IntelligenceBox
Decreti attuativi sull'IA: cosa cambia in Italia con l'attuazione dell'AI Act
Torna al Blog
Normativa & AI Act12 giugno 202616 min di letturaTeam IntelligenceBox

Decreti attuativi sull'IA: cosa cambia in Italia con l'attuazione dell'AI Act

Il 10 giugno 2026 il Consiglio dei Ministri ha approvato in esame preliminare i due schemi di decreti legislativi che attuano la Legge 132/2025 e adeguano l'Italia al Regolamento UE 2024/1689. Formazione e lavoro, sicurezza e giustizia, e — per la prima volta in modo organico — gli strumenti civili per il risarcimento dei danni da IA. Una guida ragionata a cosa contengono e perché contano.

Decreti attuativi sull'IA: cosa cambia in Italia con l'attuazione dell'AI Act

Il 10 giugno 2026 il Consiglio dei Ministri ha approvato in esame preliminare due schemi di decreti legislativi che danno attuazione alla legge quadro italiana sull'intelligenza artificiale — la Legge 23 settembre 2025, n. 132 — e adeguano l'ordinamento nazionale al Regolamento (UE) 2024/1689, l'AI Act europeo.

Non è una notizia tecnica per soli addetti ai lavori. È il momento in cui i principi astratti dell'AI Act — sistemi ad alto rischio, trasparenza, sorveglianza umana — iniziano a tradursi in regole concrete su come si forma il personale, come si licenzia un dipendente, come la polizia può usare il riconoscimento facciale, chi risponde quando un sistema di IA causa un danno e a quali sanzioni si va incontro.

Attenzione: testo non definitivo. I provvedimenti sono stati approvati in esame preliminare. Seguiranno i pareri delle commissioni parlamentari, della Conferenza Unificata, del Garante per la protezione dei dati personali e, sui profili tecnici, delle autorità competenti, prima dell'approvazione definitiva. I contenuti descritti qui sotto possono quindi cambiare. Questo articolo ha finalità informative e non costituisce consulenza legale.

Il quadro: dalla Legge 132/2025 all'AI Act

Per capire questi decreti bisogna tenere a mente due testi che si parlano.

Il primo è il Regolamento (UE) 2024/1689 (AI Act), in vigore dal 1° agosto 2024, che si applica per fasi: i divieti per le pratiche inaccettabili da febbraio 2025, gli obblighi per i modelli di IA per finalità generali (GPAI) da agosto 2025 e — questo il punto più discusso — gli obblighi per i sistemi ad alto rischio. Su quest'ultima scadenza è intervenuto l'accordo provvisorio sul cosiddetto Digital Omnibus del maggio 2026, che, in attesa di adozione formale, rinvia l'applicazione degli obblighi per i sistemi ad alto rischio dell'Allegato III dal 2 agosto 2026 al 2 dicembre 2027. Più tempo per adeguarsi, ma la direzione non cambia.

Il secondo è la Legge 132/2025, in vigore dal 10 ottobre 2025, prima legge nazionale organica in materia. Non è una semplice trasposizione: l'AI Act è un regolamento e si applica direttamente. La legge italiana fa altro — fissa principi (un approccio dichiaratamente antropocentrico, la centralità della responsabilità umana), individua le autorità nazionali e soprattutto delega il Governo ad adottare, entro dodici mesi (quindi entro il 10 ottobre 2026), i decreti legislativi che mancano per far funzionare l'impianto.

I due schemi approvati il 10 giugno sono l'esercizio di quelle deleghe. Il primo si concentra su formazione e lavoro; il secondo su sicurezza, giustizia e responsabilità.

Primo decreto — Formazione e lavoro

Una "alfabetizzazione" all'IA che diventa obbligo

Il filo conduttore del primo schema è che saper usare — e saper interpretare — l'IA non è più un optional, ma una competenza che la legge richiede in modo trasversale.

  • Scuola. L'IA entra nelle linee guida dei curricoli della secondaria e nell'educazione civica, con attenzione ai profili etici e alla cittadinanza digitale. Lo schema prevede uno stanziamento di 100 milioni di euro per la formazione dei docenti su rischi, opacità algoritmica e prevenzione delle dipendenze digitali, con comitati etico-tecnici territoriali a vigilare su un uso sicuro e verificabile.
  • Università, AFAM, ITS Academy e ricerca. Alfabetizzazione obbligatoria sul funzionamento dei sistemi, l'interpretazione degli output, i profili legali e la cybersicurezza, con contenuti interdisciplinari e monitoraggio della qualità affidato all'ANVUR. Gli ITS Academy sono indicati come segmento strategico per formare competenze ad alta intensità tecnologica.
  • Pubblica amministrazione. Dall'alfabetizzazione di base per tutti i dipendenti alla riqualificazione sui procedimenti e l'analisi dei dati, fino alla formazione dei dirigenti sul cambiamento organizzativo, in coordinamento con la Scuola Nazionale dell'Amministrazione.
  • Sanità. Formazione obbligatoria attraverso l'Educazione Continua in Medicina (ECM), su uso operativo, profili deontologici, etici e legali, integrata nella formazione manageriale dei dirigenti sanitari.
  • Professioni. Alfabetizzazione nei percorsi iniziali e continui secondo un approccio a tre dimensioni — tecnica, giuridica, deontologica. I codici deontologici andranno aggiornati entro sei mesi e i parametri per l'equo compenso rivisti entro dodici mesi, per tenere conto della complessità del lavoro svolto con il supporto dell'IA.

La tutela del lavoratore: nessuna decisione solo "automatica"

È forse la parte con l'impatto più immediato sulle aziende. Il principio cardine:

Le decisioni che riguardano la costituzione, la modifica o la cessazione del rapporto di lavoro — comprese le misure disciplinari e i licenziamenti — non possono essere adottate sulla base del solo trattamento automatizzato.

Da qui discendono conseguenze pratiche:

  • la decisione finale resta riservata a una persona fisica dotata di potere decisionale;
  • scattano obblighi informativi preventivi sull'uso dell'IA;
  • il lavoratore ha diritto a richiedere una motivazione intelligibile della decisione che lo riguarda, con indicazione dell'impatto del sistema e dei parametri principali considerati;
  • il licenziamento adottato in violazione del divieto di decisione automatizzata è nullo.

Per chi adotta strumenti di people analytics, scoring delle performance o gestione automatizzata dei turni, è il segnale che la "supervisione umana" dell'AI Act diventa un requisito procedurale verificabile, non una formula di stile.

Secondo decreto — Sicurezza, giustizia e responsabilità

Giustizia: l'IA come supporto, non come giudice

Per la magistratura lo schema disegna una formazione su tre binari — tecnico, giuridico, organizzativo e valoriale — affidata alla Scuola Superiore della Magistratura. Il punto fermo è esplicito: l'IA resta uno strumento di supporto e la discrezionalità del magistrato nell'interpretazione e nell'applicazione della legge non è comprimibile. Per i sistemi giudiziari ad alto rischio è prevista una formazione continua e differenziata.

Le autorità nazionali per l'IA

Lo schema definisce l'architettura di governance prevista dalla legge quadro:

  • AgID come autorità di notifica, con poteri ispettivi;
  • ACN (Agenzia per la cybersicurezza nazionale) come autorità di vigilanza del mercato e punto di contatto unico verso le istituzioni europee, titolare del potere sanzionatorio;
  • autorità di settore per gli ambiti regolati: Banca d'Italia, CONSOB e IVASS sull'IA ad alto rischio nell'intermediazione finanziaria; il Garante per la protezione dei dati personali su giustizia, gestione delle frontiere, attività delle forze dell'ordine e processi democratici.

Sul fronte sanzioni, l'impianto è descritto come graduale e proporzionato: l'Italia utilizza i margini di discrezionalità concessi dall'AI Act per fissare massimali inferiori alle soglie europee, calibrati sul livello di responsabilità lungo la catena del valore.

Polizia e biometria: limiti stringenti

Il capitolo più delicato è quello dell'uso dell'IA da parte delle forze di polizia, dove lo schema prova a tracciare un confine netto tra sicurezza e sorveglianza di massa.

Identificazione biometrica in tempo reale. È ammessa solo per finalità tassative — prevenire minacce gravi e specifiche alla sicurezza pubblica, localizzare persone scomparse o vittime di rapimento, tratta e sfruttamento, confermare l'identità di persone di interesse — e a condizioni rigorose: autorizzazione giudiziaria che indichi finalità, durata, area, soggetti, banche dati e tecnologie; delimitazione temporale e territoriale, con un massimo di 15 giorni salvo proroga; uso limitato a banche dati lecitamente costituite, con divieto di web scraping; obbligo di tenere log. In caso di emergenza la procedura è accelerata, ma i dati raccolti vanno cancellati e resi inutilizzabili se ne mancano i presupposti.

Riconoscimento facciale "a posteriori". Attivabile solo dopo la commissione (tentata o consumata) di un reato, su prove video-fotografiche oggettive e verificabili, con il Ministero dell'Interno come titolare del trattamento, valutazione d'impatto e consultazione del Garante. La conservazione locale dei dati è limitata a 7 giorni, i log non modificabili a 5 anni. Vietato fondare decisioni pregiudizievoli sul solo output del sistema e vietato qualsiasi uso non mirato o generalizzato.

Il principio guida: l'IA può fornire analisi, previsioni e supporto, ma non può fondare automaticamente decisioni giuridicamente pregiudizievoli né abilitare una sorveglianza massiva e indiscriminata.

Responsabilità penale: misure di sicurezza da prendere sul serio

Lo schema introduce una nuova fattispecie — indicata come art. 437-bis del codice penale — che punisce l'omissione o l'alterazione delle misure di sicurezza nei sistemi di IA ad alto rischio, ma solo quando ne derivi un pericolo concreto per la vita, l'incolumità pubblica o la sicurezza dello Stato. La responsabilità si estende agli enti ai sensi del D.Lgs. 231/2001 e richiede dolo o colpa grave, così da non criminalizzare meri errori operativi o deviazioni tecniche minori. Il messaggio è che l'innovazione è sostenuta, ma chi sviluppa, immette o usa sistemi ad alto rischio deve presidiare seriamente la sicurezza: la responsabilità resta umana e organizzativa lungo tutto il ciclo di vita del sistema.

La vera novità: la tutela civile di chi subisce un danno

Qui sta, a nostro avviso, il passaggio più interessante. Nel febbraio 2025 la Commissione europea ha ritirato la proposta di Direttiva sulla responsabilità da IA (AI Liability Directive), formalizzando la rinuncia nell'ottobre 2025 per mancanza di accordo. L'Europa ha così lasciato un vuoto: niente regole armonizzate sul risarcimento dei danni causati dall'IA.

Il secondo schema italiano prova a colmarlo a livello nazionale, senza introdurre nuovi obblighi sostanziali a carico degli operatori, ma agendo sugli ostacoli pratici che un danneggiato incontra di fronte all'opacità tecnica:

  1. Accesso alla documentazione tecnica — il danneggiato ha diritto a ottenere la documentazione che consente di comprendere le caratteristiche del sistema.
  2. Presunzione del nesso causale — un alleggerimento (non un'eliminazione) dell'onere della prova, per riequilibrare l'asimmetria informativa senza scaricare sull'operatore una responsabilità eccessiva.
  3. Foro alternativo — la possibilità di agire nel luogo di residenza della persona danneggiata, riducendo il peso del contenzioso.
  4. Azione diretta verso l'assicuratore — un rimedio ulteriore per un indennizzo effettivo.

Restano impregiudicate le tutele già esistenti in materia di responsabilità da prodotto e di protezione dei dati. È una scelta pragmatica: non si reinventa la responsabilità civile, si rende esigibile quella che già c'è quando di mezzo c'è una "scatola nera" algoritmica.

La cornice industriale

I decreti non sono solo vincoli. Lo schema richiama la strategia industriale collegata alla legge quadro: fino a 1 miliardo di euro dal fondo a sostegno del venture capital (art. 23 della Legge 132/2025), con oltre 300 milioni già allocati su più di 150 startup, e il polo nazionale di trasferimento tecnologico "Polo SophIA" (circa 30 milioni l'anno dal 2026) dedicato alle startup deep-tech. Robotica umanoide, guida autonoma, quantum, fotonica e IA verticali sono indicati come ambiti strategici.

Cosa significa, in pratica, per le imprese

Tradotto in azioni concrete, ecco cosa conviene iniziare a presidiare:

  • Mappare i sistemi di IA in uso e classificarli per rischio, distinguendo ciò che ricade nell'Allegato III dell'AI Act.
  • Inserire la sorveglianza umana nei processi decisionali che toccano le persone — selezione, valutazione, disciplina — documentando chi decide e con quali parametri.
  • Costruire un'alfabetizzazione interna: la formazione non è più un nice-to-have ma, in molti settori, un obbligo.
  • Conservare log e documentazione tecnica: serviranno per la vigilanza, per le motivazioni dovute ai lavoratori e per la nuova tutela civile del danneggiato.
  • Rivedere la catena di responsabilità con fornitori e integratori: la responsabilità è calibrata lungo la supply chain.
  • Valutare le coperture assicurative alla luce dell'azione diretta verso l'assicuratore.

Perché sovranità del dato e IA on-premise diventano strategiche

C'è un filo che lega quasi tutti questi obblighi: trasparenza, tracciabilità e controllo. Devi poter spiegare una decisione, conservare i log, mostrare la documentazione tecnica, dimostrare che un essere umano ha avuto l'ultima parola, garantire che dati sensibili — sanitari, giudiziari, biometrici, lavorativi — siano trattati entro un perimetro presidiato.

Questi requisiti sono molto più semplici da soddisfare quando l'infrastruttura di IA è sotto il tuo controllo. Un'architettura on-premise o sovrana significa che i dati non lasciano i tuoi server, che i log e gli audit trail sono completi e verificabili, che le politiche di accesso e conservazione sono nelle tue mani e che la spiegabilità non dipende dalla buona volontà di un fornitore cloud esterno alla tua giurisdizione.

È esattamente il terreno su cui nasce IntelligenceBox: un'IA enterprise che gira dove vivono i tuoi dati, con controllo degli accessi, registrazione completa e piena sovranità. In un quadro normativo che chiede di rendere conto di ogni decisione algoritmica, tenere l'intelligenza vicino al dato non è solo una scelta tecnica — è una strategia di conformità.

Calendario e prossimi passi

Trattandosi di esame preliminare, la strada è ancora aperta: seguiranno i pareri (commissioni parlamentari, Conferenza Unificata, Garante e, ove previsto, Consiglio di Stato), poi l'esame definitivo e la pubblicazione. La cornice temporale resta quella delle deleghe della Legge 132/2025, da esercitare entro il 10 ottobre 2026. Vale la pena seguire l'iter: è in queste settimane che i dettagli — e i dettagli, qui, contano molto — prenderanno forma definitiva.

Riferimenti

  • Schemi di decreti legislativi attuativi della Legge 23 settembre 2025, n. 132, in attuazione del Regolamento (UE) 2024/1689 (AI Act) — approvati in esame preliminare dal Consiglio dei Ministri del 10 giugno 2026 (comunicato n. 177).
  • Comunicato ufficiale del Consiglio dei Ministri n. 177: governo.it.
  • Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio (AI Act).

Aggiornato al 12 giugno 2026. I provvedimenti sono in esame preliminare e potranno subire modifiche prima dell'approvazione definitiva.

Articolo successivoAI on-premise e sovranità del dato: perché l'infrastruttura locale torna strategica

Articoli correlati

AI Act per le imprese: una checklist operativa in 10 punti
Normativa & AI Act

AI Act per le imprese: una checklist operativa in 10 punti

L'AI Act non riguarda solo chi costruisce modelli: riguarda chiunque li usi. Con le scadenze che si avvicinano e i decreti attuativi italiani in arrivo, ecco una checklist pratica in dieci punti per capire da dove partire — senza farsi prendere dal panico né rimandare.