Con l’approvazione definitiva della Legge 23 settembre 2025, n. 132, pubblicata in Gazzetta Ufficiale il 25 settembre 2025 ed entrata in vigore il 10 ottobre, l’Italia si dota di un quadro normativo organico e innovativo per regolamentare l’uso dell’Intelligenza Artificiale (IA). La normativa bilancia la promozione dell’innovazione con la necessità di garantire sicurezza, tutela dei diritti fondamentali e competitività delle imprese italiane.
Ambito di applicazione e principi fondamentali
La legge si applica a chiunque, sul territorio italiano, sia impegnato nella ricerca, sviluppo, sperimentazione, adozione e utilizzo di sistemi di IA. Pur senza introdurre nuovi obblighi rispetto al Regolamento UE 2024/1689, la normativa italiana sottolinea alcuni principi cardine volti a garantire un impiego responsabile delle tecnologie.
Tra questi, spicca l’obbligo di assicurare la cybersicurezza lungo tutto il ciclo di vita dei sistemi IA, con misure di sicurezza basate su una valutazione del rischio proporzionata alla complessità delle tecnologie. L’obiettivo è prevenire qualsiasi manipolazione, alterazione o uso improprio che possa minare la trasparenza e la fiducia negli strumenti IA.
Un altro punto centrale riguarda la protezione dei minori: l’accesso alle tecnologie IA da parte dei minori di 14 anni è subordinato al consenso di chi esercita la responsabilità genitoriale, per garantire un trattamento dati adeguato e rispettoso.
La legge assegna anche un ruolo attivo allo Stato e alle autorità pubbliche nel favorire l’accesso a dati di alta qualità, fattore essenziale per alimentare un ecosistema di innovazione tecnologica competitivo e affidabile.
Infine, con la creazione di un Osservatorio presso il Ministero del Lavoro, si intende monitorare l’impatto dell’IA sul mondo del lavoro, con l’obiettivo di massimizzare benefici e mitigare i rischi legati a sicurezza, diritti dei lavoratori e trasformazioni dei processi produttivi.
Novità normative rilevanti: focus sulla sicurezza e responsabilità penale
Tra le innovazioni legislative più significative vi è l’introduzione del nuovo reato di “illecita diffusione di contenuti generati o alterati con sistemi di intelligenza artificiale” (art. 612-quater c.p.), che punisce con la reclusione da uno a cinque anni la diffusione non consensuale di immagini, video o audio falsificati o alterati mediante IA, quando tali contenuti sono idonei a ingannare e danneggiare persone fisiche o giuridiche. Questa norma risponde alla necessità di contrastare i cosiddetti deepfake, con effetti potenzialmente devastanti su reputazione e privacy.
La legge rafforza inoltre il quadro sanzionatorio introducendo specifiche aggravanti per i reati commessi con l’ausilio di sistemi IA, prevedendo pene più severe quando l’IA sia utilizzata come mezzo insidioso o che ostacola la difesa. Ulteriori modifiche riguardano articoli di rilievo nel codice penale, nel codice civile e nel settore finanziario. In particolare, il reato di attentato contro i diritti politici del cittadino (articolo 294 c.p.) prevede ora una pena più severa se l’inganno è realizzato mediante IA. Anche il reato di aggiotaggio, disciplinato dall’articolo 2637 c.c., vede un inasprimento delle pene qualora commesso attraverso sistemi intelligenti, così come le per violazioni della normativa finanziaria (art. 185 del TUF), si stabiliscono pene da due a sette anni di reclusione qualora il fatto venga compiuto con l’ausilio di IA.
Questi interventi testimoniano l’attenzione della legislazione italiana a prevenire abusi e usi illeciti dell’IA, in un contesto in cui le tecnologie digitali si fanno sempre più sofisticate e pervasive.
Impatti e opportunità per le imprese italiane
Le implicazioni per le imprese sono quindi profonde e articolate. Da un lato, si rende necessario un aggiornamento complessivo e strutturale dei modelli organizzativi e di compliance, a partire dall’adeguamento del Modello Organizzativo ex D.Lgs. 231/2001, per integrare in modo sistematico i nuovi rischi legati all’uso di IA. La mappatura dei processi aziendali deve considerare in modo approfondito ogni ambito in cui l’intelligenza artificiale viene utilizzata, direttamente o indirettamente, dalla produzione al marketing, dalla gestione delle risorse umane alla compliance.
In questo contesto, la definizione e l’attuazione di controlli specifici e procedure di verifica diventano imprescindibili. Le imprese devono garantire la trasparenza e la tracciabilità degli output generati dai sistemi IA, implementare sistemi di monitoraggio per rilevare anomalie o comportamenti non conformi, e assicurare il rispetto rigoroso delle normative sulla protezione dei dati personali, in linea con il GDPR e con le specifiche disposizioni della nuova legge.
La tutela del diritto d’autore assume un rilievo particolare nell’era dell’IA generativa. Le aziende devono adottare politiche chiare e precise che distinguano in modo netto tra contenuti creati da persone e quelli prodotti o modificati da sistemi IA, garantendo la validazione della titolarità dei diritti e formando il personale sull’uso consapevole e responsabile di queste tecnologie.
Al contempo, la legge allarga il perimetro della responsabilità penale, prevedendo aggravanti per l’uso illecito di IA e richiamando l’attenzione sul potenziale uso criminale di tali sistemi, soprattutto per la manipolazione di dati e la diffusione di false informazioni. Questo spinge le imprese a rafforzare la vigilanza interna e a coinvolgere in modo più attivo e qualificato l’Organismo di Vigilanza (OdV), che deve essere formato specificamente sui rischi emergenti.
Non si tratta dunque solo di una sfida normativa, ma di un’opportunità concreta di crescita e innovazione. Le risorse stanziate e la spinta verso un ecosistema digitale avanzato invitano le imprese italiane a cogliere questa trasformazione, sviluppando soluzioni IA all’avanguardia che possano rafforzare la loro posizione competitiva sia in Italia che sui mercati internazionali.
Linee guida operative per l’adeguamento aziendale
Per rispondere efficacemente agli obblighi della Legge 132/2025 e trasformare i rischi in opportunità, le imprese possono adottare un approccio operativo articolato in queste fasi:
- Mappatura dei processi IA e valutazione dei rischi
Individuare tutti i sistemi IA utilizzati e valutare gli specifici rischi legati alla sicurezza, privacy, responsabilità legale e impatto reputazionale, integrandoli nel modello di gestione del rischio aziendale. - Aggiornamento delle procedure di controllo
Introdurre controlli strutturati e documentati in tutte le fasi del ciclo di vita dei sistemi IA, con meccanismi di tracciabilità, auditabilità e sistemi di allerta tempestivi per anomalie. - Formazione e sensibilizzazione
Promuovere programmi formativi dedicati a tutti i livelli aziendali, con approfondimenti tecnici e normativi, per accrescere la consapevolezza e la responsabilità nell’uso dell’IA. - Policy sulla tutela dei dati e dei contenuti
Definire e implementare policy chiare e stringenti per la protezione dei dati personali e la gestione dei diritti di proprietà intellettuale, distinguendo contenuti umani da quelli generati o alterati dall’IA. - Ruolo attivo dell’Organismo di Vigilanza (OdV)
Estendere il mandato dell’OdV per includere la supervisione continua dei rischi IA, fornendo strumenti tecnologici per l’audit e promuovendo un’interazione costante con le funzioni aziendali coinvolte. - Pianificazione degli investimenti e innovazione responsabile
Sfruttare le opportunità di finanziamento previste dalla legge per investire in tecnologie IA sicure e conformi, mantenendo un monitoraggio costante delle evoluzioni normative e tecnologiche. Il sostegno pubblico, attraverso investimenti fino a un miliardo di euro in capitale di rischio, è pensato per favorire soprattutto le PMI e le aziende tecnologiche ad alto potenziale, creando un ecosistema nazionale più competitivo e innovativo.
Esempi concreti di applicazione dell’IA in azienda
L’intelligenza artificiale è già realtà nel nostro presente, trovando applicazione concreta in numerosi settori e il sistema normativo italiano, con regole chiare e condivise, aiuta a orientarne lo sviluppo in modo equilibrato, favorendo un futuro di crescita e competitività per il sistema Paese:
- Nel marketing e nella comunicazione, l’IA permette di personalizzare offerte e campagne, ma richiede attenzione per evitare l’uso di contenuti manipolati o lesivi della privacy.
- Nella produzione e logistica, l’IA ottimizza processi e previene guasti, ma la correttezza degli output deve essere costantemente verificata per evitare errori o danni.
- In ambito compliance e sicurezza, sistemi intelligenti monitorano transazioni e comunicazioni per prevenire frodi, ma devono garantire trasparenza e rispetto delle normative.
- Nel settore HR, l’IA supporta la selezione e valutazione del personale, ma necessita di policy per prevenire discriminazioni e garantire equità.
Conclusioni
L’entrata in vigore della Legge 132/2025 rappresenta un momento di svolta per l’Italia nel percorso di regolamentazione dell’intelligenza artificiale. La nuova normativa costruisce un equilibrio fra il bisogno di innovare e la necessità di tutelare diritti e sicurezza, delineando un percorso chiaro per le imprese. Queste ultime sono chiamate a un aggiornamento strutturale dei propri modelli organizzativi, implementando controlli specifici e promuovendo una cultura interna della compliance.
In un contesto in cui l’intelligenza artificiale è ormai una realtà quotidiana e imprescindibile, l’attenzione al rispetto delle regole e alla gestione responsabile di queste tecnologie sarà decisiva per trasformare i rischi in opportunità concrete, sia in termini di competitività che di tutela del valore aziendale e sociale.
