Con l’approvazione definitiva da parte del Senato l’Italia si è dotata di una legge nazionale sull’intelligenza artificiale che si affianca e integra il Regolamento europeo sull’IA AI Act.
È un passo che colloca il nostro Paese tra i primi in Europa a scegliere una cornice normativa nazionale organica, e che apre per le imprese un nuovo scenario di regole, responsabilità e opportunità.
Investi nel futuro
scopri le aste immobiliari
DL AI italiano, una legge complementare all’AI Act
Il Regolamento europeo definisce gli obblighi direttamente applicabili per fornitori, importatori, distributori e utilizzatori di sistemi di IA, in base al livello di rischio (inaccettabile, alto, limitato, minimo).
La legge italiana non duplica quel quadro, ma lo completa: ribadisce principi generali (trasparenza, proporzionalità, sicurezza, sorveglianza umana), attribuisce compiti specifici alle autorità nazionali (AgID, ACN, Garante Privacy, Agcom), istituisce un Comitato di coordinamento presso la Presidenza del Consiglio e prevede deleghe al Governo per tradurre in decreti legislativi alcuni aspetti critici come gestione dei dati, algoritmi e metodi matematici.
Fondamentale la modifica introdotta alla Camera: i decreti nazionali non potranno introdurre obblighi ulteriori rispetto all’AI Act. Una clausola che tutela le imprese da un rischio di “gold plating” regolatorio e rafforza la coerenza del sistema.
Questo evita la frammentazione normativa e dà alle imprese la certezza che non ci sarà un aggravio regolatorio domestico. In pratica: le aziende dovranno adeguarsi all’AI Act, ma la legge italiana serve a garantire coerenza nazionale e a precisare responsabilità, governance e strumenti di supporto.
Prestito personale
Delibera veloce
Responsabilità civile e rischi legali nella legge italiana sull’AI
Un aspetto cruciale è la delega al Governo per disciplinare responsabilità civile, penale e amministrativa nei casi di danni causati da sistemi di IA.
Qui la legge prevede che siano introdotti criteri di ripartizione dell’onere della prova a tutela del danneggiato. Tradotto: in caso di contenzioso non sarà solo l’utente a dover dimostrare la colpa, ma le imprese fornitrici potrebbero dover provare la correttezza del proprio operato. Questo cambia l’equilibrio del rischio legale e impone alle aziende di rafforzare log, tracciabilità, audit interni e clausole contrattuali. Non è un impatto “ipotetico”: deriva direttamente dal testo, che lega le nuove regole alla classificazione dei sistemi prevista dall’AI Act.
AI nel mondo del lavoro nella legge italiana
L’art. 11 disciplina l’uso dell’intelligenza artificiale in materia di lavoro. In particolare, nella versione definitiva del testo è stato confermato che l’’utilizzo dell’intelligenza artificiale deve essere sicuro, affidabile e trasparente e non può svolgersi in contrasto con la dignità umana né violare la riservatezza dei dati personali. Il datore di lavoro o il committente è tenuto a informare il lavoratore dell’utilizzo dell’intelligenza artificiale con le modalità a cui rimanda la legge stessa.
Oltre a quanto sopra, è stato confermato anche quanto disposto dall’art. 13 in merito all’utilizzo di IA nell’ambito delle professioni intellettuali. In particolare, in ottica di assicurare il rapporto fiduciario tra professionista e cliente, è confermata la “trasparenza” attraverso la comunicazione con linguaggio chiaro, semplice ed esaustivo delle informazioni relative ai sistemi di intelligenza artificiale utilizzati dal professionista nell’ambito della prestazione.
Obblighi di trasparenza che si aggiungono a quelli dell’AI Act.
Vigilanza e poteri ispettivi
La legge attribuisce ad AgID e all’Agenzia per la cybersicurezza nazionale il ruolo di Autorità nazionali per l’IA, e rafforza i poteri di Garante Privacy e AGCOM. Le norme specificano che queste autorità potranno condurre ispezioni, chiedere informazioni, accedere a prove in condizioni reali per i sistemi ad alto rischio. Per le aziende ciò significa che non basterà una dichiarazione di conformità: dovranno mantenere documentazione tecnica completa e processi di controllo pronti a essere verificati. L’impatto nasce dal fatto che la legge non si limita a nominare le autorità, ma ne definisce compiti ispettivi concreti.
Che devono fare le aziende alla luce delle regole italiane ed europee
Le aziende dovranno rivedere la propria organizzazione interna per includere l’IA nella governance. Questo significa:
- mappatura dei sistemi AI in uso, distinguendo quelli ad alto rischio (es. in ambito sanitario, lavorativo, giudiziario) da quelli a rischio limitato o minimo;
- documentazione e tracciabilità dei dati e degli algoritmi usati, con log di funzionamento e registri tecnici, in modo da rispondere a eventuali ispezioni delle autorità nazionali;
- responsabilità aziendale: la legge apre alla ridefinizione dei criteri di responsabilità civile, con alleggerimento dell’onere della prova per il danneggiato. Per le imprese questo significa dover aggiornare contratti, clausole di indennizzo e coperture assicurative.
Disposizioni in materia di localizzazione dei server
Vediamo anche altri aspetti della legge, fondamentali, con un impatto più indiretto ma comunque notevole sul mercato.
La tua casa è in procedura esecutiva?
sospendi la procedura con la legge sul sovraindebitamento
È stato confermato l’emendamento dell’art. 6, introdotto della Camera, con cui è stato soppresso il riferimento all’obbligo di localizzazione dei server sul territorio nazionale per i sistemi di IA destinati all’uso in ambito pubblico. In particolare, il testo originario prevedeva che: “I sistemi di intelligenza artificiale destinati all’uso in ambito pubblico, fatta eccezione per quelli impiegati all’estero nell’ambito di operazioni militari, devono essere installati su server ubicati nel territorio nazionale, al fine di garantire la sovranità e la sicurezza dei dati sensibili dei cittadini.” [1]
Ad oggi, pertanto, non vi è l’obbligo di localizzazione dei server sul territorio nazionale ma resta l’indicazione (art. 5) per lo Stato e le altre autorità pubbliche di indirizzare le piattaforme di e-procurement delle amministrazioni pubbliche in modo che, nella scelta dei fornitori di sistemi e di modelli di IA, possano essere privilegiate quelle soluzioni che garantiscono la localizzazione e l’elaborazione dei dati strategici presso data center posti nel territorio nazionale, le cui procedure di disaster recovery e business continuity siano implementate in data center posti nel territorio nazionale.
Ricerca e sperimentazione scientifica
Nell’ambito della Ricerca e sperimentazione scientifica, è stato confermato il testo dell’art. 8 (“Ricerca e sperimentazione scientifica nella realizzazione di sistemi di intelligenza artificiale in ambito sanitario”) che riguarda, tra l’altro, i soggetti che possono svolgere attività di ricerca e sperimentazione in ambito sanitario.
È confermata l’estensione dell’ambito soggettivo, oltre che ai soggetti pubblici e privati senza scopo di lucro, anche agli Istituti di ricovero e cura a carattere scientifico (IRCCS).
Molto importante è l’introduzione, al comma 1 dell’art. 8, della base giuridica dell’interesse pubblico rilevante per i trattamenti di dati personali svolti per la ricerca e la sperimentazione scientifica nella realizzazione di sistemi di intelligenza artificiale negli ambiti indicati dallo stesso articolo.
Il comma 2 dell’art. 8 conferma l’introduzione dell’uso secondario dei dati, nei limiti indicati dall’articolo stesso. In particolare, è disposto che fermo restando l’obbligo di informativa in favore dell’interessato, che può essere assolto anche mediante un’informativa generale messa a disposizione nel sito web del titolare del trattamento e senza ulteriore consenso dell’interessato ove inizialmente previsto dalla legge, è sempre autorizzato l’uso secondario di dati personali privi degli elementi identificativi diretti, anche appartenenti alle categorie indicate all’articolo 9 del GDPR, da parte dei soggetti indicati, salvo i casi nei quali la conoscenza dell’identità degli interessati sia inevitabile o necessaria al fine della tutela della loro salute.
Infine, è introdotta, attraverso il comma 3 dell’art. 8, la possibilità, previa informativa all’interessato e negli ambiti indicati nel comma 1 dell’art. 8 o per le finalità di cui all’articolo 2-sexies, comma2, lettera v) del Codice privacy, di trattare, per finalità di anonimizzazione, pseudonimizzazione o sintetizzazione dei dati personali (anche particolari).
Aste immobiliari
il tuo prossimo grande affare ti aspetta!
Le autorità competenti in AI in Italia
Nel testo definitivo sono state confermate le Autorità nazionali per l’intelligenza artificiale (art. 20). In particolare, l’Agenzia per l’Italia Digitale (“AgID”) è stata confermata l’autorità responsabile di promuovere l’innovazione e lo sviluppo dell’IA e provvede altresì a definire le procedure e a esercitare le funzioni e i compiti in materia di notifica, valutazione, accreditamento e monitoraggio dei soggetti incaricati di verificare la conformità dei sistemi di IA; l’Agenzia per la Cybersicurezza Nazionale (“ACN”), invece, è responsabile per la vigilanza, ivi incluse le attività ispettive e sanzionatorie, dei sistemi di IA. ACN è altresì responsabile per la promozione e lo sviluppo dell’IA relativamente ai profili di cybersicurezza
L’art. 20 dispone anche che le due autorità, ciascuna per quanto di rispettiva competenza, assicurano l’istituzione e la gestione congiunta di spazi di sperimentazione finalizzati alla realizzazione di sistemi di IA conformi alla normativa.
Il comma 4, inoltre, conferma le competenze, i compiti e i poteri del Garante per la protezione dei dati personali, integrandoli con l’attribuzione di un ruolo all’Autorità per le Garanzie nelle Comunicazioni (AGCOM), designata quale Coordinatore dei Servizi Digitali ai sensi dell’articolo 15 del decreto-legge 15 settembre 2023, n. 123, convertito con modificazioni dalla legge 13 novembre 2023, n. 159.
Le deleghe al Governo
Infine, la legge pone delle deleghe al Governo in materia di IA (art. 24) al fine di adottare entro 12 mesi dall’entrata in vigore della legge uno o più decreti legislativi per l’adeguamento della normativa nazionale all’AI Act. Tra i principi e criteri direttivi si ritrovano, ad esempio, quello di attribuire alle autorità di cui all’articolo 20 il potere di imporre le sanzioni e le altre misure amministrative previste dall’articolo 99 dell’AI Act.
Il Governo è altresì delegato ad adottare, entro dodici mesi dalla data di entrata in vigore della presente legge, uno o più decreti legislativi per adeguare e specificare la disciplina dei casi di realizzazione e di impiego illeciti di sistemi di IA. Nelle disposizioni sulle deleghe si trovano anche importanti indicazioni relative alla responsabilità civile e penale.
Conclusioni
L’approvazione definitiva del DDL italiano sull’intelligenza artificiale conferma in toto gli emendamenti che erano stati proposti dalla Camera dei deputati. I diversi attori dovranno ora tenere in considerazione anche questo testo normativo che aggiunge un ulteriore tassello alla compliance in ambito IA e che costituisce il primo passo a livello nazionale verso una regolamentazione sempre più complessa.
Dilazioni debiti fiscali
Assistenza fiscale
[1] Per un’analisi dei motivi che hanno portato alla modifica dell’art. 6 si rimanda a https://www.agendadigitale.eu/procurement/ddl-ai-meloni-terremoto-per-i-datacenter-italiani-il-problema/
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Visita il sito e gli articoli pubblicati cliccando sul seguente link
