Con l’approvazione definitiva della legge nazionale sull’intelligenza artificiale, l’Italia segna una tappa significativa nella regolazione del digitale: è infatti il primo Stato membro dell’Unione Europea a dotarsi di un quadro normativo organico in materia. Il testo è articolato in sei Capi per un totale di ventotto articoli e mira a governare lo sviluppo e l’impiego dei sistemi di IA, bilanciando impulso all’innovazione, requisiti di sicurezza e garanzie per i diritti fondamentali. Tuttavia, rimangono questioni operative e di efficacia che meritano attenzione.
Struttura normativa e centri di governo
La legge individua due agenzie come fulcri della regolazione: l’ Agenzia per la Cybersicurezza Nazionale (ACN), focalizzata sulla sicurezza tecnica, e l’ Agenzia per l’Italia Digitale (AgID), responsabile della ricezione di notifiche, del coordinamento e della valutazione delle applicazioni di IA. Entrambi gli enti sono organismi governativi, non autorità indipendenti, scelta che solleva dubbi sull’imparzialità dei controlli soprattutto in ambiti ad alto impatto sociale dove la neutralità è essenziale.
Il testo riprende alcuni cardini dell’AI Act europeo, come la classificazione dei sistemi per livelli di rischio e l’imposizione di obblighi modulati per i contesti più critici. Tuttavia molte disposizioni appaiono più simboliche che operative: la ripetizione di definizioni e principi già presenti nel quadro comunitario può generare sovrapposizioni normative anziché chiarezza. L’efficacia della norma dipenderà pertanto dalla capacità dell’ordinamento italiano di armonizzarla con il diritto UE e dalle linee guida tecniche che verranno emanate.
Deleghe al governo e rischi di accentramento
La legge prevede che il governo adotti numerosi decreti attuativi, ampliando lo spazio regolativo esecutivo. Questa soluzione garantisce coerenza e rapidità decisionale, utile anche per attrarre investimenti, ma comporta il rischio di diminuire il dialogo democratico e la trasparenza del processo. L’assenza di contropoteri adeguati potrebbe minare la legittimità della governance soprattutto nei settori sensibili come giustizia, sanità e sicurezza pubblica, dove decisioni tecniche richiedono anche legittimazione sociale e verifiche indipendenti.
Per una tecnologia in rapida evoluzione è cruciale un impianto modulare e aggiornabile: la legge dovrà prevedere meccanismi di revisione e partecipazione pubblica efficaci. Se le deleghe al governo rimangono eccessive senza garanzie procedurali, l’ordinamento rischia di avere norme difficili da correggere, con impatti a lungo termine sulla fiducia di cittadini e imprese.
Dati sanitari, privacy e rischio di erosione dei diritti
Particolare rilievo assume la regolazione dei settori sensibili, in primis la sanità. L’articolo 8 autorizza l’uso di dati sanitari personali per ricerca scientifica anche in assenza di consenso esplicito, a condizione che vengano rimossi gli identificatori diretti. La comunicazione avviene tramite una generica informativa pubblicata sul sito del titolare, una forma minima di trasparenza che indebolisce il diritto degli interessati a comprendere e opporsi. Manca inoltre un meccanismo di opt-out e non è chiaro come sia garantito il principio di minimizzazione dei dati previsto dal GDPR.
Questa impostazione lascia margini interpretativi ampi e può esporre categorie fragili — come minori, persone con disabilità o pazienti vulnerabili — a rischi concreti di profilazione e decisioni automatizzate senza adeguate salvaguardie. Anche l’inclusione dei dati sulla performance sportiva amatoriale nello stesso ambito è una scelta che solleva interrogativi su equità e tutela degli atleti rispetto a organizzatori e operatori economici.
Esclusioni per la sicurezza nazionale e controlli indipendenti
In linea con il regolamento europeo, la legge italiana esclude le attività di IA impiegate per la sicurezza nazionale, difesa e intelligence dal proprio campo di applicazione. Pur rispettando la sovranità statale, questa esclusione priva di trasparenza un’ampia porzione di attività potenzialmente invasive. In assenza di meccanismi di controllo realmente indipendenti, la zona della sicurezza nazionale potrebbe trasformarsi in una sorta di area franca, con inevitabili implicazioni sul rispetto delle libertà civili e sul monitoraggio democratico delle tecnologie.
Un sistema di governance credibile richiede strumenti di auditing indipendenti, procedure di valutazione d’impatto efficaci e canali per la partecipazione della società civile, elementi finora non delineati in modo sufficiente nel testo approvato.
Proprietà intellettuale e text and data mining (TDM)
Sul fronte della proprietà intellettuale, la legge riafferma che i contenuti generati da sistemi automatizzati non possono essere protetti da copyright senza la dimostrazione di un apporto creativo umano, principio coerente con la giurisprudenza europea. Resta però aperta la questione dei casi ibridi, dove valutare l’apporto umano è complesso e spesso soggettivo. La disciplina del text and data mining (TDM) recepisce la Direttiva Copyright ma non introduce standard tecnici univoci per l’opt-out dei titolari dei diritti, né definizioni chiare di accessibilità, rendendo incerta l’applicazione pratica.
La mancanza di procedure condivise e di strumenti tecnici per segnalare esclusioni potrebbe ostacolare la ricerca e l’innovazione. A confronto con modelli come il fair use statunitense, il contesto europeo e italiano rischia di risultare più frammentato e meno competitivo per imprese e centri di ricerca.
Impatto sull’innovazione e prospettive future
Quella approvata è una legge importante: rappresenta il primo tentativo sistemico di uno Stato membro di disciplinare l’IA in modo organico. Tuttavia la vera sfida è la traduzione delle norme in prassi efficaci. Senza linee guida tecniche, enti indipendenti per i controlli e strumenti di tutela dei diritti civili, l’impatto rischia di essere limitato. Per farne un modello occorre favorire il coinvolgimento attivo di comunità tecnica, imprese, istituzioni e centri di ricerca in processi partecipativi e trasparenti.
Il decennio a venire sarà cruciale per ridefinire il rapporto tra intelligenza artificiale, governance e libertà fondamentali. L’Italia ha mosso la prima pedina, ma per trasformare la norma in pratica servono procedure aggiornabili, auditing indipendenti, regole chiare su dati sensibili e TDM, nonché meccanismi di opt-out che rispettino il GDPR. Solo così l’innovazione potrà procedere di pari passo con responsabilità e trasparenza.
