L'Italia è stata tra i primi Paesi in Europa a dotarsi di una legge nazionale organica sull'intelligenza artificiale: la legge n. 132 del 2025, approvata in via definitiva a settembre e in vigore dal 10 ottobre 2025. Ma una legge delega vive di decreti attuativi, ed è proprio qui che si gioca la partita dei prossimi mesi: il Governo ha dodici mesi di tempo per esercitare le deleghe, con scadenza intorno al 10 ottobre 2026. Considerando la pausa estiva dei lavori parlamentari, l'iter dei provvedimenti deve concretamente partire entro giugno.
Cosa prevede già la legge
Il testo fissa i principi di un uso «antropocentrico, trasparente e sicuro» dell'IA e si muove in coerenza con l'AI Act europeo, senza sovrapporvisi. Definisce la governance nazionale, individua gli ambiti applicativi sensibili — sanità, lavoro, pubblica amministrazione, giustizia, formazione, sport — e impone garanzie di tracciabilità e di supervisione umana sulle decisioni. Sul fronte degli investimenti, prevede fino a 1 miliardo di euro a sostegno di startup e PMI attive nell'IA, nella cybersicurezza e nelle tecnologie emergenti.
La legge interviene anche su temi sociali: introduce tutele sul lavoro e sull'informazione ai lavoratori quando l'IA incide su mansioni e organizzazione, regole per la tutela dei minori nell'accesso ai sistemi e nuove previsioni in materia penale, come l'aggravante per i reati commessi con l'ausilio dell'intelligenza artificiale e norme contro la diffusione di contenuti falsi generati artificialmente.
Chi vigila: il ruolo di ACN e AgID
La legge affida la governance a due autorità. L'Agenzia per la Cybersicurezza Nazionale (ACN) vigila sulla sicurezza dei sistemi, con poteri ispettivi; l'Agenzia per l'Italia Digitale (AgID) gestisce le notifiche e promuove i casi d'uso sicuri. Il coordinamento spetta alla Presidenza del Consiglio, attraverso il Dipartimento per la trasformazione digitale, che dovrà aggiornare ogni due anni la Strategia nazionale per l'IA e riferire annualmente al Parlamento.
Proprio l'architettura delle autorità è stata uno dei punti più discussi. Il Garante per la protezione dei dati personali aveva espresso riserve in fase istruttoria, rivendicando competenza e indipendenza per applicare le regole europee sull'IA, un ruolo che in altri Paesi dell'Unione è affidato proprio alle autorità per la privacy. È uno dei nodi che il dibattito sui decreti potrebbe riaprire.
I nodi che i decreti dovranno sciogliere
I decreti delegati dovranno entrare nel merito di questioni delicate: dalla governance operativa all'uso dell'IA nelle attività di polizia e nella cosiddetta polizia predittiva, fino alle regole settoriali per sanità e lavoro. È qui che la legge passa dalle dichiarazioni di principio alle regole concrete che imprese, ospedali, scuole e amministrazioni dovranno applicare. Per le aziende significa capire chi notifica cosa, a quale autorità e con quali tempi, e quali obblighi di trasparenza e supervisione umana scatteranno nei diversi settori.
Il calendario stringe e si intreccia con quello europeo: dal 2 agosto 2026 entrano in applicazione i poteri di vigilanza della Commissione UE sui modelli di IA per finalità generali, con possibilità di sanzioni. Per le aziende italiane il quadro è quindi a due livelli — quello nazionale e quello europeo — e i prossimi decreti diranno quanto la legge 132 riuscirà a tradursi in strumenti operativi entro i tempi previsti, o quanto rischierà di restare un'impalcatura in attesa di contenuti.
