07 Ottobre 2025

AI ACT e legge italiana sull’IA: una checklist di compliance per i Manager

L’arrivo dell’AI Act (Regolamento UE 2024/1689) e l’approvazione del DDL IA italiano (Legge 132/2025) stanno per ridisegnare le regole dell’intelligenza artificiale. Per i manager e gli imprenditori in Italia, questo significa affrontare nuove e importanti sfide che trasformano la governance aziendale, la gestione del rischio e la conformità normativa. Prepararsi è una necessità strategica per governare l’innovazione senza subire le complessità legali.

> Scarica la checklist

Le azioni più urgenti per le normative IA

Mentre la piena applicazione dell’AI Act si completerà nel tempo, alcuni obblighi devono già essere rispettati. Ad oggi, 7 ottobre 2025, diverse disposizioni sono infatti già attive e la loro violazione può comportare sanzioni. Vediamo quali sono le scadenze che ogni azienda avrebbe già dovuto recepire. Dal 2 febbraio 2025 sono infatti già entrate in vigore alcune regole:

  • Stop ai sistemi con rischio inaccettabile: è scattato il divieto assoluto di immettere sul mercato o utilizzare sistemi di IA che presentano un rischio inaccettabile per i diritti e la sicurezza. Pensa a pratiche come il social scoring (la classificazione delle persone basata sul comportamento sociale), sistemi di manipolazione subliminale del comportamento o l’identificazione biometrica remota in tempo reale in spazi pubblici per finalità di contrasto (salvo rare eccezioni). Le aziende devono aver già eliminato completamente l’uso di queste tecnologie.
  • Obbligo di formazione (AI Literacy): è entrato in vigore l’obbligo di alfabetizzazione in materia di IA. Sia i fornitori, sia gli utilizzatori di sistemi AI (anche quelli a rischio minimo come ChatGPT usato per lavoro) devono aver adottato misure per garantire un livello di formazione sufficiente per il proprio personale e per chiunque operi con l’IA per conto dell’azienda, inclusi collaboratori esterni

Altri obblighi e sanzioni sono entrati in vigore dal 2 Agosto 2025:

  • Regole per i modelli di IA General-Purpose (GPAI): gli obblighi per i fornitori di modelli come i Large Language Models (LLM) sono applicabili per tutti i sistemi commercializzati dopo questa data. Tra i requisiti ci sono la preparazione della documentazione tecnica, il rispetto dei diritti d’autore e la trasparenza sui dati usati per l’addestramento. Per i modelli GPAI già sul mercato prima di questa data, c’è tempo per adeguarsi fino al 2 agosto 2027.
  • Apparato sanzionatorio operativo: le norme sulle sanzioni previste dall’AI Act sono diventate pienamente applicabili. Questo significa che le autorità nazionali competenti possono già infliggere le pesanti multe previste (fino a 35 milioni di euro o il 7% del fatturato globale) per la violazione degli obblighi in vigore.

> Leggi anche: “AI ACT: il Parlamento Europeo approva la prima legge sull’Intelligenza Artificiale”

Ai act e ddl ia in italia - concetto astratto

Il quadro normativo italiano: la legge 132/2025

Mentre l’AI Act definisce il perimetro europeo, l’Italia ha giocato la sua partita per prima tra i Paesi europei. La Legge 23 settembre 2025, n.132, ovvero la legge italiana sull’intelligenza artificiale sarà in vigore dal 10 ottobre 2025 e integra e completa coerentemente la normativa UE negli ambiti lasciati alla discrezionalità nazionale.

Impatto diretto sul rischio penale

La novità di maggior peso per la leadership aziendale è l’intervento diretto della legge sul Codice Penale. Questo introduce nuovi profili di rischio che impattano direttamente sulla responsabilità d’impresa:

  • Nuovo reato per i Deepfake: viene introdotto l’Articolo 612-quater c.p., che punisce con la reclusione da uno a cinque anni chi diffonde contenuti audio-video falsificati con l’IA (deepfake) per cagionare un danno ingiusto.
  • Aggravante per l’uso dell’IA: diventa una circostanza aggravante comune l’aver commesso qualsiasi reato usando un sistema di IA come mezzo insidioso o per rendere più difficile la difesa.
  • Revisione del Modello 23: l’introduzione di questi reati, insieme ad aggravanti specifiche per reati finanziari come l’aggiotaggio, rende inevitabile una revisione sostanziale dei
  • Modelli Organizzativi e di Gestione (MOG 231). Le aziende devono mappare il rischio tecnologico e integrare protocolli specifici per il controllo sull’uso degli algoritmi, per non incorrere nella responsabilità amministrativa degli enti.
Regole settoriali specifiche

La legge interviene con un approccio settoriale su ambiti strategici per il business:

  • Lavoro: il datore di lavoro ha l’obbligo di informare il lavoratore sull’utilizzo di sistemi di IA. Viene inoltre istituito un Osservatorio presso il Ministero del Lavoro per promuovere la formazione e definire una strategia nazionale.
  • Sanità: viene creata una piattaforma nazionale di IA presso AGENAS per supportare la sanità digitale con suggerimenti non vincolanti per i professionisti. La legge promuove anche lo sviluppo di sistemi AI per migliorare la vita delle persone con disabilità.
  • Giustizia e PA: viene stabilito un principio netto: l’uso dell’IA è solo strumentale e di supporto. La decisione finale sull’applicazione della legge e sulla valutazione dei fatti resta sempre riservata al magistrato.
  • Tutela dei Minori: per l’accesso ai sistemi di IA da parte dei minori di 14 anni è richiesto il consenso dei genitori o dei tutori
Proprietà intellettuale e addestramento dei modelli

La legge affronta le sfide della GenAI e modifica la legge sul diritto d’autore (L. 633/1941):

  • La tutela del diritto d’autore è riservata alle opere di ingegno umano, ma queste possono essere create “anche con l’ausilio” di strumenti di IA, a patto che ci sia un apporto creativo umano dimostrabile
  • Viene introdotto un nuovo reato per l’estrazione illecita di testi e dati (Text and Data Mining). L’uso di opere protette per l’addestramento dei modelli è permesso, ma i titolari dei diritti possono esercitare il diritto di opt-out per negare il consenso.
La Governance Nazionale

Per adempiere agli obblighi dell’AI Act, l’Italia ha designato una governance “diarchica”. Per le aziende è fondamentale sapere a chi rivolgersi:

  1. Agenzia per l’Italia Digitale (AgID): è l’autorità di notifica. Il suo ruolo è focalizzato sulla promozione dell’innovazione e dello sviluppo. Gestisce le procedure per accreditare gli organismi che verificano la conformità dei sistemi di IA.
  2. Agenzia per la Cybersicurezza Nazionale (ACN): è l’autorità di vigilanza del mercato. Svolge le funzioni di controllo, ispezione e sanzione, con un’attenzione specifica ai profili di cybersicurezza. Funge anche da punto di contatto unico con le istituzioni UE.

Le due agenzie collaborano nella gestione degli spazi di sperimentazione (regulatory sandboxes) e sono coordinate da un comitato presso la Presidenza del Consiglio.

Puoi trovare il testo completo a questo link (Fonte esterna).

Formazione in AI literacy - alfabetizzazione in intelligenza artificiale

Le 4 aree di responsabilità per il Management

Con le nuove normative, il management non è più solo uno spettatore dell’innovazione tecnologica, ma diventa il regista della sua implementazione sicura e legale. Agendo principalmente come Deployer (utilizzatore) dei sistemi di IA, la leadership aziendale ha la responsabilità di garantire che l’adozione di queste tecnologie sia etica, sicura e conforme.

> Scarica la checklist e scopri tutte le attività di compliace

Le responsabilità si concentrano in quattro aree strategiche fondamentali.

1. Governance, Rischio e Compliance

La prima e più importante responsabilità del management è stabilire un solido quadro di controllo.

  • Mappare e classificare i sistemi AI: è necessario avviare un inventario di tutti i sistemi di IA in uso o in sviluppo, per poi classificarli secondo i livelli di rischio definiti dall’AI Act (inaccettabile, alto, limitato, minimo). Questa classificazione determina l’entità degli obblighi futuri ed è la base di tutta la strategia di compliance.
  • Gestire i sistemi ad alto rischio: per i sistemi classificati come ad alto rischio (es. usati in HR, sanità, finanza, infrastrutture critiche), i manager devono implementare un solido sistema di gestione del rischio per l’intero ciclo di vita dell’IA. È inoltre obbligatorio condurre una Valutazione d’Impatto sui Diritti Fondamentali (FRIA – Fundamental Rights Impact Assessment) per identificare e mitigare i potenziali rischi per i diritti umani, come non discriminazione e privacy. Questa valutazione va integrata con la già nota DPIA prevista dal GDPR.
  • Garantire la supervisione umana: il management deve assicurare che la supervisione sui sistemi ad alto rischio sia affidata a persone con la competenza, la formazione e l’autorità necessarie per intervenire, annullare o interrompere il funzionamento del sistema.
  • Definire policy e strutture interne: spetta alla leadership definire policy aziendali chiare sull’uso dell’IA e identificare un responsabile interno o una task force per la AI Governance, coinvolgendo IT, Legale e Risk Management.
2. Gestione delle risorse umane e formazione obbligatoria

L’obbligo di alfabetizzazione in materia di IA (AI Literacy), scattato il 2 febbraio 2025, è una responsabilità diretta del management.

  • Garantire la formazione: i manager devono adottare misure per assicurare un livello sufficiente di alfabetizzazione AI a tutto il personale e ai collaboratori che utilizzano sistemi di IA per conto dell’azienda.
  • Adattare la formazione al ruolo: la formazione non può essere generica. Per il Management e la C-Suite, il focus è su governance strategica e responsabilità legale. Per gli HR Manager, serve una formazione approfondita, dato che i sistemi di IA per il recruiting sono considerati ad alto rischio e richiedono competenze per prevenire i bias e assicurare equità.
  • Documentare il percorso formativo: è essenziale documentare la formazione erogata per poter dimostrare la conformità in caso di controlli e per assicurarsi che il personale abbia compreso limiti e rischi dei sistemi AI. In particolare, la formazione deve includere:
    • Comprensione generale dell’IA: conoscere i principi di funzionamento, le opportunità e i limiti delle tecnologie utilizzate. Puoi iniziare con il corso in e-learning “Introduzione all’intelligenza artificiale”
    • Consapevolezza dei rischi: saper riconoscere i rischi etici e legali, come i bias discriminatori nei dati, le “allucinazioni” dei modelli e sapere quali informazioni sensibili non inserire mai nei prompt.
    • Conformità normativa: avere una conoscenza del quadro regolatorio, in particolare dell’AI Act e della sua interazione con il GDPR.
    • Competenze per la supervisione umana: sviluppare la capacità critica di controllare e correggere gli output dell’IA, evitando l’eccessiva fiducia negli algoritmi (c.d. automation bias)

> Scopri la formazione in IA e Machine Learning 

La mancata formazione può aumentare la responsabilità legale in caso di danni causati da un uso scorretto dell’IA e può configurare la colpa d’organizzazione ai sensi del D.Lgs. 231/2001, poiché un personale non formato è più propenso a commettere illeciti tramite l’uso di questi strumenti.

3. Profili di rischio legale e penale

La legge italiana amplifica la responsabilità aziendale, costringendo i manager a rivedere i modelli di gestione del rischio.

  • Aggiornare il Modello 231: l’integrazione dell’IA nei processi aziendali comporta nuovi rischi di reato. I manager sono responsabili di una revisione sostanziale del Modello Organizzativo e di Gestione per mappare questi rischi e integrare protocolli di controllo sull’uso degli algoritmi.
  • Rinnovare la documentazione di compliance: il DDL IA introduce nuove aggravanti e reati (come la diffusione di deepfake o lo scraping abusivo). La compliance aziendale deve coprire anche questi rischi emergenti.
  • Conoscere le sanzioni: i manager devono essere consapevoli del rischio di sanzioni elevate previste dall’AI Act (fino a 35 milioni di euro o il 7% del fatturato globale). In caso di violazioni che coinvolgono anche dati personali, queste sanzioni possono sommarsi a quelle previste dal GDPR.
4. Gestione del contesto normativo italiano

I manager in Italia devono infine navigare la complessità del doppio binario normativo

  • Complessità normativa: la legge italiana integra l’AI Act con norme specifiche, come quelle penali, senza introdurre obblighi divergenti. La strategia deve quindi basarsi sull’AI Act, monitorando al contempo i decreti attuativi italiani.
  • Governance nazionale disallineata: la scelta di AgID e ACN come autorità competenti ha sollevato critiche per la loro potenziale mancanza di indipendenza dal Governo, un fattore da considerare nelle strategie di lungo periodo.
  • Onere per le PMI: nonostante le agevolazioni (come le regulatory sandbox e i fondi per l’innovazione), i costi e i requisiti documentali per la compliance possono essere gravosi per le PMI. I manager di queste realtà devono saper bilanciare attentamente i costi della conformità con i benefici dell’innovazione responsabile.

La responsabilità del management nell’era dell’intelligenza artificiale richiede un cambio di passo: passare da un’adozione della tecnologia frammentata e reattiva a un modello di AI Governance integrato e strategico. Questo approccio è una necessità e un’opportunità per rafforzare la competitività e la qualità delle decisioni aziendali.

Ignorare questo cambiamento espone l’azienda a rischi concreti: dalle pesanti sanzioni amministrative a una maggiore responsabilità legale per danni, fino alla configurazione della “colpa d’organizzazione” secondo il Modello 231. L’adeguamento dei modelli organizzativi, affiancato da un solido percorso formativo, diventa quindi la chiave per governare la complessità e trasformare il rischio in valore.

La sfida per la leadership è garantire che l’efficienza aziendale e l’innovazione vadano di pari passo con la tutela dei diritti e l’adempimento di un quadro normativo in piena evoluzione.
Per supportare i manager in questo percorso, abbiamo preparato una checklist operativa per avviare la strategia di compliance. Scaricala qui.

Checklist operativa: compliance alle normative IA per Manager

Usa questa checklist per tradurre la normativa in task concreti. Mappa le attività, definisci le priorità e monitora le scadenze per allineare la tua azienda alle nuove leggi su intelligenza artificiale, proteggendo il business e le persone.

Scarica gratuitamente la checklist e inizia oggi a pianificare la compliance della tua azienda alle leggi italiane ed europee sull’intelligenza artificiale!