Dal 10 ottobre 2025 l’Italia ha una nuova legge sull’intelligenza artificiale. Non è solo l’ennesimo adempimento burocratico da archiviare in qualche cassetto digitale: la Legge 132/2025 ridisegna le responsabilità di chi utilizza sistemi AI in azienda, introduce nuovi reati, impone obblighi di trasparenza verso dipendenti e clienti. E lo fa in un momento paradossale: mentre il mercato italiano dell’IA cresce del 38,7% all’anno, con proiezioni che parlano di 1,8 miliardi di euro nel 2027, solo l’8,2% delle imprese con almeno 10 addetti utilizza concretamente queste tecnologie. Un divario di oltre 5 punti percentuali rispetto alla media europea che non è solo un numero: è un gap competitivo che rischia di aggravarsi proprio mentre si alza l’asticella normativa.
Pubblicata in Gazzetta Ufficiale il 25 settembre 2025, la legge rappresenta il primo intervento organico italiano in materia di intelligenza artificiale. Non sostituisce il Regolamento europeo 2024/1689, il cosiddetto AI Act, ma lo integra con disposizioni nazionali specifiche che toccano settori cruciali: sanità, giustizia, lavoro, professioni intellettuali, pubblica amministrazione. Si tratta di un approccio settoriale che non si limita a enunciare principi generali, ma entra nel merito delle applicazioni concrete. Un cambio di passo che molte organizzazioni stanno ancora metabolizzando.
L’elemento più dirompente riguarda i modelli organizzativi previsti dal Decreto Legislativo 231/2001, quello sulla responsabilità amministrativa degli enti. L’articolo 21 della Legge 132 introduce nuove fattispecie di reato legate all’uso illecito dell’intelligenza artificiale e aggravanti specifiche. Viene creato l’articolo 612-quater del Codice Penale, che punisce con pena da uno a cinque anni la diffusione illecita di contenuti generati o alterati tramite AI: i deepfake, per intenderci, quei video o audio manipolati che sembrano autentici ma sono completamente artefatti. L’articolo 61 del Codice Penale si arricchisce di un nuovo numero, l’11-decies, che prevede un’aggravante quando sistemi di intelligenza artificiale vengono impiegati come mezzo insidioso o per ostacolare la difesa.
Non finisce qui. Aggravanti analoghe scattano per reati contro i diritti politici, per l’aggiotaggio e la manipolazione del mercato quando questi crimini vengono commessi attraverso l’intelligenza artificiale. Questa estensione del catalogo dei reati presupposto obbliga le imprese a ripensare integralmente la mappatura dei rischi e i protocolli di controllo nei loro modelli 231. Non basta aggiungere un capitolo al documento esistente: serve ridisegnare l’intera architettura alla luce di una tecnologia che permea trasversalmente l’organizzazione, dalla gestione del personale al marketing, dalle decisioni creditizie alla sicurezza informatica.
I numeri fotografano un paese che corre a due velocità. Il report ISTAT Imprese e ICT 2024 certifica che solo l’8,2% delle imprese italiane con almeno 10 addetti utilizza almeno una tecnologia di intelligenza artificiale, contro una media europea del 13,5%. Significa adottare l’AI a un ritmo inferiore del 39% rispetto al resto dell’Unione. Ma il dato si scompone in modo ancora più eloquente: il 32,5% delle grandi aziende utilizza questi strumenti, mentre tra le piccole e medie imprese, che rappresentano il 92% del tessuto produttivo italiano, la percentuale crolla al 7,7%.
Parallelamente, gli investimenti in cybersecurity crescono con forza: da 2 miliardi di euro nel 2024 a una proiezione di 2,75 miliardi nel 2027, con un tasso di crescita annuo del 10,6%. Come sottolineato da Anitec-Assinform, l’associazione che rappresenta le imprese ICT italiane, oltre alla normativa la vera sfida è aumentare il tasso di adozione e portare benefici concreti alle imprese e ai cittadini. Serve investire in formazione, creare programmi di accompagnamento per le PMI, sviluppare competenze diffuse. Perché la norma arriva, ma le competenze no.
Il gap si manifesta su tre dimensioni interconnesse. La prima riguarda le competenze: l’alfabetizzazione in materia di IA prevista dall’AI Act europeo e richiamata dalla legge italiana è ancora lontana dall’essere diffusa. Le organizzazioni mancano di figure ibride, professionisti in grado di comprendere simultaneamente le implicazioni tecniche, legali, etiche e operative dell’intelligenza artificiale. Il Chief Information Security Officer tradizionale si trova a dover dialogare con data scientist, legali specializzati in cyber law, manager delle risorse umane e compliance officer su temi che richiedono un metalinguaggio ancora in formazione. Questa lacuna di competenze trasversali rappresenta forse il vincolo più stringente all’adozione consapevole dell’AI.
La seconda dimensione è organizzativa. La governance dell’intelligenza artificiale richiede strutture decisionali nuove che molte aziende italiane faticano a implementare. Il modello gerarchico tradizionale, in cui la decisione finale spetta a un singolo soggetto apicale, entra in crisi quando il sistema AI genera output che influenzano decisioni ad alto impatto: assumere o non assumere un candidato, concedere o negare un credito, approvare o respingere una pratica assicurativa. La Legge 132 impone il principio della supervisione umana significativa, ma tradurlo operativamente significa ripensare workflow consolidati, definire ruoli e responsabilità inediti, implementare sistemi di tracciabilità delle decisioni.
La terza dimensione è tecnologico-infrastrutturale. Molte piccole e medie imprese operano ancora con infrastrutture IT legacy, prive dei requisiti minimi per l’adozione sicura di sistemi di intelligenza artificiale. La questione non è solo di investimento economico, ma di cultura del dato: mappatura dei data flow, classificazione dei dataset, gestione della qualità dei dati, tracciamento della loro provenienza sono pratiche ancora poco diffuse nel tessuto produttivo italiano.
L’articolo 11 della Legge 132 stabilisce principi chiari per l’uso dell’AI in ambito lavorativo. L’intelligenza artificiale deve essere impiegata per migliorare le condizioni di lavoro, tutelare l’integrità psicofisica dei lavoratori, accrescere la qualità delle prestazioni e la produttività. L’utilizzo deve essere sicuro, affidabile, trasparente e non può svolgersi in contrasto con la dignità umana né violare la riservatezza dei dati personali. Il sistema deve garantire l’osservanza dei diritti inviolabili del lavoratore senza discriminazioni basate su sesso, età, origini etniche, credo religioso, orientamento sessuale, opinioni politiche, condizioni personali, sociali ed economiche.
Ma è il comma sull’obbligo informativo a generare le implicazioni operative più concrete. Il datore di lavoro o il committente è tenuto a informare il lavoratore dell’utilizzo dell’intelligenza artificiale nei casi e con le modalità previste dall’articolo 1-bis del Decreto Legislativo 152/1997. Questo significa che quando si utilizzano sistemi decisionali o di monitoraggio integralmente automatizzati, capaci di fornire indicazioni in materia di assunzione, conferimento dell’incarico, gestione e cessazione del rapporto di lavoro, assegnazione di compiti o mansioni, sorveglianza, valutazione, adempimento degli obblighi contrattuali, scatta l’obbligo di informare.
Le informazioni devono essere fornite in modo trasparente, in formato strutturato, di uso comune e leggibile da dispositivo automatico. Ogni modifica significativa deve essere comunicata almeno 24 ore prima. Le informazioni vanno trasmesse anche alle rappresentanze sindacali aziendali o, in loro assenza, a quelle territoriali. Non si tratta di una semplice comunicazione formale: è un obbligo sostanziale che richiede alle imprese di mappare tutti i sistemi AI utilizzati, classificarli in base al loro impatto sul rapporto di lavoro, predisporre informative chiare e comprensibili.
Il Consiglio Nazionale degli Ingegneri ha elaborato uno studio sull’impatto dell’AI Act sui professionisti e ha proposto modelli di informativa da utilizzare. Anche l’Associazione Nazionale Forensi e Confprofessioni hanno predisposto moduli informativi specifici. Questi strumenti rappresentano un primo passo, ma la vera sfida è culturale: comprendere che l’intelligenza artificiale non è uno strumento neutro, ma un sistema che incorpora scelte, bias, logiche decisionali che devono essere governate, comprese, rese trasparenti.
