Nel panorama normativo italiano, dal 10 ottobre 2025 entra finalmente in vigore la Legge 23 settembre 2025, n. 132 — una tappa fondamentale per la governance intelligenza artificiale a livello nazionale. Con questo provvedimento l’Italia recepisce i principi del Regolamento UE (AI Act) e introduce misure operative, responsabilità rafforzate e un nuovo approccio al rapporto tra uomo e tecnologia.

In questo articolo descriveremo:

i principi guida della legge e il suo campo di applicazione;
le novità operative per imprese, pubblica amministrazione e professionisti;
gli adempimenti concreti da attuare fin da subito.

Uomo al centro e finalità della governance intelligenza artificiale

La norma sancisce che ogni sistema basato su AI deve:

rispettare la dignità umana,
garantire trasparenza,
essere sicuro,
evitare discriminazioni,
favorire inclusività.

Questi principi costituiscono il cuore della governance intelligenza artificiale prevista dalla legge.

Ambiti e settori interessati

L’impatto della legge riguarda vari contesti strategici:

lavoro e professioni intellettuali
sanità
giustizia
pubblica amministrazione (PA)
contrattualistica tecnologica / privato

In ciascuno di questi ambiti, il ricorso all’AI deve essere disciplinato e limitato secondo criteri di responsabilità, trasparenza e controllo umano.

Nuove fattispecie penali e aggravanti

Tra le novità più rilevanti:

Introduzione del reato di diffusione illecita di contenuti generati o alterati tramite AI (deepfake) — art. 612-quater c.p.
Previsione di aggravanti per reati commessi con l’ausilio di sistemi AI, in particolare quando lesivi di diritti, istituzioni o mercati.
Reati già contemplati (es. manipolazione del mercato, aggiotaggio) subiscono aggravanti specifiche se compiuti con AI.

Cybersicurezza come requisito essenziale

La legge considera la cybersicurezza come una “precondizione essenziale” per il rispetto dei diritti e dei principi sanciti. In altre parole, un sistema AI non può dirsi conforme se non garantisce protezioni adeguate contro attacchi, manipolazioni o perdite di dati.

Responsabilità di sviluppatori, distributori e utilizzatori

La norma stabilisce responsabilità chiare:

Responsabilità contrattuale per chi fornisce, distribuisce o integra sistemi AI
Responsabilità penale in caso di uso improprio, negligenza o violazione delle misure di sicurezza
Oneri di adattabilità, documentazione, tracciabilità dei processi e gestione dei rischi

Incentivi, fondi e sandbox regolatori

Per favorire l’adozione responsabile della tecnologia, la legge istituisce:

un Fondo da 1 miliardo di euro per progetti su AI affidabile, sicurezza e sperimentazione
meccanismi di sandbox regolatori, per sperimentazioni controllate in contesti reali

Impatto operativo per aziende, PA e professionisti

Aziende: compliance, contratti e governance

Le imprese che già impiegano sistemi AI (o intendono farlo) dovranno:

mappare e classificare gli strumenti AI secondo livello di rischio
adottare metriche di trasparenza e auditabilità
predisporre clausole contrattuali che regolino responsabilità, proprietà intellettuale, accesso ai dati, esoneri
progettare un sistema di governance interno (ruoli, procedure, controlli)
anticipare decreti attuativi che stabiliranno criteri tecnici, limiti d’uso e requisiti minimi

Professionisti e consulenti

Nell’uso dell’AI come supporto:

l’AI può operare solo a supporto dell’attività intellettuale, non sostituirsi
il cliente deve essere informato in modo trasparente
la decisione finale deve essere presa da un essere umano
obbligo di documentazione e tracciabilità del processo AI utilizzato

Pubblica amministrazione

Nel settore pubblico:

l’AI può essere utilizzata solo strumentalmente, non per decisioni definitive
deve migliorare efficienza, qualità dei servizi e tempi
non può sostituire funzionari o figure decisorie umane

Giustizia

Le decisioni giudiziarie, interpretative o decisorie (es. valutazione delle prove) restano competenza esclusiva del magistrato o del funzionario umano: l’AI può intervenire solo come strumento di supporto.

Sanità

In ambito sanitario:

l’AI può assistere in diagnosi, prevenzione, prognosi, ma non può prendere decisioni autonome
deve rispettare criteri di non discriminazione e garantire parità di accesso
le decisioni finali spettano al medico umano

Proprietà intellettuale e diritto d’autore

La legge modifica la legge 633/1941:

le opere frutto dell’ingegno umano, anche se coadiuvate da AI, restano protette
non saranno soggette a tutela le opere generate in modo completamente autonomo dall’AI, senza intervento creativo umano

Cosa fare da subito: roadmap operativa

Per non restare colti impreparati, ecco una roadmap con passi pratici:

Mappatura degli strumenti AI in uso e classificazione per rischio
Analisi del livello di trasparenza e spiegabilità
Designazione di ruoli (responsabile AI, audit, sicurezza)
Formazione e awareness interna per team e stakeholder
Verifica della sicurezza informatica e audit dei sistemi
Revisione dei contratti con clienti, fornitori e sviluppatori
Implementazione della documentazione e tracciabilità
Monitoraggio dei decreti attuativi e adeguamento continuo

Conclusione

La legge 132/2025 rappresenta un vero spartiacque per la governance intelligenza artificiale in Italia. Da 10 ottobre 2025, imprese, PA e professionisti devono essere pronti a operare in un nuovo contesto di responsabilità, trasparenza e sicurezza. Le aziende dovranno adeguarsi con politiche di compliance attive, mentre i soggetti pubblici e sanitari dovranno usare l’AI solo come strumento di supporto, mai decisionale.

La sfida è ambiziosa: trasformare l’AI da elemento di rischio a leva strategica affidabile. Se desideri un supporto concreto per l’adeguamento, contatta Aksilia Group per costruire insieme la tua strategia di compliance e innovazione.

governance intelligenza artificiale Legge 23 settembre 2025

Legge 132/2025: governance intelligenza artificiale in Italia