
La legge italiana sull’intelligenza artificiale rappresenta un momento cruciale nella storia normativa del Paese: il 23 settembre 2025, con l’approvazione della Legge 132, l’Italia è diventata il primo Stato membro dell’Unione Europea a dotarsi di un framework legislativo organico che disciplina sviluppo, adozione e governance dei sistemi di IA nel rispetto dei principi costituzionali e in piena coerenza con l’AI Act europeo.
Pubblicata nella Gazzetta Ufficiale n. 223 del 25 settembre 2025 ed entrata in vigore il 10 ottobre dello stesso anno, questa normativa composta da 28 articoli suddivisi in sei capi tocca ogni aspetto della rivoluzione algoritmica: dalla sanità al lavoro, dalla giustizia alle professioni intellettuali, dalla tutela del diritto d’autore alla lotta contro i deepfake. Con la designazione di AgID e ACN come autorità nazionali, l’istituzione di una strategia biennale e lo stanziamento di un miliardo di euro per startup e PMI innovative, la legge disegna un’architettura ambiziosa che mira a bilanciare innovazione tecnologica e tutela dei diritti fondamentali.
Ma dietro le apparenze di una normativa completa e strutturata, emergono interrogativi inquietanti sulla reale portata innovativa di questo intervento. L’articolo 1, comma 2 stabilisce una subordinazione interpretativa totale al Regolamento UE 2024/1689, mentre l’articolo 3, comma 5 garantisce espressamente che non verranno introdotti obblighi più stringenti di quelli europei. La clausola di invarianza finanziaria dell’articolo 27 nega alle nuove autorità i mezzi per esercitare efficacemente le loro funzioni. Le ampie deleghe al Governo per l’emanazione di decreti attuativi entro 12 mesi lasciano irrisolte questioni fondamentali su responsabilità civile, standard tecnici e meccanismi sanzionatori.
Siamo dunque di fronte a un’architettura normativa ambiziosa che può posizionare l’Italia come leader europeo nella governance dell’IA, o a un esercizio di conformità formale verso Bruxelles che si limita a spuntare caselle burocratiche senza affrontare le sfide concrete dell’innovazione? Questo documento offre un’analisi critica e approfondita della Legge 132/2025, esaminandone punti di forza e debolezze strutturali, comparando l’approccio italiano con le strategie di Francia e Germania, e valutando se il nostro Paese saprà tradurre principi teorici in un ecosistema regolatorio realmente efficace.
Siamo di fronte a un’architettura normativa ambiziosa o a un esercizio di conformità formale verso Bruxelles? La risposta, come spesso accade nel diritto dell’innovazione tecnologica, è complessa e sfaccettata.
La legge italiana sull’intelligenza artificiale: l’architettura di una subordinazione volontaria
La prima cosa che colpisce leggendo il testo è la scelta netta operata all’articolo 1, comma 2: “Le disposizioni della presente legge si interpretano e si applicano conformemente al regolamento (UE) 2024/1689“. Non si tratta di una semplice clausola di compatibilità, ma di una vera e propria subordinazione ermeneutica totale. Il legislatore italiano ha rinunciato preventivamente a qualsiasi margine di interpretazione divergente rispetto all’AI Act europeo.
Questa scelta può apparire prudente, persino saggia. In fondo, perché creare frammentazioni in un mercato unico digitale che funziona solo se armonizzato? Ma confrontando l’approccio italiano con quello di altri Stati membri, emerge un pattern diverso.
La Germania sta investendo 5 miliardi di euro (2018-2025) con l’obiettivo ambizioso di portare l’IA al 10% del PIL entro il 2030, concentrandosi fortemente sul trasferimento tecnologico nei settori industriali e manifatturieri, sfruttando i margini di manovra che il Regolamento europeo lascia aperti per l’integrazione settoriale.
La Francia ha enfatizzato massicciamente la sovranità tecnologica con 109 miliardi di euro di investimenti pubblico-privati annunciati entro il 2030, creando ecosistemi nazionali di eccellenza attraverso campus di data center e fondi dedicati. L’Italia, invece, ha scelto la via della certezza giuridica minimale.
E non si è fermata qui. L’articolo 3, comma 5 stabilisce che “La presente legge non produce nuovi obblighi rispetto a quelli previsti dal regolamento (UE) 2024/1689“. È una clausola di non-aggravamento che suona quasi come una promessa agli investitori: “Qui non troverete vincoli più severi dell’Europa“. Dal punto di vista della competitività economica ha senso, certo. Ma significa anche rinunciare a utilizzare lo spazio normativo disponibile per affrontare rischi specifici del contesto nazionale o per sperimentare regolamentazioni più protettive in settori sensibili come la sanità pubblica o l’istruzione.
Il paradosso è che questa scelta di minimalismo normativo convive con una proliferazione di organismi, comitati e autorità di coordinamento che genera l’impressione opposta: quella di un apparato burocratico pesante e stratificato. Come si conciliano queste due anime della legge?
Il labirinto delle Autorità: governance policentrica o confusione organizzativa?
Il modello italiano di governance dell’intelligenza artificiale somiglia a un organismo multicefalo dove ogni testa ha competenze specifiche ma i meccanismi di coordinamento appaiono fragili. Da un lato c’è l’AgID (Agenzia per l’Italia Digitale), incaricata di promuovere l’innovazione, gestire le procedure di notifica e accreditare gli organismi che valutano la conformità dei sistemi. Dall’altro c’è l’ACN (Agenzia per la Cybersicurezza Nazionale), che si occupa di vigilanza, ispezioni, sanzioni e rappresenta il punto di contatto unico con le istituzioni europee.
A queste si aggiungono le autorità settoriali: Banca d’Italia, CONSOB e IVASS per il mondo finanziario; il Garante per la Privacy per la protezione dei dati personali; AGCOM per i servizi digitali. Poi ci sono i comitati: il Comitato di coordinamento tra le agenzie, il CITD (Comitato Interministeriale per la Transizione Digitale) che approva la strategia nazionale, l’Osservatorio sul lavoro istituito presso il Ministero del Lavoro.
Sulla carta, questo policentrismo garantisce specializzazione e competenza settoriale. Nella pratica, solleva interrogativi pressanti: cosa succede quando due autorità hanno interpretazioni divergenti su un caso concreto? Il Comitato di coordinamento previsto dall’articolo 20 ha poteri vincolanti per risolvere controversie o è solo un tavolo di discussione? E soprattutto, considerando che l’articolo 27 stabilisce l’invarianza finanziaria (nessuna nuova spesa), come faranno AgID e ACN a esercitare funzioni ispettive e sanzionatorie complesse con le risorse esistenti?
La storia della regolamentazione italiana è piena di autorità che sulla carta hanno competenze ampie ma nella pratica operano con mezzi risicati e personale insufficiente. Il rischio concreto è che questo modello di governance produca più coordinamento formale che vigilanza effettiva, più riunioni che enforcement reale.
La strategia nazionale: strumento di direzione o documento simbolico?
L’articolo 19 prevede una strategia nazionale biennale per l’intelligenza artificiale, da predisporre attraverso un processo complesso che coinvolge la Presidenza del Consiglio, le Autorità nazionali, vari ministeri competenti e infine l’approvazione del CITD. Sulla carta è uno strumento di pianificazione strategica. Ma osservando più da vicino, emergono fragilità strutturali.
Innanzitutto, la vincolatività: questa strategia produce obblighi giuridici concreti per amministrazioni pubbliche e operatori privati, o rimane un documento di indirizzo politico? La legge non lo chiarisce. Poi c’è la questione delle risorse: senza dotazioni finanziarie dedicate (ancora una volta, clausola di invarianza), come si traducono le priorità strategiche in azioni concrete? E infine, la cadenza biennale appare anacronistica per un settore dove l’evoluzione tecnologica procede a ritmi frenetici. Una strategia che si aggiorna ogni due anni rischia di essere superata dagli eventi prima ancora di essere pienamente implementata.
Il monitoraggio annuale trasmesso alle Camere (articolo 19, comma 4) dovrebbe garantire accountability, ma la storia parlamentare italiana suggerisce che questi meccanismi di rendicontazione spesso si riducono a rituali formali senza conseguenze operative. Per funzionare davvero, la strategia avrebbe bisogno di KPI misurabili, milestone verificabili e soprattutto meccanismi sanzionatori per amministrazioni inadempienti. Nulla di tutto questo è presente nel testo.
Il settore sanitario: prudenza o paralisi?
Gli articoli dedicati alla sanità (7-10) incarnano bene l’approccio generale della legge: enfasi sulla tutela, sul controllo umano, sulla responsabilità professionale, ma con genericità che lasciano irrisolte questioni pratiche cruciali. L’articolo 7, comma 5 stabilisce un principio netto: i sistemi di intelligenza artificiale “costituiscono un supporto nei processi di prevenzione, diagnosi, cura e scelta terapeutica, lasciando impregiudicata la decisione, che è sempre rimessa agli esercenti la professione medica.”
Questo approccio del “supporto non sostitutivo” sembra ragionevole, quasi ovvio. Ma proviamo a calarlo in scenari concreti. Immaginiamo un pronto soccorso sotto pressione, dove un algoritmo di triage basato su intelligenza artificiale potrebbe ottimizzare l’allocazione delle risorse analizzando simultaneamente centinaia di variabili cliniche. Se la legge richiede che ogni decisione passi comunque attraverso validazione umana, l’efficienza del sistema viene drasticamente ridotta.
Oppure pensiamo ai sistemi di diagnostica per immagini: alcuni algoritmi hanno ormai dimostrato accuratezza superiore al radiologo medio nell’identificazione di certe patologie. Se il medico disattende il suggerimento dell’IA e commette un errore che il sistema avrebbe evitato, qual è la sua responsabilità medico-legale?
La legge non distingue tra sistemi di supporto decisionale debole (che forniscono informazioni aggiuntive) e sistemi di supporto decisionale forte (che propongono decisioni con evidenza statistica robusta). Questa mancanza di granularità rischia di produrre incertezza applicativa e, paradossalmente, di frenare l’adozione di tecnologie che potrebbero migliorare gli outcome clinici.
L’articolo 10 introduce un’innovazione potenzialmente significativa: una piattaforma nazionale di intelligenza artificiale gestita dall’AGENAS (Agenzia Nazionale per i Servizi Sanitari Regionali) per supportare l’assistenza territoriale. È un tentativo ambizioso di centralizzare servizi IA per il Servizio Sanitario Nazionale. Ma anche qui, il diavolo si nasconde nei dettagli assenti: quali standard di interoperabilità? Come si gestisce il consenso informato dei pazienti?
Quali protocolli di sicurezza informatica per proteggere dati sanitari sensibilissimi? Quali meccanismi di governance tra Stato, Regioni e ASL? La legge tace su tutto questo, rimandando a futuri provvedimenti AGENAS che dovranno affrontare questioni tecniche e politiche di enorme complessità.
Il mondo del lavoro: tutele dichiarate, applicazione incerta
Gli articoli sul lavoro (11-12) cercano di bilanciare innovazione organizzativa e tutela dei diritti dei lavoratori, ma restano su un livello di generalità che lascia aperte le questioni più controverse. L’articolo 11 stabilisce che l’uso dell’intelligenza artificiale in ambito lavorativo deve essere “sicuro, affidabile, trasparente” e non può violare “la dignità umana né la riservatezza dei dati personali“. Il datore di lavoro deve informare il lavoratore dell’utilizzo dell’IA “nei casi e con le modalità” previste dal decreto legislativo 152/1997.
Ma cosa significa concretamente “trasparenza” quando si parla di algoritmi di gestione delle prestazioni lavorative? I sistemi di rating automatico dei rider, gli algoritmi che assegnano turni nei call center, i software che monitorano produttività degli smart worker: sono tutti sistemi di IA ad alto rischio secondo l’AI Act? E se lo sono, quali specifiche tutele devono essere implementate? La legge italiana non fornisce chiarimenti aggiuntivi rispetto al Regolamento europeo.
Poi c’è la questione spinosa del consenso. Fino a che punto il consenso di un lavoratore all’uso di sistemi IA può considerarsi libero, data l’asimmetria di potere contrattuale intrinseca al rapporto di lavoro subordinato? Se un algoritmo valuta le performance e influenza promozioni o licenziamenti, il lavoratore può realmente “opporsi” senza subire conseguenze?
L’Osservatorio istituito dall’articolo 12 presso il Ministero del Lavoro dovrebbe monitorare l’impatto dell’IA sul mercato del lavoro e promuovere formazione. Ma senza poteri normativi, budget dedicato o meccanismi di enforcement, rischia di diventare l’ennesimo organismo consultivo che produce report mai letti e raccomandazioni mai implementate. Il testo specifica addirittura che ai componenti dell’Osservatorio non spettano “compensi, gettoni di presenza, rimborsi di spese o altri emolumenti“. È difficile aspettarsi un impegno continuativo e di qualità da chi lavora gratuitamente in aggiunta alle proprie funzioni principali.
Giustizia algoritmica: conservatorismo necessario?
L’articolo 15 traccia una linea netta: nell’attività giudiziaria “è sempre riservata al magistrato ogni decisione sull’interpretazione e sull’applicazione della legge, sulla valutazione dei fatti e delle prove e sull’adozione dei provvedimenti“. Nessuna delega, nessuna automazione, nessuna sostituzione.
Questo approccio conservativo si spiega con la natura costituzionalmente garantita dell’indipendenza della magistratura e con i rischi evidenti di bias algoritmici in decisioni che incidono su libertà fondamentali. Eppure, pone interrogativi pratici. Sistemi di intelligenza artificiale sono già usati in altri ordinamenti per analisi predittiva del rischio di recidiva (che influenza decisioni cautelari), per ricerca giurisprudenziale avanzata, per analisi di enormi masse documentali in casi di criminalità economica complessa.
La legge prevede che sperimentazione e impiego di sistemi IA negli uffici giudiziari siano autorizzati dal Ministero della Giustizia, sentite le Autorità nazionali. Questa procedura centralizzata e autorizzativa potrebbe rallentare significativamente l’innovazione. Paesi come Estonia e Francia stanno sperimentando soluzioni avanzate di “justice analytics” con risultati promettenti.
L’Estonia ha sviluppato sistemi che assistono i giudici nella ricerca di precedenti giurisprudenziali e nell’identificazione di pattern decisionali, riducendo i tempi di istruttoria e garantendo maggiore uniformità nelle sentenze. Il progetto pilota estone per controversie civili minori utilizza l’IA per analizzare documentazione e proporre decisioni basate su casi analoghi, pur mantenendo sempre la supervisione umana finale.
La Francia ha implementato DataJust per la valutazione di risarcimenti danni e Predictice per analisi predittive su probabilità di successo delle cause, ottenendo riduzioni del 20-30% nei tempi processuali e maggiore prevedibilità delle decisioni. Questi sistemi non sostituiscono il giudice ma fungono da “assistente aumentato”, fornendo ricerca giurisprudenziale istantanea, analisi di coerenza e ottimizzazione procedurale.
L’Italia, con il suo approccio ultra-conservativo che riserva ogni decisione al magistrato, rischia di rimanere indietro in un’evoluzione tecnologica che sta già migliorando efficienza e trasparenza nei sistemi giudiziari più avanzati.
L’articolo 15, comma 4 prevede attività formative per magistrati su IA, il che è certamente positivo. Ma formare i magistrati su tecnologie che poi non possono usare in modo significativo ha utilità limitata. Sarebbe stato più coraggioso definire casi d’uso specifici dove l’assistenza algoritmica è ammessa con adeguate garanzie, piuttosto che un divieto generale temperato da vaghe possibilità di sperimentazione.
La rivoluzione penale: deepfake e aggravanti tecnologiche
L’articolo 26 introduce modifiche rilevanti al codice penale, con una portata innovativa che contrasta con il conservatorismo di altre parti della legge. Il nuovo articolo 612-quater punisce con reclusione da uno a cinque anni chi diffonde contenuti generati o alterati con IA (i cosiddetti deepfake) senza consenso della persona rappresentata, causandole danno ingiusto.
È una norma necessaria, considerando la proliferazione di deepfake pornografici, diffamatori o elettorali. Ma solleva questioni interpretative complesse. Cosa significa esattamente “idoneo a indurre in inganno sulla genuinità“? Un deepfake satirico palesemente inverosimile (pensiamo a un video del Presidente che canta rap) è punibile? E se il contesto di pubblicazione (un sito di satira politica) chiarisce la natura fittizia del contenuto, sussiste ancora l’idoneità ingannatoria?
La punibilità a querela (salvo casi specifici) potrebbe essere inadeguata per deepfake virali, dove il danno reputazionale è spesso irreversibile prima che la querela possa produrre effetti. Sarebbe stato più protettivo prevedere procedibilità d’ufficio almeno per i deepfake a contenuto sessuale o diffamatorio.
L’aggravante introdotta all’articolo 61 numero 11-decies del codice penale (pena aumentata per reati commessi mediante IA quando costituisce “mezzo insidioso” o ostacola la difesa) è ancora più problematica. Quando l’uso di IA è “insidioso”? Solo quando l’autore del reato la usa deliberatamente per occultare la propria identità, o l’opacità algoritmica intrinseca ai sistemi di IA rende sempre l’uso “insidioso”? Se qualcuno usa un traduttore automatico (che è IA) per scrivere email di phishing, l’aggravante si applica?
La formulazione amplissima rischia applicazioni giurisprudenziali disomogenee e imprevedibili. Nei prossimi anni vedremo probabilmente contenzioso intenso su questi punti, con sentenze che dovranno riempire di contenuto categorie molto generiche.
Diritto d’Autore: la riaffermazione dell’umano (e i suoi paradossi)
L’articolo 25 modifica la legge sul diritto d’autore stabilendo che la tutela spetta alle opere dell’”ingegno umano“, anche se create con ausilio di IA, purché siano “risultato del lavoro intellettuale dell’autore“. È una riaffermazione di antropocentrismo creativo che contrasta con chi vorrebbe estendere la tutela autorale anche agli output puramente generati da macchine.
Ma anche qui, la pratica si vendicherà della teoria. Cosa costituisce “lavoro intellettuale dell’autore” quando si usano modelli generativi? Chi scrive prompt complessi e iterativi per ottenere un’opera specifica da GPT-4 o DALL-E esercita lavoro intellettuale tutelabile? E chi seleziona tra centinaia di output generati quello da pubblicare? E chi modifica successivamente l’output dell’IA?
Non ci sono risposte univoche nel testo. Casi borderline richiederanno valutazioni giudiziarie onerose, con conseguente incertezza giuridica per artisti, designer, scrittori che usano strumenti IA nel loro processo creativo. Questa incertezza potrebbe paradossalmente frenare l’adozione di tecnologie che amplificano la creatività umana.
Il nuovo articolo 70-septies sulla legittimità dell’estrazione di testi e dati per training di modelli IA apre un’altra zona grigia. Stabilisce che l’estrazione è consentita “in conformità” agli articoli 70-ter e 70-quater che a loro volta richiamano il rispetto della Convenzione di Berna. Ma questo significa sistema opt-out (l’uso è lecito salvo riserva esplicita dell’autore) o opt-in (serve autorizzazione preventiva)? Come si gestiscono le opere orfane, di cui non si identificano i titolari? L’uso commerciale dei modelli addestrati è rilevante per la liceità del training?
Questi interrogativi alimenteranno contenzioso per anni. Le major dell’editoria, della musica e dell’audiovisivo hanno già intentato cause miliardarie contro OpenAI, Stability AI e altre aziende che sviluppano modelli generativi. La formulazione generica della legge italiana non aiuterà a risolvere queste dispute, ma semplicemente le trasferirà nelle aule dei tribunali.
Il paradosso finanziario: regolare senza spendere
L’articolo 27 stabilisce la clausola di invarianza finanziaria: dall’attuazione della legge “non devono derivare nuovi o maggiori oneri a carico della finanza pubblica“. Le amministrazioni provvederanno “con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente“.
È una formula standard nella legislazione italiana, imposta dai vincoli di bilancio. Ma applicata a una legge che istituisce nuove autorità, nuovi osservatori, nuove funzioni di vigilanza e ispezione, produce un cortocircuito logico. Come può l’ACN esercitare vigilanza su potenzialmente migliaia di sistemi IA ad alto rischio, condurre ispezioni tecniche complesse, comminare sanzioni dopo istruttorie articolate, tutto senza personale aggiuntivo e senza budget dedicato?
La risposta più probabile è: non può. O meglio, farà vigilanza selettiva su casi eclatanti, lasciando la gran parte del mercato sostanzialmente non vigilato. AgID dovrà gestire procedure di notifica e accreditamento di organismi di valutazione senza risorse dedicate. L’Osservatorio sul lavoro dovrà monitorare l’impatto dell’IA sull’occupazione con membri che lavorano gratuitamente nel tempo libero.
Questo è il paradosso italiano: si costruiscono architetture normative complesse, si istituiscono organismi e procedure, poi si nega loro i mezzi per funzionare davvero. Il risultato sarà prevedibilmente un mix di adempimenti formali, reportistica simbolica e vigilanza a campione su casi che diventano mediatici. L’enforcement sistematico e capillare previsto dall’AI Act europeo rimarrà largamente sulla carta.
L’eccezione è l’articolo 23, che autorizza investimenti fino a un miliardo di euro in equity di PMI innovative nei settori IA, cybersicurezza e tecnologie quantistiche. È una cifra significativa, da utilizzare attraverso la società di gestione del risparmio già esistente. Ma anche qui, l’assenza di criteri di selezione specificati nella legge, di KPI misurabili, di governance chiara dei fondi solleva interrogativi sull’effettiva efficacia di questi investimenti.
Le deleghe legislative: uno spazio di incertezza pericolosa
Gli articoli 16 e 24 conferiscono al Governo deleghe ampissime per adottare decreti legislativi di attuazione entro 12 mesi. La delega dell’articolo 24 è particolarmente rilevante: riguarda l’adeguamento completo della normativa italiana all’AI Act, l’introduzione di fattispecie penali specifiche per illeciti legati all’IA, la disciplina dell’uso di IA nelle indagini penali.
I principi e criteri direttivi sono formulati in modo ampio: “attribuire poteri di vigilanza“, “prevedere sanzioni proporzionate“, “regolare l’uso di IA in indagini preliminari”, “potenziare competenze STEM nei curricoli“. Questa genericità concede al Governo margini interpretativi enormi. Cosa impedisce che i decreti attuativi divergano significativamente dalle intenzioni del Parlamento?
Il termine di 12 mesi appare stretto per la complessità delle materie. Considerando i tempi per consultazioni con stakeholder, pareri parlamentari (60 giorni) e del Garante Privacy, è probabile che si ricorra a decreti attuativi sequenziali, con prima implementazione degli aspetti core (autorità, sanzioni, registri) e successivo completamento degli ambiti settoriali. Questo processo incrementale aumenta il rischio di incoerenze e lacune.
La delega sulla disciplina penale degli illeciti IA (articolo 24, commi 3-5) è particolarmente delicata. Prevede l’introduzione di fattispecie colpose per omessa adozione di misure di sicurezza quando deriva “pericolo concreto”. Ma qual è lo standard di diligenza richiesto? Un’startup con risorse limitate ha gli stessi obblighi di una big tech? Il rischio di iper-criminalizzazione è concreto, con potenziale effetto raffreddante sull’innovazione.
Le lacune strutturali: quello che manca
Al di là di quanto la legge dice, conta anche quello che non dice. L’assenza di meccanismi strutturati di partecipazione della società civile ai processi decisionali è evidente. Nessuna previsione di consultazioni pubbliche obbligatorie, di board multi-stakeholder, di rappresentanza di associazioni consumatori o ONG digitali negli organismi di governance. Questo contrasta con best practice internazionali: il Canada ha istituito AI Advisory Boards con rappresentanza ampia, la Francia ha una Commissione IA che include società civile e accademia.
La dimensione ambientale dell’IA è completamente ignorata. L’impatto energetico di data center e modelli linguistici grandi è significativo e crescente. L’articolo 3 menziona “sostenibilità” tra i principi generali ma poi non si traducono obblighi concreti su efficienza energetica, localizzazione di data center, utilizzo di energie rinnovabili. È un’occasione mancata, considerando che la transizione digitale dovrebbe essere anche ecologica.
Il rapporto tra AI Act e GDPR rimane da chiarire. Chi è titolare del trattamento quando un sistema IA coinvolge multipli attori (fornitore del modello, sviluppatore dell’applicazione, utilizzatore finale)? Come si applicano i diritti degli interessati (spiegabilità delle decisioni automatizzate) a sistemi IA complessi tipo large language model? Il coordinamento tra Garante Privacy e Autorità IA è menzionato ma non regolato in dettaglio.
Infine, l’assenza di clausole di revisione automatica (sunset clauses) è problematica. Data la rapidità dell’evoluzione tecnologica, sarebbe stato saggio prevedere revisione obbligatoria ogni 3 anni con valutazione d’impatto e eventuale riforma. Senza meccanismi di auto-aggiornamento normativo, la legge rischia obsolescenza precoce.
Prospettive: 3 futuri possibili
Guardando avanti, possiamo immaginare tre scenari per l’implementazione di questa legge.
Il primo è quello dell’attuazione formale: i decreti legislativi vengono emanati nei termini ma con contenuti minimali, le autorità sono operative sulla carta ma sotto-finanziate nella pratica, la vigilanza è simbolica e limitata a casi eclatanti. In questo scenario, la legge assolve principalmente la funzione di adempimento verso l’Unione Europea senza produrre impatto trasformativo sul sistema nazionale. È lo scenario più probabile, data la tradizione italiana di normative ambiziose seguite da implementazione tiepida.
Il secondo scenario è quello dell’implementazione incrementale: attraverso un processo graduale, si costruiscono capacità regolatorie effettive, emergono primi casi di enforcement significativo, si sviluppa giurisprudenza interpretativa che riempie di contenuto le formulazioni generiche della legge. C’è convergenza progressiva verso standard europei con alcune eccellenze settoriali (magari nella sanità digitale o nel govtech). Richiede costanza amministrativa, investimenti selettivi e capacità di apprendimento istituzionale.
Il terzo è lo scenario dell’evoluzione proattiva: l’Italia usa strategicamente i margini di manovra residui, fa investimenti significativi superando la logica dell’invarianza, sviluppa un ecosistema nazionale IA competitivo che attrae talenti e capitali, arriva a influenzare lo standard-setting europeo portando la propria esperienza. È lo scenario più auspicabile ma anche il meno probabile, perché richiede volontà politica, risorse finanziarie e visione strategica che attualmente non si intravedono.
Per passare dal primo al terzo scenario servirebbero: revisione della clausola di invarianza con stanziamenti dedicati per le autorità; maggiore ambizione strategica che vada oltre la mera conformità; semplificazione della governance con meno comitati di coordinamento e più poteri operativi alle autorità; meccanismi di fast-track normativo per aggiornamenti tecnici rapidi; coinvolgimento sistematico di società civile, accademia e imprese nei processi decisionali.
Una conclusione aperta: il test sarà nell’applicazione
La Legge 132/2025 rappresenta un punto di partenza, non di arrivo. La sua natura prevalentemente organizzativa e procedurale lascia ampio spazio ai decreti attuativi, alla normativa secondaria delle autorità e soprattutto alla prassi applicativa. Sarà l’enforcement concreto a dire se l’Italia ha costruito un framework regolatorio efficace o solo una facciata di conformità europea.
La vera sfida non è l’adozione formale della legge ma la sua traduzione in un ecosistema regolatorio agile, competente e capace di bilanciare innovazione tecnologica con tutele sostanziali. Servono autorità dotate di mezzi adeguati, professionisti formati sia giuridicamente che tecnicamente, meccanismi di aggiornamento rapido delle norme, dialogo continuo con gli operatori del settore.
Il triennio 2025-2028 sarà decisivo. In questo periodo vedremo se l’Italia riuscirà a costruire una governance dell’intelligenza artificiale all’altezza delle sfide oppure se avrà semplicemente spuntato una casella di compliance europea lasciando che il mercato proceda sostanzialmente autoregolato. La risposta dipenderà non tanto dal testo normativo quanto dalla volontà politica di investire risorse, dalla capacità amministrativa di costruire competenze, dalla determinazione a fare dell’Italia un protagonista e non un comprimario nella rivoluzione dell’intelligenza artificiale.
Per ora, abbiamo una legge. Se diventerà anche un sistema funzionante, lo scopriremo solo vivendo.
https://www.ictsecuritymagazine.com/notizie/legge-italiana-sullintelligenza-artificiale/


