Il Senato ha approvato il 17 settembre 2025 in via definitiva la legge italiana sull’Intelligenza Artificiale, primo esempio in Europa che disciplina lo sviluppo e l’adozione dei sistemi di IA in coerenza con l’AI Act europeo (Regolamento (UE) 2024/1689 (“AI Act“)), secondo una visione antropocentrica, e nel solco di un uso trasparente e responsabile dell’IA. Si occupa di diversi settori nei quali l’IA può essere adottata – sanità, lavoro, pubblica amministrazione e giustizia– prevedendo garanzie di trasparenza e di responsabilità.
Come proclamato all’art. 1 «l'utilizzo di sistemi e di modelli di intelligenza artificiale per finalità generali avvengono nel rispetto dei diritti fondamentali e delle libertà previste dalla Costituzione, del diritto dell'Unione europea e dei principi di trasparenza, proporzionalità, sicurezza, protezione dei dati personali, riservatezza, accuratezza, non discriminazione, parità dei sessi e sostenibilità». Tali sistemi devono garantire il potere decisionale dell’uomo, l’explicability, la trasparenza ed in linea con NIS 2 deve essere garantita la cybersicurezza lungo tutto il ciclo di vita di tali sistemi, secondo un approccio proporzionale e basato sul rischio.
Tale disegno di legge pone un problema di rapporti tra Governo e Parlamento perché le scelte di maggior momento sono demandate a futuri decreti legislativi, quali ad esempio il bilanciamento tra innovazione e tutela dei diritti fondamentali. La legge delega il governo a disciplinare ampi spazi lasciati vuoti sia con decreti delegati che con decreti ministeriali.
Ci si deve anche chiedere se sussista un rischio di ipertrofia normativa rispetto al quadro già dettagliato dall’AI Act.
In realtà la legge italiana è una “legge di principi”, carente di strumenti pratici di risoluzione delle situazioni di conflitto (vd. artt. 1 e 3, art. 14 sulla pubblica amministrazione). La legge ribadisce l’importanza della esplicabilità e trasparenza dei sistemi di ia, ma demanda ai decreti delegati la definizione dei meccanismi concreti (M. Martorana, Legge italiana sull’intelligenza artificiale: la partita si apre ora, in agendadigitale.eu, 29.09.2024).
Per quanto riguardo l’uso delI’IA nella pubblica amministrazione si riprendono puntualmente i principi già delineati dalla giurisprudenza amministrativa (G. Marino, AI Act all’italiana: più teoria che innovazione. E due punti critici, in Econopoly, 6 ottobre 2025) quali (i) la conoscenza della logica sottesa all’operazione algoritmica; (ii) il principio della non esclusività della decisione automatizzata e (iii) la necessità di una motivazione stringente sul funzionamento dell’algoritmo. In tale ambito l’uso dell’IA dovrebbe servire a implementare l'efficienza della attività amministrativa, riducendo i tempi di definizione dei procedimenti, rafforzando la qualità e la quantità dei servizi erogati.
A dimostrazione della presenza di una legge talvolta solo di principio l’art. 14 afferma che le amministrazioni sono tenute ad assicurare agli interessati “la conoscibilità del funzionamento e la tracciabilità” dell’utilizzo dei sistemi di IA, senza dare indicazioni sul “come” la pubblica amministrazione possa dare garanzie di questo tipo e quali informazioni essa debba effettivamente dare e con quali risorse provvedere.
In linea con l’AI Act la legge non si applica alla sicurezza e difesa nazionale e sono poi previste disposizioni di settore: in ambito sanitario i sistemi di intelligenza artificiale devono costituire un supporto «nei processi di prevenzione, diagnosi, cura e scelta terapeutica, lasciando impregiudicata la decisione, che è sempre rimessa agli esercenti la professione medica». Si prevede l’utilizzo per finalità di ricerca e sperimentazione di sistemi di intelligenza artificiale, compresi gli «spazi speciali di sperimentazione a fini di ricerca», la cui disciplina è tuttavia demandata a un decreto del Ministro della salute che sarà chiamato a individuare le misure di sicurezza: potere molto delicato.
Innovative sono invece le disposizioni che consentono il riuso di dati sanitari anonimizzati o pseudonimizzati, restando l'obbligo di informativa in favore dell'interessato, per incentivare la ricerca e la sperimentazione scientifica nello sviluppo di sistemi di AI in ambito sanitario da parte di enti di ricerca nel rispetto dei dati personali (cfr. G. Marino, AI Act, cit.), rinviando però al ministero la disciplina attuativa di tale previsione.
L’art. 5 in materia di sviluppo economico prevede un principio importante ovvero che le piattaforme di e-procurement delle amministrazioni pubbliche nella scelta dei fornitori di sistemi di intelligenza artificiale, favoriscano quelle soluzioni «che garantiscono la localizzazione e l'elaborazione dei dati strategici presso data center posti nel territorio nazionale, le cui procedure di disaster recovery e business continuity siano implementate in data center posti nel territorio nazionale».
Sul piano della governance, un ruolo centrale è attribuito all’ Agenzia per la Cybersicurezza Nazionale (ACN) e all’Agenzia per l’Italia Digitale (AgID) quali Autorità nazionali competenti: ACN controlla, con poteri anche ispettivi e sanzionatori, la sicurezza dei sistemi, AgID gestisce le notifiche, la valutazione e accreditamento degli organismi di certificazione e favorisce casi d’uso sicuri: sussiste tuttavia il concreto rischio di una sovrapposizione se non una collisione tra le due autorità tanto è che è stato creato un nuovo Comitato di raccordo presso la presidenza del Consiglio. Inoltre, la definizione dei poteri di vigilanza di tali autorità è demandata a un futuro intervento del governo nell’esercizio del potere delegato. Le due autorità inoltre gestiscono congiuntamente gli spazi delle regulatory sandboxes per testare sistemi di IA in ambiente controllato, aspetto anch’esso che può portare a forme di collisione in assenza di una predeterminazione legislativa delle rispettive competenze.
Al centro della legge vi è un approccio umano centrico e l’IA concepita come ausilio per un’attività che deve continuare ad avere al centro la persona fisica, in linea con la disciplina prevista dall’AI Act.
La legge nazionale, tuttavia, non fa proprio l’approccio basato sul rischio e casi d’uso, che è alla base dell’AI Act, prevedendo talvolta regole stringenti che potrebbero essere applicate anche a sistemi a rischio minimo con conseguente ridimensionamento della innovazione.
Per quanto attiene al mondo del lavoro secondo l’art. 11 della legge i sistemi di intelligenza artificiale possono essere utilizzati per «migliorare le condizioni di lavoro, tutelare l'integrità psicofisica dei lavoratori, accrescere la qualità delle prestazioni lavorative e la produttività delle persone» nel rispetto del diritto dell'Unione europea, del divieto di discriminazione e dei principi di sicurezza, affidabilità, trasparenza e garanzia della dignità umana. Il datore di lavoro è inoltre tenuto a informare il lavoratore dell'utilizzo dell'intelligenza artificiale. In tale ambito è inoltre prevista la creazione di un osservatorio sulla adozione dell’IA nel lavoro che dovrà vigilare sull’impatto dell’ia nel modo del lavoro e garantire la formazione dei lavoratori e dei datori di lavoro in materia di intelligenza artificiale.
L’art. 13 si riferisce invece all’utilizzo di sistemi di IA nelle professioni intellettuali come avvocato, o notaio e prevede la possibilità di demandare alla tecnologia solo attività strumentali e di supporto «con prevalenza del lavoro intellettuale» previa comunicazione al cliente circa il loro impiego.
Rispetto al sistema giustizia, prima viene ribadito il principio antropocentrico per cui «è sempre riservata al magistrato ogni decisione sull’interpretazione e sull’applicazione della legge, sulla valutazione dei fatti e delle prove e sull’adozione dei provvedimenti», ambiti tradizionalmente di dominio del magistrato, poi però viene rimessa al ministero della Giustizia la disciplina degli «impieghi dei sistemi di intelligenza artificiale per l’organizzazione dei servizi relativi alla giustizia, per la semplificazione del lavoro giudiziario e per le attività amministrative accessorie», oltre al potere di “autorizzarne” la sperimentazione nei Tribunali e nelle procure fino alla compiuta attuazione del regolamento ue.
La legge contiene altresì delle novità dal punto di vista penale introducendo la nuova fattispecie di diffusione illecita di contenuti generati o alterati con sistemi di ia che cagioni un danno ingiusto e l’aggravante dell’impiego di sistemi di ia qualora utilizzati come “mezzi insidiosi”.
Inoltre, l’art. 16 delega al Governo la disciplina organica sull’utilizzo di algoritmi e metodi matematici per l’addestramento di sistemi di ia ma occorre segnalare l’eccessiva ampiezza e generalità dei principi e criteri direttivi della delega.
Dal punto di vista finanziario poi la previsione della clausola di invarianza impone di attuare la legge a costo zero anche se essa impone attività di vigilanza e formazione che hanno elevati costi, costringendo così le amministrazioni ad implementare tale sistema con le scarse risorse a disposizione (si pensi anche soltanto ai costi per l’attività di formazione del personale).
In conclusione, siamo dinanzi ad una “legge di principi ad attuazione differita” data l’ampiezza degli ambiti della delega al Governo e la genericità dei principi e criteri direttivi (cfr. art. 24 per quanto attiene alla previsione di un’apposita disciplina per l’utilizzo dell’ia per l’attività di polizia e la previsione di percorsi di formazione in materia di utilizzo di ia) su alcuni dei temi di maggior momento, demandando al Governo le scelte cruciali sull’uso dell’IA nei più diversi settori dell’ordinamento con conseguenti rischi connessi al principio della rappresentanza.