L’intelligenza artificiale entra nell’ordinamento italiano con un sistema organico di regole che punta a coniugare innovazione, sicurezza e tutela dei diritti fondamentali. I decreti attuativi della legge n. 132 del 2025, approvati in esame preliminare dal Consiglio dei ministri, completano l’attuazione nazionale dell’AI Act europeo e disciplinano alcuni degli ambiti rimessi alla competenza degli Stati membri, dalla responsabilità civile e penale all’impiego delle tecnologie biometriche nelle attività di polizia.
L’impianto della riforma si fonda su un principio dichiaratamente antropocentrico: l’intelligenza artificiale può supportare decisioni, analisi e attività operative, ma non può sostituire la responsabilità umana. Le decisioni finali restano affidate alle persone, mentre gli algoritmi assumono una funzione di supporto.
Più tutele per chi subisce danni da sistemi di IA - Uno dei capitoli più rilevanti riguarda la responsabilità civile. Il decreto introduce strumenti processuali destinati a facilitare l’azione risarcitoria di chi abbia subito un danno causato da un sistema di intelligenza artificiale, in un contesto caratterizzato da forte complessità tecnica e da significative asimmetrie informative.
Tra le novità figurano il diritto di accesso alla documentazione tecnica del sistema utilizzato, la previsione di una presunzione del nesso causale che alleggerisce l'onere probatorio a carico del danneggiato, la possibilità di agire davanti al giudice del luogo di residenza della persona fisica danneggiata e l’azione diretta nei confronti dell’assicurazione.
L’obiettivo dichiarato è garantire una tutela effettiva anche nei casi in cui la ricostruzione del funzionamento del sistema e del rapporto tra algoritmo e danno risulti particolarmente complessa, senza introdurre nuovi obblighi sostanziali a carico delle imprese.
Nasce il reato per le omissioni sulle misure di sicurezza - Sul fronte penale viene introdotto nel Codice penale il nuovo articolo 437-bis, dedicato ai sistemi di intelligenza artificiale ad alto rischio.
La disposizione punisce l’omessa adozione e l’alterazione delle misure di sicurezza previste per tali sistemi quando ne derivi un concreto pericolo per la vita, l'incolumità pubblica o la sicurezza dello Stato. La responsabilità è ancorata al requisito del pericolo concreto e, nella forma colposa, alla colpa grave, con l’obiettivo di concentrare l’intervento penale sulle violazioni più gravi e non sui meri errori tecnici o operativi.
Il decreto prevede inoltre la possibile estensione della responsabilità agli enti ai sensi del decreto legislativo 231 del 2001, rafforzando i presidi organizzativi a carico delle imprese e delle organizzazioni che impiegano sistemi di IA ad alto rischio.
Identificazione biometrica solo in casi eccezionali - Ampio spazio è dedicato all’impiego dell’intelligenza artificiale nelle attività di polizia. Il decreto distingue tra identificazione biometrica remota in tempo reale e riconoscimento facciale effettuato successivamente alla commissione di un reato.
L’identificazione biometrica in tempo reale è consentita soltanto in casi eccezionali e tassativamente individuati, come la prevenzione di minacce gravi e specifiche alla sicurezza e all’ordine pubblico o la ricerca di persone scomparse e vittime di sequestro, tratta o sfruttamento sessuale.
L’utilizzo richiede l'autorizzazione dell'autorità giudiziaria, deve essere limitato nel tempo, nello spazio e nei soggetti interessati e non può superare i quindici giorni, salvo proroga motivata. Sono inoltre previsti obblighi di tracciabilità, valutazioni di impatto e specifiche garanzie in materia di protezione dei dati personali.
Riconoscimento facciale ex post - Diversa è la disciplina del riconoscimento facciale effettuato a posteriori sui sistemi di videosorveglianza già installati. La tecnologia può essere utilizzata solo dopo la commissione di un reato, anche tentato, e per identificare soggetti già indiziati sulla base di elementi oggettivi e verificabili.
Il trattamento è affidato al Dipartimento della pubblica sicurezza del ministero dell’Interno e viene accompagnato da una serie di garanzie, tra cui la conservazione limitata dei dati, la registrazione delle operazioni effettuate e il divieto di assumere decisioni pregiudizievoli esclusivamente sulla base dell’esito prodotto dall’algoritmo.
Il decreto vieta inoltre la creazione di banche dati biometriche attraverso raccolte massive e indiscriminate di immagini reperite sul web e ribadisce il divieto di forme generalizzate di sorveglianza biometrica della popolazione.
Formazione e controllo umano - Le nuove disposizioni prevedono infine percorsi di formazione specifica per gli operatori chiamati a utilizzare sistemi di intelligenza artificiale e ribadiscono il principio della supervisione umana lungo l’intero ciclo di vita dei sistemi.
Con l’esame preliminare del Consiglio dei ministri si apre ora la fase dei pareri delle Commissioni parlamentari, della Conferenza delle Regioni e delle autorità indipendenti competenti, prima dell’approvazione definitiva dei decreti legislativi. Per il Governo si tratta del completamento dell’architettura nazionale di attuazione dell’AI Act europeo, con l’obiettivo di favorire lo sviluppo dell’innovazione senza rinunciare alle garanzie per cittadini e imprese.
