• News Legislative>
  • Normativa>
  • Una legge tutta italiana sull'Intelligenza Artificiale

Una legge tutta italiana sull'Intelligenza Artificiale

06/10/2025

Analisi dei contenuti della Legge 23 settembre 2025, n. 132 (Intelligenza artificiale)

1. Finalità, ambito e principi generali

La Legge n. 132/2025 stabilisce i principi in materia di ricerca, sperimentazione, sviluppo, adozione e applicazione di sistemi e modelli di intelligenza artificiale (IA), promuovendone un impiego corretto, trasparente e responsabile in chiave antropocentrica, con vigilanza sui rischi economici, sociali e sui diritti fondamentali. L’interpretazione e l’applicazione avvengono in coerenza con il Regolamento (UE) 2024/1689 (AI Act) e con i principi di trasparenza, proporzionalità, sicurezza, protezione dei dati, accuratezza, non discriminazione, parità di genere e sostenibilità; è inoltre richiesta la cybersicurezza lungo l’intero ciclo di vita dei sistemi (artt. 1-3 L. 132/2025; Reg. (UE) 2024/1689).

2. Informazione, privacy e minori

L’impiego dell’IA nell’informazione deve salvaguardare libertà di espressione, pluralismo, obiettività e lealtà dell’informazione; i trattamenti di dati personali connessi a IA devono essere leciti, corretti e trasparenti, con informative chiare e diritto di opposizione ove previsto. Per i minori di 14 anni l’accesso all’IA e il relativo trattamento di dati richiedono il consenso di chi esercita la responsabilità genitoriale; tra 14 e 18 anni il consenso può essere espresso dal minore se le informazioni sono facilmente accessibili e comprensibili (art. 4 L. 132/2025; Reg. (UE) 2016/679).

3. Sviluppo economico e procurement pubblico

Lo Stato promuove lo sviluppo dell’IA per accrescere produttività e competitività, favorendo un mercato innovativo e l’accesso a dati di qualità. Nelle piattaforme di e‑procurement della PA possono essere privilegiate, nel rispetto di concorrenza, non discriminazione e proporzionalità, soluzioni che garantiscano localizzazione ed elaborazione di dati strategici in data center sul territorio nazionale, con disaster recovery e business continuity in Italia, e con elevati standard di sicurezza e trasparenza nell’addestramento (art. 5, lett. d), L. 132/2025).

4. Sicurezza e difesa nazionale – Esclusioni

Sono escluse dall’ambito della legge le attività svolte per scopi di sicurezza nazionale dagli organismi di informazione per la sicurezza (L. 124/2007), quelle di cybersicurezza e resilienza dell’ACN (Agenzia per la Cybersicurezza Nazionale) (D.L. 82/2021 conv. L. 109/2021), le attività per scopi di difesa nazionale delle Forze armate e quelle delle Forze di polizia dirette a prevenire e contrastare, ai fini di sicurezza nazionale, i reati di cui all’art. 9, co. 1, lett. b) e b‑ter), L. 146/2006. Anche tali attività devono rispettare i diritti fondamentali e i principi democratici (art. 6 L. 132/2025).

5. Sanità e disabilità

L’IA supporta prevenzione, diagnosi e cura senza condizionare in modo discriminatorio l’accesso alle prestazioni; la decisione resta sempre in capo ai professionisti sanitari. I sistemi e i dati impiegati devono essere affidabili, verificati e aggiornati; l’interessato ha diritto a essere informato sull’impiego di IA. Sono promossi sistemi che migliorino condizioni di vita, accessibilità, mobilità e inclusione delle persone con disabilità (art. 7 L. 132/2025).

6. Ricerca e sperimentazione in ambito sanitario

Sono dichiarati di rilevante interesse pubblico i trattamenti di dati (anche particolari) eseguiti da soggetti pubblici e privati senza scopo di lucro, IRCCS e soggetti privati del settore sanitario in progetti congiunti per realizzazione di sistemi IA finalizzati, tra l’altro, a prevenzione, diagnosi, terapie, salute pubblica, sicurezza e studio della fisiologia anche in ambito non sanitario. È autorizzato l’uso secondario di dati privi di identificativi diretti, con informativa anche generale sul sito del titolare e senza ulteriore consenso, salvo necessità di identificazione per tutela della salute; sono sempre consentiti trattamenti per anonimizzazione/pseudonimizzazione/sintetizzazione. I trattamenti devono essere comunicati al Garante e possono iniziare trascorsi 30 giorni se non interviene blocco; AGENAS può adottare linee guida su anonimizzazione e dati sintetici previo parere del Garante (art. 8 L. 132/2025; Reg. (UE) 2016/679, artt. 9, 24, 25, 32, 35; D.Lgs. 196/2003, art. 2‑sexies).

7. Trattamento dati per ricerca – Decreti attuativi

Un decreto del Ministro della salute, entro 120 giorni dall’entrata in vigore, disciplinerà trattamenti di dati personali – anche con modalità semplificate – per ricerca e sperimentazione tramite IA e machine learning, inclusi sandbox e uso secondario dei dati (art. 9 L. 132/2025).

8. Sanità digitale e FSE: piattaforma AGENAS

È inserito l’art. 12‑bis nel D.L. 179/2012: si istituisce una piattaforma di IA a supporto dell’assistenza territoriale, progettata, realizzata, messa in servizio e titolata da AGENAS (Agenzia nazionale per la sanità digitale). La piattaforma eroga servizi di supporto non vincolanti a professionisti, medici e utenti; AGENAS, previo parere del Ministero della salute, del Garante e dell’ACN, specifica tipi di dati, operazioni e misure tecniche/organizzative assicurando un livello di sicurezza adeguato e la tutela dei diritti (art. 10 L. 132/2025; D.L. 179/2012, art. 12‑bis).

9. Lavoro: obblighi informativi e tutele

Nel lavoro l’IA deve essere sicura, affidabile, trasparente e rispettosa della dignità e dei dati personali; il datore o committente informa il lavoratore dell’uso di IA nei casi e con le modalità dell’art. 1‑bis D.Lgs. 152/1997.
Si afferma il rispetto dei diritti inviolabili e il divieto di discriminazioni per sesso, età, origine etnica, religione, orientamento, opinioni, condizioni personali e sociali (art. 11 L. 132/2025; D.Lgs. 152/1997, art. 1‑bis; Reg. (UE) 2016/679).

10. Osservatorio IA nel mondo del lavoro

Presso il Ministero del lavoro è istituito l’Osservatorio sull’adozione di sistemi di IA, con compiti di strategia, monitoraggio degli impatti occupazionali, individuazione dei settori maggiormente interessati e promozione della formazione; composizione e funzionamento sono definiti con decreto ministeriale entro 90 giorni (art. 12 L. 132/2025).

11. Professioni intellettuali

Nelle professioni intellettuali l’IA ha funzione strumentale e di supporto all’attività professionale, con prevalenza del lavoro intellettuale del professionista; le informazioni sui sistemi utilizzati sono comunicate al cliente con linguaggio chiaro e esaustivo (art. 13 L. 132/2025).

12. Pubblica Amministrazione

Le PA utilizzano l’IA per efficienza, riduzione dei tempi e miglioramento dei servizi, garantendo conoscibilità del funzionamento e tracciabilità dell’uso. L’IA opera in funzione strumentale all’attività provvedimentale e la persona resta l’unica responsabile dei provvedimenti e dei procedimenti; sono richieste misure tecniche, organizzative e formative (art. 14 L. 132/2025).

13. Attività giudiziaria

Ogni decisione su interpretazione, applicazione della legge, valutazione di fatti e prove e adozione dei provvedimenti è sempre riservata al magistrato. Il Ministero della giustizia disciplina gli impieghi di IA per organizzazione dei servizi e semplificazione del lavoro giudiziario; fino all’attuazione dell’AI Act, sperimentazione e impiego negli uffici giudiziari ordinari sono autorizzati dal Ministero, sentite le Autorità nazionali (art. 15 L. 132/2025).

14. Delega su dati, algoritmi e metodi di addestramento

Il Governo è delegato, entro 12 mesi, a definire una disciplina organica sull’uso di dati, algoritmi e metodi matematici per l’addestramento dei sistemi di IA, prevedendo diritti/obblighi delle parti, tutele risarcitorie o inibitorie, un apparato sanzionatorio e l’attribuzione della competenza alle sezioni specializzate in materia d’impresa (art. 16 L. 132/2025).

15. Competenza giurisdizionale

È modificato l’art. 9, co. 2, c.p.c.: è attribuita al tribunale la competenza per le cause che hanno a oggetto il funzionamento di un sistema di IA (art. 17 L. 132/2025; art. 9 c.p.c.).

16. IA e cybersicurezza nazionale

Nel D.L. 14 giugno 2021, n. 82, convertito, con modificazioni, dalla L. 4 agosto 2021, n. 109, è inserita la lett. m‑quater: l’ACN promuove e sviluppa ogni iniziativa, anche attraverso accordi di collaborazione con privati e partenariati pubblico‑privati, volta a valorizzare l’IA come risorsa per il rafforzamento della cybersicurezza nazionale (art. 18 L. 132/2025; D.L. 82/2021, art. 7, co. 1, lett. m‑quater).

17. Strategia nazionale e Comitato di coordinamento

La Strategia nazionale per l’IA è predisposta dalla struttura della Presidenza del Consiglio competente per innovazione e transizione digitale, d’intesa con le Autorità nazionali e i ministeri interessati, ed è approvata almeno biennalmente dal CITD (Comitato Interministeriale per la Transizione Digitale). È istituito un Comitato di coordinamento per l’indirizzo su enti, organismi e fondazioni operanti nel digitale/IA; svolge funzioni di coordinamento su ricerca, sperimentazione, adozione e politiche di formazione, senza nuovi oneri (art. 19 L. 132/2025; D.L. 22/2021, art. 8, co. 2).

18. Autorità nazionali per l’IA e raccordi regolatori

Sono designate AgID (Agenzia per l'Italia Digitale) e ACN (Agenzia per la Cybersicurezza Nazionale) quali Autorità nazionali per l’IA. AgID promuove innovazione e sviluppo, e cura procedure/funzioni di notifica, valutazione, accreditamento e monitoraggio dei soggetti che verificano la conformità dei sistemi IA; ACN è responsabile della vigilanza, incluse ispezioni e sanzioni, e promuove sviluppo IA per i profili di cybersicurezza. AgID è autorità di notifica e ACN è autorità di vigilanza del mercato e punto di contatto unico ai sensi dell’art. 70 AI Act; restano ferme le competenze di Banca d’Italia, CONSOB e IVASS quali autorità di vigilanza del mercato ai sensi dell’art. 74(6) AI Act, nonché i poteri del Garante e dell’AGCOM (Coordinatore dei servizi digitali) (art. 20 L. 132/2025; Reg. (UE) 2024/1689, artt. 70, 74(6); D.L. 123/2023 conv. L. 159/2023).

19. Progetti sperimentali MAECI

È autorizzata la spesa di €300.000 annui per ciascuno degli anni 2025 e 2026 per progetti sperimentali di applicazione dell’IA ai servizi del Ministero degli affari esteri e della cooperazione internazionale (art. 21 L. 132/2025).

20. Misure per giovani e sport

Si estendono i titoli di accesso a programmi per giovani ricercatori che abbiano svolto attività di ricerca (anche applicata) in IA; nel PDP (Piano Didattico Personalizzato) delle scuole secondarie possono essere inserite attività presso istituzioni di formazione superiore. Si promuove l’uso dell’IA per benessere psicofisico e inclusione delle persone con disabilità nello sport (art. 22 L. 132/2025; D.Lgs. 209/2023, art. 5).

21. Investimenti in IA, cybersicurezza e calcolo quantistico

È autorizzato, fino a 1 miliardo di euro, l’investimento (equity o quasi‑equity) nel capitale di rischio di PMI (Piccole e Medie Imprese) innovative e di imprese con alto potenziale nei settori di intelligenza artificiale (IA)/cyber/quantistico/telecomunicazioni (anche reti mobili di quinta generazione (5G), Multi‑access Edge Computing (MEC), architetture aperte, Web 3.0 (Web3), elaborazione del segnale). Gli investimenti avvengono tramite il Fondo di sostegno al venture capital e fondi di venture capital (VC) istituiti e gestiti dalla SGR (Società di Gestione del Risparmio) di cui all’art. 1, co. 116, L. 145/2018, con partecipazione agli organi di governance della struttura PCM (Presidenza del Consiglio dei Ministri) competente e di ACN (Agenzia per la Cybersicurezza Nazionale), senza compensi (art. 23 L. 132/2025; L. 145/2018, commi 116 e 209).

22. Deleghe per adeguamento all’AI Act e disciplina degli illeciti

Il Governo è delegato, entro 12 mesi, ad adeguare la normativa nazionale all’AI Act, attribuendo alle autorità di cui all’art. 20 i poteri di vigilanza/ispettivi/sanzionatori (inclusi quelli di cui all’art. 99 AI Act), con modifiche necessarie anche ai settori bancario/finanziario/assicurativo/pagamenti; è previsto l’uso di disciplina secondaria delle autorità e l’adeguamento del quadro sanzionatorio anche in deroga alla L. 689/1981, coordinato con il regolamento sanzionatorio ACN (D.L. 82/2021, art. 17, co. 4‑quater). Ulteriore delega, entro 12 mesi, per impieghi illeciti di IA: strumenti (anche cautelari) di rimozione/inibitoria, nuove fattispecie penali per omissione di misure di sicurezza, criteri di imputazione della responsabilità penale e amministrativa degli enti, regole sull’onere della prova in sede civile, e disciplina d’uso dell’IA nelle indagini preliminari (art. 24 L. 132/2025; L. 234/2012, artt. 31‑32; Reg. (UE) 2024/1689, art. 99; L. 689/1981; D.L. 82/2021, art. 17, co. 4‑quater).

23. Diritto d’autore e text & data mining

Sono protette le opere dell’ingegno umano, anche se create con l’ausilio di IA, purché espressione del lavoro intellettuale dell’autore (modifica all’art. 1 L. 633/1941). È introdotto l’art. 70‑septies della LDA (Legge sul diritto d’autore – L. 22 aprile 1941, n. 633): riproduzioni/estrazioni da opere o materiali in rete o banche dati legittimamente accessibili, ai fini di estrazione di testo e dati (anche tramite IA generativa), sono consentite in conformità agli artt. 70‑ter e 70‑quater (art. 25 L. 132/2025; L. 633/1941, artt. 1, 70‑septies, 70‑ter, 70‑quater).

24. Disposizioni penali e correlate

Sono introdotte: (i) nuova aggravante comune se il fatto è commesso mediante IA (art. 61, n. 11‑decies, c.p.); (ii) aggravamento della pena per l’attentato ai diritti politici commesso con IA (art. 294 c.p.); (iii) nuovo reato 612‑quater c.p. sull’illecita diffusione di contenuti generati/alterati con IA (deep/deceptive media); (iv) aggravamento dell’aggiotaggio se commesso con IA (art. 2637 c.c.); (v) nuova lettera a‑ter nell’art. 171 LDA per estrazioni/riproduzioni TDM (Text and Data Mining – estrazione di testo e dati) in violazione degli artt. 70‑ter e 70‑quater anche tramite IA (art. 26 L. 132/2025; c.p. artt. 61, 294, 612‑quater; c.c. art. 2637; L. 633/1941, art. 171).

25. Entrata in vigore

In assenza di diversa clausola finale, si applica la vacatio legis di 15 giorni: pubblicazione in G.U. Serie generale n. 223 del 25 settembre 2025 → entrata in vigore il 10 ottobre 2025 (art. 10 disp. prel. c.c.; G.U. 25.09.2025).

In sintesi

La L. 132/2025 realizza un quadro nazionale coerente con l’AI Act, puntando su: (i) diritti, trasparenza e cybersicurezza by‑design; (ii) governance istituzionale (AgID/ACN, strategie e sandbox), (iii) settori sensibili (PA, giustizia, sanità, lavoro), (iv) deleghe ampie per adeguamento regolatorio e contrasto agli illeciti, (v) strumenti industriali e di investimento; con puntualizzazioni su diritto d’autore e text & data mining (TDM) e un primo allineamento penale/civile agli abusi dell’IA (artt. 1‑26 L. 132/2025; Reg. (UE) 2024/1689; Reg. (UE) 2016/679; D.L. 82/2021; D.L. 179/2012; L. 633/1941; L. 689/1981; c.p.; c.c.).

Consulenza

Area legale

Area legale

L’Area Legale di MADE HSE supporta le Direzioni e le funzioni tecniche preposte delle Organizzazioni private e pubbliche attraverso servizi...
Contattaci, abbiamo la soluzione
Contattaci
Condividi linkedin share facebook share twitter share
Copyright © 2009-2025 MADE HSE
Via Bresciani, 16 46040 Gazoldo degli Ippoliti, Mantova - Italy
Tel. +39 0376 1410900 | Fax +39 0376 1411044
Capitale Sociale: € 100.000,00 i.v.
Siglacom - Internet Partner