AGGIORNAMENTI IN TEMA DI REGOLAMENTO (UE) 2024/1689 (AI ACT)
Avv. Silvia Borrini
Il regolamento europeo entrato in vigore il 10 ottobre 2025 (“Regolamento”), noto come AI ACT, come abbiamo già avuto modo di rappresentare, segna un passaggio storico nella disciplina dell’intelligenza artificiale.
Per la prima volta, infatti, il legislatore europeo introduce un quadro normativo organico volto a regolamentare lo sviluppo, l’immissione sul mercato e l’utilizzo dei sistemi di intelligenza artificiale, con l’obiettivo di coniugare innovazione, tutela dei diritti fondamentali e sicurezza.
In Italia, il Regolamento viene recepito con la Legge 23 settembre 2025, n. 132, prima cornice normativa strutturale in materia di Intelligenza Artificiale (IA) a cui sarebbe seguita l’emanazione dei decreti attuativi. Così si sta verificando.
Il Consiglio dei Ministri del 10 giugno scorso ha approvato, seppur in esame preliminare, due schemi di decreti legislativi attuativi della legge sopra citata, delineando il primo quadro normativo nazionale sull’intelligenza artificiale (IA) in piena conformità con il Regolamento.
Primo schema di decreto
Con il primo dei due decreti (“Adeguamento della normativa nazionale alle disposizioni del Regolamento del Parlamento europeo e del Consiglio in materia di poteri delle Autorità nazionali e di utilizzo dell’intelligenza artificiale nella formazione”) viene assegnato all’Agenzia per l’Italia Digitale (AgID) il cuore della governance strategica: l’AgID assume il ruolo di autorità nazionale di notifica, con compiti sulla valutazione e sulla designazione degli organismi di conformità; all’Agenzia per la Cybersicurezza Nazionale (ACN) viene assegnato il compito di vigilare il mercato sui sistemi di AI e diventa punto di contatto unico nazionale con l’Unione Europea.
Alla AgID e alla ACN vengono affiancati organismi settoriali come Banca d’Italia, Consob e Ivass per il comparto finanziario, mentre il Garante per la protezione dei dati personali per le applicazioni ad alto rischio nella giustizia e nella sicurezza.
Ne traspare una scelta orientata ad una governance distribuita, ma con due poli tecnici centrali, modello coerente con la natura stesa del Regolamento e, ancor prima, dell’intelligenza artificiale che interessa prodotti, servizi, infrastrutture, dati personali e sicurezza in modo trasversale. Chiaramente il coordinamento tra gli enti, nella pratica, dovrà poi per essere efficiente essere concretamente regolamentato. A tal fine il decreto prevede che si provveda alla stesura di accordi, protocolli di intesa al fine di operare la corretta vigilanza in particolare sui sistemi ad alto rischio impiegati in settori sensibili.
Non solo. Il primo decreto si occupa anche di formazione andando oltre alle previsioni di corsi sull’intelligenza artificiale e spingendosi a introdurre l’IA come competenza trasversale lungo l’intero sistema educativo e professionale. Sotto il primo aspetto, ad esempio, le scuole promuoveranno attività formative coerenti con l’educazione civica e la “cittadinanza digitale”.
Riguardo all’ambito professionale privato si prevedono tutele esplicite nei processi decisionali assistiti da sistemi di IA: ad esempio, il datore di lavoro che usa sistemi per decisioni sul rapporto di lavoro, deve garantire che la decisione definitiva sia assunta da una persona fisica. Se così non fosse, il licenziamento adottato a valle di un percorso interamente automatizzato, viene qualificato come nullo.
E proprio a proposito di sanzioni, il decreto di cui stiamo trattando, si occupa anche degli effetti circa il mancato rispetto delle previsioni disciplinate, riprendendo le soglie del Regolamento in tema di sanzioni pecuniarie. A queste si affiancano anche misure non pecuniarie in caso di violazioni di scarsa offensività, quali ordini di eliminazione dell’infrazione, misure coercitive.
Secondo schema di decreto
Oggetto del secondo decreto (“Adeguamento della normativa nazionale alle disposizioni del Regolamento del Parlamento europeo e del Consiglio in materia di utilizzo dei sistemi di intelligenza artificiale per l’attività di polizia e di responsabilità civile e penale”) è l’uso dei sistemi di IA nelle attività di polizia (sistemi biometrici, riconoscimenti facciali, valutazioni d’impatto, controlli). L’intelligenza artificiale per le forze di polizia viene qualificata come strumento di supporto con obbligo di revisione umana qualificata prima che gli output vengano impiegati in atti o provvedimenti che, ovviamente, vanno ad incidere sulla sfera giuridica degli interessati.
L’impiego dell’IA nel riconoscimento biometrico è sicuramente un aspetto da disciplinare con particolare attenzione. Infatti, nel confermare quanto disposto dal Regolamento e, dunque, l’impiego di sistemi di identificazione biometrica in determinate circostanze e per finalità limitate dalla norma, il decreto precisa che in caso di impiego è necessario formulare idonea richiesta contenente durata, area, persone interessate, banche dati e tecnologie impiegate. L’autorità giudiziaria che autorizzerà l’impiego dello strumento, dovrà limitarne portata e durata e solo nei casi di urgenza è previsto un regime accelerato.
Nel secondo decreto si tratta anche di responsabilità civile e penale. Nel caso in cui il giudice sia chiamato a decidere in merito al risarcimento del danno cagionato dall’utilizzo di sistemi di IA, può ordinare l’esibizione di elementi di prova relativi al funzionamento del sistema.
Viene introdotta una presunzione del nesso di causalità quando il danno deriva dalla violazione di obblighi previsti dal Regolamento, salvo prova contraria, così da colmare lo squilibrio (quanto meno informativo) tra il danneggiato e chi controlla sistemi, dati e log. Dunque, la conformità del sistema agli obblighi europei, non esclude di per sé la responsabilità del convenuto.
Da ultimo, sotto il profilo penale, viene introdotto l’articolo 437bis del codice penale, che punisce con la reclusione l’omessa adozione o l’alterazione delle misure di sicurezza nei sistemi ad alto rischio, estendendo la responsabilità amministrativa agli enti secondo il d.lgs. n. 231/2001.
Conclusioni
I due decreti aprono, di fatto, una nuova fase nel panorama normativo italiano in tema di intelligenza artificiale cominciando a rendere l’assetto più pratico e operativo per gli operatori che dovranno poi confrontarsi con la novità di derivazione europea. La sfida più grande sarà trasformare in pratica effettiva e funzionale quanto disciplinato.
Il presente articolo non intende fornire un parere legale e, per l’effetto, non può essere considerato sostitutivo di una consulenza legale specifica.
