La Legge 132/2025 recepisce l’AI Act europeo e ribadisce l’approccio antropocentrico, il rispetto del GDPR, il focus sulla cybersicurezza e la formazione dei lavoratori. Ma c’è qualche novità per i CIO italiani sul fronte dell’uso dei dati personali per i modelli AI in sanità e a scopo di ricerca e sul diritto d’autore, mentre si aprono opportunità con il prossimo arrivo delle sandbox. Abbiamo messo insieme una guida pratica su come muoversi.
L’Italia ha la sua legge sull’Intelligenza Artificiale: è la n. 132/2025 (già online in Gazzetta Ufficiale), approvata in via definitiva dal Senato dopo qualche ultima modifica. Il nostro Paese ha così recepito, primo in Europa, l’AI Act dell’UE.
Il DDL “non è uno strumento completo, in quanto ribadisce molti principi di fatto già sanciti dall’AI Act e rimanda diversi dettagli operativi, che saranno decisi successivamente”, chiarisce l’Avvocato Olindo Genovese dello Studio Legale Daverio & Florio. “Il testo italiano presenta plurimi rinvii e deleghe al governo per l’emanazione di ulteriori decreti di maggiore dettaglio e di armonizzazione della normativa italiana al provvedimento”.
Non a caso, diversi esperti ritengono che di questa legge si potesse fare a meno, visto che per la gran parte si limita a richiamare principi generali dell’AI Act. D’altro lato, la legge italiana potrebbe aver trascurato ambiti che forse avrebbero meritato un intervento normativo.
È di questo parere l’Avvocato Agostino Clemente, partner dello studio Ughi e Nunziante, docente di “Innovazioni, invenzioni, deontologie e bioetica” all’Università dell’Aquila e componente del Comitato Internet Governance Forum Italia.
“Penso alla disciplina della responsabilità per danni riferibili all’impiego dell’intelligenza artificiale, che il regolamento non ha trattato in quanto avrebbe dovuto regolarla un’altra direttiva, il cui iter, però, si è arrestato”, afferma l’Avv. Clemente. “E penso anche all’impiego dei sistemi di intelligenza artificiale generativa, la cui disciplina è stata introdotta nel regolamento quando questo era già in dirittura d’arrivo e senza un adeguato confronto. Detto ciò, la legge contiene comunque alcune norme meritevoli di approfondimento, come le disposizioni sull’uso dei dati per sistemi AI in ambito sanitario e nella ricerca biomedica (art.7-10), quelle in materia di diritto d’autore (art. 25) e le prescrizioni sulla formazione dei lavoratori e degli altri utilizzatori dell’AI. Credo che queste ultime siano le più interessanti per i CIO”.
I punti chiave ribaditi dal legislatore italiano includono la conferma del principio antropocentrico: l’intelligenza artificiale deve essere al servizio della persona, senza sostituirla, e l’essere umano rimane al centro delle decisioni, specialmente in ambiti critici (come la sanità e la giustizia). La legge ribadisce, inoltre, la necessità di rispettare le regole sul trattamento dei dati in conformità con il GDPR.
Sul piano della governance, l’Agenzia per la Cybersicurezza Nazionale (ACN) e l’Agenzia per l’Italia Digitale (AGID) sono designate quali Autorità nazionali competenti sull’AI (due entità governative, dunque, non indipendenti). L’ACN vigila, con poteri ispettivi, sull’adeguatezza e la sicurezza dei sistemi, mentre AGID gestisce le notifiche e promuove casi d’uso sicuri per cittadini e imprese.
Non vengono meno, ovviamente, le competenze di altre autorità nei rispettivi ambiti: Banca d’Italia, Consob, Ivass, Agenas, Garante privacy, Agcom (quest’ultima quale Coordinatore dei Servizi Digitali ai sensi del Digital Services Act).
I punti salienti della legge italiana sull’AI
Un altro elemento chiave di interesse per CIO riguarda la localizzazione dei server per l’AI.
“Molto si è discusso nel corso del procedimento di approvazione circa il luogo in cui dovessero essere ubicati i server dei sistemi di AI in caso di introduzione di dati afferenti all’ambito pubblico. A differenza di previsto nella prima versione del testo legislativo, questi server potranno risiedere anche all’estero e non esclusivamente in Italia”, illustra l’Avvocato Genovese.
Un altro punto da evidenziare, secondo l’esperto, è che la legge italiana prevede l’obbligo per il datore di lavoro di informare i lavoratori in caso di utilizzo di sistemi di AI che dovessero avere impatto sul rapporto di lavoro, con relativa istituzione di un Osservatorio nazionale (Osservatorio sull’adozione di sistemi di intelligenza artificiale nel mondo del lavoro presso il Ministero del Lavoro).
Ancora, viene introdotto il reato di illecita diffusione di contenuti generati o manipolati dall’AI (con pene fino a 5 anni di reclusione) e si istituisce un fondo dotato di un capitale di un miliardo di euro per sostenere le PMI e le imprese innovative attive in ambito AI, cybersicurezza, quantistica e ICT.
Altro elemento di interesse per i CIO nella legge italiana sull’AI è laforte sottolineatura della cybersecurity, segnalata anche dal ruolo affidato ad ACN.
“Questo porta delle semplificazioni, perché l’ACN è competente anche in ambito NIS2”, nota Davide Baldini, Partner presso ICTLC – ICT Legal Consulting e dottorando presso l’Università di Firenze e l’Università di Maastricht.
Un ulteriore ambito riguarda l’utilizzo dei dati. Pur nel rispetto del GDPR, “La legge fa riferimento alla necessità di semplificare i requisiti normativi sulla privacy, per esempio nell’uso dei dati in ambito sanitario per finalità di ricerca collegate all’AI”, indica Baldini.
Come si potranno usare i dati per l’AI nella sanità
L’ambito sanitario entra, in particolare, in due articoli della Legge 132/2025. L’art. 7 si limita a definire principi e criteri generali, mentre, per quel che riguarda la ricerca e sperimentazione scientifica nella realizzazione di sistemi AI per la sanità, l’art. 8 introduce qualche novità.
“Questo articolo”, evidenzia l’Avvocato Diego Fulco, Direttore Scientifico dell’Istituto Italiano Privacy, “disciplina in modo inedito gli impatti della normativa a protezione dei dati personali sulla ricerca volta a realizzare modelli e sistemi di intelligenza artificiale in ambito sanitario ed introduce meccanismi nuovi che saranno molto sfidanti per i CIO”.
Da un lato, infatti, la legge riconosce che il trattamento di dati sanitari per la ricerca e la sperimentazione scientifica nella realizzazione di sistemi di intelligenza artificiale utili per la sanità, “nella misura in cui i dati sanitari sono necessari alla realizzazione e all’uso di banche di dati e modelli di base”, risponde a un “rilevante interesse pubblico” e, quindi, può avvenire senza il consenso dei pazienti.
Dall’altro, la norma permette alle aziende della sanità (soggetti pubblici, soggetti privati senza scopo di lucro e IRCCS) di cogliere quest’opportunità di trattare i dati sanitari senza consenso solo affrontando in un modo rigoroso e consapevole i rischi e coinvolgendo il Garante per la privacy.
“La materia prima per lo sviluppo e per l’uso di modelli e sistemi di intelligenza artificiale che possono migliorare le prestazioni sanitarie e il management sanitario è costituita dai dati sanitari, cioè dati sensibili”, chiarisce l’Avv. Fulco. “L’art. 8 mira a incentivare l’alimentazione con dati sanitari di quei modelli e sistemi AI che sono utili per la sanità, a patto che questi dati sanitari siano sottoposti ad uno fra i tre seguenti procedimenti: anonimizzazione, pseudonimizzazione o sintetizzazione. Soggetti pubblici, soggetti privati senza scopo di lucro e IRCCS che seguono una di queste tre vie non hanno bisogno del consenso dei pazienti. Tuttavia – prosegue l’Avvocato -, la scelta di una fra le tre possibili vie ha impatti organizzativi, tecnici e legali diversi e impone una conoscenza specialistica di metodologie, di buone pratiche e di soluzioni tecniche ancora poco diffusa. È vero che l’art. 8 affida ad Agenas il compito di dettare linee guida per le procedure di anonimizzazione e per la creazione di dati sintetici, ma è anche vero che il varo di queste linee guida potrebbe richiedere tempo, mentre la pressione dei soggetti pubblici e privati senza scopo di lucro e degli IRCCS sui loro CIO sarà forte da subito”.
L’altro fronte sarà, dunque, quello della sinergia fra CIO, DPO (Data Protection Officer) e rispettivi collaboratori e consulenti. L’art. 8 prevede che i soggetti che vorranno avviare la sperimentazione alimentando modelli e sistemi di intelligenza artificiale con dati sanitari comunichino il progetto al Garante allegando la Valutazione d’impatto ai sensi del GDPR, nonché altri documenti (procedure, contratti di servizi, allegati tecnici, nomine a Responsabile) che permettano all’Autorità di verificare la compliance al Regolamento europeo per la protezione dei dati. Il Garante avrà 30 giorni per rispondere.
L’eventuale silenzio equivarrà ad assenso; oppure, nell’arco dei 30 giorni, potrebbe arrivare un provvedimento di blocco, anche temporaneo. Di qui la necessità di sorvegliare la qualità delle analisi, delle procedure e delle misure tecniche illustrate al Garante.
Contenuti generati dall’AI, le implicazioni sul diritto d’autore
Un altro degli ambiti su cui la legge italiana sull’intelligenza artificialeè destinata ad avere ripercussioni è quello del diritto d’autore. L’art. 25 stabilisce che possano essere tutelate le opere “anche laddove create con l’ausilio di strumenti di intelligenza artificiale, purché il contributo umano sia creativo, rilevante e dimostrabile”.
Francesca La Rocca Sena, Avvocato dello Studio Sena & Partners, spiega che i CIO saranno chiamati a verificare con attenzione che i sistemi di AI utilizzati, soprattutto quelli basati su modelli generativi, non comportino violazioni delle normative sul diritto d’autore.
“Le aziende dovranno essere in grado di tracciare con precisione la provenienza dei dati utilizzati per alimentare i modelli, garantendo che ogni contenuto sia stato acquisito nel pieno rispetto delle licenze previste dalla legge per documentare con trasparenza l’intero processo di reperimento e utilizzo dei dataset, mantenendo una tracciabilità che possa essere eventualmente esibita in caso di controlli o contenziosi”, evidenzia l’Avv. La Rocca Sena.
Allo stesso tempo, l’impiego dell’intelligenza artificiale per la generazione di nuovi contenuti – come testi, immagini, musica o altri materiali creativi – esige un’attenta valutazione dei rischi legali connessi alla possibile sovrapposizione con opere già esistenti. In questi casi, i CIO avranno il compito di coordinarsi in modo continuativo con gli uffici legali interni o i consulenti esterni, per monitorare il livello di rischio e prevenire situazioni che possano esporre l’organizzazione a responsabilità, sia dirette che indirette.
Fondamentale sarà anche aggiornare e rafforzare le policy aziendali interne, introducendo linee guida chiare e vincolanti sull’uso delle tecnologie AI da parte di dipendenti e collaboratori.
“Tali policy dovranno prevedere misure specifiche per garantire la conformità alla normativa sul diritto d’autore”, prosegue l’Avv. La Rocca Sena, “con particolare attenzione ai settori editoriali, pubblicitari, creativi e a tutte le attività che prevedono la produzione o la diffusione di contenuti. In sintesi, la compliance al diritto d’autore diventerà un elemento strutturale della governance tecnologica”.
Baldini invita i CIO a tenere conto degli impatti sulla legge sul diritto d’autore anche quando si tratta dei propri contenuti.
Come sui dati sanitari, “Anche qui il legislatore italiano allarga le maglie, ammettendo il riutilizzo dei dati accessibili al pubblico (ovvero online) per l’addestramento dei modelli, a certe condizioni”, osserva l’esperto. “Ma, se per un’impresa che sviluppa sistemi AI la maggiore libertà è un vantaggio, per le imprese detentrici di contenuti online significa che diventa più facile per i crawler andare a catturare i loro dati pubblici”.
In arrivo le sandbox: test AI senza sanzioni
Secondo Baldini un altro aspetto su cui soffermarsi è quello delle sandbox regolatorie [in inglese]. L’AI Act europeo prevede [in inglese] per gli Stati membri l’obbligo di istituirne almeno una per nazione, entro il 2 agosto 2025.
Le sandbox sono ambienti controllati in cui le aziende possono sviluppare e testare i sistemi AI prima del rilascio sul mercato. Possono essere costituite anche in congiunzione tra più Stati membri (ma la legge italiana non sembra voler intraprendere questa strada).
“Le sandbox danno alle imprese la possibilità di testare i loro prodotti con il regolatore nazionale senza avere timori di conseguenza sanzionatorie”, evidenzia Baldini. “Questo è molto importante perché nelle sandbox si può lavorare anche con i dati reali”.
Esiste anche l’opzione di crearne a livello locale, in aggiunta a quella o a quelle nazionali. Per le Regioni innovative si tratta di un’opportunità, prosegue Baldini. Per esempio, la Catalogna ha già avviato da diversi anni una sandbox, mentre in Italia la Regione Toscana è stata la prima a prevedere la possibilità di istituire una sandbox grazie alla Legge regionale 9 dicembre 2024, n. 57. Si sta anche creando una competizione positiva tra sandbox specializzate per industrie (la Catalogna è di nuovo un esempio), in modo da attrarre investimenti e imprese da altri paesi, visto che le sandbox non possono favorire le realtà della propria nazione rispetto a quelle di altri membri UE.
“Per me le sandbox più utili sono quelle specializzate o per settore industriale o per requisito normativo, per esempio sul FinTech, la cybersecurity o lo human oversight”, afferma Baldini, “poiché permettono alle aziende di ricevere un supporto specialistico da parte del regolatore. Ad ogni modo, entro il 2 agosto 2026 gli Stati membri dovranno avere pronta almeno una sandbox e il legislatore italiano sembra andare in questa direzione”.
Ovviamente, ogni qualvolta il sistema AI che si vuole testare è disciplinato da altre normative, bisogna interpellare l’autorità competente, come il Garante Privacy nel caso del GDPR se il sistema di AI coinvolge il trattamento di dati personali, come spesso accade. Ma le sandbox rendono il lavoro più semplice per il CIO, perché in questi ambienti i Garanti sono obbligati a fornire le loro interpretazioni della normativa e una guidance pratica.
“Al termine della sandbox, la cui durata di norma non deve superare i sei mesi”, spiega Baldini, “il regolatore è tenuto a rilasciare un exit report che descrive le attività svolte e i risultati raggiunti e che può essere utilizzato dalle aziende per dimostrare la conformità con l’AI Act”.
L’I Act italiano ribadisce l’obbligo di alfabetizzazione
La prima norma già divenuta applicabile dell’AI Act europeo, contenuta nell’Art. 4 del regolamento, prescrive dal 2 febbraio 2025 l’obbligo di formazione (o “alfabetizzazione”) dei dipendenti di imprese, amministrazioni ed enti che impieghino l’intelligenza artificiale.
Secondo l’Avv. Clemente, l’alfabetizzazione e l’awareness (consapevolezza critica) sono fondamentali perché “il veicolo della rivoluzione AI saranno le persone” in quanto più o meno capaci di valorizzare la tecnologia e fronteggiare i rischi che possono derivare dal loro impiego. Inoltre, le persone che non saranno formate non saranno impiegate utilmente, con l’effetto, dapprima, di penalizzare le imprese e le amministrazioni in cui lavorano e, poi, di provocarne la marginalizzazione.
“La formazione diffusa dovrebbe essere considerata una priorità assoluta (come in effetti sembra prescrivere il regolamento europeo, sebbene timidamente)”, sottolinea l’Avvocato. “Oserei parlare di un’emergenza sociale, e anche di un’impresa titanica, che meriterebbe uno sforzo eccezionale di investimenti sia per impiego di ore/lavoro, sia, forse soprattutto, per l’individuazione di modelli formativi che siano davvero efficaci. Non possiamo accontentarci di predisporre puri video unidirezionali senza alcuna verifica dell’incidenza effettiva della formazione sul mindsetdei lavoratori – ammonisce l’esperto -. Occorre una modalità di apprendimento sperimentale e hands–on, assicurata da facilitatori e magari da strumenti evoluti di AI-enhanced learning. Da questo punto di vista, è interessante osservare come il profilo della formazione sia presente in più punti della nuova legge italiana, sebbene nemmeno questa prescriva delle sanzioni in questo ambito specifico, pur comportando delle responsabilità indirette”.
Quali, dunque, le implicazioni pratiche per i CIO? Il primo suggerimento dell’Avvocato Clemente è “partire ora”. L’obbligo europeo di AI literacy è già scattato: serve mappare ruoli, processi e applicazioni AI (in uso o in introduzione) e definire un catalogo di competenze per famiglia professionale (tecniche, etiche/legali, di processo).
Un secondo suggerimento è svolgere la “formazione per scenari”, ovvero progettare percorsi centrati su casi d’uso interni (prompt efficaci, verifica dell’output, gestione dei bias, audit trail, responsabilità e controlli), con esercitazioni hands-on e metriche di apprendimento possibilmente collegate a KPI operativi.
Una guida operativa per il CIO
Al di là dei compiti di AI literacy, il CIO dovrà adottare una governance “leggera ma chiara”, prosegue l’Avv. Clemente: definire ruoli (owner dei casi d’uso, referenti rischio/qualità, responsabili del dato), policy essenziali e checklist. “Meno carta, più pratiche replicabili”, sintetizza l’esperto.
Un altro suggerimento è “misurare il mindset”: integrare indicatori di adozione (uso effettivo, qualità degli output, riduzione errori/tempi, incident reporting) e non basarsi solo su test di fine corso.
Sarà anche necessario un “follow up normativo”: seguire i report dell’Osservatorio sull’adozione di sistemi di intelligenza artificiale nel mondo del lavoro (art. 12) e del Comitato di coordinamento delle attività di indirizzo su enti, organismi e fondazioni che operano nel campo dell’innovazione digitale e dell’intelligenza artificiale (art. 19) quando saranno disponibili – oltre alle indicazioni e linee guida che verranno dalla Commissione europea e da altre istituzioni.
I CIO dovranno anche prestare attenzione a garantire che i sistemi IT consentano la tracciabilità dello sviluppo e dell’addestramento dei sistemi di intelligenza artificiale utilizzati dall’azienda senza compromettere la sicurezza dei dati, osserva l’Avv. Genovese. L’AI in azienda non deve ledere la privacy e il CIO dovrà agire ancor più in raccordo con il DPO, soprattutto in caso di utilizzo di modelli che elaborano dati personali.
Inoltre, visto che le aziende avranno l’obbligo di informare i dipendenti sull’utilizzo di AI che li riguarda, i CIO dovranno garantire che le piattaforme aziendali siano configurate in maniera trasparente con policy d’uso facilmente consultabili ed evitare rischi di discriminazione. Naturalmente, restano validi gli obblighi pratici (risk management, documentazione tecnica, registrazione dei sistemi ad alto rischio) già dettati dall’AI Act.
In definitiva, con questa legge il governo italiano avrà deleghe per attuare, entro i prossimi dodici mesi, decreti che armonizzino il sistema italiano con l’AI Act europeo. La data principale per le imprese rimane il 2 agosto 2026, quando entrerà pienamente in vigore l’AI Act e, in particolare, si attuerà la disciplina dei sistemi di intelligenza artificiale considerati ad alto rischio.
Le aziende che sono già pronte per il rispetto della normativa europea non dovrebbero avere il timore di affrontare eventuali nuovi adempimenti dettati dalla disciplina nazionale. L’importante per il CIO è seguire il percorso dei decreti attuativi e ricordare che ora il suo ruolo incorpora anche quello dell’AI Officer (se non esiste in azienda una figura dedicata). In questa veste, sarà chiamato a gestire l’AI come una tecnologia regolata, documentata e responsabile, in stretta collaborazione con le funzioni HR, compliance e legale.
Il CIO è davvero il “regista” di un cast sempre più numeroso.
