La nuova legge italiana sull’intelligenza artificiale: riflessioni sistematiche e operative

Scenario normativo e impulso alla regolazione

Con l’approvazione del DDL 1146 da parte del Senato nello scorso 17 settembre, l’Italia ha assunto il ruolo di apripista tra i Paesi UE nell’adozione di una normativa quadro che affronta organicamente la regolazione dell’intelligenza artificiale. La nuova legge vuole segnare il passaggio verso una società digitale più consapevole e responsabile, in cui la tecnologia, da mero oggetto di sviluppo economico, diventa uno strumento di riflessione etica e giuridica. La volontà del legislatore è quella di regolamentare un fenomeno che influenza ogni ambito sociale, dalla sfera individuale a quella collettiva e produttiva, anticipando tendenze e rischi attraverso un impianto normativo flessibile e adattabile.

Struttura della legge e principi fondamentali

La disciplina italiana si suddivide in sei sezioni e ventotto articoli, con un impianto che coniuga principi generali e misure operative. Al centro si colloca la tutela della persona e l’affermazione della supervisione umana, con responsabilità esplicite nei processi e sistemi ad alto impatto come la giustizia, la sanità, il lavoro e la pubblica amministrazione. L’uso di sistemi automatizzati non può in alcun modo comprimere il potere decisionale dei soggetti titolari, garantendo il rispetto dell’autonomia e l’esclusività delle scelte critiche.

Modello di governance e ruoli istituzionali

La legge prevede una governance multilivello dove enti preesistenti, come AGID e ACN, vengono incaricati di funzioni di coordinamento e vigilanza sui sistemi di intelligenza artificiale. La presenza di organismi di osservazione e il ruolo fondamentale riconosciuto al Garante Privacy in tutti i settori critici dove vi siano trattamenti di dati personali e sistemi IA ad alto rischio delinea un quadro che dovrebbe garantire maggiore efficacia operativa e maggiore prevenzione delle violazioni e degli abusi. Tuttavia, la scelta di attribuire poteri a organi di nomina governativa, in luogo di autorità amministrative indipendenti, sta sollevando nella comunità di giuristi ed esperti del settore importanti interrogativi sulla capacità di assicurare una reale tutela dei diritti.

Settori “ad alto rischio”: applicazione e limiti

Uno degli elementi caratterizzanti la normativa in esame è l’attenzione riposta ai settori considerati “ad alto rischio”, come sanità, lavoro, giustizia e istruzione. In ambito sanitario, ad esempio, l’intelligenza artificiale può supportare diagnosi e cure, ma ogni prescrizione e diagnosi deve restare sempre appannaggio degli operatori sanitari (valorizzando e garantendo lo “human oversight” e la “decisione medica responsabile”). Nella pubblica amministrazione, i sistemi devono essere utilizzati come strumenti di supporto e semplificazione, senza che vengano meno le garanzie di trasparenza e centralità dei soggetti responsabili. Per il mondo del lavoro, l’introduzione dell’Osservatorio sull’adozione di sistemi di intelligenza artificiale nel mondo del lavoro, istituito presso il Ministero del lavoro e delle politiche sociali, potrà favorire il monitoraggio e la flessibilità dei sistemi di IA, con l’obiettivo di evitare conseguenze distorsive sulle condizioni occupazionali e sociali.

Minori e consenso rafforzato

Il legislatore dedica attenzione specifica anche alla tutela dei minori, imponendo l’obbligo del consenso genitoriale per l’utilizzo di tecnologie IA da parte degli under 14 e introducendo norme rafforzate in ambiente scolastico e un obbligo di informativa chiara e semplice, facilmente fruibile da utenti under 18. Queste scelte rappresentano la necessità di introdurre a livello culturale, partendo dall’istruzione fino al business che ne consegue, una sensibilità  specifica sui rischi effettivi a cui possono essere esposti inconsapevolmente i soggetti più fragili e vulnerabili nel momento in cui interagiscono con sistemi automatizzati, assai spesso senza avere la piena cognizione di ciò che avviene sulla loro identità, sui loro dati personali e sull’influenza psicologica ed emozionale che ne può derivare.

Localizzazione dei dati

La versione originaria del DDL 1146 prevedeva che le pubbliche amministrazioni dovessero utilizzare sistemi di intelligenza artificiale installati su server ubicati esclusivamente in Italia, a tutela della sovranità digitale nazionale. Nella versione definitiva, questa disposizione è stata modificata, tant’è che ora si parla di “preferenza” per la localizzazione nazionale, che va però armonizzata con il principio di libera circolazione dei dati previsto dal quadro giuridico europeo (AI Act 2024/1689 e GDPR). La localizzazione fisica diventa quindi una valutazione strategica per specifici settori (in particolare sanitario e pubblica amministrazione), e non più un vincolo.

Sovranità digitale

La legge in esame reinterpreta il concetto di sovranità digitale in chiave innovativa e multilivello, superando il criterio territoriale. Nella versione finale si parla di strategie che valorizzano la capacità dello Stato e delle Amministrazioni di esercitare un effettivo controllo giuridico, tecnico e operativo sui propri dati e sulle infrastrutture digitali, attraverso una governance integrata.

La tutela della sovranità digitale viene, pertanto, affidata a strumenti di coordinamento, standard tecnici avanzati e procedure di cybersicurezza, in sinergia con il Polo Strategico Nazionale (PSN) e in coerenza con le normative UE.

Diritto d’autore e creazione di contenuti digitali

La legge chiarisce, inoltre, che le opere create con il supporto di IA potranno beneficiare di tutela solo se vi è l’effettivo e sostanziale contributo creativo umano, ridefinendo così la nozione stessa di originalità. Le disposizioni in materia di estrazione e manipolazione dei dati (text and data mining) puntano alla valorizzazione della funzione scientifica, limitando lo sfruttamento commerciale ed equilibrando gli interessi di autori, ricercatori e operatori del mercato digitale.

Sistema sanzionatorio e compliance

Il regime sanzionatorio adottato dalla nuova normativa è sicuramente di forte impatto con pene più severe per tutte le violazioni che potranno coinvolgere il settore della salute, sicurezza e l’integrità dei contenuti digitali. Per le imprese e gli operatori è obbligatorio adottare efficienti ed efficaci sistemi di audit periodici, per garantire la tracciabilità, la revisione e la vigilanza umana, con incentivi mirati all’adozione di soluzioni “compliance by design” e alla formazione tecnica del personale e all’aggiornamento professionale degli operatori coinvolti.

Coordinamento con il regolamento europeo: convergenze e specificità

Da un primo confronto con il Regolamento Europeo 2024/1689 (AI Act) si evidenzia che tra le due normative vi sia una dinamica di integrazione e complementarità. La legge italiana, nell’adottare i valori fondamentali elaborati in ambito comunitario (quali la tutela della persona, la trasparenza algoritmica, la proporzionalità del rischio) ha introdotto regole puntuali e vincolanti per determinati settori critici, in una logica precauzionale. Il Regolamento Europeo 2024/1689 offre, invece, una classificazione trasversale, privilegiando la valutazione del rischio per l’adozione di regole specifiche in base al livello di impatto.

La gestione delle competenze istituzionali rappresenta un altro punto focale: mentre la dimensione europea promuove il coordinamento centralizzato tra Autorità degli Stati membri e Organi UE, la disciplina italiana rafforza la responsabilizzazione di agenzie nazionali (AgiD, ACN), con un ampio coinvolgimento di soggetti tecnici e una particolare attenzione alla cybersicurezza.

Sfide operative e questioni aperte

Restano aperte alcune questioni che incideranno sulla reale portata applicativa del nuovo quadro normativo. Tra queste la rapidità con cui è stata approvata la legge, con ampie deleghe al Governo, potrà richiedere una fase attuativa complessa e incerta. Inoltre, la mancanza di investimenti pubblici realmente strutturali rischia di rallentare la transizione verso la piena digitalizzazione dei servizi e la valorizzazione delle competenze, specie per le Piccole e Medie Imprese.

Un ulteriore punto cruciale riguarda la reale efficacia dei meccanismi di coordinamento tra attori pubblici, privati e stakeholder, chiamati a tradurre principi e regole in prassi concrete. La sostenibilità della disciplina sarà misurata dalla capacità di aggiornare costantemente gli standard tecnici e di stare al passo con l’innovazione e i cambiamenti della società digitale.

Bilancio, prospettive ed evoluzione futura

Per concludere, la nuova legge sull’intelligenza artificiale sicuramente delinea una cornice dinamica, capace di incentivare la crescita tecnologica, la tutela dei diritti fondamentali e la promozione di un modello di sviluppo rispettoso delle regole e delle sfide del settore digitale globale. La vera sfida sarà mantenere la disciplina giuridica vivace, proporzionata e capace di affrontare la rapida evoluzione dei sistemi, in una prospettiva di equilibrio tra innovazione, sicurezza pubblica e responsabilità sociale.