Quando parliamo della Legge 132/2025 sull’intelligenza artificiale, dobbiamo immaginarla come un secondo livello normativo che si appoggia direttamente sull’AI Act, il Regolamento (UE) 2024/1689 che fissa le regole armonizzate per l’IA in tutta l’Unione. L’AI Act stabilisce la logica del risk-based approach, definisce i sistemi vietati, quelli ad alto rischio, quelli a rischio limitato e minimo; la legge italiana, entrata in vigore il 10 ottobre 2025, si presenta come una legge quadro che ne integra e traduce i principi dentro l’ordinamento nazionale, con riguardo particolare ai diritti fondamentali, alla struttura amministrativa, ai reati e alla tutela dei minori.
Con l’approvazione del 23 settembre 2025 e la pubblicazione in Gazzetta Ufficiale n. 223 del 25 settembre, l’Italia è diventata il primo Stato membro UE a dotarsi di una disciplina nazionale organica sull’IA, complementare e coordinata con l’AI Act. Questo primato non è solo simbolico: significa che il nostro Paese ha scelto di non limitarsi al regolamento europeo, ma di aggiungere un proprio strato di norme per gestire aspetti che Bruxelles, per competenza o per scelta politica, ha lasciato in parte alla discrezionalità degli Stati. La legge, composta da 28 articoli suddivisi in sei capi, dichiara esplicitamente di volersi collocare in piena coerenza con l’AI Act e, allo stesso tempo, di definire un modello italiano di governo dell’intelligenza artificiale, che tiene insieme sviluppo economico, diritti costituzionali e sicurezza.
La Legge 132/2025 è, tecnicamente, una legge delega: fissa principi, paletti, obiettivi, ma rinvia una parte importante della regolazione ai decreti legislativi che il Governo dovrà adottare nei mesi successivi.In più punti il testo chiarisce che l’interpretazione deve essere allineata all’AI Act, e che non si vogliono introdurre obblighi più stringenti di quelli europei, se non nei margini consentiti. Questa scelta rende la legge ambiziosa sul piano politico – perché prende posizione su diritti, governance, reati, investimenti – ma allo stesso tempo la mantiene aperta, sospesa tra ciò che è già operativo e ciò che diventerà concreto solo quando i decreti saranno scritti, discussi e approvati. È esattamente in questo spazio che si giocherà la vera partita: senza decreti robusti, molti principi resteranno dichiarazioni di intenti più che regole effettive.
Persona al centro, trasparenza e tutela dei minori
La prima colonna portante della legge è l’idea di una IA umanocentrica. Negli articoli iniziali, il legislatore ribadisce che lo sviluppo e l’uso dei sistemi di intelligenza artificiale devono avvenire nel rispetto della Costituzione, dei diritti fondamentali sanciti dalla Carta dei Diritti dell’UE e dei principi di dignità, eguaglianza, non discriminazione e inclusione sociale. L’IA viene definita chiaramente come strumento al servizio della persona, non come soggetto autonomo da cui dipendere: le decisioni che incidono sulla vita dei cittadini – accesso a cure, benefici economici, giustizia, diritti sociali – non possono essere completamente delegati alla macchina senza un presidio umano effettivo. In questo quadro, l’innovazione non è negata, ma subordinata: la tecnologia è benvenuta solo se compatibile con la tutela sostanziale della persona.
Un secondo nucleo forte riguarda la trasparenza dei sistemi di IA. La legge richiama, in modo trasversale, l’obbligo di rendere riconoscibile all’utente quando interagisce con un sistema automatizzato, di spiegare in termini comprensibili le finalità per cui l’IA viene utilizzata e, dove possibile, di fornire elementi che permettano di ricostruire la logica decisionale alla base dell’output algoritmico. Questo non significa svelare il codice sorgente, ma assicurare un livello di spiegabilità adeguato al rischio: se un sistema contribuisce a decidere se ottenere o meno un prestito, un posto in graduatoria, un esito sanitario o un provvedimento amministrativo, il cittadino deve poter capire quali fattori sono stati considerati e come. Accanto alla trasparenza, il testo insiste sulla supervisione umana: nei contesti sensibili i sistemi di IA devono essere sempre affiancati da una valutazione umana, con reali poteri di controllo e di correzione, evitando che l’algoritmo diventi di fatto l’unico giudice delle situazioni.
Il terzo pilastro è il rapporto fra IA e dati personali, con una focalizzazione molto netta sui minori. La legge si innesta sul GDPR e richiama i principi di liceità, correttezza, minimizzazione, limitazione delle finalità, sicurezza e trasparenza, senza creare un regime parallelo, ma ribadendo che l’uso di IA su dati personali non è mai un libero campo di prova. Per i bambini e gli adolescenti la protezione viene rafforzata: l’accesso a servizi e piattaforme basate su IA prevede soglie di età e requisiti di consenso genitoriale, con obblighi più severi di informazione, divieti di profilazione aggressiva e attenzione specifica ai rischi di manipolazione, dipendenza, danni reputazionali e distorsione della percezione della realtà. In parallelo, la legge richiama la necessità di evitare meccanismi di scoring, microtargeting o sfruttamento dei dati dei minori per finalità puramente commerciali, collocando la persona in crescita al centro di una cintura di garanzie che va oltre il mero adempimento formale.
Governance, autorità e ambiti di applicazione della legge
La Legge 132/2025 disegna anche una vera architettura di governance nazionale dell’IA. Il testo individua come pilastri l’Agenzia per l’Italia Digitale (AgID) e l’Agenzia per la Cybersicurezza Nazionale (ACN), chiamate a svolgere compiti di coordinamento, monitoraggio, supporto tecnico e supervisione rispetto all’implementazione dell’AI Act e della legge stessa. Intorno a queste due agenzie ruotano il Garante per la protezione dei dati personali, le autorità settoriali (come quelle per comunicazioni, concorrenza, sanità, lavoro, finanza) e i ministeri competenti, con l’obiettivo di evitare sia il vuoto regolatorio sia la frammentazione incontrollata. La legge prevede inoltre l’adozione di una strategia nazionale biennale sull’IA, che dovrà orientare interventi, priorità e investimenti, ponendo un legame stretto tra scelte normative e politica industriale.
La norma non si limita a regolare l’IA in astratto, ma indica alcuni ambiti critici in cui l’uso di sistemi algoritmici richiede cautele aggiuntive. Nella sanità, per esempio, qualsiasi sistema di IA che supporti diagnosi, terapie, triage o gestione delle cartelle cliniche deve essere valutato con estrema attenzione, perché incide direttamente sul diritto alla salute e può amplificare o ridurre disuguaglianze di accesso alle cure.
Nella pubblica amministrazione, la legge insiste sul fatto che l’IA possa essere usata per automatizzare procedure, smaltire arretrati, migliorare i servizi, ma non per sostituire integralmente il giudizio umano nelle decisioni che producono effetti giuridici rilevanti: la responsabilità resta in capo al funzionario o all’ufficio, non al software. Nella giustizia, il messaggio è analogo: algoritmi di supporto, ad esempio per analizzare precedenti o prevedere tempi processuali, non possono trasformarsi in giudici ombra che orientano in modo opaco sentenze e provvedimenti. Nel mondo della scuola e del lavoro, infine, l’uso di IA in selezione, valutazione, sorveglianza o personalizzazione dei percorsi formativi deve essere valutato alla luce dei principi di non discriminazione, proporzionalità e rispetto della dignità, evitando punte di controllo pervasivo o valutazioni automatizzate non contestabili.
Accanto ai settori più intuibili, la legge interviene in aree di frontiera. Nel mondo dello sport, l’uso dell’IA per analisi delle prestazioni, scouting, arbitraggi tecnologici e monitoraggio fisiologico degli atleti viene invitato a rispettare i principi di proporzionalità, trasparenza e tutela della persona, per evitare che squadre, federazioni o sponsor trasformino la tecnologia in uno strumento di sorveglianza costante o di sfruttamento dei dati biologici.
Nei media e nella creatività, la legge si intreccia con il diritto d’autore, ricordando che l’addestramento dei modelli generativi su contenuti protetti non può avvenire in maniera indiscriminata, e che i deepfake che usano volti, voci, opere artistiche di altri senza consenso non sono solo un problema morale ma una violazione giuridica.
Nel grande cantiere della data economy, il testo riafferma che i dati personali non sono una materia prima neutra: vanno trattati secondo le regole del GDPR, e la creazione di valore economico attraverso l’IA non giustifica né legittima pratiche di raccolta massiva, profilazione opaca o rivendita incontrollata. In sintesi, la legge cerca di far capire che non esistono zone franche della trasformazione digitale: anche dove l’IA appare gioco, spettacolo o efficienza, i diritti devono restare la bussola.
Deepfake, reati e sanzioni: il volto penale della legge 132/2025
La novità più visibile, anche mediaticamente, è l’introduzione di un nuovo reato ad hoc dedicato ai deepfake. La legge inserisce nel Codice penale l’articolo 612-quater, intitolato alla illecita diffusione di contenuti generati o alterati mediante sistemi di IA, che punisce chi, senza il consenso della persona ritratta o rappresentata, cede, pubblica o diffonde immagini, video o voci generati o modificati con IA, idonei a ingannare sulla loro genuinità e a causare un danno ingiusto.
La pena prevista va da uno a cinque anni di reclusione, con procedibilità a querela di parte, salvo aggravanti specifiche in presenza, ad esempio, di finalità di lucro, discriminazione, odio, violenza o danno grave alla vittima. È un cambio di passo netto: ciò che fino a ieri era percepito come scherzo tecnologico oggi entra a pieno titolo nella sfera penale, con un inquadramento autonomo rispetto a reati come diffamazione o trattamento illecito di dati.
Oltre al nuovo reato, la Legge 132/2025 inserisce nel Codice penale una aggravante comune per i reati commessi mediante sistemi di intelligenza artificiale. Questo significa che, quando un crimine tradizionale – come truffa, stalking, estorsione, sostituzione di persona, frode informatica – viene perpetrato sfruttando strumenti di IA, il giudice può aumentare la pena in ragione della maggiore pericolosità, della difficoltà di difesa delle vittime e della potenziale ampiezza del danno. L’idea è scoraggiare un uso abilitante dell’IA come moltiplicatore di capacità criminali, colpendo più duramente chi decide di servirsi di algoritmi per rendere le proprie condotte più invasive, mirate e difficili da individuare. L’IA, in questo scenario, non è un soggetto che risponde di reato, ma un mezzo qualificato che aggrava la responsabilità umana.
Accanto al volet penale, la legge prevede un articolato sistema di sanzioni amministrative per chi viola gli obblighi di trasparenza, sicurezza, governance e conformità previsti dall’AI Act e dalla disciplina nazionale. Le autorità competenti – in primis AgID, ACN e il Garante Privacy, insieme agli altri regolatori settoriali – sono autorizzate a svolgere ispezioni, chiedere documentazione sui sistemi di IA utilizzati, verificare l’esistenza di valutazioni di impatto, contestare eventuali violazioni e imporre misure correttive fino alla sospensione o al divieto di utilizzo di determinati sistemi.
Le sanzioni pecuniarie possono raggiungere importi rilevanti, ispirati alla scala del GDPR, proprio per evitare che i colossi tecnologici possano considerarle come un semplice costo d’impresa. Tuttavia, diversi commentatori hanno osservato che, senza potenziamenti reali in termini di organici, competenze tecniche e budget delle autorità, il rischio è di avere un apparato sanzionatorio sulla carta, ma una capacità di enforcement limitata nella pratica quotidiana.
