La nuova legge italiana sull’IA: suggerimenti pratici per adeguarsi alla norma

I professionisti dell’Industry Group Technology di Andersen hanno analizzato le novità più rilevanti introdotte dalla normativa in materia di lavoro, professioni intellettuali, privacy e sicurezza dei dati, responsabilità ex D.Lgs. 231/2001 e diritto d’autore, fornendo dei consigli operativi per garantire un’efficace compliance giuridica e rafforzare la governance interna.

Entrata in vigore lo scorso 10 ottobre 2025, la Legge 23 settembre 2025 n. 132 è la prima legge sull’IA ad affiancare l’AI ACT nel promuovere un utilizzo responsabile dell’intelligenza artificiale, definendo al contempo un sistema di principi, di governance e misure specifiche per mitigare i rischi dell’intelligenza artificiale. Mantenendo obiettivi coerenti con la normativa comunitaria, la normativa nazionale adotta un approccio antropocentrico, volto a promuovere un utilizzo corretto, trasparente e responsabile dell’IA, garantendo al contempo la vigilanza sui rischi economici e sociali, nonché sull’impatto sui diritti fondamentali.

Le disposizioni introdotte riguardano, da un lato, l’uso dell’AI in settori particolarmente sensibili (sanità, lavoro, professioni intellettuali, ricerca scientifica, giustizia e pubblica amministrazione), dall’altro, misure di politica industriale e innovazione, fino a includere novità significative in materia di responsabilità e diritto d’autore.

La Legge n.132/2025 nel lavoro e nelle professioni intellettuali

la Legge stabilisce che l’IA può essere utilizzata solo rispettando trasparenza, proporzionalità, sicurezza, protezione dei dati personali, riservatezza, accuratezza, non discriminazione, parità di genere e sostenibilità.

Quando il datore di lavoro utilizza sistemi di IA per le assunzioni, la gestione del personale, l’assegnazione delle mansioni o la sorveglianza, deve informare i dipendenti consegnando loro un’informativa per spiegare in modo chiaro: quali aspetti del lavoro sono coinvolti, a cosa serve il sistema, come funziona, quali dati usa, come viene controllato, quanto è accurato e se può generare discriminazioni. Tali informazioni, inoltre, devono essere comunicate anche ai sindacati aziendali.

Lato professioni intellettuali, la Legge prevede che l’IA può essere usata solo a supporto ma non può sostituire il giudizio del professionista. Chi usa l’intelligenza artificiale deve spiegare al cliente quali strumenti utilizza, con un linguaggio semplice e comprensibile.

Intelligenza artificiale e protezione dei dati: come rafforzare la governance

La nuova legge italiana sull’IA, all’art. 4, riprende i principi di trasparenza, minimizzazione, privacy by design e by default già contenuti nel GDPR, ponendoli alla base di uno sviluppo responsabile dell’intelligenza artificiale.

Oltre ad individuare un’idonea base giuridica per il trattamento dei dati personali tramite sistemi di IA (e per l’addestramento dei modelli di IA), l’impresa che intende impiegare o sviluppare un sistema di IA deve rispettare il principio di proporzionalità in relazione al settore in cui i dati sono utilizzati.

Il GDPR prevede poi regole specifiche nel caso in cui il sistema di IA possa assumere decisioni in modo automatizzato (ad es. sistemi di credit scoring). In tal caso, fatte salve le eccezioni previste dalla norma (esecuzione del contratto, obbligo di legge o consenso dell’utente), l’interessato ha il diritto di non essere sottoposto a una decisione basata su trattamento automatizzato. Se invece si verifica una delle suddette eccezioni, l’impresa dovrà garantire all’utente il diritto di ottenere l’intervento umano, esprimere la propria opinione e contestare la decisione.

L’impresa che intende impiegare o sviluppare un sistema di IA dovrà quindi progettare il trattamento dei dati svolto tramite il sistema di IA al pari di ogni altro trattamento. Ciò implica principalmente lo svolgimento di un risk assessment approfondito e la predisposizione di procedure interne per regolare l’utilizzo dell’IA.

Intelligenza Artificiale, D.Lgs. 231/2001 e nuovi reati informatici: il quadro dopo l’AI Act e la L. 132/2025

L’evoluzione dell’Intelligenza Artificiale sta incidendo in modo diretto sui profili di responsabilità delle imprese, imponendo una rilettura dei Modelli 231 alla luce delle recenti novità normative, sia a livello europeo che nazionale.

La Legge n. 132/2025 ha aggiornato il catalogo dei reati informatici rilevanti ai fini del D.Lgs. n.  231/2001, rafforzando la risposta sanzionatoria rispetto a condotte come accessi abusivi, danneggiamento di sistemi informatici, frodi digitali, intercettazione illecita di comunicazioni e manipolazione dei dati, anche quando realizzate tramite strumenti automatizzati o algoritmi di IA. In questo contesto, l’uso non governato dell’Intelligenza Artificiale può diventare un vero e proprio fattore di rischio 231.

Ne deriva quindi la necessità, per le imprese, aggiornare la mappatura dei rischi, integrare le procedure interna sulla cybersecurity, includere sessioni di formazioni sul rischio cyber e sull’uso consapevole dell’IA.

IA e diritto d’autore: la tutela dell’autore e delle opere alla luce della L. n. 132/2025

L’utilizzo di sistemi di IA nella vita e nel lavoro di professionisti e società solleva alcune questioni collegate al diritto d’autore:

• Chi è autore di opere realizzate mediante sistemi di IA?
• (ii) Posso impedire che l’opera di cui sono autore venga utilizzata per l’addestramento di sistemi di IA?

Le risposte della legge italiana su IA in materia di diritto d’autore

L’art. 25 della Legge italiana sull’IA ha confermato che anche le opere realizzate con l’ausilio di sistemi di IA sono protette dalla legge sul diritto d’autore “purché costituenti risultato del lavoro intellettuale dell’autore [umano]”. In altre parole, è ammesso l’uso di sistemi di IA ma, ai fini della tutela, deve essere preminente l’apporto intellettuale umano (dovendosi quindi escludere qualsiasi ipotesi di titolarità di diritti d’autore in capo a sistemi di IA).

Sulla seconda questione, la Legge italiana sull’IA si è limitata a riconoscere la liceità delle attività di riproduzione e estrazione (text and data mining) da “opere o da altri materiali contenuti in rete o in banche dati a cui si ha legittimamente accesso, ai fini dell’estrazione di testo e di dati attraverso modelli e sistemi di IA, anche generativa”, purché ciò non avvenga per fini commerciali.

È fatta salva però la possibilità dell’autore di impedire l’estrazione e l’utilizzo della propria opera per l’addestramento di sistemi di IA mediante l’esercizio del c.d. opt out.

A maggior tutela, è poi senz’altro consigliabile introdurre espresse clausole di opt out nei contratti di licenza delle proprie opere.