Legge 23 settembre 2025, n. 132 · pubblicata in G.U. il 25 settembre 2025

La prima legge italiana sull'IA, spiegata bene.

La Legge 23 settembre 2025, n. 132 è la prima legge nazionale italiana sull'intelligenza artificiale: affianca il Regolamento (UE) 2024/1689 (AI Act) senza sostituirlo, introduce deleghe al Governo per l'adeguamento dell'ordinamento, designa le autorità italiane competenti (ACN come autorità nazionale per l'AI Act, AgID, Garante Privacy) e fissa principi specifici per settori sensibili — sanità (l'IA come supporto, mai sostituto della decisione medica, con informativa al paziente), giustizia (l'interpretazione della legge resta del magistrato), lavoro (informativa al lavoratore sull'uso di IA in assunzione, valutazione, cessazione), pubblica amministrazione. Introduce inoltre sanzioni penali sui deepfake. Questa pillar di Konformia offre una sintesi tematica delle disposizioni chiave, con rimandi al testo pubblicato in Gazzetta Ufficiale.

In sintesi23 settembre 2025Deleghe + designazione autoritàAffianca il Reg. UE 2024/1689Sanzioni penali sui deepfake
01 · Contesto

Perché serviva una legge italiana, oltre all'AI Act.

Il Regolamento (UE) 2024/1689 — l'AI Act — è direttamente applicabile in ciascuno Stato membro: non richiede recepimento, vale come legge nazionale dal momento in cui le sue disposizioni diventano efficaci. Eppure ogni regolamento UE richiede, nei fatti, un'architettura nazionale che lo metta a terra: chi è l'autorità competente? Come si raccordano gli obblighi con il diritto penale, con la disciplina del lavoro, con la sanità pubblica? È qui che la legge italiana entra in gioco.

La L. 132/2025 — formalmente «Disposizioni e deleghe al Governo in materia di intelligenza artificiale» — fa quattro cose insieme: designa le autorità nazionali, fissa principi etici per l'uso dell'IA nell'ordinamento italiano, introduce regole specifiche per i settori più delicati (sanità, giustizia, lavoro), e crea nuove fattispecie penali per gli abusi più gravi. È, soprattutto, una legge-cornice: molte sue disposizioni rinviano a decreti legislativi delegati che il Governo adotterà nei mesi successivi.

Per chi guida una PMI o un consulente compliance, il punto pratico è che la conformità AI Act in Italia non si esaurisce nel Regolamento europeo: si compone di Regolamento + L. 132/2025 + decreti delegati + linee guida AgID + provvedimenti del Garante. Konformia integra esplicitamente questa stratificazione nei propri workflow.

02 · Principi

I principi che inquadrano l'uso dell'IA in Italia.

La legge sancisce che lo sviluppo e l'utilizzo dei sistemi di IA devono svolgersi nel rispetto:

  • dei diritti fondamentali e della dignità della persona;
  • della trasparenza dei processi decisionali;
  • della non discriminazione;
  • della sostenibilità;
  • della sicurezza;
  • della protezione dei dati personali.

È un elenco apparentemente generico ma con conseguenze concrete: l'uso dell'IA a supporto di decisioni amministrative deve garantire la sorveglianza umana e la tracciabilità delle decisioni. Questa frase, presa sul serio, significa che ogni sistema di IA usato per istruire o supportare un atto della pubblica amministrazione deve poter rendere conto del proprio ragionamento — non basta "l'algoritmo ha deciso".

Il principio della sorveglianza umana fa eco diretto all'Art. 14 dell'AI Act ed è uno dei punti in cui norma nazionale e regolamento UE si rafforzano a vicenda invece di duplicarsi.

03 · Autorità

Le tre autorità italiane competenti, e cosa fanno davvero.

L'AI Act richiede che ogni Stato membro designi una o più autorità nazionali competenti. La L. 132/2025 disegna in Italia un sistema a tre attori.

AgIDAgenzia per l'Italia Digitale
Notifica, alfabetizzazione, supporto PA

Coordina la notifica degli organismi di valutazione, promuove l'alfabetizzazione AI nel settore pubblico, fornisce orientamenti operativi e linee guida alle amministrazioni.

ACNAgenzia per la Cybersicurezza Nazionale
Vigilanza e sicurezza

Esercita compiti di vigilanza sulla sicurezza dei sistemi di IA, in coordinamento con le competenze esistenti su NIS2 e cyber resilienza nazionale.

Garante PrivacyGarante per la protezione dei dati personali
Sistemi di IA che trattano dati personali

Mantiene piena competenza sui sistemi di IA che trattano dati personali. Concorre con AgID su FRIA e DPIA, con poteri sanzionatori GDPR pieni.

Importante per chi opera in più verticali: queste competenze si sommano alle autorità di settore esistenti — Banca d'Italia su servizi finanziari, IVASS sulle assicurazioni, AGCOM su comunicazioni, ecc. Un sistema di IA usato per credit scoring in una BCC sarà soggetto a Reg. UE 2024/1689 + L. 132/2025 + Vigilanza Banca d'Italia + Garante (se tratta dati personali) + eventualmente DORA. Il quadro è multilivello.

04 · Settori sensibili

Sanità, giustizia, lavoro: dove la legge è più specifica.

Tre settori ricevono nella L. 132/2025 un trattamento dedicato. La ratio è la stessa in tutti e tre: l'IA è strumento di supporto, non decisore autonomo.

Sanità
Strumento di supporto, mai sostitutivo.

I sistemi di IA in sanità supportano ma non sostituiscono la decisione del professionista. Il paziente deve essere informato dell'uso del sistema. La responsabilità clinica resta del professionista sanitario.

Giustizia
Solo organizzazione, analisi, ricerca documentale.

Nel settore giudiziario l'IA può essere usata esclusivamente per l'organizzazione, l'analisi e la ricerca documentale. L'interpretazione e l'applicazione della legge restano di esclusiva competenza del magistrato.

Lavoro
Obbligo di informativa al lavoratore.

Il datore di lavoro è tenuto a informare i lavoratori dell'uso di sistemi di IA che incidano su assunzione, valutazione o cessazione del rapporto. È il punto di contatto più diretto con l'Art. 26 AI Act sugli obblighi del deployer.

Per le PMI: se il vostro stack HR include uno screening CV automatizzato — anche se è un SaaS di un fornitore terzo — siete tenuti all'informativa ai lavoratori. È un obbligo nazionale che si somma all'Art. 26 dell'AI Act (obblighi del deployer) e all'Art. 13 GDPR (informativa al trattamento).

05 · Sanzioni penali

La nuova fattispecie penale sui deepfake.

La novità di maggior peso simbolico — e probabilmente quella più citata nella stampa generalista — è una disposizione penale che punisce la diffusione di contenuti generati o alterati con sistemi di IA, idonei a trarre in inganno sulla loro genuinità, quando ne derivi un danno ingiusto. In sintesi: i deepfake dannosi diventano un reato a sé.

La pena è aggravata quando il fatto è commesso in danno di soggetti in condizione di vulnerabilità. La legge prevede inoltre:

  • strumenti di tutela giurisdizionale per la vittima;
  • procedure di rimozione dei contenuti illeciti;
  • l'obbligo per i fornitori di servizi di adottare procedure accessibili di segnalazione.

Implicazione per le aziende che usano IA generativa: i workflow di marketing, customer service e contenuti che generano media sintetici (avatar, voci clonate, immagini di prodotto) hanno ora un rischio penale identificato a livello nazionale, oltre agli obblighi di trasparenza dell'Art. 50 dell'AI Act. Per chi ha un Modello 231, il punto è già da inserire nella mappatura dei rischi.

06 · Allineamento

Come la L. 132/2025 si incastra con l'AI Act.

I due strumenti sono complementari, non concorrenti. Schematicamente:

  • il Regolamento (UE) 2024/1689 definisce le regole tecniche di conformità (classificazione del rischio, documentazione, gestione del rischio, logging, sorveglianza umana, obblighi di trasparenza) e le sanzioni amministrative (fino a €35M o il 7% del fatturato globale);
  • la L. 132/2025 designa le autorità italiane, fissa principi etici, regola i settori sensibili e introduce sanzioni penali su fattispecie specifiche.

L'area di maggiore sovrapposizione è l'Art. 4 dell'AI Act (alfabetizzazione del personale): la legge nazionale lo richiama esplicitamente e ne incarica AgID per la promozione. L'altra area è l'Art. 14 (sorveglianza umana), ripreso dal principio della legge italiana sulla tracciabilità delle decisioni nell'ambito amministrativo.

Un esercizio utile per il compliance officer: leggere ogni articolo del Regolamento UE accanto al principio italiano corrispondente. Dove la norma nazionale è più stringente, quella prevale. Dove coincide, il rispetto del Regolamento UE è già rispetto della L. 132/2025.

07 · Impatto PMI

Cosa cambia, in pratica, per una PMI italiana.

Le sei cose concrete da mettere in agenda — gli obblighi già in vigore subito, il resto entro la scadenza alto rischio del 2 dicembre 2027 (post Digital Omnibus):

  1. Registro dei sistemi di IA in uso.Anche se "usate solo ChatGPT", siete deployer ai sensi dell'Art. 3 AI Act. Vale la pena registrarli.
  2. Classificazione del rischio Annex III. Per ciascun sistema, stabilite se è high-risk, limited-risk o minimal-risk. La classificazione cambia il livello di obblighi.
  3. Alfabetizzazione del personale (Art. 4). È un obbligo già in vigore da febbraio 2025. La L. 132/2025 ne ribadisce la centralità e ne incarica AgID.
  4. Informativa ai lavoratorisull'uso di IA in assunzione, valutazione, cessazione. Obbligo nazionale, non solo europeo.
  5. Aggiornamento del Modello 231 per coprire la nuova fattispecie penale sui deepfake e i principi della legge sul rapporto di lavoro.
  6. Documentazione tecnica (Annex IV) per i sistemi high-risk: dal 2 dicembre 2027 (termine rinviato dal Digital Omnibus) deve esserci. Non basta dichiararla: deve essere depositabile.
08 · Konformia

Come Konformia integra la L. 132/2025.

La legge italiana non è un'aggiunta nel pricing — è cablata nel registro, nel Copilot e nei modelli documentali.

Registro dei sistemi con tag L. 132/2025

Ogni sistema nel registro Konformia può essere marcato con i settori sensibili applicabili (sanità, giustizia, lavoro), facendo emergere automaticamente gli obblighi specifici della legge italiana.

Copilot citato sulla L. 132/2025

Il Copilot di Konformia è grounded sul corpus della L. 132/2025 oltre che sull'AI Act, sulla UNI 11621-8 e sulle linee guida AgID. Risposte con citazione, mai inventate.

Modelli documentali pre-popolati

Le Istruzioni per l'uso (Art. 13), il Piano post-market (Art. 72) e le Clausole fornitore (Art. 25/26) sono pre-compilate con i riferimenti L. 132/2025 dove applicabili.

Domande frequenti

Quello che chiedono compliance officer, DPO e amministratori.

  • Quando è entrata in vigore la L. 132/2025?
    La legge 23 settembre 2025, n. 132 è stata pubblicata in Gazzetta Ufficiale il 25 settembre 2025 ed è entrata in vigore secondo le tempistiche standard dell'ordinamento italiano (vacatio legis di 15 giorni dalla pubblicazione, salvo specifiche disposizioni transitorie nei singoli articoli o nei decreti legislativi delegati).
  • Sostituisce l'AI Act europeo?
    No. La L. 132/2025 affianca il Regolamento (UE) 2024/1689 (AI Act) introducendo deleghe al Governo, designando le autorità italiane competenti e fissando principi specifici per l'ordinamento italiano. Il Regolamento UE resta direttamente applicabile; la legge italiana ne integra l'attuazione nazionale.
  • Quali sono le autorità italiane competenti?
    AgID (Agenzia per l'Italia Digitale) per le funzioni di notifica, alfabetizzazione e supporto alle PA; ACN (Agenzia per la Cybersicurezza Nazionale) per vigilanza e sicurezza; il Garante per la protezione dei dati personali mantiene la competenza sui sistemi di IA che trattano dati personali. La legge ne definisce gli ambiti operativi.
  • Cosa cambia per la PMI italiana?
    Le PMI italiane si trovano ora un quadro a due livelli: il Regolamento UE (sanzioni amministrative fino a €35M / 7% del fatturato globale per le violazioni più gravi) e la legge italiana (con principi etici, obblighi nei settori sensibili e sanzioni penali specifiche per i deepfake). L'obbligo di alfabetizzazione del personale (Art. 4 AI Act) è esplicitamente richiamato dalla legge nazionale.
  • Quali sanzioni penali introduce?
    La legge introduce una fattispecie penale che punisce la diffusione di contenuti generati o alterati con sistemi di IA — i deepfake — idonei a trarre in inganno sulla loro genuinità, quando ne derivi un danno ingiusto. La pena è aggravata se il fatto è commesso in danno di soggetti in condizione di vulnerabilità.
  • Come si integra con il GDPR?
    Il Garante per la protezione dei dati personali mantiene piena competenza sui sistemi di IA che trattano dati personali. Le valutazioni d'impatto (DPIA, Art. 35 GDPR) e — per i sistemi ad alto rischio — la Fundamental Rights Impact Assessment (FRIA, Art. 27 AI Act) restano obblighi separati ma coordinati.
  • Devo aggiornare il mio modello 231?
    Sì, è opportuno: la nuova fattispecie penale sui deepfake e l'introduzione di principi sull'uso di IA nei rapporti di lavoro creano aree di rischio non coperte da molti Modelli Organizzativi attuali. L'aggiornamento del Modello e dei protocolli antielusione del 231/2001 è un cantiere consigliato da avviare ora: la fattispecie deepfake è già in vigore e la scadenza alto rischio è al 2 dicembre 2027 (post Digital Omnibus).
Dalla teoria al fascicolo

Trasforma la L. 132/2025 in adempimenti, non in slide.

Registro dei sistemi AI con tag L. 132/2025, Copilot grounded sul corpus della legge, modelli documentali pre-popolati con i riferimenti normativi italiani.