Legge 132/2025: la prima legge italiana dedicata all’uso dell’intelligenza artificiale nella Pubblica Amministrazione

L’articolo 3 della Legge 132/2025 stabilisce i principi generali che devono orientare ogni utilizzo di sistemi di intelligenza artificiale, sia nella pubblica amministrazione che nel settore privato.

Questi principi sono vincolanti e non derogabili.

Vediamoli in dettaglio, perché rappresentano il fondamento su cui costruire qualsiasi strategia di adozione dell’IA nel tuo ente.

L’essere umano al centro: controllo e autonomia decisionale

Il primo principio è quello dell’antropocentrismo tecnologico.

I sistemi e i modelli di intelligenza artificiale devono essere sviluppati e applicati nel rispetto dell’autonomia e del potere decisionale dell’uomo, assicurando la sorveglianza e l’intervento umano in ogni fase.

Cosa significa questo nella pratica quotidiana del tuo ente?

Significa che l’IA può aiutarti a elaborare bozze di atti, ad analizzare grandi quantità di dati, a cercare informazioni rilevanti nei documenti, ma la decisione finale deve sempre essere presa da un essere umano che se ne assume la responsabilità.

Non puoi delegare a un sistema automatizzato la valutazione di una domanda di contributo, l’assegnazione di un alloggio popolare, la selezione di un candidato in un concorso pubblico.

Puoi usare l’IA per supportare queste attività, accelerarle, renderle più efficienti, ma la decisione finale resta tua.

Trasparenza e conoscibilità: sapere che l’IA è stata usata

La legge pone la trasparenza tra i principi fondamentali. Questo significa che i cittadini e le imprese devono poter conoscere se e in che modo l’intelligenza artificiale ha contribuito a decisioni che li riguardano.

L’articolo 4, comma 3 stabilisce che le informazioni e le comunicazioni relative al trattamento dei dati connesse all’utilizzo di sistemi di IA devono essere rese con linguaggio chiaro e semplice, in modo da garantire all’utente la conoscibilità dei relativi rischi.

Per la tua PA questo significa che dovrai sviluppare informative comprensibili, pubblicare sul sito istituzionale quali sistemi di IA utilizzi e per quali finalità, e assicurarti che ogni cittadino possa capire facilmente quando interagisce con un sistema automatizzato.

Protezione dei dati personali e riservatezza

L’utilizzo dell’IA deve avvenire nel pieno rispetto del GDPR e della normativa nazionale sulla protezione dei dati personali.

L’articolo 3, comma 1 della Legge 132/2025 pone espressamente tra i principi fondamentali la protezione dei dati personali e la riservatezza.

Nella pratica, questo significa che è assolutamente vietato inserire dati personali identificativi o informazioni riservate in sistemi di intelligenza artificiale non espressamente autorizzati dal tuo ente. Se usi ChatGPT gratuito per elaborare una bozza, non puoi inserire nome, cognome, codice fiscale o altri dati personali dei cittadini.

Non discriminazione e accuratezza

I sistemi di IA non devono generare output discriminatori basati su caratteristiche personali o appartenenza a categorie protette.

L’articolo 3, comma 1 indica espressamente tra i principi fondamentali la non discriminazione e la parità dei sessi.

Inoltre, la legge richiede che i sistemi siano sviluppati su dati e tramite processi di cui devono essere garantite la correttezza, l’attendibilità, la sicurezza, la qualità, l’appropriatezza e la trasparenza.

L’articolo 20 della Legge 132/2025 designa ufficialmente le due autorità nazionali responsabili dell’attuazione della normativa sull’intelligenza artificiale in Italia.

AgID: l’autorità per la promozione dell’innovazione

L’Agenzia per l’Italia Digitale (AgID) assume il ruolo di autorità nazionale per la promozione dell’innovazione in materia di intelligenza artificiale. Questo significa che AgID sarà il tuo punto di riferimento per:

• Le linee guida operative specifiche per le pubbliche amministrazioni. AgID ha già concluso il 20 marzo 2025 una consultazione pubblica sulla bozza di linee guida dedicate all’IA nella PA, e si attende la pubblicazione della versione definitiva nei prossimi mesi. Queste linee guida forniranno indicazioni concrete su come implementare i principi della Legge 132/2025 nelle attività quotidiane.
• Le best practice e i modelli di riferimento per l’adozione dell’IA nella PA italiana. AgID sta costruendo un ecosistema di condivisione delle esperienze tra enti, in modo che non ogni comune debba reinventare la ruota.
• Il supporto nella valutazione d’impatto che le amministrazioni devono condurre prima di introdurre sistemi di IA, in particolare quelli ad alto rischio secondo la classificazione dell’AI Act.

ACN: l’autorità di vigilanza e cybersicurezza

L’Agenzia per la Cybersicurezza Nazionale (ACN) diventa l’autorità di vigilanza sui sistemi di intelligenza artificiale, con particolare focus sulla sicurezza nazionale e sulla resilienza dei sistemi nel cyberspazio.

ACN avrà competenze specifiche su aspetti cruciali come la verifica della conformità dei sistemi IA ai requisiti di cybersicurezza lungo tutto il ciclo di vita, la promozione di iniziative per rafforzare la sicurezza informatica attraverso l’intelligenza artificiale, e la vigilanza sugli aspetti di sicurezza nazionale connessi all’uso dell’IA.

La Legge 132/2025 dedica una parte significativa del proprio impianto normativo alla regolazione dell’impiego dei sistemi di IA in contesti professionali e settoriali specifici.

Questa scelta riflette la consapevolezza che l’intelligenza artificiale ha impatti diversi a seconda del settore in cui viene applicata.

Sanità: diagnosi e percorsi terapeutici assistiti dall’IA

Gli articoli 7, 8 e 10 disciplinano l’uso dell’IA in ambito sanitario, con particolare attenzione alla ricerca, alla sperimentazione e all’applicazione clinica.

La legge stabilisce che i trattamenti di dati operati per finalità di ricerca e sviluppo di sistemi IA in sanità da parte di soggetti pubblici, IRCCS e soggetti privati operanti nel settore sanitario sono dichiarati di rilevante interesse pubblico.

Questo significa che è autorizzato l’uso secondario di dati personali, anche sensibili, purché privi di elementi identificativi diretti e previo adeguato informativa agli interessati. Le procedure devono essere comunicate al Garante per la protezione dei dati personali, che può intervenire entro 30 giorni.

Lavoro: selezione, valutazione, monitoraggio

L’articolo 11 stabilisce che l’IA deve essere impiegata per migliorare le condizioni di lavoro, tutelare l’integrità psicofisica dei lavoratori e accrescere la qualità delle prestazioni lavorative e la produttività.

Il comma 2 introduce un obbligo di trasparenza specifico: il datore di lavoro o committente è tenuto a informare il lavoratore dell’utilizzo dell’IA nei casi e con le modalità già previste dal “decreto trasparenza” (D.Lgs. 152/1997, art. 1-bis).

Questo significa che se il tuo ente utilizza sistemi di IA per la selezione del personale, la valutazione delle performance, il monitoraggio delle attività lavorative o l’assegnazione di mansioni, deve informare preventivamente i lavoratori con modalità chiare e comprensibili.

Giustizia: supporto al lavoro giudiziario, mai sostituzione

L’articolo 15 è categorico: nei casi di impiego dei sistemi di IA nell’attività giudiziaria è sempre riservata al magistrato ogni decisione sull’interpretazione e sull’applicazione della legge, sulla valutazione dei fatti e delle prove e sull’adozione dei provvedimenti.

L’IA può essere utilizzata per l’organizzazione dei servizi relativi alla giustizia, per la semplificazione del lavoro giudiziario e per le attività amministrative accessorie, ma la decisione giurisdizionale resta prerogativa esclusiva del giudice.

Professioni intellettuali: l’IA come strumento, non come sostituto

L’articolo 13 disciplina l’uso dell’IA nell’esercizio delle professioni intellettuali.

Il principio è chiaro: l’intelligenza artificiale rimane uno strumento di supporto, l’uso va comunicato in modo chiaro al cliente o all’assistito, e la tecnologia non può sostituire la responsabilità professionale.

Questo vale per avvocati, commercialisti, ingegneri, architetti e tutte le professioni regolamentate.

Se un professionista usa ChatGPT per redigere una bozza di contratto o per analizzare documenti, deve informare il cliente e rimane comunque responsabile del risultato finale.

La Legge 132/2025 introduce rilevanti novità in materia penale, rispondendo all’esigenza di contrastare gli abusi delle tecnologie di intelligenza artificiale.

Il nuovo reato di deepfake (art. 612-quater c.p.)

L’articolo 25, comma 1 introduce nel codice penale il nuovo articolo 612-quater che punisce l’illecita diffusione di immagini, video o voci alterati con IA e idonei a trarre in inganno.

La pena prevista è la reclusione da uno a cinque anni.

Il reato è procedibile a querela, salvo che il fatto sia connesso con altro reato procedibile d’ufficio.

Sono previste circostanze aggravanti quando il fatto è commesso da pubblici ufficiali o incaricati di pubblico servizio, o quando i contenuti manipolati riguardano persone che ricoprono cariche pubbliche o istituzionali.

Aggravanti per manipolazione di mercato e aggiotaggio

L’articolo 25 introduce aggravanti significative per chi utilizza sistemi di IA per commettere reati di manipolazione di mercato (art. 185 TUF) o aggiotaggio (art. 2637 c.c.).

Le pene arrivano fino a 2-7 anni di reclusione e multe significative (fino a 6 milioni di euro per la manipolazione di mercato).

Questo riflette la consapevolezza del legislatore che l’IA può essere usata per generare notizie false, manipolare sentiment sui mercati finanziari, o ostacolare l’attività di vigilanza delle autorità competenti.

La Legge 132/2025 rinvia al sistema sanzionatorio dell’AI Act europeo, che prevede sanzioni amministrative proporzionate alla gravità della violazione e alle dimensioni dell’organizzazione.

Le sanzioni più gravi, fino a 35 milioni di euro o 7% del fatturato mondiale annuo (si applica l’importo maggiore), sono previste per la violazione dei divieti su pratiche di IA inaccettabili, come sistemi di manipolazione subliminale, social scoring da parte di autorità pubbliche, identificazione biometrica remota in tempo reale in spazi pubblici senza autorizzazione.

Sanzioni fino a 15 milioni di euro o 3% del fatturato sono previste per violazioni degli obblighi sui sistemi ad alto rischio, come la mancata conduzione di valutazioni di impatto, l’assenza di supervisione umana adeguata, la non conformità ai requisiti di qualità dei dati.

Sanzioni fino a 7,5 milioni di euro o 1% del fatturato sono previste per comunicazioni inesatte o omesse alle autorità competenti.

Sono previste misure proporzionate per PMI e startup, per evitare che il sistema sanzionatorio diventi una barriera all’innovazione per le organizzazioni di dimensioni ridotte.

“Posso continuare a usare ChatGPT per scrivere bozze di documenti?”

Sì, puoi continuare a usarlo, ma con alcune accortezze fondamentali. Non inserire mai dati personali identificativi (nomi, cognomi, codici fiscali, indirizzi).

Usa la versione Plus o Enterprise che permette di disattivare l’uso dei dati per training.

Documenta sempre quando lo usi salvando prompt e output. E soprattutto, ricorda che la responsabilità del documento finale è tua, anche se l’hai fatto scrivere in parte da ChatGPT.

“Devo fare subito una valutazione d’impatto per tutti i sistemi IA?”

Dipende. Se usi solo strumenti generativi per supporto interno (redigere bozze, cercare informazioni) senza che producano output che impattino direttamente sui cittadini, sei in un’area di rischio limitato.

Se invece usi sistemi di IA per attività che impattano i diritti dei cittadini (assegnazione di benefici, selezione del personale, erogazione di servizi essenziali), allora sì, la valutazione d’impatto è necessaria e dovresti condurla quanto prima.

“Cosa succede se non mi adeguo?”

Le conseguenze possono essere serie.

Dal punto di vista amministrativo, potresti affrontare sanzioni significative se violi obblighi fondamentali come la trasparenza, la protezione dei dati, la supervisione umana.

Ma c’è anche un rischio reputazionale: un uso scorretto dell’IA che danneggi i cittadini diventa rapidamente una notizia sui giornali e mina la fiducia nelle istituzioni.

“Posso aspettare i decreti attuativi per fare qualcosa?”

Formalmente alcuni aspetti operativi saranno definiti nei prossimi mesi dai decreti, ma i principi fondamentali sono già in vigore dal 10 ottobre 2025.

Se aspetti senza fare nulla, ti troverai in ritardo quando usciranno le linee guida AgID e i decreti attuativi. Meglio iniziare subito con le attività di base (mappatura, formazione, policy provvisoria) per poi affinare quando arriveranno le indicazioni operative definitive.

Concludiamo con una riflessione che va oltre gli obblighi normativi.

La Legge 132/2025 non è nata per frenare l’innovazione, ma per orientarla verso un modello responsabile e sostenibile.

Il quadro normativo che si sta consolidando tra AI Act europeo e legge italiana non deve essere visto solo come una lista di vincoli e adempimenti, ma come un’opportunità per ripensare il modo in cui la tua amministrazione lavora, decide e si relaziona con i cittadini.

L’intelligenza artificiale può davvero aiutarti a ridurre i tempi dei procedimenti, a migliorare la qualità dei servizi, a liberare il personale da attività ripetitive per dedicarlo a compiti a maggior valore aggiunto che richiedono empatia, creatività, giudizio umano.

Ma questo può avvenire solo se l’adozione dell’IA è consapevole, pianificata, accompagnata da formazione adeguata e inserita in un framework di governance chiaro.

La sfida principale non è tecnologica, è culturale e organizzativa. Richiede dirigenti che comprendano le potenzialità e i limiti dell’IA, funzionari formati e consapevoli, DPO e RTD che sappiano integrare la protezione dei dati con la governance algoritmica, e cittadini informati e tutelati.

La Legge 132/2025 ti fornisce la bussola per questo percorso. Ora tocca a te decidere come usarla.