L’approvazione preliminare da parte del Consiglio dei Ministri dei due decreti legislativi attuativi della legge sull’AI n. 132/2025 rappresenta un passaggio importante nell’evoluzione della regolazione dell’intelligenza artificiale in Italia. Sebbene i testi siano ancora suscettibili di modifiche durante l’iter parlamentare e prima dell’approvazione definitiva, una conclusione appare già chiara: la compliance AI non può più essere considerata un tema limitato ai dipartimenti tecnologici o alle sole organizzazioni che sviluppano sistemi di intelligenza artificiale.
L’AI Act ha introdotto un quadro europeo fondato sulla classificazione del rischio e sugli obblighi di provider, deployer, importatori e distributori.
I decreti italiani aggiungono però un elemento ulteriore: chiariscono quali saranno le aspettative delle autorità di vigilanza, quali responsabilità potranno derivare dall’utilizzo dei sistemi di IA e quali evidenze documentali le organizzazioni dovranno essere in grado di produrre in caso di controlli o contenziosi.
La conseguenza è che la compliance AI diventa sempre più simile a quanto già accaduto negli ultimi anni con GDPR, NIS2 e D.Lgs. 231/2001: un sistema di governance permanente e non un semplice adempimento normativo.
Indice degli argomenti
AI Act e decreti italiani oltre gli algoritmi
Molte imprese continuano a ritenere che la disciplina europea riguardi principalmente i grandi operatori tecnologici. In realtà la maggior parte delle organizzazioni italiane utilizza già sistemi di intelligenza artificiale all’interno dei propri processi aziendali: software HR che classificano candidature, piattaforme CRM che suggeriscono azioni commerciali, sistemi antifrode, strumenti di cybersecurity, applicazioni di analytics, assistenti generativi e sistemi di automazione documentale.
I decreti attuativi confermano che anche chi utilizza sistemi di IA può essere chiamato a dimostrare di aver adottato adeguati presidi organizzativi, di controllo e di supervisione.
La prima attività di compliance dovrebbe quindi essere una mappatura completa dei sistemi di intelligenza artificiale effettivamente utilizzati all’interno dell’organizzazione.
La domanda che le imprese dovrebbero porsi non è se utilizzino l’intelligenza artificiale, ma dove la utilizzino e con quali effetti sui processi aziendali e sulle persone.
Decreti italiani sull’AI Act e governance aziendale
Uno dei messaggi più rilevanti che emerge dai decreti riguarda il sistema di vigilanza.
L’Agenzia per l’Italia Digitale svolgerà funzioni di notifica e coordinamento, mentre l’Agenzia per la Cybersicurezza Nazionale assumerà un ruolo centrale nella vigilanza del mercato. A queste si aggiungono il Garante Privacy, la Banca d’Italia, la CONSOB e l’IVASS nei rispettivi ambiti di competenza.
Per le imprese questo significa che la compliance AI non può essere affrontata in maniera isolata. Le autorità valuteranno non soltanto il singolo sistema ma anche la capacità dell’organizzazione di governarlo. Per questo motivo sta emergendo un modello di AI governance simile a quello già adottato per privacy e cybersecurity, basato su ruoli, responsabilità, processi di approvazione, controlli interni e monitoraggio continuo.
Molte aziende hanno già predisposto policy sull’utilizzo dell’intelligenza artificiale generativa. I decreti suggeriscono però che questo non sarà sufficiente. Occorrerà dimostrare chi approva l’utilizzo di un sistema AI, chi ne valuta i rischi, chi controlla i fornitori, chi gestisce gli incidenti e chi monitora il rispetto degli obblighi previsti dall’AI Act.
AI Act, decreti italiani e lavoro: il nodo HR
Tra le disposizioni destinate ad avere l’impatto più immediato vi sono quelle relative al mondo del lavoro.
La bozza di decreto stabilisce che le decisioni relative all’assunzione, alla gestione del rapporto di lavoro, ai provvedimenti disciplinari e al licenziamento non possano essere adottate esclusivamente mediante sistemi automatizzati. La decisione finale deve essere assunta da una persona fisica e il licenziamento adottato in violazione di tale principio è nullo. La portata della norma è molto più ampia di quanto possa apparire.
Oggi molte organizzazioni utilizzano strumenti di screening dei candidati, sistemi di ranking, algoritmi di valutazione delle performance, piattaforme di workforce management e strumenti di people analytics.
Il rischio non riguarda soltanto il licenziamento automatizzato. Riguarda qualsiasi processo nel quale l’output del sistema finisca per determinare, di fatto, la decisione umana. Le imprese dovrebbero quindi verificare fin da ora quali sistemi AI vengono utilizzati nei processi HR e documentare in modo chiaro il ruolo effettivo dell’intervento umano.
AI Act e NIS2 nei decreti italiani
Un altro aspetto particolarmente significativo è il ruolo attribuito all’Agenzia per la Cybersicurezza Nazionale. La scelta del legislatore conferma una tendenza già evidente a livello europeo: la sicurezza dei sistemi di intelligenza artificiale viene considerata parte integrante della resilienza digitale dell’organizzazione. Per le aziende questo significa che AI Act e NIS2 non possono essere gestiti come progetti separati. La protezione dei dati, la sicurezza dei modelli, la gestione delle vulnerabilità, il monitoraggio degli incidenti, il controllo degli accessi e la gestione delle modifiche ai sistemi diventano elementi centrali sia per la cybersecurity sia per la compliance AI.
In molte organizzazioni ciò richiederà una collaborazione molto più stretta tra funzione legale, cybersecurity, compliance e IT.
La prova della compliance nei decreti italiani sull’AI Act
Probabilmente la novità più rilevante contenuta nel secondo decreto riguarda il rafforzamento degli strumenti probatori nelle controversie relative ai danni causati da sistemi di intelligenza artificiale.
Le bozze prevedono la possibilità per il giudice di ordinare l’esibizione di documentazione tecnica, registri, log, sistemi di gestione del rischio e informazioni relative al funzionamento del sistema.
Inoltre, in presenza della violazione di specifici obblighi previsti dall’AI Act, il nesso di causalità tra la violazione e il danno potrebbe essere presunto, agevolando il soggetto danneggiato.
Per le imprese il messaggio è estremamente chiaro. La documentazione richiesta dall’AI Act non serve soltanto a superare eventuali controlli delle autorità di vigilanza. Diventa uno strumento essenziale di difesa in sede giudiziaria. Le organizzazioni dovrebbero quindi iniziare a costruire un sistema di evidenze documentali che consenta di dimostrare come un determinato sistema sia stato selezionato, testato, monitorato e utilizzato nel tempo.
Decreti italiani sull’AI Act tra 231 e sanzioni
Un ulteriore elemento che merita attenzione riguarda l’introduzione del nuovo reato di omessa adozione di misure di sicurezza nei sistemi di intelligenza artificiale e il suo inserimento tra i reati rilevanti ai fini della responsabilità amministrativa degli enti. Se tale impostazione verrà confermata nel testo definitivo, la governance AI entrerà a pieno titolo nel perimetro della compliance 231. Per molte imprese sarà quindi necessario aggiornare la mappatura dei rischi, i modelli organizzativi e i sistemi di controllo interno.
Non si tratta di un tema che riguarda soltanto le aziende tecnologiche. Anche le organizzazioni che utilizzano sistemi di IA ad alto rischio potrebbero essere chiamate a dimostrare l’esistenza di adeguati presidi organizzativi e di sicurezza.
Attività da avviare subito
Pur in attesa dei testi definitivi, alcune attività appaiono già indispensabili.
Le imprese dovrebbero completare la mappatura dei sistemi AI utilizzati, individuare i ruoli AI Act applicabili, verificare i processi HR che utilizzano strumenti automatizzati, integrare AI governance e cybersecurity, aggiornare i processi di procurement tecnologico e costruire un sistema strutturato di documentazione e tracciabilità.
La vera lezione che emerge dai decreti attuativi è che la compliance AI non coincide con la semplice conformità al Regolamento europeo. La capacità di dimostrare come l’intelligenza artificiale viene governata all’interno dell’organizzazione sarà probabilmente il principale elemento distintivo tra le imprese che riusciranno a gestire il nuovo quadro regolatorio e quelle che ne subiranno gli effetti.
Sistema sanzionatorio e poteri di vigilanza
Tra gli aspetti che hanno attirato maggiore attenzione vi è certamente il sistema sanzionatorio previsto dal primo decreto attuativo. In linea con l’AI Act, le violazioni più gravi, come l’utilizzo di pratiche di intelligenza artificiale vietate, potranno essere punite con sanzioni amministrative fino a 35 milioni di euro o, se superiore, fino al 7% del fatturato mondiale annuo dell’esercizio precedente.
Sono inoltre previste sanzioni per la violazione degli obblighi applicabili ai fornitori, ai deployer e agli altri operatori della filiera dell’intelligenza artificiale, secondo un sistema graduato che richiama quello già noto in ambito privacy e cybersecurity. Le procedure sanzionatorie varieranno in funzione dell’autorità competente, con il coinvolgimento di ACN, AgID e delle altre autorità di settore.
Limitare però il tema della compliance AI al rischio economico derivante dalle sanzioni sarebbe un errore. La vera novità introdotta dai decreti consiste nel rafforzamento dei poteri di vigilanza e nella possibilità per le autorità di richiedere documentazione, informazioni, evidenze tecniche e misure correttive. In molti casi il problema non sarà dimostrare che un sistema di IA è stato utilizzato, ma dimostrare di averlo governato correttamente.
Come già accaduto con il GDPR, il rischio maggiore potrebbe derivare non tanto dalla singola violazione, quanto dall’incapacità dell’organizzazione di dimostrare l’esistenza di un sistema strutturato di controllo, gestione del rischio, supervisione umana e monitoraggio continuo. Da questo punto di vista, la documentazione richiesta dall’AI Act e dai decreti attuativi assume un valore strategico: non rappresenta soltanto un adempimento regolatorio, ma la principale forma di prova della conformità dell’organizzazione.
