DDL AI italiano: un ponte tra AI Act e contesto nazionale

Il testo approvato dal Senato, e ora all’attenzione della Camera dei Deputati, risponde in modo efficace alle esigenze dell’applicazione generalizzata dei sistemi di IA al di là dei principi generali contenuti nel Regolamento (UE) 2024/1689, noto come AI Act[1]. Tale orientamento si traduce nell’intenzione di andare oltre l’ambito del regolamento e di offrire una disciplina organica a livello nazionale in importanti ambiti della vita.

Lo spazio lasciato alla legislazione nazionale dall’AI Act si limita, da una parte, a quei contenuti non oggetto di trattazione specifica nel regolamento e, dall’altra, in analogia a quanto ad esempio avvenuto per il GDPR, per la disciplina degli aspetti penali delle violazioni.

Principi generali e ambiti di applicazione del disegno di legge 1146/24

La struttura del testo legislativo si articola in quattro sezioni fondamentali.

La prima riguarda i principi generali e prevede l’adozione di una strategia nazionale sull’IA, aggiornata con cadenza biennale dal Comitato interministeriale per la transizione digitale, con il supporto del Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei Ministri. Questa strategia fungerà da bussola per guidare le scelte politiche e regolatorie in materia di IA[2].

La seconda parte è dedicata alle disposizioni settoriali, che specificano come e dove l’IA possa essere utilizzata. In ambito sanitario e della ricerca scientifica, è consentito l’uso dell’IA come supporto, ma è vietato il suo impiego per discriminare o selezionare l’accesso alle cure, ribadendo la centralità dell’uomo ed in ultima istanza la responsabilità dello stesso per l’attuazione di quanto suggerito dall’IA. Le attività di ricerca pubblica e privata senza scopo di lucro sono considerate di rilevante interesse pubblico, con possibilità di trattamento dei dati personali senza consenso, previa approvazione dei comitati etici e comunicazione al Garante per la protezione dei dati personali.

Nel mondo del lavoro si impone trasparenza sull’uso dell’IA, informazione obbligatoria ai lavoratori e salvaguardia della dignità umana e non discriminazione. È stato istituito uno specifico Osservatorio presso il Ministero del Lavoro e delle Politiche Sociali[3]. Per quanto concerne le professioni intellettuali, l’IA è ammessa come strumento di supporto, ma l’intervento umano resta obbligatorio, con obbligo di informativa al cliente; detta informativa deve, come noto, rendere noto l’utilizzo del sistema di IA, spiegarne il funzionamento ma non può mai arrivare a far comprendere il funzionamento della black box[4].

Nel settore giustizia, la legge vieta espressamente l’utilizzo dell’IA per attività che riguardano l’interpretazione e l’applicazione della legge, la valutazione dei fatti e la determinazione delle pene ammettendola solo per compiti organizzativi o di analisi, in linea con quanto in vigore in Francia da anni ed anche sulla base dei noti casi storici statunitensi[5].

L’uso dell’IA nei procedimenti amministrativi deve garantire la conoscibilità, la tracciabilità e la responsabilità umana nelle decisioni. Gli interessati devono essere informati sull’utilizzo dell’IA, che non può sostituire il potere decisionale umano. Si afferma con forza il principio della responsabilità umana indelegabile, richiedendo piena tracciabilità e trasparenza dell’uso degli algoritmi. Per ragioni di sicurezza nazionale e cybersicurezza, il testo esclude questi ambiti dall’applicazione della legge, pur nel rispetto dei diritti costituzionali.

Governance, responsabilità e sanzioni previste nel ddl 1146/24

La terza parte del disegno di legge riguarda la governance: viene individuata l’Agenzia per l’Italia Digitale (AgID) come autorità di notifica e l’Agenzia per la Cybersicurezza Nazionale (ACN) come autorità di vigilanza. Entrambe collaborano con il Dipartimento per la trasformazione digitale per monitorare l’attuazione della strategia nazionale. Infine, la quarta parte introduce nuove fattispecie di reato, legate all’uso illecito dell’IA, come la diffusione di deepfake, e inserisce aggravanti per reati commessi tramite IA[6].

Il disegno di legge, presentato il 20 maggio 2024, è stato approvato dal Senato il 20 marzo 2025 e trasmesso alla Camera dei Deputati. Il Garante per la Protezione dei dati Personali ha espresso un parere favorevole al testo in data 2 agosto 2024.

La Commissione Europea ha espresso il suo parere in data 5 novembre 2024 in particolare rispetto alla rigidità del testo originario e alla necessità di allineare le definizioni con quelle previste dall’AI Act. Alcune modifiche sono state apportate in risposta, ma restano divergenze su punti sensibili.

Differenze tra il testo originario e il testo approvato dal Senato

Durante l’iter parlamentare, il testo ha subito modifiche sostanziali in risposta alle osservazioni della Commissione Europea, a rilievi tecnici e a istanze provenienti dal mondo accademico, professionale e imprenditoriale. Originariamente improntato a un principio di massima cautela, che poneva al centro la “non sostituibilità del giudizio umano”, il disegno è stato poi aggiornato per riflettere una maggiore apertura verso l’uso dell’IA, pur con forti limiti. Per esempio, in ambito scientifico è stata superata la necessità del consenso esplicito per il trattamento dei dati, a favore di una procedura controllata da comitati etici, coerente con le eccezioni del GDPR. Similmente, in ambito lavorativo, si è passati da un divieto totale a una regolazione più pragmatica, che consente l’uso dell’IA a condizione di rispettare principi etici e di trasparenza.

Anche per le professioni regolamentate, il testo aggiornato permette un utilizzo di supporto dell’IA, sempre subordinato all’intervento umano. Per la giustizia, resta il divieto per le attività decisionali, ma è confermato l’uso amministrativo e analitico. Nella PA, è stato introdotto l’obbligo di pubblicare gli algoritmi utilizzati, salvo eccezioni motivate da esigenze di sicurezza. A livello di governance, la revisione ha rafforzato la cooperazione tra AgID, ACN e il Dipartimento per la trasformazione digitale. Infine, sul piano penale, sono state delineate nuove ipotesi di reato specifico, tra cui la manipolazione algoritmica. Di seguito si evidenziano alcune differenze tra testo originario e testo approvato.

Finalità e principi generali

Testo originario: impostazione fortemente precauzionale, con un approccio restrittivo volto a limitare il rischio dell’impiego dell’IA, con enfasi sulla “non sostituibilità del giudizio umano”.

Testo approvato: pur mantenendo l’impostazione prudenziale, il linguaggio è stato reso più coerente con l’AI Act, con maggiore apertura all’uso dell’IA come strumento di supporto e innovazione, specificando i casi in cui l’intervento umano è imprescindibile.

Ricerca scientifica

Testo originario: prevedeva ampie restrizioni all’uso dell’IA in ambito di ricerca, inclusa la necessità del consenso esplicito per il trattamento dei dati personali.

Testo approvato: prevede che il trattamento dei dati personali per attività di ricerca senza scopo di lucro possa avvenire senza consenso, se approvato da un comitato etico e notificato al Garante Privacy. Ciò allinea la normativa alle eccezioni previste dal GDPR per la ricerca scientifica.

Lavoro e professioni

Testo originario: si vietava l’adozione di sistemi IA nei processi decisionali legati alle assunzioni e alla valutazione dei dipendenti.

Testo approvato: viene previsto un obbligo di trasparenza e informazione ai lavoratori, ma si consente l’utilizzo dell’IA a condizione che non violi i principi di non discriminazione e dignità. È istituito un Osservatorio sull’impatto dell’IA sul lavoro.

Professioni intellettuali

Testo originario: richiedeva un divieto totale di utilizzo dell’IA nelle professioni regolamentate.

Testo approvato: introduce una norma più equilibrata: l’IA può essere utilizzata come supporto, ma l’intervento umano resta obbligatorio. È previsto l’obbligo di informativa al cliente.

Giustizia

Testo originario: vietava qualunque uso dell’IA nel settore giudiziario.

Testo approvato: consente l’utilizzo dell’IA come supporto per attività amministrative, organizzative o di analisi predittiva, ma resta vietato l’utilizzo per attività interpretative o decisionali.

Pubblica Amministrazione

Testo originario: introduceva un obbligo generalizzato di trasparenza e di controllo umano.

Testo approvato: rafforza la previsione di trasparenza, introducendo l’obbligo di rendere noti gli algoritmi usati nei procedimenti, salvo motivati casi di sicurezza. È ribadita l’insostituibilità del decisore umano.

Governance

Testo originario: prevedeva solo la competenza generica di AgID.

Testo approvato: aggiunge l’Agenzia per la Cybersicurezza Nazionale (ACN) come autorità di vigilanza. Rafforza il coordinamento con il Dipartimento per la trasformazione digitale.

Tutela penale

Testo originario: prevedeva solo linee guida generiche.

Testo approvato: introduce ipotesi specifiche di reato per l’uso distorto dell’IA (es. deep fake, manipolazione algoritmica), nonché aggravanti per reati commessi tramite IA.

Confronto tra il Disegno di Legge n. 1146/24 e l’AI Act

Il disegno di legge si integra idealmente con il Regolamento Generale sulla Protezione dei Dati (Regolamento (UE) 2016/679 -GDPR), pur agendo su un piano diverso. Se il GDPR si applica orizzontalmente a ogni trattamento di dati personali, il DDL 1146/24 disciplina il comportamento delle tecnologie intelligenti nei contesti ad alto impatto. La base giuridica del trattamento, i diritti dell’interessato, la trasparenza e la responsabilità sono principi comuni, ma il DDL introduce deroghe specifiche – ad esempio nella ricerca – e rafforza il ruolo della supervisione umana. Si tratta dunque di due normative complementari, che agiscono sinergicamente per tutelare i diritti fondamentali nell’era dell’intelligenza artificiale[7].

Inoltre, mentre l’AI Act adotta un approccio basato sul rischio – classificando i sistemi IA in base al loro impatto – il DDL italiano privilegia una logica precauzionale, con divieti e obblighi generalizzati. Il DDL è settoriale, in analogia alle disposizioni della PRC in materia di IA, affrontando ambiti specifici, mentre l’AI Act ha una portata trasversale. Entrambi i testi enfatizzano trasparenza e supervisione umana, ma il disegno di legge italiano è più rigido, imponendo obblighi anche nei contesti a basso rischio. Sul tema dei deepfake e dell’IA generativa, il DDL prevede sanzioni penali, mentre l’AI Act impone obblighi informativi. In materia di governance, l’AI Act istituisce un Ufficio Europeo dell’IA, mentre il DDL si affida a strutture nazionali. Entrambi escludono le attività di difesa e sicurezza dal proprio campo d’applicazione, sebbene l’AI Act includa garanzie di proporzionalità.

Il Disegno di Legge n. 1146/24 e l’AI Act dell’Unione Europea condividono l’obiettivo di regolamentare l’intelligenza artificiale in modo da promuovere l’innovazione nel rispetto dei diritti fondamentali, ma presentano alcune differenze sostanziali in termini di approccio, struttura e campo di applicazione.

Approccio normativo: precauzionale vs. basato sul rischio

Il DDL 1146/24 adotta un approccio fortemente precauzionale, vietando esplicitamente l’uso dell’IA in alcune attività sensibili (es. giustizia, selezione sanitaria) e imponendo una supervisione umana generalizzata. L’AI Act, invece, segue un modello di regolazione “risk-based”: classifica i sistemi di IA in base al livello di rischio (limitato, alto, vietato) e impone obblighi proporzionati. Solo gli usi “ad alto rischio” sono soggetti a requisiti stringenti, mentre gli “usabili liberamente” sono in gran parte liberi da vincoli normativi diretti.

Ambito di applicazione

Il disegno di legge italiano si concentra su ambiti specifici, come sanità, lavoro, giustizia e PA, stabilendo divieti e obblighi dettagliati in ciascuno. L’AI Act ha un ambito orizzontale, applicabile a tutti i settori, e specifica gli usi vietati o ad alto rischio indipendentemente dal settore³.

Trasparenza e supervisione umana

Entrambi richiedono trasparenza e controllo umano, ma il DDL 1146/24 tende a imporre obblighi generalizzati (es. “responsabilità umana indelegabile”), mentre l’AI Act richiede la supervisione solo per gli usi ad alto rischio, lasciando maggiore flessibilità per gli altri sistemi.

IA generativa e deepfake

Il disegno di legge affronta il tema dei deepfake e dell’abuso dell’IA generativa in ambito penale, introducendo reati specifici. L’AI Act prevede obblighi informativi per i sistemi di IA generativa, come la trasparenza sul contenuto generato artificialmente e l’obbligo di etichettare i deepfake. AI Act inoltre impone obblighi sui modelli di IA per finalità generali.

Governance

Il DDL individua AgID e ACN come autorità di riferimento in Italia, prevedendo un ruolo consultivo per il Dipartimento per la trasformazione digitale. L’AI Act istituisce un European AI Office per il coordinamento centrale a livello UE, con un sistema armonizzato di notifiche e vigilanza condiviso tra autorità nazionali.

Deroghe per la sicurezza nazionale

Entrambi escludono le applicazioni in ambito militare e sicurezza nazionale, ma l’AI Act prevede clausole di salvaguardia che richiedono comunque il rispetto dei principi di proporzionalità e necessità. Il DDL 1146/24 si configura come un’iniziativa importante per declinare in chiave nazionale i principi europei, ma presenta un’impostazione più rigida e prescrittiva rispetto all’AI Act, con un maggior focus etico e sociale. Per garantire la coerenza e la piena applicabilità, sarà cruciale assicurare che la futura legge italiana sia pienamente compatibile con la disciplina europea, soprattutto in termini di classificazione del rischio e modalità di vigilanza.

Rapporti tra il ddl 1146/24 e il regolamento Ue Gdpr

Il Disegno di Legge n. 1146/24 e il GDPR condividono l’obiettivo comune di garantire la tutela dei diritti fondamentali nel contesto della trasformazione digitale, ma si differenziano profondamente per ambito di applicazione, strumenti giuridici e tipologia di dati trattati.

Ambito normativo e oiggetto della regolazione

Il GDPR disciplina in modo orizzontale la protezione dei dati personali nell’UE, applicandosi a qualsiasi trattamento di dati che riguardino persone fisiche, indipendentemente dalla tecnologia utilizzata. Il DDL 1146/24, invece, si concentra sull’utilizzo dell’intelligenza artificiale, con attenzione particolare ai contesti in cui l’IA può incidere sui diritti, sull’autonomia decisionale e sull’equità. Esso incorpora ma non si sovrappone al GDPR, intervenendo su ulteriori profili come l’automazione decisionale e le responsabilità umane. Il GDPR si applica a prescindere dalla tecnologia, mentre il DDL si applica specificamente all’uso di IA.

Base giuridica per il trattamento dei dati

Il GDPR consente il trattamento dei dati personali solo in presenza di una base giuridica, tra cui: consenso, contratto, obbligo legale, interesse pubblico, o interesse legittimo. Il DDL 1146/24, pur richiamando indirettamente il GDPR, introduce deroghe specifiche: ad esempio, in ambito di ricerca scientifica, il trattamento è ammesso anche senza il consenso, purché approvato da un comitato etico e notificato al Garante. Il DDL introduce eccezioni mirate al regime del GDPR per favorire ricerca e innovazione, nel rispetto delle tutele previste.

Trasparenza e diritto all’informazione

Il GDPR impone un forte obbligo di trasparenza: l’interessato deve essere informato in modo chiaro e accessibile sul trattamento dei suoi dati, inclusa l’eventuale profilazione automatizzata. Il DDL 1146/24 estende questo obbligo, richiedendo che nei processi decisionali automatizzati – specialmente nella PA, nel lavoro e nelle professioni – sia sempre garantita la conoscibilità del sistema, la tracciabilità delle decisioni e la supervisione umana. Il DDL rafforza le garanzie già previste dal GDPR nei contesti automatizzati, affermando il principio della “indelegabilità” decisionale all’IA.

Responsabilità e Governance

Il GDPR attribuisce al titolare del trattamento la responsabilità per la conformità normativa (principio di “accountability”) e prevede un sistema articolato di autorità di controllo nazionali e sovranazionali (EDPB). Il DDL 1146/24 individua come autorità nazionali l’AgID (notifica) e l’ACN (vigilanza sui rischi cibernetici), senza sostituire il Garante per la privacy, ma affiancandolo nelle valutazioni tecnico-etiche dell’uso dell’IA. Il DDL istituisce una governance parallela e integrata, che coordina l’azione con il Garante, ma si focalizza sulla funzionalità e sicurezza dell’IA, più che solo sui dati.

Diritti dell’interessato e decisioni automatizzate

L’art. 22 del GDPR riconosce il diritto a non essere sottoposti a decisioni unicamente automatizzate, salvo deroghe per contratto, legge o consenso esplicito. Il DDL 1146/24 si pone in continuità con tale previsione, ma esclude radicalmente l’uso decisionale dell’IA in ambito giudiziario e limita fortemente l’automazione nei servizi pubblici e professionali, enfatizzando la centralità dell’intervento umano. Il GDPR ammette l’automazione in condizioni limitate, il DDL impone divieti più restrittivi in contesti ad alto impatto sociale.

Il Disegno di Legge n. 1146/24 non entra in conflitto con il GDPR, ma ne rappresenta una complementarità tematica. Mentre il GDPR tutela la privacy dei dati personali, il DDL mira a regolare l’uso dell’IA come strumento operativo, rafforzando le garanzie nei confronti dei cittadini quando le decisioni sono influenzate da algoritmi. Tuttavia, la coerenza tra le due normative dovrà essere assicurata attraverso decreti attuativi coordinati e un costante dialogo tra le autorità nazionali coinvolte.

Temi ancora non disciplinati e prospettive future del ddl 1146/24

Il DDL 1146 nel testo approvato dal Senato contiene la risposta a gran parte dei dubbi ed osservazioni che sono state sollevate in modo formale ed informale nel suo iter di approvazione, ma soprattutto risponde in modo razionale all’esigenza di disciplinare aspetti non direttamente toccati dall’AI Act, ma che hanno un impatto nella vita degli italiani.

Alcuni aspetti che non risultano ancora disciplinati a livello unionale e nazionale sono:

• la personalità elettronica, presente nei lavori europei precedenti al 2020, ma poi inspiegabilmente scomparsa dal dibattito. Sarebbe possibile una semplice estensione della disciplina civilistica della personalità giuridica per disciplinare il tema senza introdurre nuovi e fantasiosi istituti. La reintroduzione del concetto di personalità elettronica, presente nei documenti preparatori all’AI Act, quali la Risoluzione del Parlamento europeo del 16 febbraio 2017 (2015/2103(INL)), mira a istituire uno status giuridico specifico, la personalità elettronica, con responsabilità legale per il risarcimento di danni da causati
• l’assicurazione obbligatoria, che potrebbe essere disciplinata in analogia a quanto previsto per la circolazione dei veicoli a norma dell’art. 122 del Codice della Strada.
• le cosiddette Enhanced Human Technologies, le tecnologie che con l’utilizzo di IA, e frequentemente di hardware indossabili, consentono di agevolare i lavori pesanti e di riprendere una buona autonomia per persone con disabilità che comportano la necessità di una disciplina organica che tocchi almeno aspetti sanitari e giuslavoristici.

Per detto tecnologie appare essenziale un’attenta disciplina normativa vista la loro unicità nel consentire di estendere a professioni non intellettuali i vantaggi dei sistemi di IA.

Note

[1] AI Act – Regolamento (UE) 2024/1689, https://eur-lex.europa.eu/legal-ontent/IT/TXT/PDF/?uri=OJ:L_202401689

[2] https://www.agid.gov.it/sites/agid/files/2024-07/Strategia_italiana_per_l_Intelligenza_artificiale_2024-2026.pdf

https://innovazione.gov.it/notizie/articoli/intelligenza-artificiale-l-italia-lancia-la-strategia-nazionale

[3] https://www.lavoro.gov.it/pagine/osservatorio-sulladozione-di-sistemi-di-intelligenza-artificiale-nel-mondo-del-lavoro

[4] Yu R, Alì GS. What’s Inside the Black Box? AI Challenges for Lawyers and Researchers. Legal Information Management. 2019;19(1):2-13. doi:10.1017/S1472669619000021

[5] https://harvardlawreview.org/print/vol-138/resetting-antidiscrimination-law-in-the-age-of-ai/

[6] In analogia a quanto era già stato posto in essere dopo la pubblicazione del GDPR.

[7] GDPR, artt. 22 e 24; DDL 1146/24, artt. 10-14