Via libera al testo definitivo di legge italiana in materia di intelligenza artificiale, dopo un lungo iter parlamentare conclusosi in Senato lo scorso 17 settembre 2025.

Al centro è stata posta la tutela dei diritti fondamentali dell’uomo tra cui spicca la protezione dei dati declinata in settori come la sicurezza e la difesa nazionale, la sanità con focus sulla ricerca scientifica e, naturalmente, il copyright. Tra i punti chiave. Ma andiamo per gradi.

La legge quadro sull’AI tutta all’italiana: ecco i punti chiave

Il testo del famoso e tanto atteso DDL ha già fatto parlare di sé in questo oltre anno e mezzo di rimbalzi tra Camera e Senato, pur non cambiando molto nei palleggi parlamentari riportati nel dossier ufficiale.

L’obiettivo è sempre stato quello di introdurre – in quanto legge quadro – principi, risorse e deleghe al fine di disciplinare la ricerca, lo sviluppo e l’uso dei sistemi di AI.

Si tratta del primo testo normativo organico a livello nazionale in materia di AI tanto ambizioso quanto discusso, con alcune criticità rimaste sul tavolo come i pochi fondi rispetto agli altri Paesi, la scelta di assegnare le funzioni ad agenzie governative anziché all’Autorità indipendente (il Garante per la protezione dei dati personali) e molte altre questioni che, come vedremo, vengono rinviate ai decreti attuativi.

Un quadro normativo alla lettura solido che intende bilanciare innovazione, tutela dei diritti fondamentali e fiducia dei cittadini, fatto di 4 capi e 26 articoli, il cui testo originario era del 23 aprile 2024 ancor prima dell’entrata in vigore del Reg. UE 2024/1689, il cosiddetto AI Act. Insomma, il segno di un’Italia su questi temi assai competitiva.

I punti chiave della legge italiana sull’AI

Ecco i punti chiave:

1. Deleghe al Governo, entro 12 mesi dovranno essere adottati decreti legislativi per armonizzare la normativa italiana all’AI Act e regolare l’uso dei dati e degli algoritmi per l’addestramento dei sistemi di AI;
2. regime duale, AgID e ACN saranno le Autorità di competenza, previo coordinamento con la Presidenza del Consiglio, per presidiare sicurezza, qualità e trasparenza dei sistemi;
3. utilizzo dell’AI per supporto a diagnosi e cure, senza sostituire la decisione umana del medico, con l’obbligo di informare adeguatamente i pazienti;
4. progetti di ricerca e sperimentazioni su sistemi di AI;
5. possibilità di “riuso” per finalità di ricerca/sperimentazione, essenziale per il training algoritmico;
6. obbligo per il datore di lavoro (e per i professionisti vs clienti/assistiti) di informare sull’uso dell’AI, con istituzione di un Osservatorio nazionale;
7. uso vietato agli under 14 in assenza di consenso dei genitori;
8. diritto d’autore con riconoscimento della protezione delle opere generate dall’AI se opera dell’ingegno umano, con limitazioni per l’estrazione/riproduzione da dataset coperti da diritti;
9. nuovo reato di illecita diffusione di contenuti generati o manipolati dall’AI (con pene da 1 a 5 anni di reclusione);
10. un miliardo di euro tramite Cdp Venture Capital per sostenere PMI e imprese innovative attive in AI, cyber sicurezza, quantistica e TIC.

Legge italiana sull’AI: focus privacy

L’art. 4 è dedicato ai “Princìpi in materia di informazione e di riservatezza dei dati personali”.

In pratica, l’utilizzo di sistemi di AI non dovrà recare pregiudizio alla libertà e ai tanti mezzi di comunicazione, né alla libertà di espressione/obiettività, completezza, imparzialità e lealtà dell’informazione.

Il trattamento dei dati dovrà seguire i soliti ben noti principi di liceità, correttezza, trasparenza dei dati personali, e per le stesse finalità proprio come il GDPR insegna.

Anche le informative connesse all’uso dei sistemi di intelligenza artificiale dovranno essere rese con linguaggio “chiaro e semplice, in modo da garantire all’utente la conoscibilità dei relativi rischi e il diritto di opporsi ai trattamenti autorizzati dei propri dati personali” (comma III).

I minori di 14 anni avranno bisogno del consenso dei genitori o di chi ne fa le veci, anche questo in perfetta linea con il GDPR.

Nulla di nuovo sulla carta, sembrerebbe. Certo è che gli adempimenti dovranno essere armonizzati e, ove possibile, integrati nei vari sistemi di gestione, in favore di una compliance adeguata e consistente.

Legge italiana sull’AI: sicurezza e difesa nazionale

Sulla sicurezza e difesa nazionale l’art. 6 in perfetta linea con l’AI Act, esclude l’applicazione della legge alle “attività di ricerca, sperimentazione, sviluppo, adozione, applicazione e utilizzo di sistemi e modelli di intelligenza artificiale svolte a fini di sicurezza nazionale dal Dipartimento delle informazioni per la sicurezza (DIS), dall’Agenzia informazioni e sicurezza esterna (AISE), dall’Agenzia informazioni e sicurezza interna (AISI), dall’Agenzia per la cybersicurezza nazionale (ACN) per la tutela della sicurezza cibernetica, dalle Forze armate per scopi di difesa nazionale, e dalle Forze di polizia per prevenire e contrastare reati specifici”.

Le attività compiute per la sicurezza nazionale dovranno quindi rispettare il diritto di opposizione al trattamento.

I server dei sistemi di AI destinati all’uso in ambito pubblico, potranno risiedere anche all’estero pur favorendo la fornitura nazionale.

La sanità nella legge italiana sull’AI

Ancora, è interessante focalizzarsi sulla ricerca e la sperimentazione scientifica nell’ambito della quale dovrà essere garantita “l’anonimizzazione e sintetizzazione dei dati personali per agevolare ricerca e governo in sanità”.

In concreto, i ricercatori e le aziende sanitarie in Italia godranno, in forza di questa legge, di una “base giuridica ad hoc per anonimizzare, pseudonimizzare e creare dati sintetici con i dati personali anche sensibili che detengono, per fini di ricerca scientifica sanitaria con sistemi di intelligenza artificiale e di governo della salute”.

E non sarà più necessario il consenso dei pazienti (per il trattamento dei dati), tanto meno l’autorizzazione preventiva al Garante.

Quindi, semplificazione parola d’ordine, evitando blocchi burocratici; il tutto in linea con i razionali dell’EHDS – Spazio UE dei dati sanitari.

Non solo, anche la previsione per cui “AGENAS, sentito il Garante privacy […] può [e ndr non deve] stabilire e aggiornare linee guida per le procedure di anonimizzazione di dati personali e per la creazione di dati sintetici” agevolerà il mondo dei ricercatori.

Infine, aperture importanti sono anche con riferimento all’uso e soprattutto il riuso di dati sia personali che sanitari per finalità di ricerca scientifica.

Legge italiana sull’AI: la tutela del copyright

Ancora, sul diritto di autore, con riferimento specifico all’estrazione/uso di testi/dati per training (TDM), il testo di legge in parola introduce limiti e responsabilità.

Ciò avrà impatti sui modelli di business che si basano su large-scale scraping e sul valore commerciale delle basi dati. Di qui, sarà essenziale avere “politiche chiare di licensing, gestione dei diritti e controllo della qualità delle fonti, nonché nuove valutazioni economiche del dato come asset strategico”, come scrive Alessandro Longo.

I prossimi passi

Il famoso DDL (1146) non subirà dunque più modifiche se anche quest’ultima versione consolidata tra Camera e Senato verrà convalidata, sottoscritta e promulgata anche dal Presidente della Repubblica.

Quindi, la pubblicazione del testo in Gazzetta Ufficiale e da lì la piena entrata in vigore.

A quel punto, il Governo dovrà provvedere ai decreti attuativi. Insomma, non ci sarà tempo da perdere.