La legge 23 settembre 2025, n. 132 in materia di Intelligenza Artificiale (IA) è entrata in vigore il 10 ottobre. La sua gestazione è stata complessa, anche perché la Commissione UE aveva sollevato dubbi sulla compatibilità di alcune disposizioni con l’AI Act europeo. L’obiettivo fondamentale della Legge 132 è promuovere un uso corretto, trasparente e responsabile dell’IA, garantendo la vigilanza sui rischi economici, sociali e sull’impatto sui diritti fondamentali, in conformità con l’AI Act.
Indice degli argomenti
Struttura della Legge 132
Il testo della legge può essere suddiviso in quattro parti principali:
1. Principi e finalità: stabilisce i principi che devono ispirare i sistemi e i modelli di IA, salvaguardando i diritti fondamentali dell’individuo.
2. Disciplina settoriale: regola l’uso dell’IA in ambiti specifici come sanità, lavoro, pubblica amministrazione e attività giudiziaria, toccando anche sicurezza nazionale e cybersicurezza.
3. Governance e finanziamenti: definisce gli attori istituzionali responsabili della strategia e dell’applicazione normativa, stanziando fondi per promuovere lo sviluppo dell’IA.
4. Delega al Governo: contiene la delega per l’adeguamento normativo e introduce modifiche al codice penale e alla legge sul diritto d’autore per la tutela delle opere generate o alterate tramite IA.
Principi e allineamento con l’AI Act
Gli articoli 1 (“Finalità e ambito di applicazione”) e 3 (“Principi generali”) riflettono gli scambi avuti con la Commissione UE nell’ambito della Notifica 2024/0438/IT. Questi scambi avevano sollecitato il Governo italiano a garantire un maggiore allineamento con l’AI Act e a rimuovere disposizioni sovrapposte o in conflitto. Per questo motivo, le citate norme introduttive della legge 132 richiedono un’interpretazione coerente con il regolamento europeo ed escludono l’imposizione di obblighi non previsti dall’AI Act. A tali disposizioni deve quindi essere ispirata la lettura della legge 132 e dei decreti delegati che verranno.
Tra i diritti fondamentali espressamente menzionati vi sono la non discriminazione, la parità tra i sessi e la sostenibilità. Viene inoltre richiamata l’importanza della trasparenza, conoscibilità e spiegabilità dei sistemi e il rispetto dell’autonomia e del potere decisionale dell’uomo. L’intento è ribadire che l’IA deve essere uno strumento per aiutare l’uomo, non per sostituirlo, favorendo l’inclusività e appianando le discriminazioni, al fine di raggiungere l’uguaglianza sostanziale richiamata dall’Art. 2 della Costituzione.
Dubbi Interpretativi: L’accesso dei minori (Art. 4, comma 4)
L’Art. 4, comma 4, ha generato incertezze interpretative in quanto la sua formulazione sembra introdurre un divieto di accesso alle “tecnologie di IA” per i minori di 14 anni. Tuttavia, l’interpretazione sistematica della norma, coerente con le finalità della Legge 132, l’AI Act e il GDPR, la inquadra correttamente nell’ambito della protezione dei dati personali.
È ragionevole pensare che la norma si riferisca ai casi in cui il trattamento dei dati personali si basi sul consenso dell’interessato (art. 6, comma 1, lett. a GDPR). A supporto di questa interpretazione si consideri che il titolo dell’Art. 4 fa riferimento esplicito al trattamento dei dati personali, e che un emendamento introdotto dal Senato ha collegato la norma al GDPR e all’articolo 2-quinques del Codice della privacy. Inoltre, un divieto generalizzato di accesso per i minori di 14 anni sarebbe contrario al principio del paese di origine per le grandi piattaforme e ISP stranieri che, nell’ambito dei loro servizi, utilizzino strumenti di IA.
Criticità nel Settore Sanitario (Art. 8)
L’Art. 8 disciplina l’uso dell’IA per la ricerca medico-scientifica. Un aspetto positivo è il riconoscimento che i trattamenti di dati, anche personali, eseguiti da soggetti pubblici, enti non a scopo di lucro, IRCCS, o soggetti privati che partecipano a progetti con i suddetti enti, per finalità di prevenzione, diagnosi, cura, e sviluppo di farmaci e terapie, sono dichiarati di rilevante interesse pubblico. Ciò significa che l’uso dei dati dei pazienti per l’allenamento degli algoritmi di IA in ambito di ricerca trova una specifica base giuridica nell’interesse pubblico (Art. 9, paragrafo 2, lettera g), GDPR) e non richiede il consenso degli interessati.
Tuttavia, l’articolo presenta due aspetti critici:
1. Ambito di applicazione ristretto: la previsione vale solo per i soggetti pubblici e gli enti non a scopo di lucro, o per i privati solo se partecipano a progetti con enti pubblici o IRCCS. Questo esclude una parte rilevante della ricerca scientifica condotta autonomamente da istituti privati o società farmaceutiche.
2. Regime autorizzatorio ultroneo: nonostante il trattamento sia basato sull’interesse pubblico (Art. 9, paragrafo 2, lettera g) GDPR), il paragrafo 5 dell’Art. 8 introduce un regime autorizzatorio per l’uso secondario dei dati medici. Questo regime, che prevede la comunicazione al Garante per la protezione dei dati personali e il decorso di trenta giorni senza blocco (silenzio-assenzo), appare ultroneo e palesemente incoerente con il principio comunitario che riconosce l’interesse pubblico come base giuridica.
Il regime di silenzio-assenso introdotto dal comma 5 risulta ingiustificato e dannoso. È ingiustificato perché non aggiunge nulla all’attività di controllo del Garante, già garantita da altre disposizioni, come l’obbligo di consultazione e di acquisizione del parere motivato del Garante da parte dell’AGENAS per le linee guida sull’anonimizzazione e i poteri ispettivi e sanzionatori riconosciuti al Garante stesso. È dannoso perché rischia di rallentare lo sviluppo dei sistemi di IA in campo medico-scientifico, aumentando la burocrazia e riducendo la competitività del sistema di ricerca italiano.
L’introduzione di questo regime autorizzatorio è altresì incoerente con la recente riforma dell’Art. 110 del Codice Privacy, che ha eliminato la consultazione preventiva del Garante per l’uso secondario dei dati medici per la ricerca.
Investimenti finanziari e contesto europeo
Una disposizione di rilievo riguarda gli investimenti per lo sviluppo della tecnologia basata sull’IA. La legge prevede stanziamenti per un ammontare complessivo di 1 miliardo di euro nei settori dell’IA, della cybersicurezza, del quantum computing, delle telecomunicazioni e delle tecnologie abilitanti. Tali fondi mirano a favorire lo sviluppo e il consolidamento delle imprese operanti in questi ambiti.
Tuttavia, l’ammontare stanziato appare insufficiente rispetto agli investimenti compiuti da altri Stati Membri. Ad esempio, la Francia ha annunciato investimenti per circa 109 miliardi di euro nei prossimi anni, e la Germania ha posto l’IA al centro della strategia economica con l’obiettivo di raggiungere il 10% del PIL entro il 2030.
Per competere a livello globale (in particolare con USA e Cina), oltre a normative comuni, è auspicato un piano di investimenti comuni da parte dell’UE. In tal senso, assumono rilevanza le parole di Mario Draghi che ha suggerito investimenti UE per 500 miliardi per lo sviluppo tecnologico. Sarà necessario attendere il prossimo parlamento UE per una maggioranza coesa in grado di esprimere una politica industriale comune e completare la strategia di digitalizzazione 2030.
