Via libera ai decreti IA, arrivano nuovi reati e limiti alla sorveglianza: l’analisi di Federprivacy

L'Italia compie un nuovo passo verso la regolamentazione dell'intelligenza artificiale. Il Consiglio dei Ministri ha approvato i primi due decreti legislativi attuativi della legge n. 132 del 2025, completando il percorso già definito a livello europeo dal cosiddetto "AI Act" della UE. Sul tavolo ci sono nuove disposizioni in materia di scuola, formazione professionale, tutela dei lavoratori e, ovviamente, sicurezza. L'intenzione è tracciare un impianto normativo che permetta al Paese di tenersi al passo con il percorso d'innovazione senza però rinunciare alle garanzie di uno Stato di diritto. Il principio, ribadito dal sottosegretario alla Presidenza del Consiglio Alfredo Mantovano durante la presentazione dei provvedimenti, è infatti quello di garantire l'uso dell'IA per supportare decisioni, attività e servizi, senza però mai sostituire la responsabilità umana.

Per analizzare e commentare gli aspetti principali dei due decreti, Fanpage.it ha contattato Nicola Bernardi, Presidente Federprivacy. "È sicuramente apprezzabile che il Governo definisca l'intelligenza artificiale come una risorsa che deve essere governata da visione etica e umanistica", premette Bernardi. "Purtroppo però le regole del gioco non sono in mano nostra, ma delle Big Tech oltreoceano. Servirà dunque molta decisione nel sanzionare la violazione di questi princìpi etici difesi anche dalla recente enciclica Magnifica Humanitas di Papa Leone XIV".

Governance e controlli: chi vigilerà sull'IA

Il primo decreto definisce l'architettura istituzionale del sistema. La supervisione sarà affidata a due organismi centrali: l'Agenzia per l'Italia Digitale (AgID), che avrà compiti di notifica e valutazione degli organismi di conformità, e l'Agenzia per la Cybersicurezza Nazionale (ACN), responsabile della vigilanza sul mercato e punto di contatto con l'Unione Europea. A queste si affiancheranno le autorità già competenti nei rispettivi settori, come Banca d'Italia, Consob, Ivass e Garante della Privacy. Il sistema sanzionatorio riprende quello previsto dall'AI Act europeo, con multe che nei casi più gravi possono arrivare fino a 35 milioni di euro o al 7% del fatturato globale dell'azienda responsabile. Secondo Bernardi questa pluralità di attori potrebbe rivelarsi controproducente

"La numerosità delle autorità coinvolte nel nostro Paese non potrà che complicare la governance dell'intelligenza artificiale, e sarà difficile per loro coordinarsi ed evitare sovrapposizioni", commenta il presidente di Federprivacy. "Sarebbe stato sicuramente molto più funzionale affidare la regia dell'AI ad una singola autorità in grado di coordinare tutte le altre con meno farraginosità".

Educazione e formazione per integrare l'IA nella società di domani

La parte più ampia del primo decreto riguarda soprattutto la formazione, considerata la condizione necessaria per accompagnare la diffusione dell'IA. Nelle scuole l'intelligenza artificiale entrerà nei percorsi di educazione civica e nelle attività didattiche, mentre è previsto un importante piano di aggiornamento degli insegnanti finanziato con 200 milioni di euro, comprendendo anche interventi per la prevenzione delle dipendenze digitali e per il benessere online dei minori.

Su questo punto, l'auspicio di Bernardi è che il provvedimento risulti più efficace rispetto ad altre disposizioni simili del passato. "Purtroppo in questi ambiti si parla più di assegnazioni di budget che di definizione di regole precise. Prendiamo come esempio i grandi piani per l'educazione digitale dei nostri ragazzi: i fondi sono anche stati piazzati, eppure in questi anni non si è fatto quasi nulla di concreto".

L'IA entrerà inoltre nei corsi universitari, negli ITS Academy e nei percorsi di alta formazione, con un approccio interdisciplinare che unisce competenze tecniche, giuridiche ed etiche. Programmi specifici sono previsti anche per la pubblica amministrazione, per gli operatori sanitari e per gli iscritti agli ordini professionali. Anche la magistratura sarà coinvolta attraverso percorsi dedicati: l'IA potrà aiutare nell'organizzazione e nella ricerca giuridica, ma la decisione finale resterà sempre prerogativa del giudice.

Lavoro e imprese: l'ultima parola resta alle persone

Nella nuova disposizione si parla anche di tutele dei lavoratori. Il decreto vieta infatti che decisioni come assunzioni, licenziamenti, modifiche contrattuali o sanzioni disciplinari siano adottate esclusivamente da sistemi automatizzati. La valutazione finale dovrà sempre essere effettuata da una persona fisica. Niente algoritmi con poteri di vita e di morte sul futuro professionale di una persona. I lavoratori avranno inoltre diritto a conoscere in modo comprensibile il ruolo eventualmente svolto dall'IA nei processi decisionali.

I licenziamenti adottati in violazione di queste regole saranno considerati nulli. Parallelamente viene anche istituito uno spazio di sperimentazione dedicato a startup e piccole imprese, con l'obiettivo di favorire il trasferimento tecnologico tra ricerca e sistema produttivo.

Capitolo sicurezza: riconoscimento facciale e nuovi reati

Il secondo decreto disciplina invece l'uso dell' intelligenza artificiale nelle attività di polizia e nel sistema giudiziario. L'IA viene definita uno strumento di supporto e non di sostituzione dell'attività umana. Un tema decisamente impattante per i cittadini, soprattutto alla luce di ciò che sta accadendo negli Stati Uniti, dove l'amministrazione Trump ha dato nelle mani di forze di polizia e agenzie federali un arsenale informatico degno del Grande Fratello orwelliano. Uno scenario che lo stesso Ministro dell'Interno, Matteo Piantedosi, ha negato categoricamente.

Particolare attenzione è riservata al riconoscimento biometrico. L'utilizzo in tempo reale di tecnologie per il riconoscimento automatico dei volti sarà consentito soltanto in circostanze eccezionali, come minacce gravi alla sicurezza pubblica, ricerca di persone scomparse o contrasto alla tratta di esseri umani, sempre previa autorizzazione di un giudice. L'uso successivo alla commissione di un reato sarà possibile esclusivamente per identificare soggetti già indiziati sulla base di elementi concreti. In ogni caso viene esclusa qualsiasi forma di sorveglianza di massa e sono vietate banche dati biometriche costruite attraverso raccolte indiscriminate di informazioni dal web. "Tutto nel rispetto delle leggi già imposte dall'AI Act", precisa Bernardi.

Sul fronte della responsabilità civile vengono introdotti strumenti per agevolare chi subisce danni causati da sistemi di IA, riducendo lo squilibrio informativo tra cittadini e operatori tecnologici. In ambito penale nasce invece il nuovo reato di alterazione o mancata messa in sicurezza di sistemi di IA ad alto rischio. Nei casi più gravi vengono infatti introdotte pene fino a cinque anni di reclusione per chi omette le misure di sicurezza o altera il funzionamento di sistemi di IA ad alto rischio, quando ne derivi "un pericolo concreto per la vita, l'incolumità pubblica o la sicurezza dello Stato".

"Qui invece c'è da fare un plauso al Governo", conclude Bernardi. "Dato che finora il sistema basato prevalentemente su sanzioni amministrative ha permesso alle ricchissime Big Tech di tirare dritto nelle loro attività di business accettando di pagare multe, l'introduzione del nuovo art. 437-bis nel Codice Penale è sicuramente positiva. La speranza è che questo possa mettere tutti, anche le grandi aziende, di fronte alle proprie responsabilità".