Prende forma concreta la normativa italiana sull’AI. I primi due schemi di decreto legislativo attuativi della legge italiana sull’intelligenza artificiale, approvati oggi, portano la disciplina dell’IA fuori dal solo perimetro delle autorità di controllo e la collocano dentro scuola, lavoro, pubblica amministrazione, professioni, giustizia e sicurezza.
La novità più rilevante, per il sistema educativo, è il passaggio da linee guida e sperimentazioni a un impianto più vincolante di formazione dei docenti, aggiornamento dei curricoli e alfabetizzazione critica degli studenti, con risorse che, sommate agli interventi già avviati dal Ministero dell’istruzione e del merito, arrivano a 200 milioni di euro.
Indice degli argomenti
I due decreti AI del Governo italiano in sintesi
| Schema di decreto | Cosa disciplina | Impatto principale |
|---|---|---|
| Governance, autorità e formazione | Regola i poteri delle autorità nazionali sull’IA: Agid come autorità di notifica e Acn come autorità di vigilanza e punto di contatto. Include sanzioni, sandbox regolatoria e coordinamento con autorità settoriali. | Porta l’attuazione dell’AI Act dentro scuola, docenti, università, lavoro, PA, professioni e sanità. Prevede anche 100 milioni aggiuntivi per la formazione dei docenti su social, digitale e IA. |
| Polizia, responsabilità e danni da IA | Disciplina l’uso dell’IA nelle attività di polizia, compresi sistemi biometrici e riconoscimento facciale, con autorizzazioni, log, valutazioni d’impatto, limiti e controlli. | Introduce regole su responsabilità civile e penale, accesso alle prove, presunzione del nesso causale in caso di violazione dell’AI Act e azione diretta verso l’assicurazione. |
Il primo schema di decreto: governance, formazione, sandbox, sanzioni
Il primo schema assegna ad Agid e Acn il cuore della governance nazionale prevista dall’AI Act europeo e dalla legge italiana n. 132 del 2025. Agid assume il ruolo di autorità nazionale di notifica, con compiti sulla valutazione e sulla designazione degli organismi di conformità; Acn diventa l’autorità di vigilanza del mercato sui sistemi di IA e punto di contatto unico nazionale.
Accanto a queste due autorità restano competenze settoriali importanti: Banca d’Italia, Consob e Ivass per i sistemi usati nei servizi finanziari, assicurativi e bancari; il Garante privacy per gli ambiti previsti dal regolamento europeo.
La scelta italiana è quindi quella di una governance distribuita, ma con due poli tecnici centrali. È un modello coerente con la natura dell’IA, che attraversa prodotti, servizi digitali, infrastrutture, dati personali, sicurezza, mercati regolati e diritti fondamentali. La difficoltà sarà evitare che il coordinamento diventi un passaggio puramente formale. Lo schema prevede accordi, protocolli d’intesa, cooperazione con le autorità settoriali e meccanismi di condivisione delle informazioni. La qualità di questi raccordi deciderà quanto la vigilanza sarà effettiva nei casi concreti: sistemi ad alto rischio usati in banca, applicazioni nella sanità, strumenti nei procedimenti pubblici, soluzioni integrate in prodotti già soggetti a norme tecniche europee.
Intelligenza artificiale scuola e formazione: il nodo dei 200 milioni
Il capitolo più ampio riguarda la formazione. Lo schema non si limita a prevedere corsi sull’IA: prova a introdurre l’intelligenza artificiale come competenza trasversale lungo l’intero sistema educativo e professionale. Le scuole dovranno promuovere attività formative coerenti con l’educazione civica e con la cittadinanza digitale, già dal primo ciclo. Nei curricoli entrano moduli Steam, con un esplicito riferimento all’uso degli strumenti di IA nella didattica, alla creatività, all’innovazione e alla capacità di soluzione dei problemi.
Il testo impone anche l’aggiornamento delle linee guida Stem del Ministero dell’istruzione e del merito e delle Indicazioni nazionali, includendo l’uso consapevole, critico, responsabile ed eticamente orientato degli strumenti di IA generativa. È un punto decisivo: l’IA non viene trattata soltanto come competenza informatica, ma come oggetto educativo che incide su metodo di studio, verifica delle fonti, produzione di contenuti, valutazione, autonomia dello studente e rapporto tra didattica analogica e digitale.
La parte finanziaria corregge un limite frequente delle norme sull’innovazione scolastica. Lo schema stanzia 100 milioni di euro, a valere sul Programma nazionale “Pn Scuola e Competenze 2021-2027”, per un piano di formazione dei docenti dedicato all’emergenza educativa legata all’uso eccessivo e non consapevole di social media, piattaforme digitali e ambienti relazionali basati su sistemi di IA. Queste risorse si sommano ai 100 milioni già previsti dal decreto ministeriale n. 219 dell’11 novembre 2025 e dall’avviso pubblico del 27 marzo 2026 per gli snodi formativi territoriali sull’utilizzo dell’IA nella scuola. Il quadro complessivo arriva così a 200 milioni di euro destinati alla formazione del personale scolastico e alla diffusione di competenze sull’IA nelle scuole.
Si passa quindi dalla sperimentazione episodica alla costruzione di una rete formativa. L’avviso Pnrr del 27 marzo 2026 prevede progetti fino a 50mila euro per ciascuna scuola o ente gestore ammesso, almeno il 40% delle risorse destinato al Mezzogiorno, percorsi rivolti a docenti, personale educativo, personale Ata, dirigenti e Dsga, laboratori sul campo con coinvolgimento degli studenti e una quota minima di partecipazione per ottenere gli attestati. Lo schema di decreto aggiunge un secondo livello: un piano rivolto ai docenti per affrontare anche l’impatto educativo e sociale degli ambienti digitali e dell’IA sul benessere dei minori.
La tabella sintetizza i principali elementi quantitativi del pacchetto formazione.
| Misura | Risorse o parametro | Fonte normativa o amministrativa |
|---|---|---|
| Piano formazione docenti su social, piattaforme digitali e IA | 100 milioni di euro | Schema di decreto, articolo 36 |
| Snodi formativi territoriali sull’IA nella scuola | 100 milioni di euro | Dm 219/2025 e avviso Pnrr 27 marzo 2026 |
| Quota minima Mezzogiorno nello schema Pnrr già avviato | almeno 40% | Avviso pubblico Pnrr 73226/2026 |
| Importo massimo per progetto negli snodi formativi | 50mila euro | Avviso pubblico Pnrr 73226/2026 |
| Partecipanti minimi per progetto finanziato | 50 unità di personale scolastico | Avviso pubblico Pnrr 73226/2026 |
Dai docenti agli adulti: l’alfabetizzazione IA diventa politica pubblica
La formazione dei docenti è solo un pezzo del disegno. Lo schema introduce percorsi anche per i Centri provinciali per l’istruzione degli adulti, con l’obiettivo di riconoscere competenze pregresse, certificare quelle acquisite e favorire il reinserimento nel mercato del lavoro. I Cpia potranno utilizzare metodologie laboratoriali e strumenti di IA per personalizzare l’apprendimento degli adulti, mantenendo il raccordo con enti locali, soggetti pubblici e privati, strutture formative accreditate e sistemi regionali.
Questo passaggio avvicina la norma italiana all’obbligo di alfabetizzazione previsto dall’articolo 4 dell’AI Act, che impone a fornitori e utilizzatori di sistemi di IA di garantire un livello sufficiente di competenza alle persone coinvolte nell’uso dei sistemi. La versione italiana estende però l’impostazione oltre il rapporto tra imprese e lavoratori: la trasforma in una questione di cittadinanza digitale, istruzione permanente e politiche attive.
Anche il Ministero del lavoro entra nel disegno, con il compito di coordinare misure di formazione continua, riqualificazione professionale e prevenzione dell’obsolescenza delle competenze. Il testo cita piattaforme nazionali come Appli ed Edo per sostenere l’incontro tra domanda e offerta di lavoro e integrare percorsi formativi, certificazione delle competenze e servizi per l’impiego. Qui si vede una delle ambizioni più rilevanti del pacchetto: usare la regolazione dell’IA non solo per contenere rischi, ma per orientare sistemi pubblici già esistenti verso una risposta più strutturata alla trasformazione del lavoro.
Pubblica amministrazione, lavoro e professioni: la formazione diventa obbligo organizzativo
La stessa logica attraversa pubblica amministrazione, professioni e sanità. Per la PA, il Ministro per la pubblica amministrazione dovrà indirizzare e coordinare reclutamento, formazione di base, formazione continua, riqualificazione e alta formazione dei dipendenti pubblici in relazione all’uso dei sistemi di IA. Il riferimento non è soltanto alla competenza tecnica individuale: il decreto collega l’adozione dell’IA a innovazione organizzativa, semplificazione amministrativa e accelerazione dei procedimenti.
Nel lavoro privato, lo schema introduce tutele esplicite nei processi decisionali assistiti da sistemi di IA. Il datore di lavoro che usa sistemi per decisioni sul rapporto di lavoro deve garantire che la decisione definitiva sia riservata a una persona fisica dotata di potere effettivo e autonomo. Il lavoratore ha diritto a una motivazione intelligibile della decisione che lo riguarda, inclusa l’indicazione dell’eventuale incidenza del sistema di IA e dei principali parametri considerati. Il licenziamento adottato in violazione della regola sulla decisione non interamente automatizzata viene qualificato come nullo.
Anche salute e sicurezza sul lavoro entrano nel perimetro. Quando un sistema di IA incide su organizzazione del lavoro, ritmi produttivi, modalità di esecuzione della prestazione o processi decisionali rilevanti per la sicurezza, il suo uso deve essere valutato nell’ambito della valutazione dei rischi prevista dal decreto legislativo 81 del 2008. È una previsione concreta, perché impedisce di trattare l’IA come semplice software gestionale quando modifica tempi, carichi, procedure o controlli.
Per gli ordini professionali e le professioni non regolamentate, il testo prevede l’inserimento di percorsi di alfabetizzazione e formazione all’uso dei sistemi di IA nella formazione iniziale e continua. I contenuti devono coprire profili tecnici, giuridici e deontologici. Nelle professioni sanitarie, l’integrazione dovrà passare anche dall’educazione continua in medicina e dalla formazione manageriale in sanità. Ne deriva una responsabilità nuova per gli organismi professionali: non basterà aggiornare i codici deontologici, servirà costruire percorsi verificabili e periodici.
Sandbox e trasferimento tecnologico: la regolazione prova a sbloccare l’innovazione
Il decreto istituisce lo Spazio di sperimentazione italiano per l’IA, vigilato da Agid e Acn, in attuazione dell’articolo 57 dell’AI Act. La sandbox dovrà sostenere l’innovazione, facilitare l’accesso al mercato dell’Unione europea e favorire l’apprendimento regolatorio, con priorità per piccole e medie imprese e startup secondo criteri da definire.
La parte più interessante è il legame tra sandbox, università, enti pubblici di ricerca, istituzioni Afam, Its Academy e imprese. Il testo consente convenzioni per ricerca e sperimentazione, accordi con le autorità nazionali, assegnazione temporanea di personale accademico o di ricerca presso le autorità, co-progettazione di dottorati industriali sull’IA, spin-off e startup. Inoltre, università, enti pubblici di ricerca e fondazioni vigilate o finanziate dal Ministero dell’università e della ricerca potranno essere individuati come centri di riferimento per le attività di sperimentazione normativa.
Questa architettura può ridurre una frattura frequente nell’innovazione italiana: da una parte le competenze tecnico-scientifiche, dall’altra la regolazione. Se attuata bene, la sandbox può diventare un luogo in cui imprese e pubbliche amministrazioni testano sistemi conformi all’AI Act prima dell’immissione sul mercato o dell’uso operativo. Se resterà affidata a decreti attuativi lenti e a risorse ordinarie, rischierà invece di diventare un contenitore procedurale con pochi effetti industriali.
Sanzioni, reclami e segreti industriali: il lato duro dell’attuazione
Il decreto disegna anche il regime sanzionatorio nazionale, riprendendo le soglie dell’AI Act. Le violazioni delle pratiche vietate possono portare a sanzioni fino a 35 milioni di euro o fino al 7% del fatturato mondiale annuo; il mancato rispetto di obblighi per fornitori, deployer e altri soggetti può comportare importi inferiori ma comunque significativi, modulati in base alla natura dell’obbligo violato.
Accanto alle sanzioni pecuniarie compaiono misure non pecuniarie per violazioni di scarsa offensività: ordini di eliminazione dell’infrazione, misure correttive, dichiarazioni pubbliche della violazione. La pubblicazione dei provvedimenti sanzionatori è prevista, ma può avvenire in forma anonima quando la pubblicazione ordinaria comporti rischi per dati personali, cybersicurezza, indagini penali o pregiudizi sproporzionati.
C’è poi una modifica al codice della proprietà industriale: tra le informazioni aziendali e le esperienze tecnico-industriali tutelabili come segreti commerciali entrano anche dati, algoritmi e metodi matematici per l’addestramento di sistemi di IA, se ricorrono i requisiti ordinari di segretezza, valore economico e misure di protezione. È una previsione destinata a incidere su contenziosi, contratti di sviluppo, rapporti tra imprese e fornitori tecnologici, trasferimento tecnologico pubblico-privato. Il decreto prova così a proteggere il valore competitivo dell’IA, ma dovrà convivere con esigenze di trasparenza, audit, accesso alle prove e tutela dei diritti.
Secondo decreto. AI nella polizia e riconoscimento biometrico: autorizzazioni, limiti e zone sensibili
Il secondo schema disciplina l’uso dei sistemi di IA nelle attività di polizia e interviene su responsabilità civile e penale. Per le forze di polizia, l’IA viene qualificata come strumento di supporto, con obbligo di revisione umana qualificata prima dell’uso degli output in atti o provvedimenti che incidono sulla sfera giuridica degli interessati. La revisione deve essere documentata e tracciabile.
Il testo disciplina anche ricerca, sperimentazione e addestramento di modelli per finalità di polizia, consentendo collaborazioni con università, enti di ricerca e soggetti pubblici e privati, ma con limiti stringenti sui dati operativi sensibili e sulla titolarità dei modelli addestrati con quei dati. La titolarità resta in capo alle forze di polizia, mentre sono escluse acquisizioni o utilizzazioni indirette per finalità commerciali dei sistemi addestrati per attività di polizia.
La parte più delicata riguarda il riconoscimento biometrico. Lo schema consente l’identificazione biometrica remota in tempo reale in luoghi pubblici o aperti al pubblico per finalità di prevenzione previste dall’AI Act, per la ricerca di persone scomparse e di vittime di specifici reati, oltre ai casi di procedimento penale regolati dal nuovo articolo 359-ter del codice di procedura penale. Sono previsti richiesta dell’autorità di polizia, intervento del pubblico ministero o del giudice, delimitazione dell’area, durata, persone ricercate e banche dati di riferimento.
Il decreto vieta l’uso di banche dati biometriche alimentate con scraping non mirato o costituite in violazione delle norme sulla protezione dei dati. Per l’uso in tempo reale sono richieste valutazione d’impatto sui diritti fondamentali, log non modificabili conservati per cinque anni, notifica al Garante privacy e requisiti tecnici minimi da definire con decreto. Per il riconoscimento facciale a posteriori, lo schema consente l’integrazione di sistemi di videosorveglianza con componenti di IA solo dopo la commissione di un reato, anche tentato, per identificare persone già indiziate sulla base di elementi oggettivi e verificabili. I dati raccolti nella base locale sono conservati per sette giorni e cancellati automaticamente.
È una regolazione densa, ma il punto politico e giuridico resta l’effettività delle garanzie. La combinazione tra urgenza, prevenzione, sicurezza pubblica, banche dati e tecnologie biometriche richiede controlli reali su accuratezza, bias, proporzionalità, logging, accessi e uso dei risultati. La norma esclude decisioni basate unicamente sul riconoscimento facciale, ma la qualità della supervisione umana dipenderà da formazione, procedure, audit e possibilità di verifica esterna.
Danni da IA: accesso alle prove e presunzione del nesso causale
Il secondo schema interviene anche sul terreno della responsabilità. Nelle azioni di risarcimento del danno cagionato dall’utilizzo di sistemi di IA, il giudice può ordinare l’esibizione di elementi di prova relativi al funzionamento del sistema quando la parte che agisce presenti fatti idonei a rendere verosimile la fondatezza della domanda. Tra gli elementi indicati ci sono registri, documentazione del sistema di gestione dei rischi, documentazione tecnica e informazioni sulla supervisione umana.
Il decreto introduce inoltre una presunzione del nesso di causalità quando il danno deriva dalla violazione di obblighi previsti dall’AI Act, salvo prova contraria. È una misura importante perché affronta uno dei problemi centrali dei danni algoritmici: l’asimmetria informativa tra chi subisce il danno e chi controlla sistema, dati, log, documentazione tecnica e parametri decisionali. La conformità del sistema agli obblighi europei, anche se certificata, non esclude di per sé la responsabilità del convenuto.
Il testo prevede anche la possibilità di azione diretta nei confronti dell’impresa assicuratrice che copre la responsabilità civile del convenuto. Il danneggiato può chiedere informazioni sulla copertura assicurativa e, in caso di omissione o comunicazione incompleta, il giudice può trarne argomenti di prova. È una previsione che guarda già a un mercato in cui l’uso professionale dell’IA richiederà coperture assicurative, valutazioni del rischio e contratti più precisi tra sviluppatori, deployer, fornitori e utilizzatori.
Decreti AI italiani: il vero test sarà l’attuazione
I due schemi mostrano una fase nuova della regolazione italiana dell’intelligenza artificiale. L’AI Act fissa il quadro europeo; la legge italiana n. 132 del 2025 ha definito principi e deleghe; i decreti cominciano a tradurre tutto in autorità, procedure, sanzioni, percorsi formativi, competenze professionali, sandbox, regole per la polizia e strumenti processuali.
La parte più convincente è l’allargamento della formazione a scuola, adulti, PA, lavoro, professioni e sanità. L’IA viene trattata come una tecnologia di sistema, che richiede alfabetizzazione tecnica, capacità critica, consapevolezza giuridica e responsabilità organizzativa.
Il punto fragile resta l’equilibrio tra ambizione e invarianza finanziaria: molte misure dovranno essere attuate con risorse già disponibili, mentre solo alcune, come il piano docenti su social e IA, dispongono di stanziamenti specifici.
Per la scuola, il segnale è più forte: i 100 milioni dello schema e i 100 milioni già attivati con il percorso Pnrr sugli snodi formativi costruiscono una massa finanziaria riconoscibile.
La sfida sarà trasformare quei 200 milioni in competenze diffuse, pratiche didattiche verificabili e capacità degli istituti di governare strumenti che gli studenti usano già fuori e dentro la scuola. Il successo della regolazione italiana sull’IA si misurerà sulla capacità di far arrivare competenze, responsabilità e controlli nei luoghi in cui i sistemi vengono davvero usati.
