Il Disegno di Legge in materia di Intelligenza Artificiale: sintesi e implicazioni normative

Premessa

Il disegno di Legge (DDL) n. 1146, approvato dal Senato della Repubblica il 20 marzo 2025 sancisce un impianto valoriale fondato sul rispetto dei diritti fondamentali, sulla tutela della dignità umana e sul principio di proporzionalità nell'uso dell'IA. Quello che auspica l'intervento normativo è un approccio trasparente e sicuro all'adozione di tecnologie intelligenti. Processi concernenti la protezione dei dati e di accessibilità sono il fulcro del disegno di legge, con chiaro sfondo interpretativo unidirezionalmente rivolti ai principi costituzionali e a quelli della normativa europea. In tale ottica preme segnalare un vivace confronto tra etica e innovazione tecnologica che pervade l'intero articolato normativo (Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 sull'intelligenza artificiale (AI Act). A scopo esemplificativo, in questi termini, si segnala la previsione della cybersicurezza come precondizione per la conformità giuridica dell'intero ciclo di vita dei sistemi IA (si vedano gli artt. 19-20 del disegno di legge). Tale approccio è coerente con quanto sostenuto anche in sede dell'Organizzazione per la Cooperazione e lo Sviluppo Economico (OCSE), che promuove un'IA affidabile e responsabile (OECD, Recommendation of the Council on Artificial Intelligence, 22 May 2019).

Si rammenta che la rilevanza e l'impatto della digitalizzazione per il diritto societario e la corporate governance sono già stati affrontati a livello UE (per esempio, con Direttiva (EU) 2019/1151 sono state adottate nuove norme sui digital tools e i processi digitali nel diritto societario, che consentiranno agli imprenditori di creare e aggiornare informazioni in maniera digitale sulle società a responsabilità limitata così come esistono norme nel campo della corporate governance, dove per esempio l'uso delle moderne tecnologie è incoraggiato per le comunicazioni tra gli emittenti, i loro azionisti e gli intermediari, v. premessa 4 del Regolamento di esecuzione (UE) 2018/1212).

Applicazioni settoriali e implicazioni operative

Il dettato normativo fonda le proprie basi sulla diversificazione applicativa verso cui esso stesso sarà portato inevitabilmente. Ciò considerando che sarà inevitabile l'impatto di quella che viene definita come una nuova rivoluzione industriale all'interno di tante quanto variegate compagini sociali e lavorative. Difatti, la normativa affronta con dettaglio l'impiego dell'IA in ambiti sensibili come sanità, giustizia, pubblica amministrazione, lavoro e impresa.

In ambito sanitario, l'IA assume un ruolo di supporto alla diagnosi e cura, senza sostituire il personale medico, e si valorizza la ricerca scientifica attraverso il trattamento di dati personali con garanzie etiche e privacy (artt. 7-10 del disegno di legge).

Nell'attività giurisdizionale, è ribadita la centralità del giudice nella decisione finale (Commissione Europea, AI Act – Overview and Fact Sheet, 2024), come esplicitamente indicato all'articolo 15 del disegno di legge, il quale stabilisce che "la decisione finale spetta al giudice, al quale è garantita la possibilità di conoscere le caratteristiche del sistema di intelligenza artificiale utilizzato". Questa previsione rafforza il principio di non delegabilità della funzione giurisdizionale e garantisce la trasparenza e la comprensibilità dei processi decisionali supportati dall'IA, evitando ogni forma di automatismo privo di controllo umano.

Le imprese, in generale, saranno chiamate a rivedere profondamente i propri modelli organizzativi e operativi per integrare i sistemi di intelligenza artificiale nei processi decisionali, gestionali e produttivi. Il DDL pone particolare enfasi sull'importanza della trasparenza e della tracciabilità delle operazioni automatizzate, elementi che diventeranno centrali per garantire affidabilità, responsabilità e sicurezza. L'articolo 14 del disegno di legge sottolinea che l'impiego dell'IA deve avvenire "nel rispetto dei principi di legalità, trasparenza e responsabilità", imponendo così alle imprese di sviluppare competenze tecniche adeguate, implementare controlli interni efficaci e predisporre documentazione che attesti la supervisione e la conformità dell'uso dell'IA. Tali aspetti comporteranno una trasformazione dei sistemi di compliance aziendale e della governance interna.

In ultimo, si descrive anche l'auspicato utilizzo dell'Artificial Intelligence all'interno del contesto della Pubblica Amministrazione. Ciò inteso come uno strumento per migliorare efficienza e qualità dei servizi, così come previsto all'articolo 14 del disegno di legge, dove si afferma che "l'impiego di sistemi di intelligenza artificiale da parte delle pubbliche amministrazioni è finalizzato a migliorare l'efficienza e la qualità dei servizi offerti ai cittadini e alle imprese, nel rispetto dei principi di legalità, trasparenza e responsabilità".

Coordinamento delle Autorità e strategia nazionale

Il disegno di legge prevede l'adozione di una Strategia nazionale per l'intelligenza artificiale (IA), coordinata dalla Presidenza del Consiglio dei Ministri, con il coinvolgimento dell'Agenzia per l'Italia Digitale (AgID) e dell'Agenzia per la Cybersicurezza Nazionale (ACN) quali autorità competenti. La Strategia ha lo scopo di definire gli indirizzi operativi per lo sviluppo e l'adozione dell'IA sul territorio nazionale, in coerenza con le linee guida europee e con gli obiettivi di innovazione, inclusione e sicurezza digitale.

L'Agenzia per l'Italia Digitale (AgID), istituita con il decreto-legge n. 83 del 22 giugno 2012 (convertito dalla legge n. 134 del 7 agosto 2012), è l'ente tecnico preposto al coordinamento della trasformazione digitale della pubblica amministrazione. Operando sotto la vigilanza della Presidenza del Consiglio dei Ministri, AgID ha il compito di attuare l'Agenda Digitale Italiana e di garantire l'interoperabilità, la sicurezza e l'efficienza dei sistemi informativi pubblici.

Nel contesto del DDL sull'intelligenza artificiale, AgID sarà investita del ruolo di definire i criteri tecnici, gli standard di qualità e le procedure per integrare in modo efficace e sicuro i sistemi IA nei processi della pubblica amministrazione. Il suo intervento avrà dunque il primario e fondamentale obiettivo di assicurare che tali tecnologie siano adottate nel rispetto delle normative nazionali ed europee, con particolare attenzione ai principi di trasparenza, legalità e responsabilità. Inoltre, AgID avrà l'altrettanto importante compito di fornire supporto nella valutazione dell'impatto etico e sociale delle soluzioni IA, sia nella fase progettuale che in quella attuativa, contribuendo così a una governance tecnologica equilibrata e responsabile.

Passando invece alla seconda autorità sopracitata, l'Agenzia per la Cybersicurezza Nazionale (ACN) è un'istituzione pubblica italiana istituita con il decreto-legge 14 giugno 2021, n. 82, convertito con modificazioni dalla legge 4 agosto 2021, n. 109. L'ACN è stata creata con l'obiettivo di definire, coordinare e attuare le politiche di cybersicurezza nazionale, anche in raccordo con gli altri attori istituzionali e internazionali del settore. Anche tale organo opera sotto la Presidenza del Consiglio dei Ministri e ha competenze sia strategiche sia operative, coprendo ambiti come la protezione delle infrastrutture critiche, la prevenzione degli attacchi informatici, la promozione della cultura della sicurezza digitale e la certificazione della sicurezza dei prodotti e servizi digitali.

Non pare difficile cogliere quanto l'Agenzia per la Cybersicurezza Nazionale (ACN) rivestirà un ruolo essenziale all'interno del nuovo contesto digitale e informatico. L'organo suddetto garantirà che l'adozione dei sistemi IA avvenga nel rispetto dei più elevati standard di sicurezza informatica. In particolare, l'ACN avrà dunque il compito di vigilare affinché tali sistemi siano progettati e implementati in modo sicuro, resiliente e protetto da vulnerabilità, con un'attenzione specifica verso ambiti ad alta criticità come la sanità, la finanza, le telecomunicazioni e i trasporti.

In attuazione del DDL, l'Agenzia sarà chiamata a redigere linee guida tecniche, condurre analisi di impatto in materia di sicurezza cibernetica e partecipare attivamente ai processi di sorveglianza sull'impiego di sistemi IA ad alto rischio, collaborando con le altre autorità competenti. Questo coinvolgimento mira a garantire una supervisione multilivello e proattiva del rischio tecnologico.

L'ACN si configura così come un presidio strategico del nostro Paese nell'ambito dell'innovazione digitale: un attore chiave non solo nella prevenzione delle minacce informatiche, ma anche nella promozione di una cultura della sicurezza tecnologica e della tutela dei diritti digitali, in linea con i valori costituzionali e gli obblighi internazionali dell'Italia.

Dunque, come approfondisce il dettato normativo in esame, entrambe le autorità sono chiamate a collaborare nella definizione dei requisiti tecnici, nell'accreditamento degli organismi di valutazione della conformità, nella predisposizione dei registri dei sistemi ad alto rischio e nella promozione di spazi di sperimentazione normativa (sandbox) per favorire l'adozione responsabile dell'IA, minimizzando i rischi per cittadini, imprese e amministrazioni pubbliche. Queste ultime saranno il punto di riferimento anche per la definizione di regole tecniche, accreditare soggetti valutatori, vigilare sulla cybersicurezza e promuovere spazi di sperimentazione.

Impatti sull'impresa, prospettive economiche e governance algortmica

Si procede ora a definire quelli che potrebbero essere gli impatti che il nuovo dettato normativo potrà apportare all'universo vario e sfaccettato qual è quello della vita delle imprese, e più nello specifico, nel contesto del diritto commerciale.

Dal punto di vista della normativa societaria, il disegno di legge produrrà significative ripercussioni sulle attività aziendali. In primo luogo, l'introduzione di criteri di trasparenza e tracciabilità nei sistemi di IA utilizzati dalle imprese comporterà un sostanziale potenziamento degli obblighi di compliance e di audit interno. Questo aspetto risulterà particolarmente rilevante per le società quotate o sottoposte a vigilanza da parte di autorità di settore, quali CONSOB, Banca d'Italia o IVASS. Le aziende saranno tenute – in particolare - ad implementare protocolli strutturati di valutazione del rischio algoritmico e a rendicontare in modo dettagliato l'impiego di sistemi automatizzati, sia nei bilanci sociali sia nei documenti programmatici rivolti agli stakeholder.

Ulteriormente, la ridefinizione del quadro giuridico delle responsabilità derivanti dall'utilizzo dell'IA richiederà una sostanziale revisione delle clausole contrattuali, con distinzioni specifiche tra ambito B2B e B2C. Parallelamente, si renderà necessario un aggiornamento organico delle policy aziendali in materia di protezione dei dati personali, tutela dei diritti dei consumatori e sicurezza informatica. Conseguentemente, le società operanti nei settori digitale, manifatturiero, assicurativo e bancario dovranno dotarsi di unità specializzate competenti in etica digitale e diritto dell'innovazione, al fine di garantire la conformità normativa e consolidare la fiducia degli investitori e dei portatori d'interesse in generale.

Il disegno di legge rappresenta anche un potenziale catalizzatore di crescita per le imprese innovative, in quanto prevede meccanismi agevolati di accesso a fondi pubblici e incentivi dedicati alla sperimentazione di sistemi di IA. L'armonizzazione con l'AI Act europeo (Regolamento UE 2024/1689) contribuirà significativamente a ridurre il rischio normativo transfrontaliero e a rafforzare il posizionamento competitivo delle imprese italiane nei mercati internazionali. Le prospettive future richiederanno un aggiornamento costante della normativa commerciale, con particolare attenzione a tre aree critiche: la corporate governance algoritmica, la responsabilità degli amministratori per decisioni supportate da sistemi automatizzati e la valutazione degli asset intangibili correlati all'intelligenza artificiale.

Risulta essenziale, in tale contesto, approfondire il concetto di governance algoritmica, che costituisce un'evoluzione sostanziale del tradizionale modello di governance aziendale, rappresentando per molti aspetti un nuovo paradigma gestionale. Questo paradigma emergente si caratterizza per l'integrazione di sistemi di intelligenza artificiale e algoritmi automatizzati nei processi decisionali strategici, operativi e finanziari dell'impresa. Tale transizione impone l'introduzione di innovative misure di accountability e di trasparenza, con la necessità di implementare meccanismi efficaci di supervisione algoritmica, valutazione d'impatto e conformità alle normative nazionali ed europee (in argomento si veda, tra gli altri, N. Abriani, Digitalizzazione del diritto societario, intelligenza artificiale e corporate governance, 2022; L. Enriques, A. Zorzi, Intelligenza artificiale e responsabilità degli amministratori, in Rivista di Diritto Societario, 1/2023;M. De Nadai, L'impiego degli strumenti di intelligenza artificiale da parte degli amministratori: rischi e responsabilità, in ristrutturazioniaziendali.it; M. L. Montagnani, Flussi informativi e doveri degli amministratori di società per azioni ai tempi dell'intelligenza artificiale, nella rivista Persona e Danno).

Come accennato in precedenza, il Regolamento UE 2024/1689 (AI Act) stabilisce obblighi particolarmente stringenti per i sistemi di IA classificati ad alto rischio, tra cui quelli implementati in ambiti sensibili come quello finanziario, sanitario e giuridico. In particolare, la Commissione Europea, nel documento "Civil liability – adapting liability rules to the digital age and artificial intelligence" (2022), ha enfatizzato l'importanza di garantire che ogni decisione automatizzata sia riconducibile a una chiara responsabilità umana, stabilendo così un principio di accountability antropocentrica. Tale orientamento è stato ribadito anche a livello internazionale, con l'OCSE e l'International Auditing and Assurance Standards Board (IAASB) che hanno sottolineato la necessità di sistemi di governance trasparenti e adeguatamente supervisionati, al fine di prevenire opacità decisionali o potenziali effetti dannosi derivanti dall'automazione algoritmica.

Il disegno di legge introduce inoltre un cambio di paradigma nella responsabilità giuridica e nella valutazione dei rischi sistemici, richiedendo agli operatori di settore un ripensamento dei tradizionali approcci di risk management. L'istituzione di meccanismi di regulatory sandbox rappresenta un'innovazione significativa, che potrà facilitare l'adozione responsabile di soluzioni IA in contesti controllati prima della loro diffusione su larga scala.

Il disegno di legge contiene – da ultimo - ampie deleghe al Governo per l'adeguamento della normativa nazionale al Regolamento (UE) 2024/1689 nonché per pervenire ad una unitaria disciplina degli usi illeciti dell'IA. È altresì previsto un investimento fino a un miliardo di euro per sostenere le PMI innovative nei settori dell'IA, cybersicurezza e tecnologie quantistiche (si vedano gli artt. 21-23 del disegno di legge). L'attenzione posta dal Legislatore verso la creazione di ecosistemi innovativi orientati alla sovranità tecnologica e alla competitività nazionale risulterà decisiva per lo sviluppo economico. L'integrazione tra disciplina giuridica e strategia economica rafforzerà la capacità del sistema-Paese di affrontare le sfide dell'era digitale. In tal senso, sarà utile considerare anche il raffronto con i programmi di investimento pubblici in IA promossi da altri Stati europei, come Germania e Francia (European Commission, Coordinated Plan on Artificial Intelligence 2021 Review, Bruxelles, 2021).

Prime considerazioni di sintesi

Il disegno di legge n. 1146 segna un passaggio fondamentale nella regolamentazione dell'intelligenza artificiale nel nostro Paese, configurandosi come un intervento normativo che bilancia in modo organico la promozione dell'innovazione tecnologica con la salvaguardia dei diritti fondamentali. L'approccio adottato dal Legislatore domestico si caratterizza per una significativa aderenza al quadro regolamentare europeo delineato dal Regolamento (UE) 2024/1689, pur mantenendo specificità nazionali nella governance e nella distribuzione delle competenze tra le autorità di vigilanza.

Un'analisi comparativa con i modelli adottati in altri Stati membri dell'UE evidenzia, peraltro, alcuni elementi distintivi: la Germania ha strutturato la propria strategia enfatizzando la partnership tra settore pubblico e privato, con un sistema di certificazioni e audit indipendenti che rafforza la fiducia negli ecosistemi di IA; la Francia ha invece privilegiato la creazione di centri di eccellenza e investimenti mirati, implementando un sistema di sorveglianza che coinvolge autorità specializzate come ARCOM e CNIL. Il disegno di legge in commento, in tale contesto, si distingue pertanto per un'impostazione armonizzata con il diritto europeo che valorizza contestualmente il ruolo del legislatore nazionale nell'attuazione settoriale.

La vera sfida che si profila all'orizzonte non riguarda tanto il quadro normativo in sé, quanto la sua effettiva implementazione nell'ecosistema economico-sociale italiano. L'efficacia del disegno di legge, una volta ultimato il percorso parlamentare, dipenderà dalla capacità delle istituzioni di tradurre principi e disposizioni in pratiche concrete, dalla prontezza del sistema produttivo nell'adeguarsi ai nuovi requisiti e, non ultimo, dalla disponibilità di competenze specialistiche necessarie per gestire la transizione verso modelli di governance algoritmica.

Il provvedimento non si limita a recepire passivamente gli orientamenti europei, ma ambisce a posizionare il nostro Paese come protagonista attiva nella definizione di un modello di sviluppo tecnologico eticamente orientato e giuridicamente sostenibile. La vera scommessa risiede ora nella capacità del sistema-Paese di mobilitare risorse, competenze e visione strategica per trasformare il quadro normativo in un effettivo vantaggio competitivo, coniugando sovranità tecnologica e tutela dei diritti in una sintesi che possa diventare riferimento anche per altri ordinamenti giuridici.