Nuove regole per l’IA generativa: l’Italia e la Legge 132/2025

1. Inquadramento normativo

Il 10 ottobre 2025 entra in vigore la Legge n. 132 del 23 settembre 2025 (già DDL 1146-B), recante «Disposizioni e deleghe al Governo in materia di intelligenza artificiale», il primo intervento organico del legislatore nazionale in materia di IA.

Pur concepita in armonia con il Regolamento (UE) 2024/1689 (c.d. AI Act), la Legge 132/2025 introduce specificazioni di rilievo, anche con riferimento ai sistemi di intelligenza artificiale generativa (c.d. generative AI). Tali sistemi, per la loro versatilità e per la capacità di produrre contenuti originali, sfuggono in parte alla rigida categorizzazione degli «high-risk systems» prevista dall’art. 6 AI Act.

Inoltre, la legge si inscrive nel quadro di delega legislativa, conferendo al Governo poteri normativi per l’attuazione operativa delle disposizioni, a conferma della scelta del legislatore di non limitarsi al mero recepimento ma di regolare aspetti peculiari del contesto nazionale.

2. Punti comuni con la disciplina europea

Sia l’AI Act che la Legge 132/2025 in questione condividono alcuni principi cardine, quali:

• la centralità della persona e la correlata esigenza di supervisione umana, con decisione sempre in capo all’essere umano (art. 14 AI Act; art. 7, co. 5, L. 132/2025, limitatamente al settore sanitario e della disabilità);

• la trasparenza degli output e l’informazione all’utente circa la natura generativa dei contenuti (art. 52 AI Act sui contenuti artificiali; art. 7, co. 3, L. 132/2025);

• la tutela dei dati personali, in conformità al Reg. (UE) 2016/679 (GDPR), in particolare con gli artt. 9 e 89, che prevedono deroga per ricerca e addestramento su categorie particolari di dati (es. salute) quando siano assicurate adeguate misure di protezione;

• la sicurezza e gestione del rischio, attuata mediante obblighi di monitoraggio e aggiornamento dei sistemi (art. 61 ss. AI Act; art. 7, co. 6, L. 132/2025).

Tali princìpi configurano la disciplina europea come cornice interpretativa vincolante, mentre il legislatore nazionale intende darne ulteriore efficacia mediante norme di dettaglio nel contesto interno.

3. Punti di forza e peculiarità della Legge 132/2025

Rispetto al quadro europeo, la Legge 132/2025 introduce prescrizioni di maggiore precisione e rigore, tra cui:

• l’obbligo di verifica periodica dell’affidabilità e dell’aggiornamento dei sistemi generativi (art. 7, co. 6), che si pone come estensione e perfezionamento del monitoraggio post-market previsto dall’AI Act;

• un consenso informato rafforzato, in virtù del quale l’interessato deve essere messo a conoscenza dell’uso di sistemi di IA anche in attività meramente ausiliarie (art. 7, co. 3), estendendo l’obbligo informativo previsto dagli artt. 12 e ss. GDPR;

• il riconoscimento giuridico dei dati sintetici come strumento lecito per l’addestramento e sviluppo dei modelli generativi (art. 8, co. 3), con linee guida affidate ad AGENAS, previo parere del Garante (art. 8, co. 4);

• la governance duale affidata ad ACN (per i profili di cybersicurezza e vigilanza, compresi poteri ispettivi e sanzionatori) e ad AgID (per la promozione dell’innovazione e la definizione delle procedure di conformità), che si affianca agli organi e meccanismi di supervisione previsti a livello europeo.

4. Copyright, training dei modelli e responsabilità

Un ambito ribadito dalla Legge 132/2025 riguarda l’addestramento dei modelli generativi: il legislatore riconosce la necessità di regolare l’uso di opere protette e di dati personali nei dataset di training, toccando nodi delicati quali il consenso degli autori, l’applicazione di licenze e possibili forme di compenso.

L’AI Act, pur imponendo obblighi di trasparenza circa la qualità e rappresentatività dei dataset (art. 10), non disciplina in modo sistematico il rapporto con il diritto d’autore né l’uso di dati personali nei set di formazione. La nuova legge italiana sull’IA, invece, delega al Governo l’adozione di meccanismi più stringenti di tutela dei titolari dei diritti e di salvaguardia dei dati sensibili nel rispetto degli artt. 4, 9 e 89 GDPR.

Quanto agli output generati, il legislatore nazionale impone:

• la legge rafforza gli obblighi di trasparenza e informazione sull’uso di IA;

• l’individuazione di responsabilità aggravate in relazione a reati commessi tramite strumenti di IA, quali frodi documentali o truffe vocali, con riflessi sul principio di accountability;

• l’applicazione obbligata dei principi di explainability e affidabilità, affinché le decisioni assistite dall’IA risultino comprensibili e sottoponibili a controllo umano.

Inoltre, la Legge 132/2025 introduce, all’interno del Codice penale, l’art. 612-quater, che disciplina l’illecita diffusione di contenuti generati o manipolati artificialmente (c.d. deepfakes). La norma prevede sanzioni per chi utilizza strumenti di intelligenza artificiale per commettere frodi, falsificazioni o manipolazioni a danno di persone o istituzioni, punendo in particolare chi pubblica o diffonde immagini, video o audio alterati senza il consenso dell’interessato. Questa disposizione mira a tutelare la persona, concentrando l’offensività della condotta sul pregiudizio all’autodeterminazione e al pieno sviluppo della personalità, collocando il reato fra i delitti contro la persona e, segnatamente, contro la libertà morale.

5. Conclusioni

Il confronto tra l’AI Act e la Legge 132/2025 evidenzia come il legislatore italiano abbia scelto di muoversi entro la cornice europea, ma con un approccio più prescrittivo su taluni profili sensibili della generative AI: verifica periodica dei sistemi (in ambito sanitario), consenso informato rafforzato, utilizzo dei dati sintetici, tutela del diritto d’autore e obblighi di trasparenza sugli output.

L’AI Act rimane lo strumento normativo di riferimento, fondato sulla logica del rischio, mentre la Legge nazionale si presenta quale atto di rafforzamento e specializzazione volto a garantire che l’uso dell’intelligenza artificiale generativa si svolga nel rispetto della dignità della persona, della sicurezza e dei diritti fondamentali, anche attraverso una governance nazionale dedicata.