L'Italia sta costruendo, mattone dopo mattone, la propria cornice nazionale sull'intelligenza artificiale. Dopo l'approvazione definitiva della legge n. 132 del 2025 — la prima legge organica sull'IA di un Paese dell'Unione europea — il Consiglio dei ministri ha avviato l'esame dei decreti legislativi attuativi che ne traducono i principi in regole operative, in piena complementarita' con il regolamento europeo, l'AI Act. E' la fase meno appariscente ma piu' concreta: quella in cui si decide cosa cambia davvero per lavoratori, professionisti, imprese e forze dell'ordine.

La scelta italiana e' particolare. Invece di limitarsi a recepire l'AI Act, il legislatore ha aggiunto un livello nazionale, settoriale, che interviene su ambiti come lavoro, sanita', giustizia e pubblica amministrazione. Un "primato normativo", come e' stato definito, che ora affronta la prova piu' difficile: reggere alla prova dei fatti senza soffocare l'innovazione.

Chi vigila: AgID e ACN diventano le autorita' nazionali

Il primo punto fermo riguarda la governance. La legge affida all'Agenzia per l'Italia Digitale (AgID) il ruolo di autorita' di notifica, incaricata di seguire e valutare i soggetti che certificano i sistemi di IA. All'Agenzia per la Cybersicurezza Nazionale (ACN) spetta invece la vigilanza sul mercato e il ruolo di punto di contatto unico con l'Unione europea. E' una scelta che concentra le competenze in due strutture gia' esistenti, evitando di creare una nuova authority dedicata, con i tempi e i costi che comporterebbe.

Sul lavoro: nessun licenziamento affidato solo all'algoritmo

La disposizione destinata ad avere l'impatto piu' diretto sulla vita delle persone riguarda il lavoro. I decreti stabiliscono che le decisioni relative a costituzione, modifica o cessazione del rapporto di lavoro non possono essere adottate con mezzi esclusivamente automatizzati. In pratica: un software puo' supportare la valutazione, ma la scelta che incide sui diritti del lavoratore deve restare in capo a una persona fisica con effettivo potere decisionale. E' un argine esplicito contro l'idea di affidare assunzioni, demansionamenti o licenziamenti a un punteggio prodotto da un modello.

I decreti traducono in regole operative i principi della legge 132/2025.

Biometria: vietata la sorveglianza di massa

Un secondo blocco riguarda la sicurezza e i diritti fondamentali. I decreti vietano espressamente la sorveglianza biometrica di massa e la creazione di banche dati biometriche tramite raccolta indiscriminata di immagini dal web (il cosiddetto scraping). L'identificazione biometrica in tempo reale resta consentita solo in casi eccezionali, con previa autorizzazione dell'autorita' giudiziaria e limiti stringenti di tempo e di luogo. E' l'allineamento, in chiave nazionale, ai divieti previsti dall'AI Act per le pratiche considerate a rischio inaccettabile.

Formazione obbligatoria per medici, avvocati e ingegneri

C'e' poi un capitolo dedicato alle professioni regolamentate. Per avvocati, medici, ingegneri e altre categorie, i decreti introducono la formazione obbligatoria sull'IA, sia nel percorso iniziale sia nell'aggiornamento professionale continuo. L'obiettivo dichiarato e' evitare che l'adozione di questi strumenti avvenga senza le competenze per usarli in modo consapevole e per riconoscerne i limiti — un tema particolarmente sensibile in ambiti dove un errore puo' avere conseguenze gravi.

Cosa devono fare imprese e pubbliche amministrazioni

Per chi sviluppa o adotta sistemi di IA, i decreti non sono un esercizio teorico. Le imprese che impiegano strumenti automatizzati nei processi decisionali dovranno documentare la presenza di un controllo umano effettivo, soprattutto in ambito lavorativo, e verificare che i fornitori tecnologici rispettino i requisiti di trasparenza previsti dalla cornice europea. Le pubbliche amministrazioni, che usano sempre piu' l'IA per servizi ai cittadini, dovranno muoversi entro paletti precisi su biometria e trattamento dei dati.

Il quadro sanzionatorio si intreccia con quello europeo: l'AI Act prevede multe che, per le violazioni piu' gravi, possono raggiungere percentuali significative del fatturato mondiale annuo di un'azienda. La combinazione tra regolamento UE e norme nazionali italiane crea un doppio livello di obblighi che, se ben coordinato, offre certezza; se mal gestito, rischia di tradursi in adempimenti sovrapposti. E' anche per questo che la formazione obbligatoria e il ruolo di AgID e ACN diventano cruciali: senza competenze diffuse e senza autorita' in grado di orientare gli operatori, il rischio e' che le regole restino sulla carta.

Perche' conta, al di la' dei confini italiani

Il valore di questa impalcatura sta nel metodo. Mentre l'AI Act europeo lavora "dall'alto" per categorie di rischio, l'Italia prova a scendere nel dettaglio dei singoli settori. E' un esperimento osservato con attenzione anche fuori dai confini nazionali, perche' indica una possibile via di attuazione concreta del regolamento europeo. Il rischio, denunciato da alcuni giuristi, e' quello opposto: una stratificazione di regole che, se mal coordinata con il quadro UE, rischia di generare incertezza per chi sviluppa e adotta l'IA. La partita, ora, si gioca sui testi definitivi dei decreti e sulla loro applicazione pratica.

Per cittadini e imprese, il messaggio di fondo e' chiaro: in Italia l'uso dell'intelligenza artificiale in ambiti delicati non e' piu' una terra di nessuno. Ci sono limiti scritti — sul lavoro, sulla biometria, sulla responsabilita' umana — e ci sono due agenzie incaricate di farli rispettare.