Menu:

Panoramica
Tutti i dettagli
Conclusioni

Panoramica

Dal 10 ottobre 2025 è ufficialmente in vigore la Legge n. 132/2025 sull’Intelligenza Artificiale.
Si tratta del primo provvedimento nazionale che disciplina in modo organico l’uso dell’IA in Italia, completando e rafforzando il quadro europeo dell’AI Act (Regolamento UE 2024/1689).
Questa normativa segna una svolta epocale: impone trasparenza, tracciabilità e supervisione umana per ogni sistema di intelligenza artificiale, pubblico o privato, ponendo l’essere umano al centro delle decisioni automatizzate.
Non si tratta solo di linee guida etiche, ma di obblighi concreti: la legge introduce nuovi doveri per le imprese, sanzioni amministrative severe e – per i casi più gravi – aggravanti penali per reati commessi mediante IA.
Per le aziende, la conseguenza è chiara: l’intelligenza artificiale non è più soltanto una tecnologia, ma una materia soggetta a governance, responsabilità e conformità normativa, al pari della privacy e della sicurezza informatica.

Tutti i dettagli

La Legge 132/2025 ruota intorno a due principi cardine: responsabilità e trasparenza.
Tutti i sistemi di IA dovranno essere registrati, tracciati e verificabili, con registri dei log che documentino origini dei dati, modifiche, parametri e risultati dei modelli. Le imprese dovranno quindi implementare modelli di governance e risk management che integrino la gestione della sicurezza informatica, la protezione dei dati e la supervisione dei processi automatizzati.
Uno degli aspetti più delicati riguarda l’informativa agli utenti. Ogni persona che interagisce con un sistema di IA dovrà essere informata in modo chiaro e comprensibile del suo utilizzo, specialmente se la tecnologia influisce su decisioni che riguardano diritti, libertà o condizioni economiche.
Questo obbligo, derivato dal GDPR, viene potenziato dalla nuova legge: la mancata trasparenza può comportare violazioni multiple e sanzioni cumulative ai sensi sia del regolamento europeo sia della normativa italiana sull’IA.
Particolare attenzione è riservata agli ambiti sensibili — sanità, lavoro, giustizia, pubblica amministrazione — dove la legge stabilisce che la decisione finale resti sempre umana.
Inoltre, l’uso di dati biometrici o riferiti a minori è ammesso solo con consenso esplicito e previa valutazione d’impatto (DPIA). Le imprese che impiegano IA per la selezione del personale, la videosorveglianza o la gestione dei clienti dovranno quindi aggiornare policy, informative e contratti con fornitori tecnologici.
La norma guarda anche a sicurezza e sostenibilità: le aziende devono dimostrare che i loro sistemi non introducono rischi informatici e che l’impatto energetico dei modelli di machine learning è proporzionato e tracciabile.
Le autorità incaricate di vigilare sull’applicazione sono l’Agenzia per la Cybersecurity Nazionale (ACN) e l’AgID, mentre i decreti attuativi previsti per il 2026 definiranno le modalità tecniche per audit, certificazioni e log obbligatori.
In sintesi, le imprese dovranno:
Mappare i sistemi di IA adottati (interni o di terze parti);
Verificare la conformità a log, trasparenza e supervisione umana;
Aggiornare le informative privacy e le clausole contrattuali;
Formare dipendenti e responsabili sicurezza sui nuovi obblighi.
Chi è già conforme al GDPR parte avvantaggiato, ma il salto richiesto è significativo: da una privacy “statica” a una governance dinamica e integrata tra dati, algoritmi e sicurezza.

Conclusioni

La Legge 132/2025 non è un semplice aggiornamento normativo, ma un cambio di paradigma: l’intelligenza artificiale entra ufficialmente nel perimetro della responsabilità d’impresa.
Le organizzazioni devono imparare a governare la tecnologia con la stessa attenzione con cui gestiscono processi, persone e dati.

Ma c’è un elemento che non può essere ignorato: le sanzioni.
Le violazioni relative al trattamento dei dati tramite sistemi di IA possono comportare multe fino a 20 milioni di euro o al 4% del fatturato globale, mentre l’uso improprio dell’intelligenza artificiale in contesti sensibili — come la creazione di deepfake o la manipolazione dei dati — può portare a condanne penali fino a cinque anni di reclusione.
Inoltre, le imprese che non si adegueranno ai nuovi standard di tracciabilità e sicurezza rischiano sospensioni operative e interdizioni dai contratti pubblici.

Adeguarsi adesso significa prevenire sanzioni e trasformare l’obbligo normativo in un vantaggio competitivo.

Per ottenere maggiori informazioni non esitare a contattarci info@furnariconsulting.it