L’intelligenza artificiale (AI) sta rivoluzionando ogni settore, dall’assistenza sanitaria alla pubblica amministrazione, dal lavoro alla ricerca scientifica. Tuttavia, l’uso crescente di sistemi automatici solleva questioni cruciali in materia di privacy e protezione dei dati personali: come vengono trattate le informazioni degli utenti? Quali diritti hanno i cittadini? In che misura i sistemi AI devono essere trasparenti e sotto controllo umano?

Per rispondere a queste domande, l’Italia ha introdotto nel settembre 2025 la Legge n. 132/2025, il primo intervento organico nazionale che disciplina l’uso dell’AI in maniera ampia e integrata con le norme sulla privacy.

Cos’è la nuova legge italiana sull’Intelligenza Artificiale

La Legge 23 settembre 2025, n. 132, pubblicata nella Gazzetta Ufficiale il 25 settembre 2025 ed entrata in vigore il 10 ottobre 2025, è la prima normativa organica italiana dedicata all’intelligenza artificiale. Con questo provvedimento l’Italia è diventata il primo Stato membro dell’Unione Europea ad approvare un quadro legislativo nazionale completo sul tema, con l’obiettivo di governare in modo responsabile e innovativo lo sviluppo e l’uso delle tecnologie AI.

La legge stabilisce principi generali e regole quadro per tutte le fasi dell’AI: ricerca, sperimentazione, sviluppo, applicazione e impiego di sistemi intelligenti. La finalità dichiarata è promuovere un uso corretto, trasparente, sicuro e antropocentrico dell’AI, cioè con al centro la tutela dei diritti delle persone e l’integrazione dei valori costituzionali e normativi italiani ed europei e si applica in coerenza con il Regolamento (UE) 2024/1689, noto come AI Act, il primo regolamento europeo dedicato all’intelligenza artificiale. Essa non sostituisce il regolamento europeo, ma lo integra a livello nazionale, prevedendo principi e criteri specifici per settori di utilizzo dell’AI in Italia e delegando al Governo l’adozione di decreti attuativi entro dodici mesi dall’entrata in vigore.

Il rapporto tra AI e GDPR

Il Regolamento generale sulla protezione dei dati (GDPR) resta la principale normativa europea in materia di privacy e protezione dei dati personali. Entrato in vigore nel 2018, ha introdotto un quadro uniforme per tutti gli Stati membri dell’Unione Europea, fissando principi chiari su trasparenza, responsabilità e tutela dei diritti degli interessati.

La nuova legge italiana sull’intelligenza artificiale non sostituisce il GDPR: al contrario, ne rafforza e integra i principi nell’ambito specifico dell’AI, un settore caratterizzato da trattamenti massivi di dati, processi automatizzati e decisioni basate su algoritmi complessi.

Secondo il testo normativo, l’uso di sistemi di intelligenza artificiale deve garantire un trattamento dei dati lecito, corretto e trasparente, in linea con:

• le finalità per cui i dati sono stati raccolti;
• i principi di minimizzazione e proporzionalità;
• i diritti fondamentali previsti dal diritto dell’Unione Europea.

I sistemi AI, infatti, si basano spesso su grandi quantità di dati (i cosiddetti big data), che possono includere informazioni personali, dati sensibili o categorie particolari di dati (come quelli relativi alla salute, alle opinioni politiche o all’origine etnica). In questi casi, il rispetto del GDPR diventa ancora più centrale.

La nuova normativa italiana si inserisce in un contesto europeo più ampio, che comprende anche il AI Act, il regolamento europeo specificamente dedicato all’intelligenza artificiale. Mentre il GDPR tutela i dati personali, l’AI Act disciplina i rischi dei sistemi AI in base al loro livello di impatto sui diritti fondamentali.

In questo scenario, il GDPR rappresenta la base imprescindibile per ogni utilizzo dell’intelligenza artificiale che coinvolga dati personali. La normativa nazionale, lungi dal creare sovrapposizioni, mira a garantire una maggiore chiarezza applicativa e un coordinamento efficace tra protezione dei dati, innovazione tecnologica e tutela dei diritti fondamentali.

Il rapporto tra AI e GDPR non è di conflitto, ma di integrazione. L’intelligenza artificiale può rappresentare una straordinaria opportunità di sviluppo economico e sociale, ma solo se accompagnata da un solido quadro di garanzie.

La sfida per imprese, pubbliche amministrazioni e sviluppatori sarà quella di coniugare innovazione e conformità normativa, adottando un approccio di “privacy by design” e “privacy by default”, in cui la protezione dei dati non sia un adempimento formale, ma un elemento strutturale del progetto tecnologico.

I principi chiave: trasparenza, sicurezza e controllo umano

La legge italiana sull’intelligenza artificiale pone al centro tre principi fondamentali: trasparenza, sicurezza e controllo umano, che rappresentano le basi per uno sviluppo tecnologico responsabile e rispettoso dei diritti fondamentali. Tali principi si inseriscono in continuità con il Regolamento generale sulla protezione dei dati (GDPR) e con il quadro europeo delineato dall’AI Act.

La trasparenza è un requisito essenziale per garantire fiducia nei sistemi di intelligenza artificiale. Gli utenti devono essere messi nelle condizioni di comprendere:

• quando stanno interagendo con un sistema AI;
• quali dati vengono raccolti e trattati;
• per quali finalità vengono utilizzati;
• quali sono le logiche generali alla base delle decisioni automatizzate.

Non si tratta di rendere pubblici codici sorgente o segreti industriali, ma di fornire spiegazioni chiare, accessibili e comprensibili anche a un pubblico non tecnico. La trasparenza implica inoltre che le organizzazioni adottino informative semplici, evitando linguaggi eccessivamente giuridici o tecnici.

Un sistema trasparente è anche un sistema verificabile: deve essere possibile ricostruire i processi decisionali, tracciare le operazioni effettuate sui dati e documentare le scelte progettuali. Questo è particolarmente importante nei casi di profilazione o valutazioni automatizzate che incidono su diritti, opportunità lavorative o accesso a servizi.

La sicurezza riguarda sia la dimensione tecnica sia quella organizzativa. I sistemi AI devono essere progettati e mantenuti in modo da prevenire rischi per i diritti e le libertà delle persone, tra cui:

• accessi non autorizzati ai dati;
• perdite o alterazioni delle informazioni;
• utilizzi impropri o manipolazioni dei sistemi;
• errori sistemici che possano generare discriminazioni.

La sicurezza non è un requisito statico, ma un processo continuo. Richiede aggiornamenti costanti, test di robustezza, valutazioni d’impatto e monitoraggio dei rischi. In particolare, nei sistemi ad alto impatto (come quelli utilizzati in ambito sanitario, finanziario o giudiziario) è fondamentale adottare standard elevati di protezione, crittografia, controllo degli accessi e audit periodici.

La sicurezza comprende anche la qualità dei dati: dataset incompleti, distorti o non rappresentativi possono generare risultati inaccurati o discriminatori. Pertanto, la protezione dei diritti passa anche attraverso un’attenta selezione e verifica delle fonti informative

Il principio del controllo umano (human oversight) stabilisce che nessuna decisione automatica possa essere completamente priva di supervisione, soprattutto in ambiti sensibili come:

• salute;
• lavoro e selezione del personale;
• accesso al credito;
• giustizia e pubblica amministrazione.

Il controllo umano non deve essere meramente formale, ma effettivo. Ciò significa che deve esistere una persona competente in grado di:

• comprendere il funzionamento del sistema;
• valutare criticamente l’esito prodotto dall’algoritmo;
• intervenire per correggere, sospendere o annullare una decisione.

Questo principio tutela la dignità della persona e riduce il rischio che decisioni complesse vengano delegate interamente a meccanismi automatizzati privi di contestualizzazione o sensibilità etica.

Trasparenza, sicurezza e controllo umano operano congiuntamente per ridurre il rischio di:

• discriminazioni algoritmiche;
• manipolazione delle informazioni;
• uso improprio o eccessivo dei dati personali;
• perdita di autonomia decisionale degli individui.

Un sistema AI progettato secondo questi principi non solo rispetta la normativa, ma rafforza la fiducia di cittadini e utenti. In un contesto in cui l’intelligenza artificiale è sempre più presente nella vita quotidiana, l’obiettivo della legge è chiaro: garantire che l’innovazione tecnologica resti al servizio della persona, e non viceversa.

Tutela dei dati personali e privacy by design

La legge ribadisce il principio della privacy by design e by default: sin dalla fase di progettazione, i sistemi di AI devono includere meccanismi che garantiscano la protezione dei dati personali e minimizzino ribadisce con forza il principio della privacy by design e della privacy by default, già previsto dal Regolamento generale sulla protezione dei dati (GDPR). Ciò significa che la protezione dei dati personali non può essere un elemento accessorio o successivo allo sviluppo tecnologico, ma deve essere integrata sin dalla fase di progettazione del sistema.

Applicare la privacy by design implica che, fin dall’ideazione di un sistema AI, vengano adottate soluzioni tecniche e organizzative capaci di:

• limitare la raccolta dei dati allo stretto necessario (data minimization);
• ridurre i tempi di conservazione;
• favorire l’anonimizzazione o la pseudonimizzazione;
• prevenire accessi non autorizzati;
• garantire tracciabilità e auditabilità dei processi.

La privacy by default, invece, richiede che le impostazioni predefinite dei sistemi siano orientate al massimo livello di tutela. In altre parole, l’utente non deve compiere azioni aggiuntive per proteggere i propri dati: la configurazione standard deve già garantire un trattamento limitato e proporzionato.

Questo approccio è particolarmente rilevante nei sistemi di intelligenza artificiale, che spesso si basano su grandi quantità di dati per l’addestramento degli algoritmi. La legge sottolinea che non tutto ciò che è tecnicamente possibile è giuridicamente lecito: l’uso massivo di informazioni personali deve sempre rispettare criteri di necessità e proporzionalità.

 Le novità per la protezione dei minori

Una delle principali novità introdotte dalla normativa italiana sull’intelligenza artificiale riguarda l’accesso dei minori ai sistemi di AI e il trattamento dei loro dati personali. Il legislatore ha scelto di rafforzare le garanzie già previste dal Regolamento generale sulla protezione dei dati (GDPR), adattandole alle specificità delle tecnologie basate su algoritmi e sistemi automatizzati.

La disciplina distingue due fasce di età:

• Minori di 14 anni: è richiesto il consenso esplicito dei genitori o dei tutori legali per l’utilizzo di sistemi AI che comportino il trattamento di dati personali.
• Minori tra 14 e 18 anni: possono esprimere un consenso autonomo, purché ricevano un’informazione chiara, comprensibile e adeguata alla loro età sui rischi, sulle modalità di funzionamento del sistema e sulle conseguenze del trattamento dei dati.

Questa distinzione mira a bilanciare la progressiva autonomia dei ragazzi con la necessità di proteggerli da utilizzi inconsapevoli o potenzialmente dannosi delle tecnologie digitali.

Un elemento centrale della tutela dei minori è la qualità dell’informazione. Le piattaforme e i fornitori di sistemi AI devono predisporre:

• informative redatte con linguaggio semplice;
• spiegazioni visive o semplificate per utenti più giovani;
• avvisi espliciti sui rischi di profilazione, tracciamento o utilizzo dei dati.

Non è sufficiente, quindi, un’informativa standard pensata per adulti. La comunicazione deve essere calibrata sull’età e sul livello di maturità dell’utente, così da garantire un consenso realmente consapevole.

Le tecnologie di intelligenza artificiale possono raccogliere, analizzare e profilare grandi quantità di informazioni comportamentali. Nel caso dei minori, questo comporta rischi particolarmente delicati, tra cui:

• creazione di profili digitali dettagliati sin dalla giovane età;
• esposizione a contenuti personalizzati non adeguati;
• manipolazione delle scelte attraverso sistemi di raccomandazione;
• utilizzo dei dati per finalità commerciali o pubblicitarie invasive.

La normativa interviene proprio per prevenire un’esposizione non controllata a tecnologie complesse che possono incidere sullo sviluppo psicologico, sociale ed educativo dei più giovani.

Le disposizioni dedicate ai minori riflettono una consapevolezza crescente: l’identità digitale si costruisce fin dall’infanzia. Proteggere i dati dei più giovani significa tutelare non solo la loro privacy immediata, ma anche le opportunità future, evitando che decisioni automatizzate o profili creati precocemente possano influenzare percorsi educativi, sociali o professionali.

In questo senso, la normativa italiana rafforza un principio fondamentale: l’innovazione tecnologica deve svilupparsi in modo compatibile con la protezione delle persone più vulnerabili, garantendo che l’intelligenza artificiale sia uno strumento di crescita e non un fattore di rischio per le nuove generazioni.

 Impatti concreti per aziende e professionisti

L’entrata in vigore della nuova disciplina sull’intelligenza artificiale non ha solo un valore teorico o programmatico: produce effetti operativi immediati per aziende, consulenti e professionisti che sviluppano, integrano o utilizzano sistemi AI nei propri servizi.

Il primo obbligo concreto riguarda la valutazione preventiva dei rischi. Le organizzazioni devono:

• analizzare se il sistema AI tratta dati personali;
• verificare la base giuridica del trattamento;
• individuare i potenziali impatti sui diritti e sulle libertà degli utenti;
• redigere, quando necessario, una Valutazione d’Impatto sulla Protezione dei Dati (DPIA).

Non è sufficiente dichiarare la conformità: occorre poterla dimostrare. Questo implica la predisposizione di documentazione interna, registri aggiornati, policy aziendali e procedure di controllo.

Per le imprese che utilizzano AI per selezione del personale, marketing profilato, scoring finanziario o analisi comportamentale, la mappatura dei rischi diventa un passaggio imprescindibile.

Un altro obbligo centrale è quello informativo. Aziende e professionisti devono:

• comunicare chiaramente quando un servizio utilizza sistemi di intelligenza artificiale;
• spiegare quali dati vengono trattati e per quali finalità;
• indicare se sono previste decisioni automatizzate o attività di profilazione.

La trasparenza non è solo un adempimento formale, ma un elemento di fiducia commerciale. Informative poco chiare o incomplete possono esporre a sanzioni, ma anche a danni reputazionali.

Per consulenti, studi professionali e fornitori di servizi digitali, questo significa aggiornare contratti, informative privacy, condizioni generali e comunicazioni ai clienti.

Gli adempimenti richiesti non possono essere gestiti esclusivamente dal reparto IT o dall’ufficio legale. È necessario un approccio multidisciplinare che coinvolga:

• esperti di protezione dei dati (DPO o consulenti privacy);
• sviluppatori e data scientist;
• responsabili della sicurezza informatica;
• management e compliance officer.

In molte realtà, ciò comporterà la creazione di procedure interne dedicate alla governance dell’AI, con ruoli e responsabilità chiaramente definiti.

Se da un lato la normativa introduce oneri organizzativi, dall’altro offre anche un vantaggio competitivo: le aziende che adottano sistemi AI conformi, trasparenti e sicuri possono rafforzare la propria reputazione e distinguersi sul mercato.

Settori sensibili: sanità, lavoro e pubblica amministrazione

La normativa individua alcuni settori sensibili nei quali l’impiego dell’intelligenza artificiale richiede garanzie rafforzate, sia per la natura dei dati trattati sia per l’impatto diretto sui diritti fondamentali delle persone. In questi ambiti, il rispetto del Regolamento generale sulla protezione dei dati (GDPR) e delle disposizioni dell’AI Act diventa ancora più stringente.

Nel settore sanitario, l’AI può rappresentare un potente strumento di supporto:

• analisi di immagini diagnostiche;
• individuazione precoce di patologie;
• personalizzazione delle terapie;
• ottimizzazione dei percorsi di cura.

Tuttavia, i dati sanitari rientrano tra le categorie particolari di dati personali e sono soggetti a una protezione rafforzata. L’utilizzo di sistemi intelligenti deve quindi rispettare criteri rigorosi di:

• sicurezza informatica;
• minimizzazione dei dati;
• tracciabilità delle operazioni;
• controllo degli accessi.

Un principio cardine è che l’AI può supportare, ma non sostituire, il professionista sanitario. La decisione clinica finale resta sempre in capo al medico o allo specialista, che deve poter comprendere e valutare criticamente l’esito prodotto dall’algoritmo.

Inoltre, è fondamentale evitare rischi legati a dataset incompleti o non rappresentativi, che potrebbero generare diagnosi meno accurate per determinate categorie di pazienti.

Nel contesto lavorativo, l’AI viene sempre più utilizzata per:

• selezione e screening dei candidati;
• valutazione delle performance;
• organizzazione dei turni;
• monitoraggio delle attività.

La normativa impone ai datori di lavoro obblighi di trasparenza rafforzata. I dipendenti e i candidati devono essere informati in modo chiaro:

• sull’esistenza di sistemi automatizzati;
• sulle finalità del trattamento;
• sui criteri generali utilizzati per le valutazioni.

Particolare attenzione è richiesta per evitare discriminazioni algoritmiche. Sistemi di selezione automatizzata, ad esempio, potrebbero replicare o amplificare bias presenti nei dati storici, penalizzando determinate categorie di persone.

È inoltre necessario garantire il diritto a un intervento umano nelle decisioni che producono effetti significativi, come l’esclusione da un processo di selezione o l’adozione di provvedimenti disciplinari basati su analisi automatizzate.

L’utilizzo dell’intelligenza artificiale nei servizi pubblici rappresenta una delle sfide più delicate. L’AI può contribuire a:

• migliorare l’efficienza amministrativa;
• ridurre tempi di attesa;
• automatizzare procedure ripetitive;
• analizzare grandi volumi di dati per finalità statistiche o organizzative.

Tuttavia, quando le decisioni incidono su diritti dei cittadini — come l’accesso a prestazioni sociali, benefici economici o autorizzazioni amministrative — sono richiesti standard elevati di:

• trasparenza;
• equità;
• imparzialità;
• supervisione umana.

I cittadini devono poter comprendere i criteri generali alla base delle decisioni automatizzate e avere la possibilità di contestarle. L’uso di sistemi opachi o non verificabili rischierebbe di compromettere il principio di buon andamento e imparzialità dell’azione amministrativa.

Nei settori sensibili, l’obiettivo della legge non è limitare l’innovazione, ma garantire che l’intelligenza artificiale venga utilizzata come strumento di supporto responsabile, senza sostituire la valutazione umana nei momenti decisivi.

Sanità, lavoro e pubblica amministrazione sono ambiti in cui l’AI può generare benefici concreti, ma anche produrre effetti profondi e duraturi sulla vita delle persone. Per questo motivo, la regolamentazione prevede un livello di attenzione più elevato, volto a prevenire discriminazioni, errori sistemici e violazioni della dignità individuale.

Responsabilità e regime sanzionatorio

Uno degli aspetti più rilevanti della nuova disciplina riguarda il regime di responsabilità e le conseguenze sanzionatorie per l’uso illecito o scorretto dei sistemi di intelligenza artificiale. L’obiettivo del legislatore è chiaro: evitare zone grigie e garantire che l’innovazione tecnologica non diventi uno spazio privo di regole.

Il sistema si coordina con le previsioni del Regolamento generale sulla protezione dei dati (GDPR) e con il quadro europeo delineato dall’AI Act, rafforzando il principio di accountability.

La legge prevede un regime sanzionatorio articolato che può comprendere:

• sanzioni pecuniarie significative per violazioni degli obblighi di trasparenza, sicurezza e tutela dei dati;
• misure correttive, come la sospensione o il divieto di utilizzo di determinati sistemi AI;
• responsabilità penale nei casi in cui l’uso dell’AI integri reati o ne aggravi la commissione.

Particolare attenzione è dedicata all’impiego di sistemi automatici per finalità illecite, come la diffusione di deepfake dannosi, la manipolazione dell’identità digitale, la frode o la disinformazione. In questi casi, l’utilizzo dell’AI può costituire un’aggravante, soprattutto se produce un danno esteso o incide sulla reputazione, sulla sicurezza o sui diritti fondamentali delle persone.

Il quadro delle responsabilità non si limita all’utilizzatore finale, ma coinvolge l’intera filiera dell’AI:

• Sviluppatori, responsabili della progettazione e dell’addestramento dei sistemi;
• Fornitori e distributori, che immettono sul mercato soluzioni basate su AI;
• Utilizzatori finali, che integrano tali sistemi nei propri processi aziendali o istituzionali.

Ciascun soggetto è tenuto a rispettare obblighi specifici di compliance, proporzionati al proprio ruolo. Ad esempio:

• chi sviluppa un sistema deve garantire robustezza, sicurezza e documentazione tecnica adeguata;
• chi lo utilizza deve verificarne la conformità, informare gli interessati e adottare misure organizzative idonee;
• chi lo commercializza deve assicurarsi che il prodotto rispetti i requisiti normativi prima dell’immissione sul mercato.

Non è quindi possibile scaricare integralmente la responsabilità su un unico attore: la gestione del rischio è condivisa e deve essere chiaramente tracciabile.

Oltre alle sanzioni amministrative e penali, resta ferma la possibilità di responsabilità civile per danni. Se un sistema AI provoca un pregiudizio,  ad esempio una decisione discriminatoria, un errore sanitario o un danno reputazionale,  il soggetto responsabile può essere chiamato a risarcire il danno.

La complessità tecnica dell’AI non elimina l’obbligo di rispondere delle conseguenze. Al contrario, la normativa richiede maggiore diligenza proprio in ragione della sofisticazione degli strumenti utilizzati.

 Se la tua organizzazione utilizza sistemi di intelligenza artificiale, o sta valutando di farlo, è fondamentale affidarsi a una consulenza specializzata in materia di privacy e sicurezza, in particolare per garantire la conformità al GDPR, alla legge AI italiana e alle migliori pratiche di cyber security in azienda. Richiedi subito una consulenza privacy o un supporto specifico in ambito sicurezza sul lavoro e protezione dei dati, per trasformare gli obblighi normativi in un vantaggio competitivo responsabile.