Il 10 ottobre 2025 è entrata in vigore la nuova Legge 132/2025 sull’intelligenza artificiale. È il “vecchio” DDL che aspettavamo dall’inizio dell’anno. Questa legge rappresenta il primo intervento organico dell’ordinamento italiano per disciplinare lo sviluppo e l’impiego delle tecnologie di Intelligenza Artificiale (IA) all’interno del Sistema Paese, si affianca e integra il Regolamento Ue 2024/1689 “AI Act”. L’obiettivo è favorire lo sviluppo economico e sociale in modo sicuro e responsabile.
La legge contiene aspetti problematici assieme ad altri più effettivi, su aziende, pa, professionisti (e cittadini, vedi nuovi reati).
Indice degli argomenti
Aspetti applicabili della legge sull’AI su aziende, PA, professionisti
Ci sono attività che le organizzazioni private e pubbliche sono chiamate a fare fin da subito e riguardano per lo meno il lavoro, la pubblica amministrazione e il diritto d’autore. Esaminiamole separatamente.
Art.11 Legge sull’AI lavoro
L’IA nel mondo del lavoro deve essere usata per migliorare le condizioni e le prestazioni dei lavoratori. L’ottica è ovviamente “antropocentrica” di centralità delle persone e di rispetto dei diritti inviolabili. Il comma 2 contiene l’obbligo del datore di “informare il lavoratore dell’utilizzo dell’intelligenza artificiale” con le modalità già previste (L.152/1997).
Di conseguenza, se l’intelligenza artificiale viene utilizzata per gestire il personale, il datore di lavoro dovrà modificare l’informativa privacy e il registro dei trattamenti privacy. Inoltre, se il trattamento dei dati del personale è stato oggetto di valutazione di impatto (DPIA, Data Privacy Impact Assessment, Gdpr art.35), va da sé che la stessa valutazione andrà aggiornata. In questo ambito, il capitolo dell’utilizzo della IA nel controllo a distanza apre alle implicazioni note dell’art.4 dello Statuto dei Lavoratori (L.300/1970).
Nel frattempo l’Osservatorio sul Mondo del Lavoro presso il Ministero del Lavoro e delle Politiche Sociali è già stato istituito (attualmente in beta, accessibile dal sito).
Art.13 Professionisti
La legge AI introduce regole specifiche per i liberi professionisti come avvocati, commercialisti, consulenti del lavoro e notai. L’obiettivo è garantire trasparenza, tutela del pensiero critico umano e preservare il rapporto fiduciario con il cliente.
La norma stabilisce che l’uso dell’IA da parte dei professionisti deve essere trasparente e finalizzato a supportare, non sostituire, il giudizio umano. È previsto l’obbligo di informare i clienti sull’impiego di sistemi automatizzati, specificando le finalità e i limiti dell’uso dell’IA. Inoltre, l’adozione di tali strumenti deve rispettare i principi di responsabilità e proporzionalità, evitando che l’IA influenzi indebitamente le decisioni professionali.
La legge impone anche obblighi formativi per i professionisti, al fine di garantire una comprensione adeguata dei sistemi di IA utilizzati e dei rischi associati. In caso di danni derivanti dall’uso improprio dell’IA, la responsabilità resta in capo al professionista, che deve essere in grado di giustificare le proprie scelte e decisioni.
Per gli studi legali e notarili, l’introduzione dell’IA comporta la necessità di aggiornare le pratiche operative, implementare misure di controllo e garantire la sicurezza dei dati trattati. È fondamentale che l’adozione dell’IA non comprometta la qualità del servizio offerto e il rispetto dei diritti dei clienti.
Art.14 Pubblica Amministrazione
Questo articolo conferma il ruolo dell’IA a supporto dell’azione amministrativa. La responsabilità rimane in capo al funzionario o al Responsabile del Procedimento amministrativo sia quando c’è decisione algoritmica sia se in presenza di algoritmo di mero supporto (Consiglio di Stato, sentenza 4857/2025). Ricordo che, se c’è decisione algoritmica, valgono sempre i tre principi cardine di conoscibilità, non esclusività e non discriminazione (da ricordare almeno Consiglio di Stato, sentenza 2270/2019).
Le Pubbliche Amministrazioni sono inoltre chiamate ad attivare misure tecniche, organizzative e formative. Cioè non va “solo” gestita la sicurezza (vanno ricordate almeno Dlgs.138/2024 di recepimento della Nis2 e L.90/2024 sulla cybersecurity) ma devono essere attivati percorsi formativi sugli strumenti e sulla gestione completa del ciclo dei dati, si intende archivi e complessi documentali che li contengono. Un lavoro non da poco. Ricordo che sono in preparazione dall’Agid le prossime linee guida per l’adozione della IA nelle Pubbliche Amministrazioni che, tra gli altri aspetti, pone finalmente attenzione ai modelli di miglioramento continuo nella trasformazione digitale (in particolare il Ciclo di Deming a quattro fasi ma senza nominarlo direttamente).
Art.25 Diritto d’Autore
La L.132 interviene sul diritto d’autore modificando la stessa Legge d’Autore da un lato proteggendo le opere dell’ingegno anche quando create con l’ausilio di strumenti di IA, dall’altro proteggendo in misura diversa anche le fonti (art.25). Una norma trasversale che impatta le organizzazioni anche con attività molto semplici e quasi quotidiane come la produzione di video, presentazioni con diapositive oltre – ovviamente – alla stesura di testi.
Aspetti critici della Legge sull’AI
La L.132 in molte parti è un documento di indirizzo pertanto molti aspetti vengono solo abbozzati. I due aspetti principali sono fonti di finanziamento e delega al Governo. Vediamoli da vicino.
Il primo problema è rappresentato dai finanziamenti. Anche se si intravedono future ricche dotazioni dal Ministero degli Esteri e per la cybersecurity e il calcolo quantistico (art.23), questa legge non mette nulla sul piatto. La solita trita innovazione a costo zero che rischia di non andar lontano. Altri Paesi europei stanno dando direzioni più ricche al passaggio all’IA e merita ricordare il Rapporto Draghi che suggerisce un investimento di almeno 750 miliardi di euro l’anno a livello comunitario per l’innovazione tecnologica.
Il secondo difetto non è esattamente un difetto. Questa legge esprime un quadro entro cui il Governo dovrà muoversi, pertanto non stabilisce molte cose ma delega al Governo l’emanazione di futuri decreti. È chiara la tendenzza alla tecnicizzazione della creazione normativa perché gli articoli 16 e 24 prevedono future regolamentazioni per una vastità di materie tale da rendere la norma piuttosto velleitaria.
Decreti mancanti
L’elenco sintetico comprende: dati e algoritmi per l’addestramento, inibizione e sanzioni, poteri di vigilanza, ispettivi e sanzionatori, servizi bancari, finanziari e di pagamento, alfabetizzazione, formazione scolastica e alta formazione, polizia, sanzioni penali per utilizzo illecito, diritto processuale e diritto di difesa. Un menu molto ricco.
Reati e governance
La legge dedica spazio particolare ad alcuni temi – sanità, ricerca scientifica in ambito sanitario, attività giudiziaria, difesa, sviluppo economico, introduce nuovi profili penali come il reato di deepfake – e investe l’Agid e l’Acn di poteri di vigilanza e indirizzo assieme a Consob e Ivass. Pertanto, tranne implicitamente nella parte dedicata ai dati personali (art.9 che richiama Gdpr art.9) il ruolo del Garante Privacy non è più centrale. Altri Stati membri sono orientati a concentrare le responsabilità su un’unica autorità magari neo costituita o comunque indipendente.
Futuro della legge sull’AI
Accanto alle nuove disposizioni della L.132, rimangono gli aspetti già definiti dall’AI Act e la prima importante scadenza del 2 agosto 2025. Tra questi c’è l’alfabetizzazione (AI Act art.4, art.3.56 e considerando 20, Faq della Commissione Europea sull’alfabetizzazione) che potrebbe essere utilmente inserita nel MOG 231 (Modello Organizzazione Gestione, L.231/2001) oppure nel PIAO (Piano Integrato Attività e Organizzazione) per le organizzazioni che li hanno adottati a cui affiancare un regolamento dedicato ai dipendenti.
Forse più difficile è la mappatura dei processi che implica una cultura del dato non alla portata di tutti.
Concludo con la considerazione banale che l’IA nelle organizzazioni non è semplice aggiornamento tecnologico. L’AI Act e questa legge nazionale sono un punto di partenza più che un punto di arrivo. La direzione è segnata, come Sistema Paese cerchiamo di farne buon uso, di essere coerenti e di non perdere anche questo treno.
