Ing. Fabrizio Di Crosta
Consulenza di direzione e informatica
Consulenza di Direzione ed Informatica

Legge 23 settembre 2025 n. 132 sulla Intelligenza Artificiale; confronto con AI Act e GDPR

By fabrizio on

La Legge 23 settembre 2025 n. 132 5 (“Disposizioni e deleghe al Governo in materia di intelligenza artificiale”) rappresenta il primo intervento organico dell’Italia in materia di regolazione e promozione dell’intelligenza artificiale, in armonia con il Regolamento (UE) 2024/1689 (il cosiddetto AI Act europeo).

La legge non sostituisce il regolamento europeo, ma lo integra, stabilendo principi nazionali, indirizzi strategici, ambiti di applicazione e deleghe legislative al Governo.

In quest’articolo presentiamo un commento ragionato che colleghi la Legge italiana Legge 23 settembre 2025 n. 132 in materia di intelligenza artificiale con il Regolamento (UE) 2024/1689 (AI Act) e con il Regolamento (UE) 2016/679 (GDPR), mettendo in luce i fondamenti sistematici, le innovazioni normative e le scelte politiche sottese al testo italiano.

1. Premessa sistematica: la funzione integrativa della legge italiana rispetto all’AI Act

Il Regolamento (UE) 2024/1689 – noto come AI Act – costituisce un corpus di norme direttamente applicabili negli Stati membri, volto a disciplinare l’immissione sul mercato, la messa in servizio e l’uso dei sistemi di intelligenza artificiale secondo un approccio basato sul rischio (risk-based approach).
Esso si concentra soprattutto su:

  • obblighi per i fornitori e gli utilizzatori di sistemi di IA ad alto rischio;
  • requisiti di sicurezza, trasparenza e governance;
  • meccanismi di vigilanza e sanzione a livello europeo.

La legge italiana del 2025, invece, non è una normativa di recepimento (non potrebbe esserlo, trattandosi di un regolamento UE), bensì una legge di accompagnamento e integrazione, con due funzioni principali:

  1. Integrare l’AI Act nei settori in cui il diritto nazionale mantiene competenze (diritto penale, amministrativo, civile, sanitario, lavoro, PA, difesa, giustizia).
  2. Creare la cornice istituzionale e strategica per l’attuazione nazionale del regolamento, designando le autorità competenti e stabilendo criteri etico-giuridici coerenti con i valori costituzionali.

L’articolo 1, comma 2, è esplicito: “Le disposizioni della presente legge si interpretano e si applicano conformemente al regolamento (UE) 2024/1689.”
Ne consegue che la legge italiana ha natura di attuazione coordinata e non di disciplina autonoma: opera solo nei margini lasciati dal diritto europeo.

2. Antropocentrismo, diritti fondamentali e principi costituzionali (artt. 1–3)

La legge riafferma il principio – già implicito nell’AI Act ma qui più sviluppato – di una visione antropocentrica dell’intelligenza artificiale, collocando l’essere umano al centro del processo decisionale e attribuendo al controllo umano un valore giuridicamente qualificato (art. 3, comma 3).

Rispetto all’AI Act, che si limita a prescrivere la human oversight come requisito tecnico, la legge italiana costituzionalizza il principio: il controllo umano diventa un presidio di legalità democratica e di rispetto dei diritti inviolabili (art. 2 Cost., art. 41 Cost.).
Ciò rappresenta un ponte diretto con il GDPR, il quale all’art. 22 tutela il diritto dell’individuo a non essere sottoposto a decisioni basate unicamente su trattamenti automatizzati.

In questa prospettiva, la legge italiana traduce sul piano interno il triangolo di valori “dignità – libertà – sicurezza” che regge l’architettura europea, arricchendolo con riferimenti alla parità di genere, alla non discriminazione, alla sostenibilità e all’inclusione delle persone con disabilità (art. 3, comma 7).

3.  Protezione dei dati personali e trasparenza (art. 4) – il raccordo con il GDPR

L’articolo 4 costituisce il principale punto di contatto fra la legge italiana e il GDPR.

Mentre l’AI Act disciplina l’uso dei dati soprattutto in funzione della conformità tecnica (dati di addestramento di qualità, auditabilità, tracciabilità), la legge italiana enfatizza la dimensione sostanziale della protezione della persona.

Essa:

  • riafferma l’obbligo di trattamento lecito, corretto e trasparente dei dati (art. 5 GDPR);
  • impone la chiarezza del linguaggio informativo (art. 12 GDPR);
  • riconosce un diritto di opposizione al trattamento dei dati mediante sistemi di IA (art. 21 GDPR);
  • introduce una specifica tutela per i minori, coordinata con l’art. 8 GDPR e con l’art. 2-quinquies del Codice privacy (d.lgs. 196/2003).

Il principio che emerge è quello di una trasparenza “forte”, intesa non come mera informazione formale ma come condizione per l’esercizio effettivo dell’autodeterminazione digitale.
In questo senso, la legge italiana amplia l’approccio del GDPR, estendendo le garanzie anche ai processi di apprendimento automatizzato e ai modelli di IA generativa.

4. Sviluppo economico, innovazione e sovranità tecnologica (art. 5 e art. 23)

Il legislatore italiano introduce elementi strategici che l’AI Act non contempla, legati alla politica industriale e tecnologica nazionale.
Gli articoli 5 e 23 configurano l’IA come fattore di “sovranità tecnologica”, promuovendo:

  • la localizzazione dei dati sensibili in data center nazionali;
  • la creazione di un mercato interno equo e competitivo;
  • un fondo d’investimento pubblico-privato fino a un miliardo di euro per IA, cybersicurezza e calcolo quantistico.

Tali disposizioni non interferiscono con l’AI Act ma ne costituiscono un corollario economico-politico, inserendo la materia dell’IA nella logica della resilienza strategica nazionale, coerente con il Regolamento NIS2 e con la strategia europea di digital sovereignty.

5. Sanità, ricerca e trattamento dei dati sensibili (artt. 7–10)

Questa sezione è la più significativa in rapporto al GDPR, perché introduce una base giuridica nazionale specifica per i trattamenti di dati sanitari e di ricerca mediante IA (art. 9 AI Law).

Il legislatore dichiara di rilevante interesse pubblico i trattamenti di dati – anche appartenenti alle categorie particolari ex art. 9 GDPR – quando destinati alla ricerca biomedica, alla prevenzione e alla cura, purché avvengano in forma anonimizzata o pseudonimizzata.

Ciò crea una deroga controllata al principio del consenso, compatibile con l’art. 9, par. 2, lett. g) GDPR (motivi di interesse pubblico rilevante).
Inoltre, l’istituzione della piattaforma nazionale di IA sanitaria presso AGENAS, prevista dall’art. 10, introduce un’infrastruttura pubblica conforme al principio di responsabilità del titolare del trattamento (art. 24 GDPR) e soggetta a valutazione d’impatto (art. 35 GDPR).

6. Lavoro, PA e giustizia: il principio della “decisione umana finale”

Nelle sezioni dedicate al lavoro (artt. 11–12), alla PA (art. 14) e alla giustizia (art. 15), emerge un filo conduttore:

l’IA può assistere ma non sostituire la deliberazione umana.

Il richiamo alla responsabilità personale (del datore di lavoro, del funzionario, del magistrato) funge da garanzia costituzionale del principio democratico (art. 97 Cost.) e del diritto alla difesa (art. 24 Cost.).

Rispetto all’AI Act, che si limita a prescrivere “human oversight” nei sistemi ad alto rischio, la norma italiana eleva il controllo umano a condizione di validità del provvedimento: ogni decisione amministrativa o giudiziaria rimane imputabile a una persona fisica.

7. Architettura istituzionale: AgID e ACN come Autorità nazionali (art. 20)

L’art. 20 è di importanza sistemica.

In attuazione dell’art. 70 dell’AI Act, l’Italia designa due Autorità:

  • AgID come autorità di notifica e promotrice dell’innovazione;
  • ACN come autorità di vigilanza del mercato e punto di contatto unico con l’UE.

Si tratta di un modello duale e cooperativo, che riflette la struttura a due livelli dell’AI Act: uno orientato all’innovazione (upstream) e l’altro alla sicurezza (downstream).
A ciò si aggiunge il mantenimento delle competenze del Garante Privacy e dell’AGCOM, a tutela dei dati e delle comunicazioni digitali.
È un assetto complesso ma coerente con la tradizione italiana di pluralismo delle autorità indipendenti.

8. Deleghe legislative e futuro coordinamento con il diritto penale e civile (artt. 16 e 24–26)

La legge non si limita a dettare principi: affida al Governo ampie deleghe per creare una disciplina organica in tre ambiti:

  1. Uso di dati, algoritmi e metodi di addestramento (art. 16) – per evitare squilibri tra innovazione e tutela dei diritti.
  2. Adeguamento complessivo all’AI Act (art. 24) – incluse le sanzioni e l’organizzazione delle autorità di vigilanza.
  3. Reati legati all’uso illecito dell’IA (art. 26) – introducendo figure autonome, come la diffusione illecita di deepfake e aggravanti per l’uso insidioso dell’IA nella commissione di reati.

In questo modo, il legislatore crea un ponte tra diritto dell’IA e diritto penale tradizionale, in linea con l’art. 99 dell’AI Act, che prevede l’obbligo per gli Stati di stabilire sanzioni “efficaci, proporzionate e dissuasive”.

9. Diritto d’autore e IA generativa (art. 25)

La modifica alla legge n. 633/1941 (l. sul diritto d’autore) chiarisce un punto essenziale di dibattito europeo: solo le opere frutto di creatività umana possono essere considerate “opere dell’ingegno”.

L’IA può essere strumento, non autore.

Inoltre, l’art. 70-septies consente il text and data mining per l’addestramento dei modelli d’IA, ma nel rispetto delle limitazioni di cui agli artt. 70-ter e 70-quater, in armonia con la Direttiva (UE) 2019/790 (Copyright Directive).

Ciò colloca l’Italia in linea con la posizione della Commissione europea: libertà di addestramento sì, ma subordinata al rispetto del diritto d’autore e alla possibilità di opt-out da parte dei titolari dei diritti.

10. Valutazione complessiva

La Legge 23 settembre 2025 n. 132 non è un atto di recepimento dell’AI Act : è un atto di politica giuridica e tecnologica.
Essa:

  • recepisce lo spirito del AI Act, adattandolo al sistema costituzionale italiano;
  • crea un quadro istituzionale di vigilanza e promozione (AgID–ACN);
  • rafforza la coerenza con il GDPR, soprattutto nei trattamenti automatizzati e nei dati sanitari;
  • predispone le basi per un futuro diritto penale e civile dell’intelligenza artificiale.

In prospettiva, la legge pone l’Italia tra i Paesi europei che cercano di conciliare innovazione, sicurezza e diritti umani, realizzando un equilibrio dinamico fra la libertà di ricerca e l’esigenza di controllo democratico delle tecnologie emergenti.

Quale applicazione vedremo?

Quali informazioni comunicheranno i professionisti ai propri clienti circa l’uso dell’intelligenza artificiale? Il Legislatore italiano ha capito che un conto è rispondere ai clienti con un chatbot e un conto è utilizzare l’IA per ricercare corrispondenze normative, per sintetizzare documenti, per redigere relazioni, analizzare testi, preparare presentazioni e quant’altro è possibile fare con ChatGPT, Gemini, Claude, Copilot, Perplexity & Co.?

Come ci si deve comportare sulla programmazione software se l’IA è stata utilizzata per scrivere codice (ad es. piccole routine) o per debuggare programmi o magari per verificare la sicurezza del codice stesso?

Il responsabile di un documento prodotto da un autore rimane responsabilità dell’autore, soprattutto in campi critici, ma una informativa generica non potrebbe spaventare il cliente che ha perplessità sull’intelligenza artificiale e ritiene (spesso a ragione) che possa produrre allucinazioni?

Il contenuto pubblicato sul web generato in tutto o in parte con l’IA (video, podcast, blog, ecc.) – che ovviamente non ricade nei reati previsti dalla Legge (ad es. Deepfake) – dovrà contenere “disclaimer”che recitano che è stato realizzato con l’IA?

Non vorrei che i “prodotti” realizzati con l’ausilio dell’IA fossero penalizzati rispetto agli altri, o magari rispetto a quelli realizzati fuori Italia o fuori UE.

Sequesto articolo è stato realizzato con l’ausilio dell’IA lo ritenete meno attendibile di altri?

Vedremo cosa succederà nei prossimi mesi.

image_pdfimage_print

Lascia un commento

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.