Approvata la prima legge italiana sull’Intelligenza Artificiale
Il 17 settembre il Senato ha approvato in via definitiva la prima legge italiana sull’Intelligenza Artificiale e, con questa decisione, il nostro Paese si colloca tra i primi in Europa a dotarsi di un quadro normativo nazionale specificamente dedicato alla materia, in coordinamento con l’AI Act adottato a livello unionale, ma con alcune peculiarità che meritano di essere attentamente analizzate.
La legge si fonda su una duplice ambizione: da un lato intende fissare i principi cardine che devono orientare l’uso e lo sviluppo dell’IA, riaffermando la centralità della persona, la trasparenza, la sicurezza e la protezione dei dati; dall’altro lato introduce strumenti concreti di politica industriale e istituzionale, come la predisposizione di una strategia nazionale aggiornata con cadenza biennale e un piano di investimenti pari a un miliardo di euro destinato a sostenere startup e piccole e medie imprese attive nell’ambito dell’intelligenza artificiale, della cybersicurezza e delle tecnologie emergenti.
Il provvedimento si applica a numerosi settori strategici per lo sviluppo del Paese, tra cui sanità, lavoro, pubblica amministrazione, giustizia, scuola e sport, delineando regole che mirano a favorire l’adozione di sistemi di IA senza rinunciare a garantire tracciabilità, responsabilità umana e decisione finale affidata a una persona fisica, principi che vengono riaffermati come essenziali per mantenere la dimensione antropocentrica della tecnologia e assicurare il rispetto dei diritti fondamentali.
Un capitolo centrale riguarda la governance del sistema, che viene affidata all’Agenzia per la Cybersicurezza Nazionale e all’Agenzia per l’Italia Digitale, chiamate a svolgere rispettivamente funzioni di vigilanza con poteri ispettivi sull’adeguatezza e la sicurezza dei sistemi e compiti di gestione delle notifiche e di promozione di casi d’uso sicuri. Questa scelta, pur rafforzando il coordinamento interistituzionale e collocando la governance all’interno di strutture pubbliche già operative, solleva tuttavia alcune perplessità, poiché l’esigenza di protezione dei dati personali avrebbe probabilmente giustificato quantomeno il coinvolgimento del Garante Privacy nella governance, se non addirittura l’affidamento esclusivo al Garante medesimo della governance, evitando così possibili sovrapposizioni di competenze.
Non meno rilevanti sono le disposizioni che, pur ispirandosi a intenti condivisibili, rischiano di restare meri enunciati programmatici privi di reale applicabilità. L’esempio più citato è l’obbligo di consenso dei genitori per l’uso di sistemi di IA da parte dei minori di 14 anni: una norma che, se considerata alla luce della diffusione pervasiva dell’intelligenza artificiale in applicazioni e dispositivi di uso quotidiano, appare di difficile attuazione concreta e rischia di avere più un valore simbolico che un impatto operativo effettivo.
Anche la disciplina sull’utilizzo dei dati merita un approfondimento particolare. In ambito sanitario e sportivo la legge legittima trattamenti estesi di dati, anche in assenza di consenso, quando finalizzati a ricerche scientifiche o a obiettivi di interesse pubblico, aprendo indubbiamente importanti opportunità per la sperimentazione e l’innovazione, ma sollevando nello stesso tempo la necessità di prevedere garanzie più stringenti a tutela delle persone coinvolte, soprattutto se vulnerabili come minori o soggetti con disabilità. Il rischio, altrimenti, è quello di generare squilibri tra le esigenze di protezione dei dati personali e le spinte al loro sfruttamento economico e alla valorizzazione commerciale delle informazioni raccolte.
Un ulteriore aspetto critico è rappresentato dall’ampio ricorso a deleghe legislative: molte questioni cruciali vengono infatti rinviate a futuri decreti attuativi del Governo, il che rende evidente come la legge, pur approvata in via definitiva, non possa ancora considerarsi compiutamente definita, dal momento che la reale portata delle sue disposizioni dipenderà in larga misura dai contenuti che verranno inseriti nella normativa secondaria. Tale tecnica, pur comune nella prassi legislativa italiana, rischia di prolungare l’incertezza per imprese e operatori, e secondo alcuni commentatori potrebbe addirittura condurre a un eccesso di normazione in materia di IA per il nostro Paese rispetto agli altri Paesi UE che sceglieranno di non integrare all’AI Act europeo, con la conseguenza di complicare il quadro regolatorio anziché semplificarlo.
In conclusione, la vera sfida non risiede soltanto nell’essersi dotati di una legge nazionale, ma nella capacità di renderla effettiva, coerente e realmente applicabile, affinché possa rappresentare uno strumento in grado di coniugare l’innovazione tecnologica con la competitività industriale e, al tempo stesso, con la protezione dei diritti fondamentali delle persone. Il successo di questa normativa dipenderà dalla possibilità di trasformare i principi enunciati in regole operative, chiare e sostenibili, capaci di offrire certezza giuridica e concrete opportunità di crescita a cittadini, imprese e pubbliche amministrazioni.
Potrebbe interessare anche
Nuove Linee Guida CNDCEC per l’Organismo di Vigilanza 231: funzioni, requisiti e nuove integrazioni della vigilanza
2 Dicembre 2025
