Post di Massimiliano Masnada e Valerio Natale, avvocati Hogan Lovells
(S-D) Il ministro della Giustizia, Carlo Nordio, il sottosegretario alla Presidenza del Consiglio, Alessio Butti, il ministro dell’Universita’ e della Ricerca, Anna Maria Bernini, il ministro dell’Istruzione, Giuseppe Valditara, il sottosegretario alla Presidenza del Consiglio, Alfredo Mantovano, il ministro del Lavoro, Marina Elvira Calderone, ed il ministro dell’Interno, Matteo Piantedosi, durante la conferenza stampa al termine del Consiglio dei Ministri a Palazzo Chigi, Roma, 10 giugno 2026. ANSA/RICCARDO ANTIMIANI
Oggi il Consiglio dei Ministri ha approvato, in esame preliminare, le bozze dei due decreti legislativi che, in ragione della delega ricevuto dal Parlamento con la Legge 132/20025, delineano l’impianto normativo con cui l’Italia adegua il proprio ordinamento al Regolamento Ue 2024/1689 (il cosiddetto “AI Act” europeo). Il primo decreto definisce il sistema nazionale di governance, vigilanza, sanzioni e sandbox regolatorie (con un ruolo centrale di ACN, AgID e delle autorità di settore), e disciplina anche l’IA nell’ambito della formazione e del lavoro; il secondo decreto disciplina l’utilizzo dei sistemi di IA nelle attività di polizia e nell’ambito penale, con previsioni anche in relazione alla responsabilità civile e alle responsabilità dei fornitori di sistemi di IA.
L’approccio italiano mira a bilanciare l’innovazione tecnologica con la tutela dei diritti fondamentali, introducendo regole precise per la governance, il mondo del lavoro, l’uso dell’IA da parte delle forze dell’ordine e le responsabilità civili e penali. Vediamo in breve le principali norme che saranno – è bene ricordarlo – suscettibili di modifiche in base al dibattito parlamentare che ne scaturirà e al successivo ultimo passaggio definitivo in Consiglio dei Ministri. Esse, ad ogni modo, una volta approvate in via definitiva, costituiranno il quadro regolatorio italiano sull’IA nei prossimi anni.
Il primo decreto definisce l’architettura istituzionale e le regole per lo sviluppo dell’IA in Italia.
L’Agenzia per l’Italia Digitale (AgID) agirà come autorità di notifica, responsabile della valutazione degli organismi di conformità. L’Agenzia per la Cybersicurezza Nazionale (ACN) ricoprirà il ruolo di autorità di vigilanza del mercato e di punto di contatto unico per l’Unione Europea. Per il settore finanziario e assicurativo, le competenze di vigilanza spetteranno a Banca d’Italia, CONSOB e IVASS, con procedimenti sanzionatori disciplinati dalle relative regolamentazioni di settore. Il Garante per la protezione dei dati personali (Garante) manterrà la competenza su specifici sistemi di IA ad alto rischio come previsto dall’art. 74 dell’AI Act (i.e. sistemi IA che usano la biometria per contrasto; sistemi di contrasto, prevenzione e repressione reati, sistemi di IA nella gestione dell’immigrazione e del controllo delle frontiere; sistemi di IA usati nell’amministrazione della giustizia e delle elezioni).
Il mancato rispetto delle norme comporterà sanzioni amministrative molto rigide, in linea con l’AI Act, che possono arrivare fino a 35 milioni di euro o al 7% del fatturato mondiale annuo in caso di utilizzo di pratiche di IA vietate. Sono previste agevolazioni e riduzioni per le PMI e le start-up. La bozza di decreto disciplina anche le procedure applicabili che variano a seconda dell’autorità competente facendo riferimento ai regolamenti istituiti e interni. In linea con l’AI Act, si prevede la possibilità di impartire ordini prescrittivi.
Per favorire l’innovazione e la competitività, viene istituito uno “Spazio di sperimentazione italiano per l’IA” gestito da AgID e ACN. Questo ambiente controllato permetterà a sviluppatori e start-up di testare sistemi di IA prima dell’immissione sul mercato, godendo di supporto normativo.
Sempre il primo decreto è di notevole interesse in quanto disciplina e regolamenta l’IA nel mondo del lavoro. Il principio che sta alla base della normativa è che l’IA è usata per proteggere i lavoratori e aggiornare le competenze professionali.
Nei processi decisionali legati al rapporto di lavoro (assunzioni, sanzioni, licenziamenti), le decisioni non potranno essere basate unicamente su sistemi automatizzati. È sempre richiesta la supervisione di una persona fisica e il licenziamento intimato in violazione di questo principio è considerato nullo.
L’utilizzo di sistemi di IA potrà incidere sulla modulazione dell’equo compenso per i liberi professionisti, basandosi sul livello di rischio del sistema utilizzato. Questa norma riguarda tutti i professionisti ma sicuramente impatta in modo rilevante su avvocati, commercialisti ovvero consulenti non iscritti agli ordini come consulenti di management, i comunicatori o i grafici. È espressamente previsto che, entro dodici mesi dalla data di entrata in vigore del decreto in esame, i rispettivi decreti che definiscono i parametri ministeriali ufficiali usati per calcolare i compensi minimi ed equi dei diversi tipi di professionisti in Italia, siano aggiornati con la determinazione dei parametri utili alla modulazione in caso di uso di sistemi di IA.
Vengono previsti percorsi formativi sull’IA per studenti, docenti, personale della pubblica amministrazione e della giustizia, nonché l’inserimento obbligatorio dell’alfabetizzazione all’IA nella formazione continua di professionisti e personale sanitario. Questa disposizione è particolarmente importante perché ha l’ambizione di adeguare l’educazione scolastica e professionale ai cambiamenti che l’IA introduce nel mondo del lavoro. Ad esempio, le istituzioni scolastiche, nell’ambito della propria autonomia e in coerenza con il piano triennale dell’offerta formativa (PTOF), promuovono, all’interno dei curricula, moduli formativi volti al potenziamento delle competenze scientifiche, tecnologiche, ingegneristiche, matematiche e artistiche (STEAM), mediante l’utilizzo degli strumenti dell’IA nella didattica al fine di favorire la creatività, l’innovazione e la capacità di trovare soluzioni. La promozione di tali moduli formativi può svolgersi anche attraverso i percorsi di formazione scuola-lavoro. Tale norma sembra non essere solo una affermazione di principio in quanto il Governo ha stanziato, per la sua attuazione, 100 milioni di euro a valere sul Programma nazionale “PN Scuola e Competenze 2021–2027”.
Il secondo decreto regola lo spinoso tema dell’uso dell’IA da parte delle forze dell’ordine, ponendo rigidi paletti a tutela della privacy.
L’uso di sistemi di identificazione biometrica remota in tempo reale negli spazi pubblici è fortemente limitato. È consentito solo per prevenire minacce imminenti, ricercare persone scomparse o vittime di reati gravi (es. sequestro o tratta), o localizzare indagati per delitti specifici. L’impiego di tali sistemi richiederà l’autorizzazione preventiva di un giudice (o del pubblico ministero) per un periodo massimo di 15 giorni. In casi di estrema urgenza, la polizia potrà attivarli previa comunicazione, ma il PM e il giudice dovranno convalidare l’operazione entro 48-72 ore, pena la distruzione immediata di tutti i dati raccolti.
È espressamente vietato creare banche dati di riconoscimento facciale estraendo immagini in modo indiscriminato da internet o dalle telecamere di sicurezza (il cosiddetto scraping non mirato). Inoltre, le tecnologie di riconoscimento facciale integrate nella videosorveglianza potranno essere usate solo dopo la commissione di un reato, esclusivamente per identificare persone già indiziate sulla base di elementi oggettivi.
Il legislatore introduce nuovi strumenti per punire gli abusi e risarcire i danni derivanti dall’IA.
Viene introdotto il reato di “Omessa adozione di misure di sicurezza nei sistemi di intelligenza artificiale e alterazione illecita dei sistemi“. Sviluppatori o utilizzatori professionali che omettono le misure di sicurezza per i sistemi ad alto rischio, causando pericolo per la vita, rischiano da 1 a 5 anni di carcere. La pena sale fino a 10 anni se l’alterazione illecita mette a rischio la sicurezza dello Stato. Inoltre, il reato viene incluso nella lista dei cd. reati presupposto per la responsabilità amministrativa degli enti di cui al D.Lgs. 231/2001.
In ottemperanza anche a quanto indicato nella Direttiva 2853/2024 sulla responsabilità da prodotto – che dovrà essere recepita entro 9 dicembre 2026 – nelle cause per danni causati da un’IA, se viene accertata la violazione delle regole europee (ad esempio per i sistemi ad alto rischio, le regole di trasparenza e governance dell’AI Act), il nesso di causalità tra la violazione e il danno si presume (agevolando la parte lesa). Si tratta di una responsabilità aggravata che è giustificata soprattutto dalle difficoltà del danneggiato di provare il difetto e il nesso di causalità in sistemi complessi.
Il giudice potrà ordinare alle aziende di esibire i registri tecnici e il codice di funzionamento dell’IA, tutelando al contempo i segreti commerciali. Inoltre, le vittime potranno esercitare un’azione diretta per il risarcimento nei confronti dell’assicurazione del responsabile del danno.
In conclusione, ad una prima lettura, i decreti licenziati dal Governo seguono i principi espressi nella Legge 132/2025 e li traducono in elementi concreti. Sicuramente ci saranno aggiustamenti e miglioramenti (speriamo non peggioramenti) ma ad ogni modo si può affermare che il dado è tratto.
