Legge AI 132/2025: guida completa alla conformità

L’intelligenza artificiale è ormai una chiave del vantaggio competitivo di aziende e organizzazioni. Per questo l’Italia ha approvato la Legge 23 settembre 2025, n. 132 (“Disposizioni e delega al Governo per la disciplina e applicazione del Regolamento (UE) 2024/1689 – AI Act”), che organizza governance, vigilanza, tutele e sanzioni nel nostro ordinamento, in coerenza con l’AI Act europeo. Tra i punti-chiave: l’individuazione delle autorità nazionali, l’adeguamento sul diritto d’autore, nuove fattispecie penali legate ai deepfake e la cornice per la futura attuazione tecnica.

La legge dà attuazione interna all’AI Act, fissa l’architettura nazionale della sorveglianza del mercato e della notifica degli organismi di valutazione, coordina il diritto d’autore nell’era dell’AI e introduce presìdi penali contro gli abusi (come ad esempio i deepfake lesivi). In particolare:

Autorità competenti: AgID è designata Notifying Authority per i soggetti che valuteranno la conformità dei sistemi AI; ACN diventa Autorità di sorveglianza del mercato per l’AI, anche con poteri ispettivi e sanzionatori.

Diritto d’autore: viene chiarito l’ambito di protezione delle opere con apporto creativo umano anche se assistite da AI, nonché coordinati i rimandi al Codice della proprietà industriale.

Penale: è introdotta una nuova fattispecie per diffusione illecita di contenuti deepfake lesivi dell’onore o reputazione (reclusione da 1 a 5 anni) e un’aggravante per reati commessi tramite AI.

Tutto ciò si innesta sull’AI Act (Reg. (UE) 2024/1689) che ha natura direttamente applicabile: risk-based, con divieti, obblighi per sistemi ad alto rischio, regole per i modelli GPAI e sanzioni fino a 35 milioni € o al 7% del fatturato globale per violazioni gravi.

Devono adeguarsi alla legge 132/2025 tutte le organizzazioni che sviluppano, integrano o usano sistemi di intelligenza artificiale in Italia: Pubblica Amministrazione, corporate, PMI e startup. L’AI Act individua ruoli giuridici (“provider”, “deployer/utilizzatore, importer, distributor), a ciascuno dei quali corrispondono obblighi specifici (documentazione tecnica, gestione del rischio, sorveglianza post-market, trasparenza).

Casi tipici:

HR e Lavoro (ATS, ranking CV, performance scoring, monitoraggio): obblighi informativi ai lavoratori su sistemi decisionali/di monitoraggio automatizzati (art. 1-bis d.lgs. 152/1997, introdotto dal “decreto trasparenza”).

Sanità (diagnostica assistita, triage): requisiti di sicurezza, qualità dati, tracciabilità (spesso alto rischio).

Pubblica amministrazione (servizi ai cittadini, scoring): principi di trasparenza e controllo umano, con best practice europee specifiche per il settore pubblico.

Finanza/Assicurazioni (credit scoring, antifrode, pricing): gestione bias, explainability, audit trail.

PA e Intelligenza Artificiale: il cambiamento parte dalle competenze

Formazione su misura per le nuove sfide normative

Inizia ora

La compliance è un lavoro di squadra. Mappa ruoli e responsabilità in modo esplicito (governance di prodotto e di processo).

HR & L&D – Informativa ai lavoratori, non-discriminazione, alfabetizzazione AI.

Management & Imprenditori – Tone from the top, allocazione dei budget, responsabilità ultima delle decisioni e dei rischi.

CTO/CIO & IT – Data governance, MLOps, sicurezza e sorveglianza post-market dei modelli.

Legal & Compliance – Interpretazione AI Act, trasparenza Art. 50 (deepfake, chatbot, emotion recognition), contrattualistica fornitori e audit.

• Sanzioni amministrative (AI Act): fino a

  35 milioni € o 7% del fatturato globale per divieti (es. social scoring); 15 milioni € o 3% per altri obblighi; fino a 7,5 milioni € o 1% per informazioni false alle autorità.

• Sanzioni penali (Italia): reato ad hoc contro la

  diffusione illecita di deepfake (1–5 anni) e

  aggravante per reati commessi tramite AI.

• Sorveglianza e poteri: ACN come autorità di sorveglianza del mercato AI; AgID come autorità di notifica per gli organismi di valutazione della conformità.

• Trasparenza verso gli utenti (Art. 50 AI Act): obbligo di segnalare contenuti sintetici (deepfake) e interazioni con chatbot; regole speciali per testi di interesse pubblico.

• Impatto economico: adozione AI in crescita ma valore diseguale: nel 2025 il 78% delle aziende dichiara uso di AI in almeno una funzione, ma solo una frazione scala valore in modo sistemico. La compliance diventa abilitante per l’adozione “a prova di audit”.

2 febbraio 2025: entrano in vigore i divieti (unacceptable risk) e gli obblighi di AI literacy;

2 agosto 2025: governance e obblighi per GPAI (modelli di uso generale);

2 agosto 2026: applicazione generale AI Act;

fino al 2 agosto 2027: finestra estesa per le soluzioni ad alto rischio integrate in prodotti regolati (Ann. I).

Ti suggeriamo di anticipare i decreti attuativi italiani con un programma di formazione e sviluppo che copra ruoli, processi, controlli tecnici. Richiedi il catalogo specializzato sull’intelligenza artificiale e chiedi uan consulenza: https://www.gility.it/demo

La formazione deve può essere strutturata in modo segmentato per ruolo: C-level, Legal & Compliance, IT/Data Science, HR & Procurement e frontline e combinare modalità formative ibride: moduli e-learning introduttivi, workshop live o in presenza dedicati ai casi d’uso o un mix degli stessi. I contenuti dei corsi potrebbero includerei principali standard e framework internazionali per garantire solidità metodologica e aderenza normativa: il NIST AI Risk Management Framework 1.0, con il suo approccio govern–map–measure–manage e il monitoraggio continuo; la ISO/IEC 42001:2023, primo sistema di gestione dell’intelligenza artificiale con controlli definiti nell’Allegato A; i Principi OCSE sull’AI, che promuovono trasparenza, accountability e tutela dei diritti fondamentali.

La formazione non deve mai essere percepita come “una tantum”: prevedi aggiornamenti periodici, allineati agli standard, al ciclo di vita dei modelli e ai rilasci dei fornitori. Promuovere una cultura dell’apprendimento continuo è fondamentale in ogni azienda.

Corsi AI: preparati oggi per le sfide di domani

L’intelligenza artificiale riscrive le regole

Richiedi una demo

Mappa l’AI in azienda: inventario di sistemi, modelli, prompt-workflows, dataset, use case e fornitori (con owner e basi giuridiche).

Costruisci il team interfunzionale: definisci RACI tra Management, Legal/Compliance, IT/DS, HR/Procurement e Security.

Plan-Do-Check-Act: imposta policy e controlli (trasparenza Art. 50, human-in-the-loop, data quality, model cards, incident response), più piano formativo per i ruoli chiave.

La Legge 132/2025 introduce obblighi aggiuntivi rispetto all’AI Act?

No: non aggiunge obblighi di prodotto oltre al Regolamento UE; definisce l’apparato nazionale (autorità, notifiche), coordina copyright e introduce presìdi penali.

Chi vigila in Italia?

ACN come sorveglianza del mercato AI; AgID come autorità di notifica per gli organismi di valutazione.

Quali sono le sanzioni massime dell’AI Act?

Fino a 35 mln € o 7% del fatturato globale per i divieti; 15 mln € o 3% per altri obblighi; 7,5 mln € o 1% per informazioni scorrette.

Cosa cambia per i deepfake?

Obbligo di etichettatura/avvertenze (Art. 50) per chi crea/usa contenuti sintetici; in Italia scatta anche la tutela penale contro la diffusione illecita lesiva.

Uso di AI nel recruiting e gestione del personale?

Sì, ammesso ma con informativa rafforzata ex art. 1-bis d.lgs. 152/1997 (logica, finalità, dati, controlli, impatti).

Timeline applicativa dell’AI Act?

Divieti e AI literacy da 02.02.2025; GPAI da 02.08.2025; applicazione generale dal 02.08.2026; per alcuni high-risk incorporati fino al 02.08.2027.

Le aziende che governano l’AI creano valore più in fretta: policy chiare, ruoli definiti, pipeline MLOps trasparenti e formazione continua accelerano rilascio e time-to-trust. Gli studi 2025 mostrano che la maggioranza adotta AI, ma solo chi scala con processi solidi (e compliance by design) monetizza davvero.

Gility accompagna PA, corporate e PMI con percorsi fornativi su misura per ruolo (C-level, Legal, IT/DS, HR, Procurement, Comunicazione). Parliamone: possiamo co-progettare una roadmap formativa specializzata sull’intelligenza artificiale per la tua azienda.

Parla con uno dei nostri esperti: https://www.gility.it/demo

Desideri aggiornamenti sulle novità di Gility e sui trend più attuali nella formazione aziendale? Seguici su LinkedIn: unisciti alla nostra community di oltre 5.000 responsabili del personale e della formazione italiani e non perdere neanche un aggiornamento.

Iscriviti qui alla nostra newsletter Illumina, l’appuntamento mensile che fa luce su trend, insight e ricerche della formazione aziendale, direttamente nella tua inbox.

Gazzetta Ufficiale — Legge 23 settembre 2025, n. 132 (artt. 20, 25, 26).

AI Act — Regolamento (UE) 2024/1689, Official Journal e sintesi Commissione (timeline, GPAI, governance, AI Office).

Trasparenza algoritmica nel lavoro — art. 1-bis d.lgs. 152/1997 e approfondimenti dottrinali.

Sanzioni AI Act — massimali amministrativi (art. 99).

Best practice — OECD AI Principles, NIST AI RMF 1.0, ISO/IEC 42001:2023, UK AI Playbook (2025), Telefónica AI governance.