Compliance · 10 min di lettura · 19 Giu 2026

Adesso l'Italia ha la sua legge sull'AI. E riguarda anche te.

Mentre tutti guardavano l'AI Act europeo, l'Italia ha approvato una propria legge sull'intelligenza artificiale: la 132/2025, in vigore dal 10 ottobre 2025. I decreti attuativi arrivano entro ottobre 2026. Tocca il tuo Modello 231, le tue informative, la tua governance interna. Ecco cosa devi fare.

Palazzo istituzionale con bandiere italiana ed europea: la legge 132/2025 è la prima legge nazionale sull'intelligenza artificiale.
In sintesi. La legge 23 settembre 2025, n. 132 è la prima legge italiana organica sull'AI: è in vigore dal 10 ottobre 2025 e affianca l'AI Act europeo, non lo sostituisce. Obbliga le imprese a informare in modo preventivo chi è esposto ai sistemi AI, ad aggiornare il Modello 231 (nuovo reato di deepfake), a tenere l'uomo come responsabile finale delle decisioni e a darsi una governance interna documentata. I decreti attuativi — che fissano sanzioni e procedure — sono attesi entro il 10 ottobre 2026.

Negli ultimi due anni abbiamo scritto parecchio sull'AI Act europeo e sul suo rinvio al 2027. Giusto così: è il regolamento che fa più paura, con sanzioni fino al 7% del fatturato mondiale. Ma c'è un pezzo che quasi nessun imprenditore italiano ha messo a fuoco: l'Italia, a settembre 2025, ha approvato la sua legge nazionale sull'intelligenza artificiale. La legge 23 settembre 2025, n. 132, pubblicata in Gazzetta il 25 settembre ed entrata in vigore il 10 ottobre 2025.

Prima reazione tipica: "Un'altra legge? Ma non bastava il regolamento europeo?". No, non basta, e per un motivo preciso. L'AI Act è un regolamento UE: stabilisce cosa è vietato e quali obblighi tecnici hanno i sistemi ad alto rischio. La legge italiana lavora su un altro piano: definisce principi nazionali, individua le autorità di controllo italiane, tocca il diritto penale e il diritto del lavoro, e delega al Governo una serie di decreti attuativi. Vivono insieme. E la parte italiana, in alcuni punti, ti chiede cose che l'AI Act non chiede.

1. Cosa è la legge 132/2025, in due righe

È una legge "di principi e deleghe". Fissa i paletti di fondo — l'AI deve essere antropocentrica, trasparente, sicura, rispettosa dei diritti fondamentali — e poi delega al Governo l'emanazione dei decreti attuativi entro dodici mesi, cioè entro il 10 ottobre 2026. Quei decreti riempiranno le caselle ancora vuote: procedure tecniche, regime sanzionatorio, dettaglio della governance nazionale.

Questo è il punto temporale da segnare in agenda. Non sei nel "ancora niente di concreto": i principi sono già legge vigente, e tra qui e ottobre 2026 arriveranno i decreti che li rendono operativi. È esattamente la finestra in cui conviene arrivare preparati, non rincorrere.

Aggiornamento — giugno 2026. Il pacchetto dei primi decreti delegati è stato esaminato dal Consiglio dei Ministri. Si entra nella fase calda dell'attuazione: nei prossimi mesi prenderanno forma il dettaglio della governance (ruoli di AgID e ACN) e le procedure operative. Aggiorneremo questo articolo quando i testi saranno definitivi.

2. Trasparenza: devi dirlo, prima, a chi è coinvolto

La legge impone un obbligo di informazione preventiva. Quando usi un sistema di AI che incide su una persona — un dipendente, un candidato, un cliente, un utente — devi comunicarlo in modo "chiaro, semplice ed esaustivo": cosa fa il sistema, quali dati tratta, con che logica decide, quanto pesa sulla decisione finale, quali diritti ha la persona.

La parola che conta è preventiva. Non puoi attivare il sistema e informare dopo, o solo se qualcuno chiede. L'informativa va data prima dell'uso. Per molte aziende questo significa una cosa banale ma trascurata: rivedere le informative privacy, i contratti di lavoro, i termini di servizio, i form del sito, e inserire dove serve la riga che spiega che lì dentro c'è dell'AI e cosa fa.

3. Il colpo che pochi hanno visto: il Modello 231

Questa è la parte più sottovalutata. La legge 132/2025 interviene sul codice penale e, di riflesso, sul Modello 231 (la 231/2001 sulla responsabilità amministrativa degli enti).

  • Nuovo reato di deepfake. Viene introdotto il reato di diffusione di contenuti generati o alterati con AI capaci di indurre in inganno sulla loro genuinità, con pene che arrivano fino a diversi anni di reclusione quando producono un danno. Tradotto per un'azienda: se qualcuno, dentro la tua organizzazione, usa l'AI per fabbricare un contenuto ingannevole, non è più solo un problema reputazionale.
  • Aggravante generale. L'aver commesso un reato impiegando sistemi di AI — per renderlo più insidioso o per ostacolarne la scoperta — diventa una circostanza aggravante.

Conseguenza pratica per chi ha (o dovrebbe avere) un Modello 231: va aggiornato. Vanno mappati i processi in cui l'AI può diventare strumento di reato, vanno previsti protocolli di controllo, va formato il personale, va potenziato l'Organismo di Vigilanza. Non è teoria: è la stessa logica con cui, anni fa, si sono aggiunti i reati informatici e ambientali al catalogo 231.

"Avevamo il Modello 231 fermo al 2021. Quando abbiamo realizzato che metà dell'ufficio marketing genera immagini e testi con strumenti AI ogni giorno, abbiamo capito che il modello non descriveva più l'azienda reale." — Titolare di una PMI di servizi, confronto interno giugno 2026.

4. L'uomo resta responsabile. Sempre.

Il principio cardine della legge è l'antropocentrismo: l'AI assiste la decisione umana, non la sostituisce. La persona "rimane l'unica responsabile" della decisione finale. È un principio, ma ha conseguenze operative concrete.

Significa che per i processi importanti devi poter dimostrare che c'è una supervisione umana reale, non di facciata. Tre schemi tipici:

  • Human-in-the-loop — una persona rivede ogni singola decisione prima che produca effetti. Per i casi più delicati.
  • Human-on-the-loop — il sistema opera, una persona monitora e interviene sulle anomalie.
  • Human-in-command — controllo strategico: l'uomo decide se, quando e come usare il sistema.

Qualunque schema scegli, la parola chiave è documentabile. Chi supervisiona, con quale competenza, con quale potere di fermare il sistema. Se non è scritto da nessuna parte, per un ispettore non esiste.

5. Dati e valutazione d'impatto

Per i sistemi che trattano dati personali e ricadono in profili ad alto rischio, resta centrale la valutazione d'impatto. La DPIA del GDPR si arricchisce: oltre alla privacy, va valutato il rischio di bias, la spiegabilità delle decisioni, la robustezza del sistema, l'impatto sui diritti fondamentali. Va aggiornata quando il sistema cambia in modo significativo.

Qui la legge italiana si salda con il GDPR e con l'AI Act: sono tre binari paralleli, non alternativi. Se hai già fatto bene il lavoro sul GDPR, parti avvantaggiato — ma non hai finito. Se i tuoi dati AI passano fuori dall'Unione, c'è un ulteriore livello da gestire, che abbiamo spiegato nell'articolo sui trasferimenti extra-UE.

6. La governance interna che ti serve

Mettendo insieme i pezzi, la legge ti chiede — di fatto — di darti una governance dell'AI. Non un documento da incorniciare: una struttura che descrive come la tua azienda usa l'intelligenza artificiale. Il minimo sindacale:

  • Un registro dei sistemi AI in uso. Quali strumenti, dove, su quali dati, sotto la responsabilità di chi. È la base di tutto: senza inventario non puoi né informare, né valutare il rischio, né supervisionare.
  • Una AI policy interna. Cosa è permesso, cosa è vietato, chi approva l'introduzione di un nuovo strumento. Serve anche a fermare la proliferazione di strumenti non autorizzati che entrano in azienda dalla porta di servizio.
  • Ruoli e responsabilità. Chi risponde dell'oversight, chi tiene aggiornato il registro, chi parla con le autorità.
  • Formazione documentata. Già richiesta dall'AI Act (alfabetizzazione AI), qui rafforzata. Documentata: foglio firme, materiali, date.

7. Le autorità, e una buona notizia sui soldi

La governance nazionale sarà imperniata su due soggetti: AgID (Agenzia per l'Italia Digitale), con un ruolo di promozione e di notifica, e l'ACN (Agenzia per la Cybersicurezza Nazionale), per la parte di vigilanza e sicurezza. Il Garante Privacy resta competente su tutto ciò che è trattamento di dati personali. I decreti attuativi definiranno i confini esatti.

La buona notizia: la legge prevede risorse. È stanziato un fondo fino a un miliardo di euro per il sostegno a imprese, startup e PMI nel campo dell'AI e delle tecnologie emergenti. Si somma agli incentivi fiscali già esistenti — Iperammortamento e Voucher Cloud — di cui abbiamo parlato nell'articolo sugli incentivi AI 2026. Detto altrimenti: la stessa norma che ti impone obblighi mette anche sul tavolo i fondi per affrontarli. Conviene non lasciarli sul tavolo.

Il nostro taglio: la conformità è molto più facile su infrastruttura che controlli

Lo ripetiamo perché è il filo che lega tutti questi obblighi. Informazione preventiva, registro dei sistemi, supervisione umana documentata, log, audit trail: sono tutte cose che fai con un decimo della fatica se la tua AI gira su infrastruttura che governi, invece che dentro un'API cloud di cui non controlli né i log né la retention.

Un sistema RAG come Celeris tiene log strutturati con le fonti in chiaro, conservabili per anni e mostrabili a un ispettore. Un sistema come Automata registra ogni passaggio di un processo automatizzato. Un firewall AI come Vigil osserva input e output e blocca in tempo reale ciò che viola una policy. Non è marketing: è ciò che la legge 132/2025 e l'AI Act, insieme, finiranno per pretendere che tu sappia documentare.

Cosa fare adesso

Non serve un progetto da un anno. Serve metodo, e iniziare prima di ottobre 2026:

  • Inventario. Mappa tutti i sistemi AI in azienda, comprese le feature AI nascoste dentro software che già usi.
  • Informative. Aggiorna privacy policy, contratti di lavoro, termini di servizio con l'informazione preventiva.
  • Modello 231. Se ce l'hai, aggiornalo (deepfake, aggravante AI). Se non ce l'hai e l'AI è centrale nei tuoi processi, valuta seriamente di adottarlo.
  • Governance. Registro dei sistemi + AI policy + ruoli + formazione. Anche minimale, ma scritto.
  • Incentivi. Verifica se rientri nel fondo e negli incentivi fiscali prima di spendere.

L'AI Act ti diceva cosa non puoi fare e quali sistemi sono pericolosi. La legge italiana ti dice come la tua azienda deve organizzarsi per usare l'AI in modo responsabile — e ti rende penalmente più esposto se non lo fai. Sono due facce della stessa medaglia, e dal 10 ottobre 2025 sono entrambe diritto vigente. La differenza, come sempre, la fa chi si muove prima.

Scritto dal team TuxWeb ← Torna al blog
Continua a leggere

Altri articoli dal blog

Compliance·10 min

AI Act, 2 agosto 2026: cosa cambia davvero per le PMI italiane.

Leggi
Business·8 min

Iperammortamento 180% e Voucher Cloud 50%: nel 2026 lo Stato paga metà del tuo investimento in AI.

Leggi
Compliance·9 min

I tuoi dati AI escono dalla UE? Cosa dice il GDPR.

Leggi