DDL IA: la legge italiana sull’intelligenza artificiale

27/09/2025

Il disegno di legge "Disposizioni e deleghe al Governo in materia di intelligenza artificiale" (DDL S. 1146-B), approvato in via definitiva dal Senato il 17 settembre 2025, stabilisce i principi nazionali in una materia di crescente rilevanza, interfacciandosi direttamente con il quadro normativo dell'Unione Europea.

Contesto normativo e principi fondamentali

Il disegno di legge si inserisce nel solco del Regolamento (UE) 2024/1689, noto come "AI Act", del 13 giugno 2024, il quale fornisce le regole armonizzate sull’Intelligenza Artificiale. Ne deriva che le disposizioni della legge italiana devono essere interpretate e applicate in conformità con tale regolamento europeo.

Finalità e dimensioni antropocentriche

La legge persegue l'obiettivo primario di disciplinare la ricerca, la sperimentazione, lo sviluppo, l'adozione e l'applicazione di sistemi e modelli di intelligenza artificiale. L'approccio è definito come antropocentrico, volto a promuovere un utilizzo corretto, trasparente e responsabile dell'IA, garantendo al contempo la vigilanza sui rischi economici, sociali e sull'impatto sui diritti fondamentali. La stessa legge garantisce alle persone con disabilità il pieno accesso ai sistemi di IA, su base di uguaglianza e senza discriminazione, in conformità alla Convenzione delle Nazioni Unite sui diritti delle persone con disabilità.

Principi generali (Art. 3)

Le attività di ricerca, sviluppo e utilizzo dei sistemi di IA devono avvenire nel rispetto dei diritti fondamentali e delle libertà previste dalla Costituzione e dal diritto dell'Unione europea. Vengono sanciti i principi di trasparenza, proporzionalità e sicurezza, di protezione dei dati personali, riservatezza e accuratezza e di non discriminazione, parità dei sessi e sostenibilità.

Lo sviluppo di sistemi e modelli di IA per finalità generali deve assicurare correttezza, attendibilità, sicurezza, qualità, appropriatezza e trasparenza dei dati e dei processi, rispettando il principio di proporzionalità. È essenziale che l'applicazione garantisca l'autonomia e il potere decisionale dell'uomo, la prevenzione del danno, la conoscibilità, la "spiegabilità" (Art. 3 co. 3) e, soprattutto, la sorveglianza e l'intervento umano.

La cybersicurezza è stabilita come "precondizione essenziale" lungo tutto il ciclo di vita dei sistemi e modelli di IA per finalità generali, prevedendo un approccio proporzionale e basato sul rischio, necessario per garantirne la resilienza contro i tentativi di alterarne l'utilizzo, il comportamento, le prestazioni o le impostazioni di sicurezza.

Esclusioni settoriali

Le attività connesse ai sistemi e modelli di IA condotte per finalità di sicurezza nazionale, cybersicurezza da parte dell'Agenzia per la Cybersicurezza Nazionale (ACN) e difesa nazionale (Forze Armate e Forze di polizia per la prevenzione di reati specifici) sono escluse dall'ambito di applicazione del DDL.

Disciplina settoriale e uso dei dati

Sanità e ricerca (Art. 8)

L'Articolo 8 si concentra sull'uso dei dati in ambito sanitario per la ricerca e la sperimentazione scientifica.

I trattamenti di dati, inclusi i dati personali e quelli appartenenti a categorie particolari (Art. 9 GDPR), eseguiti da soggetti pubblici e privati (IRCCS e soggetti privati partecipanti a progetti di ricerca con enti pubblici o IRCCS), finalizzati alla realizzazione di sistemi di IA per diagnosi, cura, sviluppo di farmaci, tecnologie riabilitative, e studio della biologia umana, sono dichiarati di rilevante interesse pubblico, in attuazione degli articoli 32 e 33 della Costituzione e nel rispetto del Regolamento (UE) 2016/679.

È sempre autorizzato l'uso secondario di dati personali privi degli elementi identificativi diretti (anche categorie particolari di dati) da parte dei soggetti menzionati, senza necessità di ulteriore consenso dell'interessato ove questo fosse inizialmente richiesto dalla legge, purché sia garantito l'obbligo di informativa (anche tramite informativa generale sul sito web). L'unica eccezione è costituita dai casi in cui la conoscenza dell'identità sia inevitabile o necessaria per la tutela della salute degli interessati.

È inoltre sempre consentito il trattamento dei dati personali (anche categorie particolari) per finalità di anonimizzazione, pseudonimizzazione o creazione di dati sintetici, previa informativa all'interessato, non solo negli ambiti sanitari, ma anche per lo studio e la ricerca sui gesti atletici, sui movimenti e sulle prestazioni nell'attività sportiva.

Tali trattamenti devono essere oggetto di parere favorevole dei comitati etici interessati e comunicati al Garante per la protezione dei dati personali con l'indicazione delle informazioni previste dagli articoli 24, 25, 32 e 35 del Regolamento (UE) 2016/679, e possono essere avviati decorsi trenta giorni dalla comunicazione se non sono stati bloccati dal Garante. Restano fermi i poteri ispettivi, interdittivi e sanzionatori del Garante.

Lavoro e professioni intellettuali (Art. 11 e 13)

In ambito lavorativo, l'IA deve essere impiegata per migliorare le condizioni di lavoro, tutelare l'integrità psicofisica dei lavoratori, e accrescere la produttività. L'uso deve essere sicuro, affidabile, trasparente, non in contrasto con la dignità umana né in violazione della riservatezza dei dati personali. Il datore di lavoro o committente ha l'obbligo di informare il lavoratore dell'utilizzo dell'IA secondo le modalità previste dall'articolo 1-bis del D.Lgs. 152/1997. L’impiego della IA deve avvenire in modo da garantire l'osservanza dei diritti inviolabili del lavoratore, senza discriminazioni.

In particolare, quanto alle professioni intellettuali, l'utilizzo dei sistemi di IA è limitato alle attività strumentali e di supporto all'attività professionale, con la prevalenza del lavoro intellettuale oggetto della prestazione d'opera. Per assicurare il rapporto fiduciario con il cliente, il professionista deve comunicare le informazioni relative ai sistemi di IA utilizzati in modo chiaro, semplice ed esaustivo.

Pubblica amministrazione e giustizia (Art. 14 e 15)

Nella Pubblica amministrazione l'IA è utilizzata per aumentare l'efficienza, ridurre i tempi dei procedimenti e incrementare la qualità dei servizi, assicurando la conoscibilità del funzionamento e la tracciabilità dell'utilizzo agli interessati. Le amministrazioni devono adottare misure tecniche, organizzative e formative per un uso responsabile dell'IA.

In ambito giudiziario l'Articolo 15 stabilisce un principio fondamentale: nei casi di impiego dei sistemi di IA nell'attività giudiziaria, è sempre riservata al magistrato ogni decisione sull'interpretazione e sull'applicazione della legge, sulla valutazione dei fatti e delle prove e sull'adozione dei provvedimenti. Questa riserva mira a delimitare l’uso dell’IA in relazione alle specifiche caratteristiche della funzione giurisdizionale.

Governance e deleghe legislative

Autorità nazionali e l’Osservatorio

L'Articolo 20 designa l'Agenzia per l'Italia Digitale (AgID) e l'Agenzia per la Cybersicurezza Nazionale (ACN) come autorità nazionali per l'Intelligenza Artificiale. Sono fatte salve le competenze e i poteri di Banca d'Italia, CONSOB, IVASS e del Garante per la protezione dei dati personali. L'Articolo 12 istituisce, presso il Ministero del Lavoro, l'Osservatorio sull’adozione di sistemi di intelligenza artificiale nel mondo del lavoro, per definire una strategia, monitorare gli impatti e promuovere la formazione. Non sono previsti compensi per i suoi componenti.

Delega in materia di dati e algoritmi (Art. 16)

Il Governo è delegato ad adottare decreti legislativi, entro dodici mesi, per definire una disciplina organica sull'utilizzo di dati, algoritmi e metodi matematici per l'addestramento di sistemi di IA, senza introdurre obblighi ulteriori rispetto a quanto già stabilito nel Regolamento (UE) 2024/1689. I criteri direttivi prevedono:

individuazione delle ipotesi in cui è necessario dettare il regime giuridico d’utilizzo, specificando diritti e obblighi;
previsione di strumenti di tutela risarcitori o inibitori, e di un apparato sanzionatorio;
attribuzione delle controversie relative a questa disciplina alle sezioni specializzate in materia di impresa. Le controversie attribuite a tali sezioni (già competenti per diritto d'autore e concorrenza sleale) generano un contributo unificato maggiore.

Delega per l'attuazione dell'AI Act e responsabilità (Art. 24)

L'Articolo 24 delega il Governo ad adottare decreti legislativi per l'adeguamento della normativa nazionale al Regolamento (UE) 2024/1689 e per la revisione del sistema sanzionatorio.

La delega include la definizione dei poteri di vigilanza dell'autorità di vigilanza del mercato (che può imporre la trasmissione di informazioni, effettuare ispezioni a distanza o in loco, anche senza preavviso, e svolgere controlli sulle prove in condizioni reali dei sistemi ad alto rischio). È previsto l'adeguamento del quadro sanzionatorio, anche in deroga ai limiti delle leggi n. 234/2012 e n. 689/1981.

Viene inoltre prevista l'introduzione di nuove fattispecie di reato (dolo o colpa) per l'omessa adozione o l'omesso adeguamento di misure di sicurezza nell'uso professionale di sistemi di IA, se ne deriva un pericolo concreto per la vita, l'incolumità pubblica o individuale, o la sicurezza dello Stato. Verranno precisati i criteri di imputazione della responsabilità penale e amministrativa, tenendo conto del livello effettivo di controllo dei sistemi da parte dell'agente.

La delega impone la previsione di strumenti di tutela per il danneggiato, inclusa una specifica regolamentazione dei criteri di ripartizione dell'onere della prova, in base alla classificazione dei sistemi di IA e agli obblighi previsti dal Regolamento (UE) 2024/1689.

Tutela del diritto d'autore e disposizioni penali

Diritto d'autore (Art. 25)

L'Articolo 25 interviene sulla Legge n. 633/1941, chiarendo due punti fondamentali:

opere dell'ingegno umano: sono protette le opere dell'ingegno umano, anche se create con l'ausilio di strumenti di IA, a condizione che costituiscano il risultato del lavoro intellettuale dell'autore.
estrazione di testo e dati (TDM): le riproduzioni e le estrazioni da opere o materiali contenuti in rete o banche dati (legittimamente accessibili) per l'estrazione di testo e dati tramite modelli di IA (anche generativa) sono consentite in conformità alle disposizioni sugli opt-out previste dagli articoli 70-ter e 70-quater della legge sul diritto d'autore.

Disposizioni penali (Art. 26)

Il DDL introduce infine modifiche al codice penale:

aggravante comune (Art. 61, n. 11-decies c.p.): viene introdotta un'aggravante comune per chi commette il fatto mediante l'impiego di sistemi di IA, quando questi abbiano costituito un mezzo insidioso, ostacolato la pubblica o privata difesa, o aggravato le conseguenze del reato.
aggravante specifica (Art. 294 c.p.): la pena è della reclusione da due a sei anni se l'inganno è posto in essere mediante l'impiego di sistemi di intelligenza artificiale.
nuovo reato (Art. 612-quater c.p.): viene inserito il reato di Illecita diffusione di contenuti generati o alterati con sistemi di intelligenza artificiale, punendo chiunque cagioni un danno ingiusto a una persona diffondendo tali contenuti.

DRONI: DIRITTO E PRATICA

Il diritto dei droni si è evoluto tra normative UE, regolamenti ENAC e tutela della privacy, con implicazioni per avvocati e operatori del settore.
Pierfrancesco C. Fasano
PANTOUFLAGE E APPALTI: IL DEC TRA RESPONSABILITÀ E DIVIETI

Divieto di pantouflage e ruolo del Direttore dell’Esecuzione del Contratto (DEC): il caso ACER/Comune analizzato da ANAC chiarisce presupposti, limiti e implicazioni.
Nadia Corà
Mediazione Ambientale e Pubblico Dibattito: strumenti partecipativi di giustizia climatica per avvocati

Mediazione ambientale e dibattito pubblico: strumenti chiave per avvocati nella gestione partecipata dei conflitti e nella giustizia ecologica.
Pierfrancesco C. Fasano