L’Italia regola l’IA: cosa dicono davvero i decreti del 10 giugno

Il primo quadro normativo nazionale sull’intelligenza artificiale è legge. Ma tra il principio antropocentrico e la realtà delle imprese, la distanza resta enorme. Viaggio dentro i decreti che nessuno sta leggendo

Alfonso Benevento

7/10/2026

A close up of a word written in sand
A close up of a word written in sand

Il 10 giugno 2026 il Consiglio dei Ministri ha approvato in via preliminare i due decreti legislativi attuativi della Legge 132/2025, il primo quadro normativo nazionale organico dedicato all’intelligenza artificiale. L’Italia diventa così il primo Stato membro dell’Unione Europea a operazionalizzare una disciplina allineata all’AI Act europeo (Regolamento UE 2024/1689), il cui termine di piena applicazione scatta il 2 agosto 2026. La notizia è stata accolta con una certa enfasi istituzionale: «L’Italia è il primo Paese UE con un quadro nazionale pienamente allineato all’AI Act», ha dichiarato il sottosegretario Butti. Ma cosa dicono davvero questi decreti? E soprattutto: cosa cambiano per chi insegna, chi cura, chi lavora, chi fa ricerca?

Il principio: l’IA al servizio dell’umano
Il pilastro concettuale dell’intera architettura è il modello antropocentrico: l’intelligenza artificiale è uno strumento a supporto della decisione umana, mai un suo sostituto. Non è una formula retorica. I decreti la traducono in obblighi concreti. Nel lavoro, le decisioni relative a costituzione, gestione ed estinzione del rapporto non possono essere assunte esclusivamente da un sistema automatizzato. Il licenziamento intimato in violazione di questo divieto è nullo di diritto. Il lavoratore ha il diritto di ottenere, tramite l’intervento di un operatore umano, una motivazione intelligibile che indichi i parametri considerati dall’IA e l’incidenza del sistema sulla decisione finale. Nella giustizia, l’IA non può sostituire l’attività interpretativa del giudice. Nella sanità, resta centrale la figura del medico.  Il principio è chiaro e condivisibile. Il problema è che un principio non è un’infrastruttura. Tra il divieto di decisione esclusivamente automatizzata e la realtà quotidiana delle aziende che già usano algoritmi per selezionare curricula, valutare performance e gestire turni, c’è un vuoto operativo che i decreti riconoscono ma non colmano del tutto. Chi decide quando un sistema è «esclusivamente» automatizzato e quando è «soltanto» assistito da un operatore che si limita a premere un tasto di conferma? 

Le professioni: formazione obbligatoria e il nodo dell’equo compenso 
Per i liberi professionisti, i rispettivi ordini hanno l’obbligo di adeguare i propri regolamenti entro sei mesi, strutturando percorsi formativi su tre livelli: tecnico, giuridico e deontologico. La formazione non è facoltativa: è condizione abilitante. Entro dodici mesi, i parametri dell’equo compenso e delle tariffe forensi dovranno essere integrati con la classificazione di rischio del sistema di IA impiegato. L’idea è che l’automazione non svaluti il lavoro intellettuale: se un avvocato usa un sistema di IA ad alto rischio, il compenso dovrà riflettere anche la responsabilità aggiuntiva di sorveglianza e verifica. È un punto di equilibrio delicato. Nella pratica, molti professionisti già utilizzano strumenti di IA generativa per redigere atti, analizzare documenti, preparare pareri. Lo fanno spesso senza formazione specifica, senza protocolli di verifica, senza consapevolezza dei limiti del sistema. I decreti pongono il problema; la sfida sarà verificare se gli ordini professionali avranno la capacità — e la volontà — di trasformare un obbligo formale in una reale cultura della responsabilità algoritmica.

La scuola e l’università: l’IA entra nell’educazione civica 
I decreti prevedono che l’intelligenza artificiale sia integrata stabilmente nell’educazione civica e nei programmi del secondo ciclo, con un potenziamento delle discipline STEAM e il supporto di comitati tecnico-etici territoriali. Per l’università, la Scuola Superiore della Magistratura assume il compito di formare i magistrati sull’IA, mentre la formazione del personale della pubblica amministrazione diventa un investimento strategico. Qui si gioca una partita che va oltre la norma. Integrare l’IA nell’educazione civica significa decidere cosa insegnare: l’uso degli strumenti o la comprensione dei principi? La capacità di interrogare un chatbot o la capacità di chiedersi se la risposta è fondata? Il rischio è che la «formazione sull’IA» si riduca a un addestramento all’uso, quando ciò che serve è una formazione al giudizio. Non si insegna a guidare un’automobile spiegando solo come si accende il motore: si insegna anche a leggere la strada, a valutare i rischi, a riconoscere i propri limiti. Con l’IA dovrebbe essere lo stesso.

Il nuovo reato: contenuti falsificati tramite IA 
L’articolo 612-quater del codice penale, introdotto dalla Legge 132/2025, prevede una nuova fattispecie: la diffusione di contenuti falsificati tramite intelligenza artificiale. La responsabilità può estendersi all’ente ai sensi del decreto legislativo 231/2001. La punibilità è ancorata al pericolo concreto e, per la condotta colposa, alla colpa grave, evitando la criminalizzazione di ogni errore tecnico. È una norma che intercetta un fenomeno reale e in crescita: i deepfake, le campagne di disinformazione sintetica, la manipolazione di immagini e audio a fini di danno reputazionale, ricatto o interferenza politica. Ma solleva anche domande che il testo non risolve. Chi è responsabile quando il contenuto falsificato è generato da un modello open source scaricato legalmente e modificato per rimuovere i filtri di sicurezza? Come si accerta la «colpa grave» di chi diffonde un deepfake senza sapere che lo sia? La sfida, come ha osservato di recente il giurista Andrea Lisi, si sta spostando dalla regolamentazione della produzione — ormai impossibile — a quella della distribuzione: i veri colli di bottiglia sono le piattaforme social e i browser, non i modelli. 

La governance: AgID, ACN e il rischio della frammentazione 
La governance strategica è affidata a un’architettura binaria: l’Agenzia per l’Italia Digitale (AgID) come autorità di notifica, l’Agenzia per la Cybersicurezza Nazionale (ACN) come autorità di vigilanza del mercato e punto di contatto unico con l’Unione Europea. A queste si affiancano organismi settoriali: Banca d’Italia, Consob e Ivass per il comparto finanziario, il Garante per la protezione dei dati personali per le applicazioni ad alto rischio nella giustizia e nella sicurezza. Il coordinamento generale è presso la Presidenza del Consiglio, con una strategia nazionale aggiornata ogni due anni e un report annuale al Parlamento. Sulla carta, è un’architettura completa. Nella pratica, il rischio è la frammentazione: troppe autorità con competenze parzialmente sovrapposte, in un campo dove la velocità dell’innovazione tecnologica rende ogni ritardo istituzionale un’opportunità persa. L’AI Act europeo è già direttamente applicabile; i decreti nazionali sono ancora in fase di esame preliminare. Le imprese italiane si trovano a dover far coincidere due livelli di compliance in un contesto normativo che si consoliderà progressivamente. Chi ha le risorse per farlo si adeguerà; chi non le ha rischia di restare fuori dal perimetro della legalità senza nemmeno saperlo.

La posta in gioco 
Il programma prevede un miliardo di euro a favore di startup e PMI, una clausola anti gold-plating che impedisce ai futuri decreti di introdurre obblighi più stringenti di quelli europei, e regulatory sandbox per la sperimentazione controllata. Sono segnali di un’intenzione seria. Ma la distanza tra il testo normativo e la trasformazione culturale che richiede resta enorme. Regolamentare l’intelligenza artificiale non significa soltanto stabilire cosa è vietato e cosa è permesso. Significa decidere quale rapporto una società vuole avere con le macchine che prendono decisioni al posto suo. I decreti del 10 giugno pongono le fondamenta. Tocca ora alle istituzioni, alle professioni, alle università e alle imprese costruire le pareti. Il 2 agosto è vicino, e il cantiere è ancora aperto.

PixelPost.it è una testata registrata presso il Tribunale di Roma, n°164 del 15 Dicembre 2023