La nuova legge italiana sull’intelligenza artificiale: principi, governance e adempimenti

Intelligenza artificiale

Il prossimo 10 ottobre 2025 entrerà ufficialmente in vigore la Legge 23 settembre 2025, n. 132 recante “Disposizioni e deleghe al Governo in materia di intelligenza artificiale” (la cosiddetta “Legge IA”). Si tratta della prima normativa nazionale organica in Europa sull’intelligenza artificiale, che si coordina con l’AI Act (Regolamento UE 2024/1689) e il GDPR (Regolamento UE 2016/679): la sua adozione rappresenta un passaggio strategico per il posizionamento dell’Italia sia a livello normativo che tecnologico.

Ma quali sono, in concreto, i punti chiave introdotti dalla nuova disciplina?

La legge definisce un insieme di principi generali ispirati a un approccio chiaramente antropocentrico, con particolare enfasi su trasparenza, proporzionalità, sicurezza e controllo umano. L’obiettivo dichiarato è semplice quanto ambizioso: garantire che l’intelligenza artificiale non comprometta mai l’autonomia decisionale dell’essere umano.

Viene adottato un approccio differenziato per settori strategici, come sanità, lavoro, pubblica amministrazione e giustizia. In quest’ultimo ambito, ad esempio, si stabilisce in modo esplicito che l’AI potrà essere impiegata solo come strumento di supporto organizzativo, con il divieto assoluto di sostituirsi al magistrato nelle decisioni giudiziarie.

La Legge IA interviene anche sul codice penale, introducendo una nuova fattispecie autonoma di reato: la illecita diffusione di contenuti generati o manipolati tramite AI (i cosiddetti deepfake), punita con la reclusione da uno a cinque anni.

Viene inoltre rafforzata la tutela del diritto d’autore per le opere realizzate con il contributo dell’intelligenza artificiale, a condizione che siano comunque frutto dell’apporto intellettuale umano.

Sul piano istituzionale, la Legge IA individua due autorità competenti per vigilare sulla sua attuazione: da un lato l’Agenzia per l’Italia Digitale (AgID), dall’altro l’Agenzia per la Cybersicurezza Nazionale (ACN).

L’entrata in vigore della legge segna un punto di svolta e, al tempo stesso, impone alle imprese una tempestiva attività di adeguamento: comprendere gli impatti settoriali, mappare l’utilizzo dei sistemi AI e aggiornare policy e processi interni diventerà imprescindibile per garantirsi una piena compliance.

Per approfondire questi aspetti e valutare le azioni da intraprendere nella tua organizzazione, puoi consultare il nostro articolo di approfondimento cliccando qui.

Dossier sanitario: sanzione da 80.000 euro a un’azienda ospedaliero-universitaria per accessi indiscriminati e carenze informative

Data protection

Con il provvedimento n. 487 dell’11 settembre 2025, il Garante per la protezione dei dati personali ha inflitto una sanzione di 80.000 euro a un’azienda aspedaliero-universitaria e di 12.000 euro a una casa di cura privata per violazioni connesse alla gestione del dossier sanitario. L’ispezione ha evidenziato gravi criticità, tra cui accessi indiscriminati ai dati clinici da parte di personale non coinvolto nel percorso di cura, assenza di controlli sugli accessi e di sistemi di alert, registrazioni di logging inadeguate e totale mancanza di informativa specifica ai pazienti sull’esistenza del dossier.

Il Garante ha colto l’occasione per ribadire principi ormai consolidati:

• il dossier sanitario richiede una informativa distinta e completa, che indichi chiaramente finalità, basi giuridiche, tempi di conservazione e diritti dell’interessato;
• la limitazione delle finalità e il principio di minimizzazione impongono che l’accesso sia consentito esclusivamente ai professionisti effettivamente coinvolti nel singolo episodio di cura;
• l’integrità, la riservatezza e la sicurezza dei dati richiedono autenticazioni robuste, segregazione per ruoli e unità operative, log immodificabili, alert su accessi anomali e audit periodici.

Il provvedimento sottolinea inoltre l’importanza della privacy by design e by default, nonché dell’accountability, che si traducono in configurazioni restrittive di default, consenso esplicito del paziente all’alimentazione del dossier e possibilità di oscuramenti selettivi; si conferma che il trattamento dei dati sanitari per finalità di cura si fonda sull’Articolo 9, par. 2, lett. h, GDPR, mentre l’alimentazione del dossier sanitario richiede il consenso specifico dell’interessato, essendo il dossier facoltativo e distinto dalla cartella clinica. Il paziente deve poter scegliere se alimentarlo e quali dati eventualmente oscurare, mentre gli accessi devono essere rigorosamente circoscritti, tracciati e soggetti a controlli ex ante ed ex post.

Il provvedimento evidenzia la necessità di separare chiaramente dossier e cartella clinica, adottando regole e basi giuridiche differenti. È essenziale definire matrici di autorizzazione granulari per ruolo e unità, bloccare ricerche trasversali non giustificate e prevedere sistemi di session management e strong authentication. I log devono essere completi, immodificabili e corredati di alert su accessi anomali, con verifiche periodiche e follow-up disciplinari. Sul fronte della trasparenza, sono indispensabili informative dedicate, moduli di consenso chiari, oscuramenti semplici e revocabili e tracciabilità delle preferenze dell’interessato.

A livello di governance, è opportuno aggiornare il registro dei trattamenti, rivedere le DPIA, formare il personale e vigilare sui responsabili esterni, mentre la contrattualistica IT deve prevedere obblighi stringenti in materia di profilazione, logging, segregazione, retention dei log, audit e remediation.

Il team Data & Technology Innovation di LEXIA è a disposizione per supportare strutture sanitarie e provider tecnologici nell’adeguamento dei sistemi clinici, nella revisione di DPIA, informative e consensi, nonché nei processi di logging e access control, in linea con il GDPR e con la normativa applicabile.

NIS2: pubblicate le “Specifiche di base” dell’ACN

Cybersicurezza

Con la pubblicazione della Guida alla lettura delle Specifiche di base, l’Agenzia per la Cybersicurezza Nazionale (ACN) compie un passo cruciale nell’attuazione della Direttiva NIS2, traducendo in indicazioni operative gli obblighi di sicurezza informatica per le organizzazioni pubbliche e private rientranti tra i soggetti “essenziali” o “importanti”.

Non si tratta di un documento meramente tecnico o burocratico: al contrario, la guida è pensata per essere uno strumento concreto di orientamento, accessibile anche a chi si trova ad affrontare per la prima volta le nuove responsabilità imposte dal D.lgs. 138/2024, che ha recepito la NIS2 nell’ordinamento italiano.

Le 10 misure minime illustrate nel documento (dalla gestione delle identità alla definizione di ruoli e responsabilità, dalla protezione degli asset alla gestione degli incidenti) rappresentano il livello base richiesto per avviare un percorso di adeguamento: un percorso che, tuttavia, dovrà presto evolversi, tenuto conto dei 43 controlli previsti per i soggetti essenziali e dei 116 requisiti dettagliati che li accompagnano.

La novità più rilevante è culturale, prima ancora che tecnica: la sicurezza informatica non è più (solo) una questione IT, ma diventa a tutti gli effetti una questione di governance. Non basta più archiviare qualche policy o avere una buona infrastruttura tecnologica, ma è richiesto un approccio integrato e documentato, che coinvolga anche gli organi di vertice nella valutazione del rischio, nei piani di continuità operativa e nella gestione delle crisi.

Inoltre, le tempistiche sono molto stringenti: entro 24 ore dall’identificazione di un incidente significativo va inviata una pre-notifica al CSIRT Italia; entro 72 ore, la notifica completa; e le categorie di incidenti sono chiaramente definite, con requisiti specifici per i soggetti essenziali (tra cui gli abusi interni di privilegi) e importanti.

In questo scenario, muoversi ora è fondamentale, non solo per evitare sanzioni o inadempienze, ma per costruire una resilienza digitale solida, elemento sempre più centrale per la competitività e la sostenibilità del business: il team Data & Technology Innovation di LEXIA affianca imprese ed enti pubblici nel percorso di adeguamento alla Direttiva NIS2, integrando competenze legali, strategiche e tecniche per garantire compliance normativa, accountability e gestione operativa degli obblighi di sicurezza.

Unione Europea e Stati Uniti: verso un nuovo equilibrio nel trasferimento dei dati personali?

Data protection

Come è stato approfondito nel nostro recente articolo, il mese di settembre ha visto due sviluppi significativi nell’ambito del trasferimento dei dati personali tra l’Unione Europea e gli Stati Uniti.

Il primo riguarda la sentenza del Tribunale dell’Unione Europea (causa T-553/23, Latombe c. Commissione Europea) del 3 settembre 2025, che ha confermato la decisione di adeguatezza adottata dalla Commissione Europea nel luglio 2023 istitutiva del Data Privacy Framework (“DPF”). Tale framework stabilisce che il trasferimento dei dati personali verso gli Stati Uniti offre un livello di protezione adeguato, in linea con il GDPR. La sentenza ha trattato principalmente due questioni: l’indipendenza della Data Protection Review Court (“DPRC”) e la legittimità della raccolta in blocco dei dati da parte delle agenzie di intelligence statunitensi. Il Tribunale ha ritenuto che la DPRC garantisca sufficiente indipendenza e imparzialità e che la raccolta dei dati senza autorizzazione preventiva sia legittima se sottoposta a controllo giurisdizionale successivo.

Il secondo intervento proviene dall’European Data Protection Supervisor (“EDPS”), che il 17 settembre 2025 ha rilasciato una Opinion sulla proposta della Commissione Europea di avviare negoziati per un accordo quadro tra UE e Stati Uniti riguardo lo scambio di informazioni per i controlli di frontiera e le domande di visto. Tale accordo si inserisce nel contesto dell’Enhanced Border Security Partnership (“EBSP”), previsto per il 2026, e implicherebbe la condivisione di dati personali, compresi i dati biometrici, per la sicurezza delle frontiere. Sebbene l’EDPS accolga positivamente l’iniziativa, ha raccomandato garanzie specifiche per tutelare i dati personali, come l’adozione di misure di trasparenza, il rispetto del principio di proporzionalità e l’istituzione di meccanismi di controllo e ricorso.

L’accordo quadro, unitamente al DPF, potrebbe rappresentare un passo importante nel consolidamento del quadro giuridico europeo per il trasferimento dei dati personali verso gli Stati Uniti.

ll team Privacy e Diritto dell’Innovazione di LEXIA è a disposizione per supportare titolari e responsabili del trattamento nella valutazione delle garanzie adeguate richieste dal GDPR per il trasferimento dei dati personali fuori dallo Spazio Economico Europeo, ive comprese l’implementazione delle Clausole Contrattuali Standard (SCCs), delle norme vincolanti di gruppo (BCR), nonché nello svolgimento di Data Transfer Impact Assessments (DTIAs).