Il Consiglio dei ministri ha approvato il 10 giugno 2026 i primi decreti attuativi della legge 132/2025 sull'intelligenza artificiale, in via preliminare come schemi di decreto legislativo. Mancano 53 giorni alla scadenza europea del 2 agosto, quando per i sistemi ad alto rischio scatteranno gli obblighi pieni dell'AI Act.
Cosa prevedono i decreti attuativi
I due schemi coprono ambiti distinti. Il primo regola poteri delle autorita' nazionali, sorveglianza, sanzioni, spazi di sperimentazione, formazione e disposizioni sul lavoro. Il secondo disciplina l'uso dei sistemi di IA nelle attivita' di polizia e introduce norme su responsabilita' civile e penale. La governance e' affidata al coordinamento tra Agenzia per la cybersicurezza nazionale (ACN) e Agenzia per l'Italia digitale (AgID): AgID e' autorita' di notifica per gli organismi di valutazione della conformita', ACN e' punto di contatto unico e responsabile della sorveglianza del mercato. I testi non sono ancora definitivi: devono passare l'esame delle commissioni parlamentari, della Conferenza delle Regioni e delle autorita' competenti prima della pubblicazione in Gazzetta. L'impianto si innesta sul Regolamento UE 2024/1689 sull'intelligenza artificiale, in vigore dal 1 agosto 2024, dentro una cornice politica europea in cui anche il dibattito sull'allargamento dell'Unione ridisegna chi dovra' adottare regole comuni sull'IA.
Il 40% dei sistemi AI non sa di essere ad alto rischio
Un'analisi condotta su 106 sistemi di intelligenza artificiale usati da imprese europee ha rilevato che il 40% presenta una classificazione del rischio non documentata o poco chiara. Quattro sistemi su dieci, in pratica, non sanno se rientrano nell'Allegato III dell'AI Act, quello che dal 2 agosto 2026 imporra' obblighi stringenti di documentazione, supervisione umana, registrazione automatica dei log e trasparenza. E' il vuoto che la legge italiana eredita: il Regolamento UE prevede ammende fino a 35 milioni di euro o al 7% del fatturato annuo globale per le pratiche vietate, fino a 15 milioni o al 3% per le violazioni degli obblighi sui sistemi ad alto rischio, fino a 7,5 milioni o all'1% per informazioni false alle autorita'. Come avverte l'esperto di cybersecurity Alessandro Curioni, intervistato da Il Sussidiario, il rischio e' inseguire il feticcio tecnologico chiamato IA mentre i danni veri continuano a nascere in sanita', infrastrutture e PA da software legacy con password fossili e patch mai installate.
Cosa devono fare imprese e amministrazioni prima del 2 agosto
L'Allegato III dell'AI Act classifica ad alto rischio i sistemi usati in identificazione biometrica, infrastrutture critiche, istruzione e formazione professionale, gestione dei lavoratori, accesso a servizi essenziali, gestione delle frontiere e amministrazione della giustizia. In questi settori l'obbligo non e' opzionale: serve un sistema di gestione del rischio, dataset di addestramento verificati, registrazione dei log, trasparenza verso gli utenti e supervisione umana effettiva. Lo Stato italiano dovra' inoltre attivare almeno una sandbox nazionale per la sperimentazione controllata. Per le PMI le sanzioni sono proporzionate, con applicazione del valore piu' basso tra importo fisso e percentuale sul fatturato. Lo scontro fra regole europee e prerogative nazionali in settori sensibili dell'Allegato III, come l'istruzione, e' gia' aperto, come mostra il contenzioso del governo ungherese contro la Commissione europea sulle universita'. Il pattern del legislatore che insegue la tecnologia gia' diffusa non e' solo italiano: negli Stati Uniti emergono normative statali che impongono ai campus regole nuove sulla classificazione biometrica, come nel caso dell'Universita' di Cincinnati e dei nuovi segnali di bagno biologico introdotti dalla legge dell'Ohio.
I decreti approvati il 10 giugno sono il primo passo, non l'arrivo. Per le imprese la finestra utile per documentare la classificazione dei propri sistemi si chiude in poche settimane: chi non avra' mappato i propri modelli prima del 2 agosto rischia ammende che per molte PMI italiane supererebbero il margine operativo annuale.