Sovranità digitale Cittadinanza digitale Intelligenza Artificiale Sicurezza Informatica Sanità digitale Documenti digitali Industria 5.0/Innovazione in azienda Libri Procurement dell'innovazione Guide alla scelta tech Infrastrutture digitali Fatturazione elettronica Scuola digitale Cultura e società digitali Mercati digitali Startup Sostenibilità e smart city

l'analisi

Decreto AI: come cambia la responsabilità civile e penale per l’uso dell’IA

Home Cultura e società digitali
Partecipa al dibattito
Indirizzo copiato

Con il decreto attuativo dell’AI Act, il Governo definisce i criteri nazionali per la responsabilità civile e penale connessa ai sistemi AI. Il provvedimento rafforza gli obblighi di sicurezza per i sistemi ad alto rischio, amplia il catalogo dei reati presupposto 231 e introduce una presunzione di causalità a tutela dei danneggiati

Pubblicato il 24 giu 2026
Aggiungi tra i preferiti su Google
Giacomo Borgognone

Avvocato Legal Consultant P4I – Partners4Innovation

AI Act e cloud europeo; venture procurement
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Il 10 giugno 2026, il Consiglio dei ministri ha approvato in esame preliminare due schemi di decreto legislativo attuativi della legge 23 settembre 2025, n. 132 (di seguito «legge IA»), che completano l’allineamento dell’ordinamento interno al regolamento (UE) 2024/1689 (di seguito «AI Act»).

Decreti AI: formazione e regole, ecco la via italiana all’AI Act

Il secondo dei due provvedimenti (“Adeguamento della normativa nazionale alle disposizioni del Regolamento del Parlamento europeo e del Consiglio in materia di utilizzo dei sistemi di intelligenza artificiale per l’attività di polizia e di responsabilità civile e penale (decreto legislativo – esame preliminare)”) disciplina, da un lato, l’utilizzo dei sistemi di intelligenza artificiale nelle attività di polizia e, dall’altro, introduce a livello nazionale una disciplina organica della responsabilità civile e penale connessa all’impiego di tali sistemi. In estrema sintesi, è introdotto un nuovo reato nel codice penale, vi è l’estensione del catalogo dei reati-presupposto del d.lgs. 231/2001 e, sul versante civilistico, è introdotto un regime probatorio marcatamente favorevole al danneggiato.

Si segnala sin d’ora che il testo qui esaminato è uno schema di decreto in esame preliminare e non costituisce normativa vigente né testo definitivo.

La delega posta dall’articolo 24 della l. 132/2025

In primo luogo, è opportuno collocare l’intervento nel suo perimetro applicativo. L’AI Act, in quanto regolamento, è direttamente applicabile, ma rinvia agli Stati membri la disciplina di taluni profili.

La legge IA, entrata in vigore il 10 ottobre 2025, ha conferito al Governo le relative deleghe attraverso l’articolo 24 “Deleghe al Governo in materia di intelligenza artificiale”, il cui termine di esercizio è fissato in dodici mesi dall’entrata in vigore della legge e viene pertanto a scadere nell’ottobre 2026.

Si segnala, nello specifico che la parte relativa all’adeguamento e alla specificazione della disciplina dei casi di realizzazione e impiego illeciti di sistemi di IA trova fondamento nel comma 3, e per quanto riguarda i principi e criteri direttivi della delega sono enunciati al comma 5.

In particolare,

  • la lettera b) richiede l’introduzione di autonome fattispecie di reato, punite a titolo di dolo o di colpa, incentrate sull’omessa adozione o sull’omesso adeguamento di misure di sicurezza per la produzione, la messa in circolazione e l’utilizzo professionale di sistemi di intelligenza artificiale, quando da tali omissioni deriva pericolo concreto per la vita o l’incolumità pubblica o individuale o per la sicurezza dello Stato;
  • la lettera c) impone la precisazione dei criteri di imputazione della responsabilità penale delle persone fisiche e amministrativa degli enti per gli illeciti inerenti a sistemi di intelligenza artificiale, che tenga conto del livello effettivo di controllo dei sistemi predetti da parte dell’agente e
  • la lettera d), infine, prescrive, nei casi di responsabilità civile, la previsione di strumenti di tutela del danneggiato, anche attraverso una specifica regolamentazione dei criteri di ripartizione dell’onere della prova, tenuto conto della classificazione dei sistemi di intelligenza artificiale e dei relativi obblighi come individuati dal regolamento (UE) 2024/1689.

Come si vedrà, ciascuno di tali criteri trova puntuale riscontro nello schema di decreto.

Responsabilità penale: il nuovo articolo 437-bis c.p.

Con specifico riguardo al profilo penalistico, l’articolo 14 dello schema inserisce nel codice penale, dopo l’articolo 437, il nuovo articolo 437-bis (“Omessa adozione di misure di sicurezza nei sistemi di intelligenza artificiale e alterazione illecita dei sistemi”). La fattispecie si articola, in sostanza, in tre commi:

  1. Comma primo (condotta omissiva): è punito chiunque, nella progettazione, addestramento, produzione, immissione sul mercato o utilizzo professionale di sistemi di intelligenza artificiale ad alto rischio, omette misure tecniche idonee a prevenire malfunzionamenti o alterazioni del funzionamento dei sistemi ovvero omette misure di sorveglianza umana, qualora dal fatto derivi un pericolo concreto per la vita o l’incolumità individuale. La pena è la reclusione da uno a cinque anni se il pericolo riguarda la vita o l’incolumità individuale; da due a otto anni se concerne l’incolumità pubblica o la sicurezza dello Stato.
  2. Comma secondo (alterazione dei sistemi): salvo che il fatto costituisca più grave reato, chi altera i sistemi ad alto rischio è punito con la reclusione da due a sei anni (pericolo per la vita o l’incolumità individuale), elevata da tre a dieci anni (incolumità pubblica o sicurezza dello Stato).
  3. Comma terzo (colpa grave): qualora taluno dei fatti previsti dal comma primo sia commesso per colpa grave, la pena è ridotta da un terzo a un sesto.

Si evidenzia che la norma fa espresso riferimento ai sistemi di IA ad alto rischio e che l’attenuazione per colpa grave è riferita ai soli «fatti previsti dal comma primo» (le condotte omissive), e non alla condotta di alterazione del comma secondo. È interessante notare come la disposizione introduca rispetto alla sorveglianza umana richiesta dall’articolo 14 dell’AI Act un presidio penalmente tutelato, la cui omissione, al ricorrere del pericolo concreto, può integrare illecito.

Responsabilità degli enti: l’estensione del catalogo 231

L’articolo 17 dello schema poi interviene sul d.lgs. 8 giugno 2001, n. 231, inserendo, dopo l’articolo 25-undevicies, il nuovo articolo 25-vicies (“Reati commessi con l’uso di sistemi di intelligenza artificiale”). Ne consegue l’ingresso nel catalogo dei reati-presupposto di due fattispecie:

  • il nuovo articolo 437-bis c.p., con sanzione pecuniaria da seicento a mille quote;
  • il delitto di illecita diffusione di contenuti generati o alterati con sistemi di intelligenza artificiale (articolo 612-quater c.p.) con sanzione pecuniaria da duecento a settecento quote.

In entrambi i casi si applicano le sanzioni interdittive di cui all’articolo 9, comma 2, lettere b), c), d) ed e), del medesimo decreto.

Responsabilità civile: accesso alle prove, presunzione di causalità e irrilevanza della conformità

Il tema responsabilità civile costituisce il profilo di maggiore rilievo sistematico, il Capo II del Titolo II introduce strumenti processuali civili per il risarcimento del danno cagionato nell’utilizzo di un sistema di IA, sia contrattuale sia extracontrattuale (articolo 18). Tali strumenti danno attuazione al criterio direttivo dell’articolo 24, comma 5, lettera d), che richiedeva una specifica regolamentazione dei criteri di ripartizione dell’onere della prova, in base alla classificazione di rischio del sistema.

L’articolo 19 disciplina l’accesso alle prove e dispone che su istanza di chi dichiari di aver subito il danno, il giudice ordina alla controparte o al terzo l’esibizione degli elementi di prova relativi al funzionamento del sistema, purché l’istante presenti fatti idonei a rendere verosimile la fondatezza della domanda anche con riferimento al collegamento tra il risultato prodotto dal sistema di intelligenza artificiale e il danno lamentato. Tra gli elementi di prova rientrano anche i registri (art. 12 AI Act), la documentazione sul sistema di gestione dei rischi (art. 9 AI Act), la documentazione tecnica (art. 11 AI Act) e le informazioni sulla supervisione umana (art. 14 AI Act). L’ordine di esibizione è limitato a quanto necessario e proporzionato, con espressa tutela dei segreti commerciali. È necessario sottolineare la conseguenza dell’inadempimento; infatti, ove la parte non ottemperi, anche parzialmente, all’ordine di esibizione, il giudice può desumere argomenti di prova ai sensi dell’articolo 116 del codice di procedura civile. Quando l’inadempimento riguarda la documentazione richiamata sopra, il giudice, valutato ogni altro elemento di prova, ritiene come ammessi i fatti allegati dall’istante.

L’articolo 20 introduce la presunzione del nesso di causalità: quando il danno deriva dalla violazione di uno o più obblighi dell’AI Act, il nesso causale tra violazione e danno è presunto, salvo prova contraria. Si configura così una inversione dell’onere della prova a favore del danneggiato.

L’articolo 21 stabilisce, infine, la irrilevanza della conformità agli obblighi previsti dall’AI Act; infatti, la conformità del sistema agli obblighi del regolamento, anche se certificata ai sensi del capo III, sezione 5, dell’AI Act, non esclude di per sé la responsabilità del convenuto.

A ben vedere, la portata di queste disposizioni si apprezza pienamente solo alla luce del contesto europeo. Si ricorda, infatti, che nel febbraio 2025 la Commissione europea ha ritirato la proposta di direttiva sulla responsabilità da intelligenza artificiale (AI Liability Directive), avanzata nel 2022. Il legislatore nazionale, con gli articoli 19 e 20 dello schema di decreto, colma dunque in via autonoma un vuoto normativo.

Come adeguarsi concretamente

Alla luce di quanto precede, e in attesa del testo definitivo, riteniamo utile indicare alcune linee operative per fornitori e deployer di sistemi ad alto rischio. In primo luogo, è necessario verificare l’effettività e la documentabilità della sorveglianza umana ex articolo 14 AI Act, ora assistita da presidio penale. In secondo luogo, occorre curare con rigore la tracciabilità e la conservazione di log, documentazione tecnica e registri di cui agli articoli 9, 11 e 12 AI Act, destinati a divenire oggetto di esibizione processuale e la cui carenza può tradursi in un pregiudizio probatorio. In terzo luogo, è indispensabile l’aggiornamento dei Modelli 231 ai nuovi reati-presupposto, con previsione di protocolli specifici sulla sicurezza dei sistemi di IA.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

B
Giacomo Borgognone
Avvocato Legal Consultant P4I – Partners4Innovation

Leggi anche:

Partecipa alla community

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • science4policy Geoscienza digitale ai e ricerca

  • i numeri

    AI nella ricerca: più efficienza, meno esplorazione

    18 Dic 2025

    di Maurizio Carmignani

    Condividi
  • Overtourism bcg; Il rinascimento del tech italiano nell'era dell'AI; settore hospitality; Turismo italiano nel 2025: i numeri, il ruolo dell'IA e le nuove rotte digitali turismo culturale digitale

  • rinascimento tech

    Artigiani del codice: la via italiana alla tecnologia

    10 Ott 2025

    di Giorgio De Nardi

    Condividi
  • scuola professionalizzante (1) ai-gogia Piattaforme educative digitali ia e servizi professionali

  • formazione

    Scuole, 100 milioni per l’AI: come funziona il bando e chi può partecipare

    31 Mar 2026

    di Daniela Di Donato

    Condividi
0
Lascia un commento, la tua opinione conta.x