C’è una legge italiana sull’intelligenza artificiale, ora ufficialmente approvata (pdf del testo).

Il Senato ha approvato oggi infatti il testo già passato dalla Camera.

Non è un semplice “adeguamento” dell’AI Act europeo: è una legge quadro che disegna obblighi, opportunità e strumenti di intervento pubblico utili a orientare lo sviluppo dell’AI nel contesto industriale e sociale italiano.

Il testo definisce principi (trasparenza, proporzionalità, sicurezza, tutela dei diritti fondamentali), attribuisce ruoli chiave ad AgID e all’Agenzia per la cybersicurezza nazionale, istituisce meccanismi di coordinamento presso la Presidenza del Consiglio e delega al Governo l’adozione di decreti di attuazione entro dodici mesi.

Legge italiana intelligenza artificiale: gli investimenti

Sul fronte degli investimenti e dell’ecosistema d’impresa, la legge autorizza un’azione pubblica diretta: fino a un miliardo di euro in equity e quasi-equity, da veicolare attraverso il Fondo di sostegno al venture capital e fondi appositamente istituiti, con il coinvolgimento del Ministero delle imprese e della struttura per l’innovazione della Presidenza del Consiglio e la partecipazione dell’Agenzia per la cybersicurezza nazionale negli organi di governance.

Questo dispositivo non è solo un plafond: è una leva che dovrebbe facilitare capitalizzazione, round di co-investment e la nascita di “campioni” nazionali, ma porta con sé implicazioni concrete per chi fa impresa: criteri di selezione dei beneficiari, clausole di governance nei fondi, condizionalità sul rispetto delle regole di sicurezza e privacy, e – potenzialmente – una maggiore attenzione pubblica sulle scelte strategiche delle società partecipate o co-finanziate.

Le opposizioni (PD, Azione) hanno comunque criticato l’assenza di fondi diretti dedicati all’AI.

Le politiche industriali e pubbliche per l’AI

La norma indirizza in modo chiaro le politiche industriali verso PMI e microimprese innovative, riconoscendo l’importanza del tessuto produttivo italiano e promuovendo interventi che spaziano dai poli di trasferimento tecnologico ai programmi di accelerazione. Per le imprese questo significa maggiori opportunità di accesso a capitale e programmi pubblici, ma anche la necessità di adeguare i propri modelli di business per rientrare nei criteri degli interventi (stadio di sviluppo, proprietà intellettuale, compliance regolatoria). Le imprese che ambiscono ai finanziamenti dovranno dunque strutturare rapidamente documentazione su governance tecnologica, cybersecurity, e misure a tutela dei dati.

Sul versante del procurement pubblico e della sovranità digitale la legge cambia il quadro operativo senza imporre regole di localizzazione obbligatorie: il vincolo di installare sistemi AI su server nazionali, previsto nel testo originario al Senato, è stato eliminato alla Camera, ma il legislatore prescrive che le piattaforme di e-procurement privilegino soluzioni in grado di assicurare localizzazione e trattamento dei dati strategici su data center nazionali e standard elevati di disaster recovery e business continuity.

L’impatto sulle aziende

Per le aziende fornitrici ciò si traduce in due pressioni parallele: da un lato, vantaggio competitivo per chi può offrire soluzioni con localizzazione/standard certificabili; dall’altro, la necessità di rivedere offerte commerciali e contrattualistica per dimostrare adeguatezza in termini di sicurezza e trasparenza.

L’effetto sulle catene del valore e sulla competizione è duplice. Da un lato la spinta agli investimenti e alle misure di sostegno può accelerare la nascita di fornitori italiani e rafforzare l’indipendenza tecnologica; dall’altro le nuove regole su trasparenza, protezione dei dati e requisiti di sicurezza possono aumentare i costi di entrata e creare barriere tecniche per piccole imprese non strutturate sul piano della compliance. Le aziende straniere che vogliono operare in Italia dovranno valutare l’impatto delle preferenze in gara pubblica e la possibile necessità di adattare architetture e accordi di trattamento dati.

In termini di governance aziendale, il quadro normativo richiederà un rafforzamento dei ruoli interni dedicati all’AI: nomina di responsabili della compliance AI, integrazione dei rischi AI nel risk management e nella reportistica al board, revisione dei processi di procurement per includere criteri di sicurezza e trasparenza, e nuova attenzione alla gestione dei fornitori esterni (vendor due diligence, clausole contrattuali su audit e ispezioni, requisiti assicurativi). Le imprese quotate e quelle che aspirano a finanziamenti pubblici dovranno inoltre considerare l’effetto reputazionale e la necessità di trasparenza verso investitori istituzionali.

La legge, infine, prevede che le controversie rilevanti in materia di dati e algoritmi possano essere attribuite a sezioni specializzate in materia di impresa, segnalando che il contenzioso sull’AI probabilmente diventerà un ramo specialistico del diritto commerciale e civile.

La legge ha già ricevuto critiche dall’Unione delle Camere Penali italiane.

Copyright

Dal punto di vista della proprietà intellettuale e dell’estrazione di dati per training (TDM), il testo affronta anche la disciplina del diritto d’autore e inserisce limiti e responsabilità per l’estrazione e l’uso di testi e dati. Questo campo avrà impatti sui modelli di business che si basano su large-scale scraping e sul valore commerciale delle basi dati: servono politiche chiare di licensing, gestione dei diritti e controllo della qualità delle fonti, nonché nuove valutazioni economiche del dato come asset strategico.

Critico però il mondo del copyright per le ampie facoltà di training dato ai modelli, giudicate più ampie rispetto alle norme Ue.

La ricerca e la sanità

La legge pone grande attenzione all’accesso ai dati e alla ricerca, con regole rilevanti per chi sviluppa prodotti basati su dati di qualità.

In campo sanitario la creazione di una piattaforma nazionale affidata ad AGENAS, titolare del trattamento, e la previsione che i trattamenti rilevanti per ricerca e sperimentazione vadano comunicati al Garante e possano essere avviati decorsi trenta giorni dalla comunicazione (se non viene disposto il blocco), creano uno spazio normativo più snello per i progetti di R&D collaborativa, ma impongono alle imprese requisiti stringenti di documentazione, anonimizzazione/pseudonimizzazione e valutazione d’impatto.

Le società che lavorano su modelli medicali dovranno quindi pianificare iter autorizzativi e standard tecnici già nella fase di progettazione dei progetti.

Responsabilità delle aziende

Sul tema della responsabilità civile, penale e amministrativa, il testo è chiaro nel voler ridisegnare l’equilibrio probatorio e introdurre strumenti di tutela per i danneggiati. L’articolato rinvia al Governo l’introduzione di norme che definiscano criteri di imputazione della responsabilità, misure risarcitorie e regole sulla ripartizione dell’onere della prova, tenendo conto della classificazione dei sistemi AI stabilita dall’AI Act UE. Questo mutamento ha conseguenze immediate per il profilo assicurativo e contrattuale delle imprese: la catena del valore (sviluppatori, integratori, fornitori cloud, committenti aziendali) potrebbe essere chiamata a ridefinire le garanzie contrattuali, le clausole di indennizzo e i massimali assicurativi; inoltre, l’introduzione di specifiche fattispecie penali (per esempio relative alla diffusione illecita di contenuti “deepfake”) amplia il perimetro del rischio legale operativo.

La legge rafforza anche i poteri di vigilanza e ispezione: le autorità di mercato e di settore possono imporre obblighi informativi ai fornitori, effettuare ispezioni anche senza preavviso e controllare prove in condizioni reali per i sistemi ad alto rischio. Per le imprese questo vuol dire che la compliance non può essere soltanto “cartacea”: dovranno essere predisposti processi di audit interni ed esterni, registri tecnici, log di funzionamento, e procedure per la conduzione di test e proof-of-concept riproducibili. L’investimento in tecnologie e servizi di governance (MLOps, data lineage, tool di explainability) diventa un costo operativo necessario per ridurre l’esposizione a sanzioni e interdizioni.

Lavoro

Per il mondo del lavoro le novità hanno impatto su datore di lavoro, dipendenti e rappresentanze sindacali. Il datore è tenuto a informare i lavoratori sull’uso dell’AI nei casi previsti dalla normativa esistente, i sistemi devono rispettare la dignità e la riservatezza dei lavoratori e non discriminare; inoltre è istituito un Osservatorio presso il Ministero del Lavoro con funzioni di monitoraggio dell’impatto occupazionale, identificazione dei settori più esposti e promozione della formazione.

Sul piano pratico ciò si traduce nell’obbligo per le aziende di aggiornare policy HR e privacy, integrare valutazioni di impatto normative/etiche nei progetti di people analytics e algoritmi di scheduling o selezione, e predisporre piani di riqualificazione o upskilling in collaborazione con enti di formazione. I rapporti con i sindacati e le procedure di informazione/consultazione assumono un ruolo centrale nelle trasformazioni organizzative indotte dall’automazione.

La roadmap della legge italiana sull’AI

Operativamente, la roadmap che deriva dalla legge è chiara e stringente: entro dodici mesi il Governo dovrà varare decreti attuativi per definire strumenti e sanzioni.

Per le aziende questo significa che la finestra per adeguarsi in modo proattivo è limitata: mappare gli asset AI, aggiornare contratti, predisporre valutazioni d’impatto e rafforzare capability tecniche e legali sono attività che vanno avviate subito, per l’AI Act certo e ora anche per la legge italiana.