AI Act e legge italiana: perché l’intelligenza artificiale entra davvero nell’agenda delle imprese

15 ottobre 2025

L’intelligenza artificiale non è più solo una questione tecnologica. Con l’adozione dell’AI Act europeo e l’entrata in vigore della legge italiana n. 132/2025, l’AI diventa a tutti gli effetti un tema giuridico, organizzativo e strategico per le imprese.

L’Unione Europea ha scelto un approccio chiaro: non vietare l’innovazione, ma governarla in base al rischio. Più un sistema di intelligenza artificiale può incidere su diritti, sicurezza o opportunità delle persone, più stringenti sono le regole che lo accompagnano. Il regolamento è già in vigore, ma si applica in modo graduale: alcune pratiche sono vietate, altre soggette a obblighi di trasparenza, altre ancora richiederanno nei prossimi anni requisiti tecnici e organizzativi più articolati.

In questo quadro si inserisce la normativa italiana. La legge 132/2025, in vigore dal 10 ottobre scorso, non riscrive l’AI Act e non crea una disciplina parallela. Piuttosto, chiarisce come l’Italia intende presidiare l’applicazione delle regole europee, definendo autorità competenti, responsabilità e alcuni ambiti sensibili che il legislatore nazionale ha ritenuto prioritari.

Per le aziende che sviluppano o forniscono sistemi di AI, il messaggio è semplice: non basta più “far funzionare” un algoritmo. Occorre sapere che tipo di AI si sta offrendo, valutarne il rischio, documentarne il funzionamento, garantire trasparenza e prevedere un controllo umano nelle decisioni più delicate. E soprattutto, monitorare il sistema anche dopo la sua messa in uso, perché la responsabilità non si esaurisce con il rilascio del prodotto.

Ma l’attenzione non riguarda solo i fornitori. Anche chi utilizza l’AI nei propri processi – dalla selezione del personale alla customer care, dalla sanità alla formazione – ha obblighi precisi. Serve diligenza nella scelta delle soluzioni, attenzione agli impatti concreti, capacità di intervenire in caso di errori o distorsioni, e chiarezza verso utenti e clienti. L’idea di “scaricare tutto sul vendor” non regge più.

La legge italiana interviene su alcuni punti specifici. Rafforza il sistema di vigilanza, affidandolo ad AgID e all’Agenzia per la Cybersicurezza Nazionale, introduce regole particolari per l’uso dell’AI da parte dei minori – con un forte richiamo al consenso genitoriale sotto i 14 anni – e aggiorna il codice penale per colpire l’uso illecito dell’intelligenza artificiale, in particolare nei casi di contenuti falsificati o manipolati, come i deepfake.

C’è poi un messaggio chiaro per la pubblica amministrazione: quando l’AI tratta dati strategici, la preferenza va a soluzioni che garantiscano il controllo e la localizzazione dei dati sul territorio nazionale. Sul fronte degli incentivi, l’Italia punta più sul rafforzamento degli strumenti di investimento esistenti che sulla creazione di nuovi fondi ad hoc.

Per le imprese, tutto questo si traduce in una domanda concreta: da dove iniziare?

La risposta non è solo legale, ma organizzativa. Mappare i sistemi AI in uso, chiarire ruoli e responsabilità interne, formare le persone, integrare l’AI nella governance aziendale. Chi lo farà per tempo non solo ridurrà il rischio di sanzioni, ma potrà trasformare la conformità in un elemento di fiducia e vantaggio competitivo.

Perché l’AI, oggi, non è più solo una scelta tecnologica. È una scelta di responsabilità.

ENGLISH VERSION
The AI Act and Italy’s Law 132/2025: why AI is now a real business issue

Artificial intelligence is no longer just a technology topic. With the EU AI Act and the entry into force of Italy’s Law No. 132/2025, AI has firmly become a legal, organisational and strategic issue for companies.

The European Union has made a clear choice: not to block innovation, but to govern it through a risk-based approach. The greater the potential impact of an AI system on people’s rights, safety or opportunities, the stricter the rules that apply. The regulation is already in force, but its application is gradual. Some practices are banned outright, others are subject to transparency obligations, while more demanding requirements for high-risk systems will follow over the coming years.

Italy’s national law fits into this framework. Law 132/2025, in force since 10 October 2025, does not rewrite the AI Act or create a parallel regime. Instead, it explains how the European rules will be enforced at national level, identifying competent authorities, governance structures and a few sensitive areas that the Italian legislator considers particularly important.

For companies that develop or supply AI systems, the message is straightforward: it is no longer enough for an algorithm to “work”. Businesses must understand what type of AI they are offering, assess its risk, document how it functions, ensure transparency, and provide meaningful human oversight where decisions matter. Crucially, responsibility does not end at launch — systems must be monitored throughout their lifecycle.

But responsibility does not stop with providers. Companies that use AI in their operations — from HR and customer service to healthcare or education — also have clear duties. They must choose solutions carefully, assess real-world impacts, correct errors or bias when they arise, and be transparent with users. Simply shifting responsibility to the vendor is no longer an option.

Italy’s law adds a few specific elements. It strengthens national supervision by assigning key roles to AgID and the National Cybersecurity Agency. It introduces special safeguards for minors, requiring parental consent for AI use involving children under 14. And it updates criminal law to address the unlawful use of AI, including the creation and dissemination of manipulated or fake content, such as deepfakes.

There is also a clear signal for the public sector: when AI processes strategic data, preference should be given to solutions that keep data under national control. On incentives, the Italian approach focuses on reinforcing existing investment and venture capital tools rather than creating a brand-new standalone AI fund.

For businesses, the practical question is obvious: where to start?

The answer goes beyond legal compliance. It means mapping AI systems and use cases, defining internal accountability, training teams, and embedding AI into corporate governance. Companies that move early will not only reduce regulatory risk, but also build trust and gain a competitive edge.

Because today, AI is no longer just a technological choice.

It is a choice about responsibility.