NEWS

 

La legge italiana sull'AI tra aspettative e aspirazioni forse ancora velleitarie

Dal 2 agosto 2025 una parte importante dello AI act è in vigore: I capi I e II - pratiche vietate - Il capo III, sezione 4, - autorità di notifica e organismi notificati, il capo V - disciplina dei modelli di IA per finalità generali -, il capo VII - sistema di governance europea-, il capo XII - sanzioni - e l'articolo 78 a eccezione dell'articolo 101. Dal 2 agosto 2026 sarà in vigore la parte rimanente, a eccezione dell'articolo 6, paragrafo 1- classificazione sistemi AI ad alto rischio, e i corrispondenti obblighi che saranno in vigore dal 2 agosto 2027.

Il 17 settembre 2025 con la legge n. 132, pubblicata sulla "Gazzetta Ufficiale" n. 224 del 26 settembre 2025, il Parlamento italiano ha definitivamente approvato il passo fondamentale per la sua attuazione nel nostro ordinamento, sciogliendo numerose delle riserve a sua disposizione e delegando Governo, Ministeri ed Autorità competenti a cascata a completare il quadro regolatorio. Un passo da salutare con grande favore per molti contenuti della normativa ma che in alcuni passaggi rischia di essere velleitario per la carenza di interventi sistemici e adeguati finanziamenti.

Quella approvata è una legge di delega alquanto complessa (legge n. 132 del 17 settembre 2025), con scelte forti che interessano anche altri plessi normativi come il codice dei dati personali, e la pianificazione di investimenti significativi. Complessità inevitabile, dato il carattere pervasivo e di tecnologia abilitante della IA, ma che richiede qualche riflessione.

La logica della normativa vuole indubbiamente essere un primo viatico di semplificazione e di disciplina flessibile che:

1) prova a semplificare la disciplina dei dati personali per ciò che rileva il ciclo di vita dell'IA,
2) disegna uno scenario di sviluppo economico all'impronta della sinergia tra livelli di governo, mondo delle imprese e PPAA (ad esempio, articolo 5.1.e sulla ricerca collaborativa);
3) necessariamente cerca di coniugare un libero mercato della IA con le sempre più pressanti esigenze in materia di sicurezza e difesa nazionale (vedi per esempio articolo 5 sulla localizzazione sul territorio nazionale dei data centers per la PPAA).

Sotto il primo profilo oltre a ribadire i consueti principi di trasparenza e liceità per il trattamento dei dati si richiede il consenso dei genitori per l'accesso degli infraquattordicenni alle tecnologie di intelligenza artificiale, ma soprattutto si forniscono agili basi giuridiche per il trattamento secondario dei dati in settori strategici.

Così, per il settore sanitario, non solo si promuove l'uso della IA per il «supporto nei processi di prevenzione, diagnosi, cura e scelta terapeutica» pur «lasciando impregiudicata la decisione» rimessa ai medici ma si proclamano di interesse pubblico rilevante i trattamenti secondari di dati anche particolari «per la ricerca e la sperimentazione scientifica nella realizzazione di sistemi di intelligenza artificiale per finalità di prevenzione, diagnosi e cura di malattie, sviluppo di farmaci, terapie e tecnologie riabilitative, realizzazione di apparati medicali, incluse protesi e interfacce fra il corpo e strumenti di sostegno alle condizioni del paziente, salute pubblica, incolumità della persona, salute e sicurezza sanitaria nonché studio della fisiologia, della biomeccanica e della biologia umana anche in ambito non sanitario, in quanto necessari ai fini della realizzazione e dell'utilizzazione di banche di dati e modelli di base».

Uniche condizioni che il trattamento avvenga «nell'ambito di progetti di ricerca a cui partecipano soggetti pubblici e privati senza scopo di lucro o IRCCS»; che i dati siano privati «degli elementi identificativi diretti»; e i trattamenti comunicati al Garante (articolo 8). L'apertura al trattamento secondario interessa pure la pianificazione e i controlli in ambito sanitario (di cui all'articolo 2-sexies, comma 2, lettera v), la ricerca sui gesti atletici. Va però notato che la norma non definisce le "misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato" come richiederebbe l'articolo 9 del GDPR.

È possibile che tali misure siano rese con il decreto delegato al Ministero della salute dall'articolo 9 della legge italiana, anche se la sua formulazione non appare perspicua poiché le finalità individuate non sono limitate al settore sanitario («per finalità di ricerca e sperimentazione anche tramite sistemi di intelligenza artificiale e machine learning, inclusi la costituzione e l'utilizzo di spazi speciali di sperimentazione a fini di ricerca»), e perché prescrive nei 120 giorni della delega di sentire anche «gli enti di ricerca, i presidi sanitari nonché le autorità e gli operatori del settore»; il che anche ove limitato al settore della sanità è un carico onestamente impossibile da materializzarsi e per il quale non può che auspicarsi un immediato chiarimento data la rilevanza della norma.

(Nella foto: il Prof. Giovanni Comandè)

Velleitaria pare la pretesa che l'Agenzia nazionale per i servizi sanitari regionali (Agenas) si assuma la «progettazione, la realizzazione, la messa in servizio e la titolarità» di una piattaforma di intelligenza artificiale per erogare servizi di supporto diretto ai professionisti sanitari per la presa in carico della popolazione assistita, ai medici nella pratica clinica quotidiana, e agli utenti per l'accesso ai servizi sanitari delle Case della comunità.

Questa non è la sola ambiziosa progettualità da realizzarsi a dotazione finanziaria invariata (cioè con i proverbiali fichi secchi), giacché i corretti principi e progetti dettati per le PPAA, il settore giudiziario e le misure di sostegno ai giovani ed allo sport (articolo 22) seguono la medesima sorte.

Almeno all'apparenza, la musica pare cambiare con il Capo III che, oltre a identificare e attribuire i ruoli alle Autorità nazionali per l'IA (Agenzia per la cybersicurezza nazionale -Acn e Agenzia per l'Italia Digitale - AgiD), vede attribuire al ministero degli Esteri 300 milioni l'anno per la sua sperimentazione e, soprattutto, preconizzare un apparentemente generoso investimento (1 miliardo) nei settori dell'intelligenza artificiale, della cybersicurezza e del calcolo quantistico (articolo 23).

Quest'ultima è una occasione storica che in modo, a nostro sommesso avviso, lungimirante vede il convergere di strumenti diversi e di competenze ministeriali diverse. Si tratta di un passo ulteriore verso il ritorno necessitato dello stato nell'economia in settori strategici che fa seguito alla disciplina del Golden Power, cui peraltro misteriosamente non pare collegato.

È auspicabile che tali interventi muovano sia rapidamente sia con una logica di sviluppo che oltre a promuovere lo sviluppo di campioni tecnologici nazionali contribuisca a creare l'indotto a monte e a valle di tali campioni.

La partita più difficile si giocherà comunque sul terreno dell'attuazione delle deleghe ai ministeri (cfr. articolo 9) e al Governo chiamato a fornire una «disciplina organica relativa all'utilizzo di dati, algoritmi e metodi matematici per l'addestramento di sistemi di intelligenza artificiale senza obblighi ulteriori, negli ambiti soggetti al regolamento (UE) 2024/1689, rispetto a quanto già ivi stabilito». Disciplina che deve abbracciare anche i profili della tutela risarcitoria e inibitoria (articolo 16) - la cui regolazione è resa indispensabile dal definitivo ritiro della proposta di direttiva europea sulla responsabilità extracontrattuale derivante dall'IA -, l'adeguamento della normativa di settori chiave come quelli bancario, finanziario, assicurativo e di pagamento, e scolastico (articolo 24), il disegno dei percorsi di alfabetizzazione necessari per l'intera società.

C'è ancora molto lavoro da fare sia sul piano normativo che attuativo. Dato il carattere strategico, trasversale e abilitante della IA così come la sua dipendenza dai dati sarebbe auspicabile che la messa su strada della strategia nazionale per l'IA si facesse carico di raccogliere e portare a fattore comune una serie di pregressi interventi normativi (come l'attuazione del Data Governance Act), infrastrutturali (come la digitalizzazione della PPAA) e di ricerca anche importanti come quelli su dati sanitari e genomici sui quali la UE e lo Stato italiano hanno investito notevoli risorse e competenze, ma che ad oggi non sembrano valorizzati né collegati alla strategia nazionale sulla AI.

In questo senso il Comitato di coordinamento delle attività di indirizzo su enti, organismi e fondazioni che operano nel campo dell'innovazione digitale e dell'intelligenza artificiale potrebbe offrire la cabina di regia adatta per un indirizzo strategico unitario attraverso i ministeri competenti. Tuttavia, se non adeguatamente monitorata e continuamente adeguata questa attività di coordinamento rischia di ridursi a declamazioni politiche, mentre il Paese ha bisogno di azioni efficaci e coordinate.Dal 2 agosto 2025 una parte importante dello AI act è in vigore: I capi I e II - pratiche vietate - Il capo III, sezione 4, -autorità di notifica e organismi notificati, il capo V - disciplina dei modelli di IA per finalità generali -, il capo VII - sistema di governance europea-, il capo XII - sanzioni - e l'articolo 78 a eccezione dell'articolo 101. Dal 2 agosto 2026 sarà in vigore la parte rimanente, a eccezione dell'articolo 6, paragrafo 1- classificazione sistemi AI ad alto rischio, e i corrispondenti obblighi che saranno in vigore dal 2 agosto 2027.

di Giovanni Comandè (fonte: Il Sole 24 Ore) 

Note sull'Autore

Giovanni Comande Giovanni Comande

Professore ordinario di Diritto comparato presso l'Università Sant'Anna di Pisa.

Articoli correlati

Prev La rivolta social della Gen Z in Nepal: un segnale anche agli operatori privacy
Next Il nuovo paradigma: l’Advanced-Strategic-Data-Governance e la “software selection”

Galleria Video

Privacy Day Forum 2025: il trailer della giornata

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy sui social

Argomenti in evidenza