Il Consiglio dei ministri ha approvato in via preliminare due decreti legislativi di attuazione della legge 132/2025 che regolamenta l’utilizzo dell’intelligenza artificiale ed in suo impiego nei più disparati campi di applicazione, dal lavoro ai contenuti digitali.

L’Italia ha di fatto anticipato di due anni i passaggi della road map disegnata dall’Unione europea con l’approvazione del cosiddetto pacchetto Digital Omnibus AI che affronta le questioni legate all’introduzione dell’intelligenza artificiale e che è destinato a rivedere anche le norme in materia di protezione dei dati personali e cybersicurezza.

Con il Digital omnibus Bruxelles aveva previsto due timeline per i sistemi di IA ad alto rischio, il 2 dicembre 2027 e il 2 agosto 2028, per intervenire sull’uso improprio delle nuove tecnologie, come pure per ridurre le difficoltà di adeguamento per le imprese. L’indirizzo è stato condiviso sia dal Consiglio sia dal Parlamento europeo.

I decreti attuativi sono «coerenti e conformi» ha fatto sapere il Governo, all’AI Act europeo (Regolamento UE 2024/1689): non introducono una disciplina alternativa rispetto al quadro europeo, ma ne assicurano l’attuazione nell’ordinamento nazionale.

Le norme «costruiscono una cornice di garanzie affinché l’innovazione tecnologica resti sempre al servizio della persona, della sua dignità e dei suoi diritti fondamentali».

I due decreti passano ora al vaglio delle Commissioni parlamentari di Camera e Senato.

L’adeguamento della normativa nazionale all’AI act europeo

Il primo decreto attuativo riguarda “L’Adeguamento della normativa nazionale alle disposizioni del Regolamento del Parlamento europeo e del Consiglio in materia di poteri delle Autorità nazionali e di utilizzo dell’intelligenza artificiale nella formazione”.

La formazione e i campi di applicazione della norma

La formazione, è scritto nel decreto, «è la condizione abilitante della strategia nazionale sull’IA: non semplice addestramento tecnico, ma alfabetizzazione critica, consapevolezza dei rischi, capacità di interpretare gli output, responsabilità nell’uso degli strumenti». I suoi campi di riferimento e di applicazione sono la scuola, l’università, la Pubblica amministrazione, la sanità, le professioni, la giustizia e la tutela dei lavoratori.

L’uso dell’IA in ambito professionale

In ambito professionale la disciplina punta ad «evitare che l’automazione svaluti il lavoro intellettuale». Al contrario, «riconduce l’IA a criteri trasparenti e oggettivi, tutelando tanto il professionista quanto il cliente e applicando il principio antropocentrico alla dimensione professionale». La responsabilità resta in capo al professionista, come pure gli obblighi informativi verso il cliente, e non si trasferisce allo strumento tecnologico. L’uso dell’IA ha rilevanza anche ai fini dell’equo compenso, è scritto nel decreto «attraverso parametri commisurati alla classificazione di rischio del sistema impiegato». Si punta a far sì che il compenso «rifletta l'effettivo apporto professionale e il livello di responsabilità connesso all'uso dell'IA, con parametri trasparenti a tutela tanto del professionista quanto del cliente».

La governance

Il decreto attuativo definisce l’assetto nazionale delle autorità coinvolte nell’attuazione dell’AI Act. Il fulcro della governance è costituito da AgID, quale autorità di notifica, e da ACN, quale autorità di vigilanza del mercato e punto di contatto unico con le istituzioni dell’Unione europea. A queste competenze si affiancano quelle di altre autorità settoriali, in ragione degli ambiti di rischio e delle attività interessate. Banca d’Italia, Consob e Ivass esercitano funzioni di vigilanza sui sistemi di IA ad alto rischio utilizzati dagli intermediari finanziari e direttamente collegati alla fornitura di servizi finanziari. Il Garante per la protezione dei dati personali interviene, per i profili di competenza, sui sistemi di IA ad alto rischio utilizzati in attività di contrasto, gestione delle frontiere, giustizia e democrazia.

Campo investigativo e responsabilità civili e penali

Il secondo decreto attuativo riguarda “L’Adeguamento della normativa nazionale alle disposizioni del Regolamento del Parlamento europeo e del Consiglio in materia di utilizzo dei sistemi di intelligenza artificiale per l’attività di polizia e di responsabilità civile e penale”.

Le attività di polizia

L’intelligenza artificiale può essere di supporto tecnologico alle attività investigative. Può rafforzare la prevenzione e il contrasto dei fenomeni criminosi, «ma solo entro un perimetro rigoroso: uso mirato e proporzionato, divieto di sorveglianza massiva, autorizzazione giudiziaria per l’identificazione biometrica in tempo reale e decisioni sempre presidiate da operatori formati all’uso corretto». Nel decreto si fa un chiaro riferimento all’impiego delle tecnologie per il riconoscimento facciale. «In conformità all’articolo 5 del regolamento europeo, l’articolo 8 consente l’uso in tempo reale soltanto per prevenire minacce specifiche e gravi alla sicurezza e all’ordine pubblico, nonché per la ricerca di persone scomparse o di vittime di sequestro, tratta o sfruttamento sessuale». L’impiego «deve servire esclusivamente a confermare l’identità di persone oggetto di interesse» ed «il confronto avviene con banche dati adeguate e costituite lecitamente, mentre è vietato l’uso di banche dati alimentate mediante scraping non mirato». In conformità con l’articolo 26, paragrafo 10, dell’Ai ACT, «l’articolo 10 disciplina il riconoscimento facciale a posteriori nei sistemi di videosorveglianza già installati in base alla legge». In questo caso «la tecnologia può essere attivata solo dopo la commissione di un reato, anche tentato, per identificare persone indiziate sulla base di documentazione video-fotografica e di elementi oggettivi e verificabili. Il titolare del trattamento è il ministero dell’Interno».

La tutela del danneggiato e la responsabilità civile

La tutela civile mira a riequilibrare la posizione di chi subisce un danno da un sistema di IA, superando opacità tecnologica e asimmetrie informative senza introdurre nuovi obblighi sostanziali a carico delle imprese. Il decreto rafforza l’accesso alla giustizia per il danneggiato in una materia tecnicamente complessa, nella quale la ricostruzione del funzionamento del sistema può risultare particolarmente difficile. L’intervento si concentra sugli strumenti processuali necessari a rendere effettiva la tutela della persona danneggiata. Previsto il ricorso al Foro alternativo prossimo alla residenza del danneggiato persona fisica, per rendere meno gravoso l’accesso alla tutela giudiziaria. Come pure l’azione diretta nei confronti dell’assicurazione, quale ulteriore strumento di effettività della tutela risarcitoria.

La responsabilità penale per l’omessa adozione delle misure di sicurezza

La risposta penale è circoscritta alle violazioni più gravi: non colpisce la tecnologia in sé, ma le condotte e le omissioni umane che, nei sistemi ad alto rischio, mettono concretamente in pericolo beni primari. Il decreto introduce un nuovo articolo nel codice penale, il 437-bis, che sanziona l’omessa adozione delle misure di sicurezza nei sistemi di IA ad alto rischio e la loro alterazione quando ne derivi un pericolo concreto per la vita, l’incolumità pubblica o la sicurezza dello Stato. La punibilità «è ancorata al pericolo concreto e, per la forma colposa, alla colpa grave: si evita così di criminalizzare gli errori operativo, concentrando l’intervento penale sulle violazioni che mettono a rischio vita, incolumità pubblica o sicurezza dello Stato». Infine viene richiamata alle proprie responsabilità anche l’organizzazione che trae vantaggio dall’impiego del sistema.

I fondi a sostegno dello sviluppo dell’IA nazionale

La regolazione dell’IA è accompagnata da una scelta industriale: rafforzare l’ecosistema nazionale, sostenere start-up e tecnologie strategiche, attrarre capitale privato e consolidare la sovranità digitale italiana ed europea. L’articolo 23 della legge n. 132/2025 destina una quota delle risorse del Fondo di sostegno al venture capital, fino a un ammontare complessivo di 1 miliardo di euro, allo sviluppo dell’ecosistema nazionale dell’IA. L’obiettivo è promuovere imprese innovative, filiere tecnologiche prioritarie e capacità industriale nei settori strategici. I dati disponibili mostrano un trend già significativo: il mercato italiano dell’IA ha raggiunto nel 2025 1,8 miliardi di euro, con una crescita del 50% rispetto all’anno precedente.

Cassa depositi e prestiti Venture Capital ha già finanziato progetti per un totale di 313 milioni di euro, sostenendo più di 150 start-up e coinvolgendo circa 20 fondi gestiti da SGR terze, anche attraverso strumenti dedicati come il “Fondo Artificial Intelligence”.

I progetti finanziati fino ad oggi hanno consentito la creazione di più di 1.000 nuovi posti di lavoro, professionalità altamente specializzate nei rispettivi campi di interesse. Nel prossimo triennio sono previsti nuovi investimenti per un valore di oltre 500 milioni di euro.

Gli investimenti stanno abilitando filiere prioritarie come robotica umanoide, guida autonoma, quantum, fotonica per l’high-performance computing e IA verticale.

Tra le iniziative già realizzate figurano Generative Bionics, Niulinx, Algorithmiq, CamGraPhIC/2D Photonics, ALLSIDES e Smartness, con capacità di attrarre capitali nazionali e internazionali e creare nuove posizioni altamente specializzate.

A partire dal 2026 si affianca il Polo nazionale di trasferimento tecnologico dedicato all’IA e alla cybersicurezza, “Polo SophIA”, come ulteriore leva per sostenere start-up deep tech e trasformare i risultati della ricerca in imprese innovative. Già pronti 30 milioni di euro per cloud, potenza di calcolo e infrastrutture di rete.