
Piattaforma nazionale di IA
Uno degli assi portanti della riforma riguarda la digitalizzazione dei servizi sanitari e la piena interoperabilità delle piattaforme pubbliche. L’articolo 10 disciplina la piattaforma nazionale di intelligenza artificiale per l’assistenza territoriale, affidata ad AGENAS, che assume formalmente il ruolo di Agenzia nazionale per la sanità digitale.
La piattaforma eroga servizi di supporto in tre direzioni fondamentali:
- ai professionisti sanitari, per la presa in carico della popolazione assistita, attraverso suggerimenti non vincolanti;
- ai medici, nella pratica clinica quotidiana, sempre tramite suggerimenti non vincolanti;
- agli utenti, facilitando l’accesso ai servizi sanitari delle Case della Comunità.
L’infrastruttura è alimentata esclusivamente dai dati strettamente necessari all’erogazione dei servizi e opera secondo misure tecniche e organizzative definite con il coinvolgimento del Ministero della Salute, del Garante per la protezione dei dati personali e dell’Agenzia per la Cybersicurezza Nazionale.
Ne emerge uno strumento progettato per integrare l’intelligenza artificiale nella pratica assistenziale territoriale, rafforzando telemedicina, presa in carico e accesso ai servizi, senza sacrificare sicurezza, trasparenza e protezione dei dati.
Prevenzione, diagnosi, cura e ruolo non sostitutivo dell’IA
La Legge 132/2025 chiarisce anche la posizione dell’IA nei processi clinici. I sistemi automatizzati rappresentano un supporto alle attività di prevenzione, diagnosi e cura, ma non sostituiscono né condizionano la decisione medica, che rimane responsabilità esclusiva degli operatori sanitari.
Viene inoltre escluso ogni utilizzo dell’IA che possa determinare un accesso discriminatorio alle prestazioni. Al paziente deve essere garantito il diritto di sapere quando e come l’intelligenza artificiale viene impiegata nel percorso assistenziale.
IA in sanità: verso un quadro normativo organico e avanzato
La Legge 132/2025 si configura quindi come un quadro normativo organico e avanzato che, nel solco tracciato dall’AI Act europeo, pone l’Italia all’avanguardia nella regolazione dell’intelligenza artificiale. In particolare, la specifica attenzione al settore sanitario e alla ricerca scientifica evidenzia come il legislatore voglia valorizzare l’innovazione tecnologica in modo responsabile, sostenibile e rispettoso dei diritti fondamentali, bilanciando progresso e sicurezza.
Questa legge rappresenta una solida base per lo sviluppo futuro dell’IA in sanità e nella ricerca, offrendo strumenti per migliorare l’efficienza e la qualità dell’assistenza e della sperimentazione, senza però mai rinunciare alla protezione delle persone e alla trasparenza del funzionamento dei sistemi intelligenti.
