Decreti Attuativi della Legge 132/2025

I decreti attuativi della legge 132/2025, approvati in esame preliminare dal Consiglio dei ministri il 10 giugno 2026, segnano un passaggio importante.

L'intelligenza artificiale non è più soltanto una tecnologia da adottare, né un tema da lasciare agli informatici. Diventa un fattore organizzativo, giuridico e strategico che impone alle imprese una nuova forma di difesa preventiva.

Sono due gli schemi approvati.

Il primo definisce i poteri delle Autorità nazionali e la formazione: AgID come autorità di notifica, ACN come autorità di vigilanza del mercato e punto di contatto unico con l'Unione Europea, e accanto a loro Banca d'Italia, Consob, Ivass per il settore finanziario. Il Garante per la protezione dei dati personali (non privacy, per favore) entra in gioco per le applicazioni ad alto rischio in giustizia, sicurezza, contrasto e gestione delle frontiere.

Il secondo schema, di interesse più immediato per chi gestisce rischio d'impresa, disciplina l'uso dell'AI nelle attività di polizia e introduce la nuova responsabilità civile e penale: presunzione di nesso causale a favore del danneggiato, accesso alla documentazione tecnica, e il nuovo articolo 437-bis del codice penale, che punisce chi progetta, omette le misure di sicurezza o altera il funzionamento di sistemi AI ad alto rischio quando ne derivi un pericolo concreto per la vita, l'incolumità delle persone o la sicurezza dello Stato.

Requisiti e Compliance nell'Intelligenza Artificiale

Una precisazione doverosa: il decreto relativo alla disciplina di dati e algoritmi per l'addestramento dei sistemi, non è tra quelli approvati. È il nodo più delicato dell'intera riforma, perché è lì che si incontrano direttamente la base giuridica del trattamento, il rapporto con il text and data mining e la posizione del titolare rispetto ai dati usati per allenare un modello. Il Governo ha tempo fino al 10 ottobre 2026 per esercitare la delega.

Chi scrive oggi di privacy e AI come se quella disciplina fosse già scritta, sta anticipando un testo che ancora non esiste.

Per anni abbiamo parlato di compliance come insieme di documenti, informative, policy, valutazioni e procedure. Tutto necessario ma che adesso è insufficiente.

L'impresa che utilizza sistemi di intelligenza artificiale, soprattutto se ad alto rischio, deve poter dimostrare di avere previsto, valutato, controllato e monitorato il possibile impatto di quei sistemi.

La novità più significativa è proprio questa, e va circoscritta con precisione tecnica: il nuovo articolo 437-bis del Codice penale prevede e punisce l'omessa adozione o l'omesso adeguamento delle misure di sicurezza nei sistemi AI ad alto rischio quando ne derivi un pericolo concreto.

Non è una clausola generale di responsabilità per ogni trattamento assistito da intelligenza artificiale, bensì una fattispecie specifica, condizionata al pericolo concreto e ai sistemi ad alto rischio.

Ma il principio che la sottende e deve portare l'azienda fuori dalla logica del "vedremo cosa accade" per entrare in una logica diversa. Conoscere prima, misurare prima, intervenire prima.

È qui che la difesa dell'impresa diventa predittiva.

Predittiva non significa immaginare il futuro con certezza. Significa dotarsi di strumenti, processi e responsabilità capaci di intercettare i segnali deboli: malfunzionamenti, bias, opacità decisionali, assenza di sorveglianza umana, utilizzo improprio dei dati personali, esposizione reputazionale, vulnerabilità tecniche, impatti su lavoratori, consumatori, utenti.

L'intelligenza artificiale non produce solo efficienza. Produce esposizione. E l'esposizione, se non governata, può trasformarsi in responsabilità, anche quando il trattamento dati rientra nel perimetro del GDPR, non in quello AI-specifico.

Va poi ribadito che per la grande maggioranza dei trattamenti effettuati da imprese private, il punto di riferimento resta e rimane il Regolamento europeo 2016/679.

Il Garante, nei decreti del 10 giugno, ha competenza settoriale su giustizia, sicurezza e contrasto, non vigilanza generale su ogni sistema AI ad alto rischio che venga impiegato.

Per questo le imprese dovranno ragionare su almeno cinque livelli: mappare i sistemi AI utilizzati e i dati che trattano; classificare il rischio, anche ai fini di una eventuale valutazione d'impatto ex articolo 35 GDPR; documentare le misure tecniche e organizzative; individuare responsabilità interne chiare, a partire dal DPO dove la nomina è obbligatoria; monitorare nel tempo la deriva del sistema.

Effetti pratici? Una valutazione svolta una sola volta, all'inizio, è già insufficiente.

Un sistema AI può cambiare comportamento, può essere aggiornato, può essere usato in contesti diversi da quelli previsti, può generare effetti non immediatamente percepibili.

La compliance statica rischia quindi di diventare una fotografia vecchia di un rischio nuovo.

È la stessa logica che il GDPR impone all'articolo 35, undicesimo paragrafo, quando richiede il riesame della valutazione d'impatto se il rischio muta nel tempo, e che l'AI Act rafforza con il monitoraggio post-commercializzazione per i sistemi ad alto rischio.

Tre fonti diverse, GDPR, AI Act, decreto italiano, convergono sulla stessa richiesta: dimostrare la sorveglianza nel tempo, non solo all'origine.

Serve una compliance dinamica che porti ad una governance certa.

Serve un modello capace di chiedere non solo "siamo conformi oggi?", ma anche "dove stiamo andando domani?". È questa la domanda che dovrebbe interessare davvero amministratori, DPO, responsabili compliance, organi di controllo e consulenti aziendali.

I decreti AI, ancora in fase di esame preliminare e quindi non definitivi, sembrano indicare una direzione precisa: l'impresa non potrà più limitarsi a dichiarare di avere adottato strumenti innovativi.

Dovrà dimostrare di averli compresi, governati e sorvegliati, e di sapere esattamente quali dati personali quei sistemi trattano e con quale base giuridica.

La vera difesa preventiva, dunque, non è il fascicolo messo in un cassetto, ma un sistema di governo del rischio che collega tecnologia, diritto, organizzazione e responsabilità, e che tiene insieme due architetture nate separatamente, GDPR e AI Act, oggi sempre più chiamate a dialogare nella stessa azienda, davanti allo stesso rischio.

In questo senso, l'intelligenza artificiale impone alle aziende un cambio di mentalità: non basta usare l'AI, occorre sapere quale esposizione l'AI genera, e quali dati personali quell'esposizione porta con sé.

Ed è forse questo il messaggio più importante dei nuovi decreti, ancora da completare nel loro percorso parlamentare: l'impresa del futuro non sarà giudicata solo per ciò che l'intelligenza artificiale ha fatto, ma anche per ciò che l'impresa avrebbe potuto prevedere e non ha previsto.