Mano umana e mano robotica su un documento in un ufficio: la supervisione umana al centro dei decreti attuativi dell'AI Act in Italia.

L’Italia gioca d’anticipo sull’AI Act: cosa cambia per aziende, lavoro e scuola dopo i decreti del 10 giugno

L'Italia vuole essere apripista sull'intelligenza artificiale, ma la corsa a regolare rischia di scontrarsi con imprese ancora impreparate agli obblighi. La strada d'incontro passa da competenze diffuse e governance dimostrabile, non da semplici policy formali. Fino a che punto la tua organizzazione è davvero pronta a provare come usa l'IA?

Il 10 giugno 2026 il Consiglio dei Ministri ha approvato in via preliminare due decreti legislativi che rendono operativo l'AI Act nell'ordinamento nazionale. Con questi provvedimenti l'Italia diventa il primo Stato membro dell'Unione a tradurre in norme applicabili il Regolamento (UE) 2024/1689, dando attuazione alla legge nazionale 132/2025 già in vigore dal 10 ottobre 2025. Non si tratta più di principi astratti: arrivano autorità di vigilanza designate, scadenze precise, nuove responsabilità civili e nuove fattispecie penali.

I decreti attuativi dell'AI Act in Italia non creano un quadro parallelo a quello europeo, ma traspongono il regolamento adattandolo ai settori nazionali, dalla scuola al lavoro fino alla pubblica amministrazione. I due testi non sono ancora definitivi e restano soggetti al vaglio parlamentare prima dell'entrata in vigore formale, ma delineano già con chiarezza il perimetro entro cui dovranno muoversi imprese, professionisti ed enti pubblici che progettano, distribuiscono o utilizzano sistemi di intelligenza artificiale.

🧭 Il principio antropocentrico come chiave di lettura

Il filo conduttore dell'intero pacchetto è la centralità dell'essere umano. L'intelligenza artificiale può supportare, suggerire e velocizzare i processi, ma non sostituisce il giudizio della persona: la decisione finale, la valutazione e la responsabilità restano sempre imputabili a un decisore umano, anche negli impieghi più avanzati. Questo criterio non resta una dichiarazione di intenti, perché attraversa ogni disposizione operativa, dal divieto di licenziamenti puramente algoritmici ai limiti sulla sorveglianza biometrica. Comprendere questa impostazione è il presupposto per interpretare correttamente gli obblighi che ne derivano.

👔 Lavoro e formazione: cosa prevede il primo decreto

La parte destinata ad avere l'impatto più immediato riguarda il lavoro. Le decisioni relative alla costituzione, modifica o cessazione di un rapporto di lavoro non possono essere assunte esclusivamente sulla base di un trattamento automatizzato, e un licenziamento fondato solo su un algoritmo è nullo. Il datore deve informare preventivamente i lavoratori dell'uso di sistemi automatizzati, mentre il dipendente ha diritto di ottenere una spiegazione intelligibile della decisione e del ruolo giocato dall'intelligenza artificiale. La legge 132/2025 istituisce inoltre un Osservatorio nazionale sull'IA nel mondo del lavoro.

Sul versante delle competenze, il decreto punta su una conoscenza diffusa che non tralasci alcun settore. Gli interventi principali riguardano diversi ambiti:

  • l'introduzione dell'IA nei percorsi scolastici e universitari, con un investimento di 100 milioni di euro per la formazione di docenti e personale scolastico
  • l'aggiornamento obbligatorio per medici, operatori sanitari e dipendenti pubblici
  • l'obbligo per gli ordini professionali di aggiornare entro sei mesi i regolamenti sull'alfabetizzazione all'IA, nelle sue dimensioni tecniche, giuridiche e deontologiche

Un principio merita particolare attenzione per chi esercita una professione regolamentata: la responsabilità professionale per il lavoro svolto con l'ausilio dell'IA non si trasferisce allo strumento. L'avvocato, il medico o il commercialista che utilizza un modello resta pienamente responsabile del risultato. Riconoscere ciò che le norme richiedono e distinguere un uso conforme da uno scorretto presuppone un livello di alfabetizzazione che non si esaurisce nell'adempimento formale dell'art. 4 dell'AI Act, ma si traduce in scelte quotidiane di chi decide quali strumenti introdurre e con quali finalità.

🚫 Biometria, sorveglianza e i limiti al riconoscimento facciale

Il secondo decreto affronta uno dei terreni più sensibili dell'intero AI Act. L'identificazione biometrica in tempo reale negli spazi pubblici è permessa solo in circostanze eccezionali e tassative, come la prevenzione di minacce gravi alla sicurezza pubblica, la localizzazione di persone scomparse o l'identificazione di sospetti di reati gravi, e richiede sempre un'autorizzazione giudiziaria limitata nel tempo e nello spazio, con durata massima di 15 giorni per singolo caso. Per il riconoscimento facciale post-evento la titolarità è affidata al Ministero dell'Interno, con valutazione d'impatto preventiva, conservazione dei dati locali per un massimo di sette giorni e log di audit mantenuti per cinque anni. I decreti vietano esplicitamente la costituzione di banche dati biometriche tramite raccolta indiscriminata di immagini dal web e respingono ogni forma di sorveglianza generalizzata di massa.

⚖️ Responsabilità civile e penale: l'art. 437-bis e i deepfake

Sul piano civile i decreti riequilibrano la posizione di chi subisce un danno da un sistema di intelligenza artificiale, agendo sull'asimmetria informativa tra vittima e produttore. Gli strumenti introdotti sono precisi:

  • l'accesso alla documentazione tecnica del sistema
  • una presunzione relativa del nesso di causalità, superabile con prova contraria
  • la possibilità di agire davanti al foro del luogo di residenza del danneggiato e l'azione diretta nei confronti dell'assicuratore

La novità più incisiva è penale. Il nuovo art. 437-bis del Codice Penale punisce l'omessa adozione delle misure di sicurezza o l'alterazione dei sistemi di IA ad alto rischio quando ciò genera un pericolo concreto per la vita, la sicurezza pubblica o la sicurezza dello Stato, con responsabilità estesa anche alle persone giuridiche. A questa fattispecie si aggiunge il reato già previsto dalla legge 132/2025 per la diffusione illecita di deepfake, punito con la reclusione da uno a cinque anni, oltre a un'aggravante per i reati commessi con l'ausilio di sistemi di IA. Il combinato disposto colloca l'Italia tra i Paesi europei con l'apparato sanzionatorio più articolato sull'uso improprio dell'intelligenza artificiale.

📌 Chi vigila e cosa devono fare aziende e professionisti

La governance è affidata a più autorità: AgID assume il ruolo di autorità di notifica, l'ACN diventa autorità di vigilanza del mercato e punto di contatto unico verso l'Unione, mentre il Garante per la protezione dei dati vigila sugli usi dell'IA in ambito di giustizia e forze dell'ordine, affiancato da Banca d'Italia, CONSOB e IVASS per il settore finanziario. Qualsiasi impresa che immette sistemi di IA sul mercato italiano o li utilizza in Italia, comprese le società non italiane, ricade nell'ambito del regolamento europeo e delle misure nazionali di attuazione.

Con l'attuazione italiana e l'applicazione degli obblighi europei sull'alto rischio prevista dal 2 agosto 2026, non basterà più esibire l'esistenza di una policy sull'IA. Regolatori, tribunali, dipendenti e assicuratori chiederanno di dimostrare come i sistemi sono inventariati, classificati, testati, monitorati e supervisionati. La distanza tra un sistema conforme e una pratica sanzionabile si misura nelle scelte di progettazione e nella prova documentabile della supervisione umana, non nelle dichiarazioni di principio: la mappatura dei sistemi IA in uso, la valutazione del rischio e l'aggiornamento dei registri rispetto al perimetro dell'AI Act sono oggi parte integrante del lavoro di chi presidia la governance di un'organizzazione, insieme alla ricognizione del quadro normativo di riferimento tra AI Act e legge 132/2025.

#aiact #leggeAI #alfabetizzazionedigitale #compliance