La legge italiana sull’intelligenza artificiale

26 settembre 2025 - Newsletter n. 83 - Settembre 2025

L’Italia è il primo Paese dell’Unione ad adottare una legge interna nel quadro regolatorio delineato dal Regolamento (UE) 2024/1689 (“AI Act”), del quale la legge italiana riprende le definizioni, introducendo alcune imortanti specificità.

Occorrerà aspettare ancora 12 mesi dall’approvazione perché diventi pienamente operativo tramite l’esercizio delle deleghe legislative e ministeriali.

Il provvedimento si compone di 28 articoli, divisi nei seguenti Capi:

I) Capo I - Principi e finalità;

II) Capo II - Disposizioni di settore;

III) Capo III - Strategia nazionale, Autorità nazionali e azioni di promozione;

IV) Capo IV - Disposizioni a tutela degli utenti e in materia di diritto d’autore;

V) Capo V - Disposizioni penali;

VI) Capo VI - Disposizioni finanziarie e varie.

Analisi degli ambiti più rilevanti toccati dalla legge sull’IA

Protezione dei dati personali

L’art. 4 della legge ribadisce l’obbligo - già previsto dal GDPR e del Codice Privacy - di garantire che il trattamento dei dati personali nel contesto dell’intelligenza artificiale avvenga in modo lecito, corretto e trasparente (comma 2), con comunicazione dei rischi nell’uso del sistema e della possibilità di opporsi al trattamento (comma 3).

Il comma 4 dello stesso articolo prevede invece qualcosa di innovativo e richiede, per i minori di anni 14, il consenso del genitore o dell’esercente la potestà genitoriale quale unica base giuridica lecita.

Il minore che abbia compiuto 14 anni può esprimere il consenso al trattamento se i rischi dell’utilizzo del sistema IA, la possibilità di opporsi al trattamento e le altre informazioni circa l’utilizzo del sistema sono rese in maniera comprensibile in ragione dell’età.

Ambito sanitario e ricerca scientifica

L’art. 7 incoraggia l’adozione di sistemi di intelligenza artificiale per il miglioramento del sistema sanitario nazionale, per la diagnosi e cura delle malattie (comma 1), purché tali sistemi non condizionino l’accesso alle prestazioni sanitarie sulla base di criteri discriminatori (comma 2). Viene inoltre previsto che le decisioni in ambito sanitario debbano essere rimesse al medico, sebbene i sistemi di intelligenza artificiale possano costituire un supporto nei processi di prevenzione, diagnosi, cura e scelta terapeutica (art. 7 comma 5). È richiesto che i sistemi di intelligenza artificiale utilizzati in ambito sanitario, e i relativi dati, prodotti dal sistema o utilizzati per l’addestramento dello stesso, siano periodicamente aggiornati e verificati, al fine di minimizzare gli errori e migliorare la sicurezza del paziente. L’art. 8 (comma 1) prescrive che i trattamenti di dati eseguiti da soggetti pubblici e privati senza scopo di lucro, dagli Istituti di ricovero e cura a carattere scientifico (“IRCCS”), e da soggetti privati operanti nel settore sanitario nell’ambito di progetti di ricerca senza scopo di lucro, realizzati a fini della realizzazione di sistemi di intelligenza artificiale per finalità di:

• prevenzione, diagnosi e cura di malattie,

• sviluppo di farmaci, terapie e tecnologie riabilitative, realizzazione di apparati medicali,

• salute pubblica, incolumità della persona, salute e sicurezza sanitaria,

• studio della fisiologia, biomeccanica e biologia umana anche in ambito non sanitario,

siano considerati di rilevante interesse pubblico in quanto necessari alla realizzazione e all’utilizzazione di banche dati e modelli di base. Nasce dunque la possibilità di trattare le categorie particolari di dati personali in base all’art. 9 lettera g) del GDPR. In virtù di questa base giuridica, ai soggetti elencati è permesso anche l’utilizzo secondario dei dati personali, purché privi degli identificativi diretti, salvi i casi in cui l’identità degli interessati sia inevitabile o si renda necessaria per la tutela della loro salute (comma 2). Dei trattamenti di dati previsti dai commi 1 e 2 deve essere data comunicazione, contenente le informazioni previste dagli artt. 24, 25, 32 e 25, e, ove prevista, l’indicazione dei Responsabili del trattamento, al Garante per la Protezione dei Dati Personali. Se il Garante non emette un provvedimento di blocco entro 30 giorni dalla ricezione della comunicazione, i trattamenti possono essere avviati.

Inoltre, a fini di programmazione, gestione, controllo e valutazione dell’assistenza sanitaria (ivi incluse l’instaurazione, la gestione, la pianificazione e il controllo dei rapporti tra l’amministrazione e i soggetti accreditati o convenzionati con il servizio sanitario nazionale) sono consentite, quali utilizzi secondari, la pseudonimizzazione, l’anonimizzazione o la sintetizzazione dei dati (comma 3), sempre fatto salvo il dovere di informativa. Peraltro, come emerso anche dalla recente sentenza della Corte di Giustizia Europea del C-413/2023 del 4 settembre 2025, la finalità di utilizzo del dato pseudonimizzato deve essere presa in considerazione ai fini della liceità del trattamento di anonimizzazione/pseudonimizzazione e del successivo utilizzo.

Utilizzo dell’intelligenza artificiale in materia di lavoro

L’art. 11 prescrive che l’utilizzo dell’intelligenza artificiale in ambito lavorativo debba essere sicuro, trasparente, affidabile, non in contrasto con la dignità umana e la riservatezza dei dati personali.

Il datore di lavoro, ovvero il committente nelle ipotesi di appalto o nei contratti d’opera, qualora intenda avvalersi di sistemi o modelli di intelligenza artificiale ai fini dell’assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché di indicazioni incidenti su sorveglianza, valutazione, prestazioni e adempimento delle obbligazioni contrattuali dei lavoratori, è tenuto a informare i lavoratori circa:

1. gli aspetti del rapporto di lavoro sui quali il sistema e il modello incidono;

2. gli scopi e le finalità del sistema e del modello di IA;

3. le categorie di dati e i parametri principali utilizzati per la programmazione o l’addestramento del sistema, inclusi i meccanismi di valutazione delle prestazioni;

4. le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;

5. il livello di accuratezza, robustezza e cybersicurezza del sistema e le metriche utilizzate per la misura di tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche.

Queste informazioni devono essere comunicate, anche attraverso le rappresentanze sindacali, in modo trasparente, strutturato e leggibile da dispositivo automatico.

L’art. 12 istituisce un Osservatorio sull’adozione dei sistemi di intelligenza artificiale nel mondo del lavoro, con il compito di definire una strategia sull’utilizzo dell’intelligenza artificiale in ambito lavorativo, monitorare l’impatto sul mercato del lavoro e identificare i settori lavorativi maggiormente interessati dall’avvento dell’intelligenza artificiale.

Disposizioni in materia di professionisti intellettuali

L’art. 13 prescrive agli esercenti delle professioni intellettuali di avvalersi di sistemi di intelligenza artificiale solo per attività strumentali alla professione, imponendo la prevalenza della prestazione intellettuale nella realizzazione della consulenza.

Ai destinatari della consulenza devono essere comunicate, in modo chiaro ed esaustivo, le informazioni circa l’utilizzo dei sistemi di intelligenza artificiale adottati dal professionista.

La legislazione delegata avrà poi il compito di prevedere, ai sensi dell’art. 20 lettera f), percorsi di formazione e alfabetizzazione in materia di intelligenza artificiale da parte di ordini professionali e delle associazioni di categoria maggiormente rappresentative, nonché prevedere il riconoscimento di un equo compenso modulabile in base ai rischi e alle responsabilità connesse all’uso di sistemi di intelligenza artificiale.

Autorità nazionali in materia di intelligenza artificiale

L’art. 20 designa l’Agenzia per l’Italia Digitale (“AgID”) e l’Agenzia per la Cybersicurezza Nazionale (“ACN”) quali autorità nazionali per l’intelligenza artificiale, fermo restando, in ossequio a quanto già previsto dall’AI Act, l’attribuzione alla Banca d’Italia, alla CONSOB e all’IVASS del ruolo di autorità di vigilanza del mercato.

In particolare, l’AgID è responsabile:

• della promozione dell’innovazione e dello sviluppo dell’intelligenza artificiale;

• della definizione delle procedure e delle funzioni in materia di notifica, valutazione, accreditamento e monitoraggio dei soggetti incaricati della verifica della conformità dei sistemi di intelligenza artificiale;

• della ricezione della Valutazione d’impatto sui diritti fondamentali per i sistemi di IA ad alto rischio richiesta dall’art. 27 dell’AI Act;

• delle procedure di notifica degli organismi di valutazione ai sensi degli artt. 28-29-30 AI Act.

L’ACN è responsabile:

• della vigilanza, ivi incluse le attività ispettive e sanzionatorie, dei sistemi di intelligenza artificiale;

• della promozione e dello sviluppo dell’intelligenza artificiale relativamente ai profili di cybersicurezza;

• del coordinamento con le istituzioni dell’Unione Europea in qualità di punto di contatto unico.

Congiuntamente e nel rispetto delle reciproche competenze, AgID e ACN curano l’istituzione e la gestione di sandbox finalizzate alla realizzazione di sistemi di intelligenza artificiale.

Deleghe al Governo

L’art. 24 impegna il Governo ad adottare, entro 12 mesi dall’entrata in vigore della legge, uno o più decreti legislativi, per adeguare la legislazione nazionale all’AI Act. Tramite atti delegati, il Governo è tenuto ad attribuire alle designate autorità competenti per l’intelligenza artificiale tutti i poteri ispettivi, di vigilanza e sanzionatori per il rispetto del Regolamento europeo e della normativa europea attuativa.

Spetterà sempre al Governo la definizione dei poteri di vigilanza dell’autorità di vigilanza del mercato, compresi i poteri di: imporre ai fornitori e ai potenziali fornitori la trasmissione di informazioni; svolgere ispezioni a distanza o in loco, anche senza preavviso e controllare la conduzione delle prove in condizioni reali sui sistemi di intelligenza artificiale ad alto rischio.

Sempre entro 12 mesi, il Governo potrà specificare i casi di uso illecito di sistemi IA, prevedendo strumenti cautelari e sanzionatori volti a inibire la diffusione e a rimuovere contenuti illecitamente generati tramite intelligenza artificiale.

Il Governo potrà inoltre introdurre ulteriori fattispecie di reato, incentrate sull’omessa adozione o sull’omesso adeguamento di misure di sicurezza per la produzione, messa in circolazione e utilizzo professione dei sistemi di intelligenza artificiale, quando tali omissioni comportino un pericolo concreto per la vita o l’incolumità, pubblica o individuale, o per la sicurezza dello Stato, precisando altresì i criteri di imputazione per la responsabilità penale.

Sul versante della responsabilità civile, il Governo potrà prevedere specifici strumenti di tutela per il danneggiato.

Tutela del diritto d’autore delle opere generate con l’ausilio dell’intelligenza artificiale

Il legislatore italiano accorda la tutela offerta dal diritto d’autore alle opere realizzate con l’ausilio di strumenti di intelligenza artificiale, purché l’utilizzo di questi sistemi sia solo ancillare alla realizzazione dell’opera, che deve rimanere frutto del lavoro intellettuale dell’autore. La legge consente sia le riproduzioni sia le operazioni di estrazione di dati da opere o materiali contenuti in banche dati o disponibili in rete a condizione ai fini dell’estrazione di testo e di dati attraverso modelli e sistemi di intelligenza artificiale, anche generativa, a condizione che l’accesso a tali opere sia legittimo. Ai sensi dell’art. 70 quater della legge 633/1941 (“legge sul diritto d’autore”) l’estrazione di testo e di dati è consentita quando l’utilizzo delle opere e degli altri materiali non è stato espressamente riservato dai titolari del diritto d’autore e dei diritti connessi nonché dai titolari delle banche dati (c.d. meccanismo di op-out). Ai sensi della direttiva (UE) 790/2019, l’autore o il titolare della banca dati che vogliano esercitare prevista facoltà di riserva, sono tenuti a esprimere tale riserva in modo appropriato, tramite, ad esempio: una dichiarazione in formato digitale priva di meccanismi di protezione informatica, come ad esempio i protocolli di esclusione contenuti nei file robots.txt; l’apposizione di un sistema di digital rights management o una dichiarazione informatica automaticamente rilevabile. All’atto pratico, considerata la semplicità di opposizione, il data mining e il data scraping finalizzati all’addestramento dei sistemi di IA restano piuttosto limitati, e per vari aspetti incerti, in Italia.

Legge del 23 settembre 2025 n.132 "Disposizioni e deleghe al Governo in materia di intelligenza artificiale (in vigore dal 10 ottobre 2025)" - Gazzetta Ufficiale n.223 del 25 settembre 2025

Tags: Intelligenza artificiale AgID ACN AI Act AI

Come giudichi questo contenuto?

Utile Non utile

Grazie per il tuo feedback!

La legge italiana sull’intelligenza artificiale

Come giudichi questo contenuto?

EMA Reflection paper on the use of artificial intelligence in the lifecycle of medicines

EMA qualifies first artificial intelligence tool to diagnose inflammatory liver disease (MASH) in biopsy samples

L’intelligenza artificiale aiuta la farmacovigilanza

Navigating the European Union Artificial Intelligence Act for Healthcare

EMA - Artificial Intelligence workplan to guide use of AI in medicines regulation

Reflection paper on the use of artificial intelligence in the lifecycle of medicines

Pubblicato Nuovo Monitor 47 di AGENAS: Telemedicina e intelligenza artificiale a supporto dell’assistenza territoriale

I sistemi di intelligenza artificiale come strumento di supporto alla diagnostica

TAVOLO TECNICO DI COORDINAMENTO AIFA – REGIONI_Determina AIFA 73.2025

NICE - HIV testing: increasing uptake among people who may have undiagnosed HIV

Nota Informativa Importante di Sicurezza (NIIS) su Caspofungin