EN Contattaci

IA: i decreti attuativi della legge 132/2025 — governance, formazione, biometria e responsabilità

Il Consiglio dei Ministri ha approvato in esame preliminare due decreti attuativi della legge 132/2025: autorità nazionali AgID e ACN, formazione obbligatoria trasversale, biometria per la polizia, responsabilità civile e il nuovo art. 437-bis c.p. Cosa cambia per aziende, PA e professionisti.

AIComplianceGovernance
AIComplianceGovernance AIComplianceGovernanceLegge 132/2025EU AI Act
Sommario
  1. Cosa è successo
  2. Da dove vengono: la legge 132/2025
  3. La governance si completa
  4. Formazione: un obbligo trasversale
  5. Polizia e biometria: perimetro stretto
  6. Responsabilità civile: il baricentro si sposta sul danneggiato
  7. Art. 437-bis: il penale entra nei sistemi ad alto rischio
  8. Cosa significa in pratica
Intelligenza Artificiale

Intelligenza Artificiale

Consulenza EU AI Act: classificazione dei sistemi, policy, governance AI, formazione.

Scopri →

Cosa è successo

Il 10 giugno 2026 il Consiglio dei Ministri (riunione n. 177) ha approvato in esame preliminare due decreti legislativi attuativi della legge 132/2025, la legge italiana sull’intelligenza artificiale. Il primo riguarda i poteri delle autorità nazionali e l’uso dell’IA nella formazione; il secondo l’uso dei sistemi di IA per l’attività di polizia e la responsabilità civile e penale. Entrambi adeguano l’ordinamento al Regolamento (UE) 2024/1689 — l’AI Act — senza introdurre una disciplina alternativa: ne sono il completamento nazionale.

La precisazione che conta: esame preliminare non significa in vigore. I due schemi passano ora ai pareri delle Commissioni parlamentari, della Conferenza e delle autorità competenti, poi torneranno in Consiglio dei Ministri per l’approvazione definitiva. I testi possono ancora cambiare. La finestra però è stretta: la delega della legge 132/2025 va esercitata entro dodici mesi dall’entrata in vigore, cioè entro ottobre 2026.

Da dove vengono: la legge 132/2025

La legge 23 settembre 2025, n. 132 — in vigore dal 10 ottobre 2025 — è stata la prima legge nazionale organica sull’IA in un Paese UE. Ha designato le autorità nazionali richieste dall’AI Act (designazione che l’Italia, come la maggior parte degli Stati membri, non aveva completato entro il termine europeo del 2 agosto 2025), ha introdotto disposizioni già operative su sanità, lavoro, professioni e diritto d’autore, ha creato il reato di deepfake illecito (art. 612-quater c.p.) e ha autorizzato investimenti fino a 1 miliardo di euro in venture capital per IA, cybersecurity, tecnologie quantistiche e telecomunicazioni. Soprattutto, ha delegato il Governo ad adeguare l’ordinamento al regolamento europeo: i decreti del 10 giugno sono l’esercizio di quella delega.

La governance si completa

Il primo decreto conferma e dettaglia l’architettura istituzionale:

  • AgID è l’autorità di notifica (accredita e vigila gli organismi di valutazione della conformità);
  • ACN — l’Agenzia per la Cybersicurezza Nazionale — è l’autorità di vigilanza del mercato e il punto di contatto unico con le istituzioni UE;
  • Banca d’Italia, CONSOB e IVASS vigilano sui sistemi ad alto rischio usati dagli intermediari finanziari;
  • il Garante privacy interviene sui sistemi ad alto rischio nei settori sensibili: attività di contrasto, gestione delle frontiere, giustizia, processi democratici.

Il coordinamento passa dal Dipartimento per la trasformazione digitale della Presidenza del Consiglio. Sul fronte sanzioni, il quadro è graduato e calibrato sul ruolo di ciascun soggetto lungo la catena di fornitura, e l’Italia si avvale della facoltà concessa dall’AI Act di fissare massimali inferiori ai tetti europei: gli importi non sono ancora noti — il comunicato non li quantifica, serviranno i testi.

Formazione: un obbligo trasversale

La parte più estesa del primo decreto porta l’IA nella formazione di quasi tutti i comparti. In sintesi:

  • Scuola — IA nei percorsi educativi e nell’educazione civica, competenze STEAM, 100 milioni di euro per la formazione dei docenti, con attenzione a rischi e dipendenze digitali dei minori.
  • Università, AFAM e ITS Academy — attività formative sull’uso sicuro e consapevole dei sistemi: funzionamento, interpretazione degli output, profili giuridici, cybersicurezza; qualità monitorata da ANVUR.
  • Pubblica amministrazione — tre livelli: alfabetizzazione per tutti i dipendenti, riqualificazione specialistica, alta formazione per dirigenti e responsabili della transizione digitale, in raccordo con la Scuola Nazionale dell’Amministrazione.
  • Sanità — formazione sull’IA obbligatoria nell’ECM con una quota dedicata, formazione manageriale per i dirigenti e piattaforma nazionale “MIA” (PNRR, in sperimentazione Agenas).
  • Professioni — alfabetizzazione tecnica, giuridica e deontologica e doveri informativi verso il cliente; gli ordini professionali hanno sei mesi per adeguare i regolamenti e dodici mesi per integrare i parametri dell’equo compenso, commisurandoli alla classe di rischio del sistema usato.
  • Giustizia — formazione dei magistrati affidata alla Scuola Superiore della Magistratura, con un principio ribadito: l’IA non sostituisce la decisione del giudice.

Sul lavoro il decreto stabilisce che le decisioni sulla costituzione, modifica o risoluzione del rapporto — compresi licenziamenti e provvedimenti disciplinari — non possano essere adottate unicamente sulla base di un trattamento automatizzato: il licenziamento deciso in violazione è nullo.

Polizia e biometria: perimetro stretto

Il secondo decreto disciplina l’uso dell’IA da parte delle forze di polizia escludendo esplicitamente la sorveglianza di massa. L’identificazione biometrica remota in tempo reale richiede l’autorizzazione preventiva dell’autorità giudiziaria, è limitata a finalità tassative (minacce specifiche e gravi alla sicurezza e all’ordine pubblico, ricerca di scomparsi e di vittime di sequestro, tratta o sfruttamento sessuale) e dura al massimo quindici giorni, prorogabili con provvedimento motivato. Vietate le banche dati biometriche alimentate con scraping non mirato dal web.

Il riconoscimento facciale a posteriori è attivabile solo dopo un reato, per identificare persone già indiziate sulla base di elementi oggettivi e verificabili. Titolare del trattamento è il Ministero dell’Interno; i dati vengono cancellati dopo sette giorni, i log — non modificabili — conservati cinque anni. Nessuna decisione pregiudizievole può basarsi unicamente sull’output del sistema: la decisione finale resta umana.

Responsabilità civile: il baricentro si sposta sul danneggiato

Per chi sviluppa, integra o usa professionalmente sistemi di IA, questa è la parte da leggere due volte. Il decreto introduce quattro strumenti a favore del danneggiato:

  1. accesso alla documentazione tecnica del sistema;
  2. presunzione del nesso di causalità quando il danno deriva dalla violazione degli obblighi dell’AI Act, con alleggerimento dell’onere probatorio;
  3. foro alternativo presso il giudice di residenza del danneggiato persona fisica;
  4. azione diretta verso l’assicuratore del responsabile.

La conseguenza operativa è netta: la documentazione di conformità smette di essere un adempimento formale e diventa la prima difesa processuale. Chi è in regola con gli obblighi del regolamento europeo neutralizza la presunzione; chi non lo è parte in svantaggio probatorio.

Art. 437-bis: il penale entra nei sistemi ad alto rischio

Il decreto introduce nel codice penale il nuovo art. 437-bis, che punisce l’omessa adozione di misure di sicurezza — tecniche e di sorveglianza umana — nei sistemi di IA ad alto rischio, e la loro alterazione illecita, quando ne derivi un pericolo concreto per la vita, l’incolumità pubblica o la sicurezza dello Stato. Il comunicato non quantifica le pene; secondo le prime ricostruzioni dei testi, l’omessa adozione sarebbe punita con la reclusione da 1 a 5 anni — da 2 a 8 se il pericolo riguarda l’incolumità pubblica o la sicurezza dello Stato — e l’alterazione illecita da 2 a 6 anni, fino a 10 nei casi più gravi. La punibilità è ancorata al pericolo concreto e, per la forma colposa, alla colpa grave.

Il punto che riguarda direttamente le aziende: la responsabilità si estende agli enti ai sensi del d.lgs. 231/2001. I modelli organizzativi andranno aggiornati per coprire progettazione, addestramento, immissione sul mercato e uso professionale dei sistemi ad alto rischio.

Cosa significa in pratica

  • Niente è ancora in vigore. I testi possono cambiare nei pareri; ma la direzione — governance ACN/AgID, formazione obbligatoria, responsabilità rafforzate — è tracciata, e l’approvazione definitiva è attesa entro la scadenza della delega di ottobre 2026.
  • La bussola resta l’AI Act. I decreti attuano il regolamento, non lo sostituiscono. Le scadenze europee corrono in parallelo: come abbiamo scritto a proposito del Digital Omnibus, il differimento dell’alto rischio è ancora un accordo provvisorio, e gli obblighi di trasparenza restano sul calendario 2026.
  • La documentazione tecnica diventa un asset difensivo su tre fronti: sanzioni amministrative graduate, presunzione civile, rischio penale ex 437-bis. Conviene trattarla come tale, non come burocrazia.
  • La formazione va pianificata ora. Per PA, sanità e ordini professionali i decreti fissano obblighi con termini precisi, che scatteranno con l’approvazione definitiva; per le imprese l’alfabetizzazione IA era comunque già dovuta dall’art. 4 dell’AI Act.
  • Assicurazioni: l’azione diretta verso l’assicuratore farà crescere il peso delle polizze sui rischi IA, lato sviluppatori e lato utilizzatori.

Nel contesto europeo l’Italia si muove in anticipo: a oggi solo Danimarca, Italia e Finlandia hanno leggi nazionali di attuazione dell’AI Act in vigore — Malta ha provveduto con normativa secondaria — e quella italiana è l’unica organica; la Spagna ha l’agenzia AESIA operativa, ma la legge è ancora in Parlamento. Per un inquadramento generale degli obblighi europei resta utile la nostra panoramica su cosa cambia con l’AI Act; sull’integrazione tra GDPR e AI Act, compliance automatizzata per il DPO.

Link: Comunicato stampa del Consiglio dei Ministri n. 177 — 10 giugno 2026 · Legge 23 settembre 2025, n. 132 — Normattiva

Vuoi supporto? Sei sotto attacco? Stato dei servizi
Vuoi supporto? Sei sotto attacco? Stato dei servizi