Il Regolamento (UE) 2024/1689, cosiddetto AI Act, e la Legge italiana 23 settembre 2025 n. 132 hanno ridisegnato in profondità il quadro degli obblighi per tutte le imprese che sviluppano o utilizzano sistemi di intelligenza artificiale. Non si tratta di una prospettiva futura: alcune scadenze sono già scattate, il doppio livello normativo europeo-nazionale è operativo, e la giurisprudenza italiana — inclusa una pronuncia del TAR Lazio del febbraio 2026 — ha già cominciato a interpretare e applicare questi principi. L'articolo analizza gli obblighi concreti, le criticità operative, il regime sanzionatorio e le implicazioni per i modelli organizzativi aziendali, con particolare attenzione alle PMI.
"Quidquid luce fuit, tenebris agit." — ciò che è avvenuto alla luce del giorno continua ad agire nell'ombra. La massima di Seneca descrive con precisione la condizione in cui si trovano oggi molte imprese italiane rispetto all'intelligenza artificiale: la usano ogni giorno, spesso senza saperlo, e già adesso subiscono le conseguenze giuridiche di questa inconsapevolezza.
Il 16,4% delle imprese italiane con almeno 10 addetti utilizza oggi almeno una tecnologia di intelligenza artificiale, era l'8,2% nel 2024 e il 5% nel 2023: un raddoppio netto in dodici mesi, certificato dall'ISTAT nel dicembre 2025. Dietro questi numeri si nasconde una criticità operativa di primo piano: le imprese italiane si trovano oggi a dover rispondere a due livelli normativi sovrapposti, con scadenze, obblighi e sanzioni diversi. Non è teoria: è operativa.
Come scrisse Franz Kafka in Il Processo: «Qualcuno doveva aver calunniato Josef K., perché senza che egli avesse fatto nulla di male, una mattina fu arrestato». Il rischio per l'imprenditore italiano che usa strumenti di IA senza un presidio giuridico adeguato è analogo: trovarsi esposto a un procedimento sanzionatorio pur non avendo avuto piena consapevolezza degli obblighi già in vigore.
Il doppio livello normativo: AI Act e Legge 132/2025
Il primo livello è il Regolamento (UE) 2024/1689, l'AI Act, in vigore dal 1° agosto 2024. È il primo quadro giuridico uniforme al mondo in materia di intelligenza artificiale. La sua logica classifica i sistemi AI per livello di rischio e stabilisce obblighi proporzionali, vieta pratiche incompatibili con i valori democratici e impone requisiti stringenti per i sistemi ad alto rischio.
Il secondo livello è la Legge 23 settembre 2025 n. 132, entrata in vigore il 10 ottobre 2025, che costruisce il primo quadro normativo nazionale organico dedicato all'IA: integra l'AI Act riempiendo gli spazi lasciati alla discrezionalità degli Stati membri. Tra le novità: il reato di illecita diffusione di deepfake lesivi introdotto nel Codice penale, tutela del diritto d'autore per le opere create con ausilio AI, e obblighi informativi per le imprese che usano sistemi AI nei rapporti con i lavoratori.
Sul piano penale, la Legge 132/2025 ha introdotto il nuovo art. 612-quater c.p. e ha aggiunto all'art. 61 c.p. il n. 11-decies, ai sensi del quale costituisce aggravante "l'avere commesso il fatto mediante l'impiego di sistemi di intelligenza artificiale, quando gli stessi, per la loro natura o per le modalità di utilizzo, abbiano costituito mezzo insidioso, ovvero quando il loro impiego abbia comunque ostacolato la pubblica o la privata difesa, ovvero aggravato le conseguenze del reato". Una novità che impone alle imprese di rivedere immediatamente il catalogo dei reati-presupposto nei propri Modelli Organizzativi ex D.Lgs. 231/2001. L'entrata in vigore della legge n. 132 del 2025 comporterà per tutti i soggetti tenuti all'adozione di modelli organizzativi l'obbligo di procedere a un attento aggiornamento dei propri sistemi di prevenzione e controllo.
Il calendario applicativo dell'AI Act è scaglionato e alcune scadenze sono già decorsi. I divieti per le pratiche AI a rischio inaccettabile e gli obblighi di AI literacy sono entrati in applicazione dal 2 febbraio 2025; le regole di governance e gli obblighi per i modelli GPAI sono diventati applicabili dal 2 agosto 2025; le regole per i sistemi ad alto rischio — integrati in prodotti regolamentati — godono di un regime transitorio esteso fino al 2 agosto 2027. Per le aziende che utilizzano sistemi ad alto rischio, la scadenza operativa principale è il 2 agosto 2026, quando entreranno in vigore gli obblighi completi dell'Allegato III: documentazione tecnica, valutazione di conformità, registrazione nel database europeo e monitoraggio post-market.
Ciò che molte imprese ignorano è che l'obbligo di AI literacy è già in vigore dal 2 febbraio 2025. Tutti i dipendenti che usano sistemi AI devono avere una competenza di base proporzionata al loro ruolo. Non serve un corso tecnico avanzato: serve consapevolezza su cosa è l'AI, come funziona e quali rischi comporta. È un obbligo già scattato: chi non l'ha ancora adempiuto è in ritardo.
Gli obblighi concreti per i deployer: chi usa IA senza saperlo
Una delle criticità operative più sottovalutate riguarda la distinzione tra provider e deployer. L'AI Act distingue tra chi costruisce il sistema (provider) e chi lo usa (deployer). Le responsabilità sono diverse. Molti contratti SaaS attuali non chiariscono questi ruoli. Prima di agosto 2026 è il momento di allinearli.
Per chi opera come deployer di sistemi ad alto rischio, gli obblighi sono già precisi: i deployer devono utilizzare il sistema in conformità con le istruzioni del provider, garantire la supervisione umana dei processi decisionali, mantenere i log generati dal sistema per almeno 6 mesi, informare le persone interessate che sono soggette a un sistema AI, ed effettuare una valutazione d'impatto sui diritti fondamentali (FRIA — Fundamental Rights Impact Assessment) prima della messa in produzione.
Sistemi AI usati in selezione del personale, valutazione dei dipendenti, accesso al credito, scoring assicurativo, sistemi usati nella sanità, nell'istruzione, nelle infrastrutture critiche rientrano tutti nella categoria ad alto rischio. Molte PMI che usano software HR moderni o sistemi di scoring per i clienti rientrano in questa categoria senza saperlo.
Il tema della classificazione del rischio è più insidioso di quanto appaia. Un sistema può avere usi diversi. Lo stesso motore di raccomandazione è a rischio minimo se suggerisce film, ma può diventare ad alto rischio se usato per raccomandare trattamenti medici. La classificazione dipende dall'uso concreto che se ne fa.
Sul piano degli agenti AI autonomi — tecnologia in rapida diffusione nelle imprese — la loro autonomia decisionale li espone ai requisiti più stringenti del regolamento. Significa che un'azienda che usa un agente AI per screening dei candidati deve fare valutazioni di impatto preventivo, informare i rappresentanti sindacali, documentare la supervisione umana.
Sul fronte delle autorità di vigilanza italiane, la legge italiana affida all'AgID il ruolo di autorità di notifica per la valutazione della conformità e all'ACN (Agenzia per la Cybersicurezza Nazionale) la vigilanza del mercato, con poteri ispettivi e sanzionatori. Banca d'Italia, CONSOB e IVASS esercitano la sorveglianza nei rispettivi ambiti settoriali.
Il regime sanzionatorio è calibrato su tre livelli. Le sanzioni vanno da 7,5 milioni di euro (o 1% del fatturato) per informazioni false alle autorità, fino a 35 milioni di euro (o 7% del fatturato globale) per violazione dei divieti. Per le PMI si applica sempre l'importo più basso. Ma oltre alle sanzioni economiche, le autorità possono ordinare la sospensione o il ritiro dal mercato del sistema non conforme, con impatti operativi potenzialmente più gravi della multa stessa.
Quanto ai costi di adeguamento, sono stimabili in modo differenziato per dimensione aziendale. Per una piccola azienda fino a 50 dipendenti con solo sistemi a rischio limitato, l'adeguamento può costare tra i 5.000 e i 15.000 euro, soprattutto per la parte legale e la documentazione. Per una media azienda tra 50 e 500 dipendenti con qualche sistema ad alto rischio, i costi salgono tra i 30.000 e gli 80.000 euro, con la consulenza specialistica come voce principale. I costi di non conformità sono comunque molto più alti.
La giurisprudenza italiana ha già cominciato a tracciare linee operative rilevanti, anticipando in parte gli obblighi formali non ancora pienamente applicabili.
La pronuncia più significativa per le imprese è il T.A.R. per il Lazio, Sezione III-bis, sentenza 2 febbraio 2026, n. 1895, Est. Caputi. Il TAR Lazio affronta il tema dell'impiego di sistemi automatizzati nei concorsi pubblici, delineando il perimetro delle garanzie procedimentali a tutela dei candidati e introduce la cosiddetta "riserva di umanità" nei concorsi pubblici: limiti all'IA e tutela dei candidati attraverso la supervisione umana. La pronuncia chiarisce un principio operativo di portata generale: pur dovendosi escludere l'applicazione diretta dell'AI Act ratione temporis, l'azione amministrativa resta comunque vincolata al rispetto dei principi costituzionali e legislativi. Il regolamento sull'intelligenza artificiale può legittimamente essere utilizzato quale parametro interpretativo evolutivo, idoneo a rafforzare l'esigenza di trasparenza, controllo umano e sindacabilità delle decisioni automatizzate. In altri termini: anche prima del 2 agosto 2026, un'impresa o una PA che usa IA senza supervisione umana effettiva è già potenzialmente esposta a contestazioni.
Il secondo fronte giurisprudenziale riguarda l'uso dell'IA generativa negli atti professionali. Il sito ICT Security Magazine ha documentato come il Tribunale di Torino, Sezione Lavoro, sentenza 16 settembre 2025 n. 2120 abbia censurato un ricorso redatto "col supporto dell'intelligenza artificiale" e costruito su "un coacervo di citazioni normative e giurisprudenziali astratte, prive di ordine logico e in larga parte inconferenti", riconoscendo la responsabilità aggravata ex art. 96, commi 3 e 4, c.p.c.. Analoga censura è stata espressa pochi giorni dopo dal Tribunale di Latina, sentenza 23 settembre 2025 n. 1037 in una serie di pronunce gemelle colpendo ricorsi seriali redatti "a stampone". Ancor più rilevante, il Tribunale di Rovigo, Sezione I, sentenza 7 aprile 2026 n. 219 ha rilevato in atti processuali la presenza di una memoria del legale indirizzata al codifensore ove si leggeva che "se vuoi, posso proseguire con l'inserimento di questa parte in un atto completo di atto di citazione in opposizione ex art. 615 c.p.c. o in comparsa conclusionale" — un'evidenza inequivocabile di output non rivisto di sistema generativo.
Queste pronunce sono rilevanti anche sul piano corporate. L'art. 13 della Legge 132/2025 stabilisce che l'uso dei sistemi di IA nelle professioni intellettuali è finalizzato al solo esercizio delle attività strumentali e di supporto, con prevalenza del lavoro intellettuale; e impone al professionista di comunicare al destinatario della prestazione le informazioni relative ai sistemi di IA utilizzati.
Sul piano operativo, un percorso di compliance all'AI Act richiede almeno cinque passaggi concreti e sequenziali. Il primo è la mappatura dei sistemi AI effettivamente in uso: la mappatura deve valere per ogni reparto — IT, marketing, HR, operations — perché spesso i singoli team comprano strumenti AI senza informare la direzione. Il risultato di questo passaggio è un registro dei sistemi AI aggiornato. Il secondo passaggio è la classificazione del rischio di ciascun sistema. Il terzo è la predisposizione della documentazione tecnica prescritta per i sistemi ad alto rischio. Il quarto è la formazione del personale in materia di AI literacy, già obbligatoria. Il quinto è l'aggiornamento dei contratti con i fornitori SaaS per chiarire i ruoli di provider e deployer e le responsabilità connesse.
La fase di monitoraggio continuo prevede audit periodici, aggiornamento della documentazione e revisione della classificazione dei rischi. L'AI Act non è un adempimento una tantum: richiede un sistema di governance vivo e aggiornato.
Il vademecum del centro di ricerca Cefriel evidenzia come l'AI Act non debba essere considerato isolatamente, ma come parte di un sistema normativo più ampio che include la direttiva NIS2, il regolamento DORA, il Cyber Resilience Act, il Data Act e il Regolamento Macchine. Per le imprese veronesi e del Nord-Est, che operano spesso in settori manifatturieri, logistici e del credito, la sovrapposizione di questi regimi è particolarmente critica: un sistema di automazione industriale che incorpora funzioni di decisione autonoma può rientrare contemporaneamente nell'ambito di AI Act, NIS2, DORA e del Regolamento Macchine, ciascuno con obblighi e scadenze propri.
La conformità, vista da questa prospettiva, cessa di essere un costo difensivo e diventa un presidio strategico. Le aziende che riusciranno ad adattarsi rapidamente alle nuove regole potranno beneficiare di maggiore fiducia da parte dei clienti e accedere più facilmente ai mercati europei regolamentati. La conformità normativa diventa quindi non solo un obbligo legale, ma anche un fattore competitivo in un contesto economico sempre più orientato verso la responsabilità digitale.
Redazione - Staff Studio Legale MP
