In data 10 giugno 2026, Il Consiglio dei ministri ha approvato, in esame preliminare, i due schemi di decreto legislativo attuativi della Legge n. 132 del 23 settembre 2025, recante «Disposizioni e deleghe al Governo in materia di intelligenza artificiale». I provvedimenti, che dovranno essere sottoposti al parere delle Commissioni Parlamentari, della Conferenza delle Regioni e delle autorità competenti ai fini dell’entrata in vigore definitiva, si inseriscono nell’ambito del processo di adeguamento dell’ordinamento italiano al Regolamento (UE) 2024/1689 (AI Act), definendo il modello nazionale di governance dell’intelligenza artificiale e introducendo disposizioni di particolare rilievo, tra l’altro, in materia di responsabilità civile, responsabilità penale, pubblica amministrazione, professioni e attività economiche.
Mentre il primo decreto si occupa precipuamente dell’attribuzione di competenze e poteri alle autorità di vigilanza nazionali nel contesto della suddetta governance nonché di regolare l’impiego dell’intelligenza artificiale nella formazione dei professionisti e delle pubbliche amministrazioni, il secondo schema di decreto attuativo si incentra sulla introduzione di nuove fattispecie penali, sulla introduzione di specifiche norme volte a regolare l’utilizzo dell’IA nelle indagini preliminari e, in particolare, nelle attività di polizia, nonché sulla regolazione della responsabilità civile per danni cagionati dall’utilizzo o produzione di sistemi di IA.
- La governance nazionale dell’intelligenza artificiale.
Uno dei principali profili affrontati dai decreti, come anticipato, riguarda l’organizzazione del sistema di vigilanza nazionale.
Il legislatore conferma il modello delineato dalla Legge n. 132/2025, attribuendo all’Agenzia per l’Italia Digitale (AgID) il ruolo di autorità di notifica degli organismi di valutazione della conformità e all’Agenzia per la Cybersicurezza Nazionale (ACN) quello di autorità di vigilanza del mercato. A tali soggetti si affiancano il Garante per la protezione dei dati personali e le autorità di settore, chiamati a esercitare le rispettive competenze nei casi in cui l’impiego dei sistemi di IA coinvolga ambiti già assoggettati a specifiche discipline regolatorie.
Il sistema appare coerente con l’impianto europeo, ma presenta degli evidenti problemi di coordinamento, nella misura in cui potrebbero profilarsi ipotesi in cui i sistemi di intelligenza artificiale incidano contemporaneamente sulla protezione dei dati personali, sulla sicurezza informatica e sulla regolazione dei singoli mercati.
- Responsabilità civile: rafforzata la tutela del danneggiato.
Sul versante della responsabilità civile, i decreti introducono un sistema volto a riequilibrare l’asimmetria informativa che caratterizza il contenzioso relativo ai sistemi di intelligenza artificiale.
Tra le principali novità, assumono rilievo, da una parte, la possibilità per il giudice di ordinare l’esibizione della documentazione tecnica relativa al funzionamento del sistema e, dall’altra, la presunzione relativa in ordine alla sussistenza del nesso causale in caso di violazione degli obblighi previsti dall’AI Act, con l’introduzione di strumenti processuali destinati ad agevolare la posizione del soggetto danneggiato.
La scelta del legislatore conferma l’abbandono di modelli di responsabilità oggettiva generalizzata, privilegiando invece un rafforzamento degli strumenti probatori e processuali. Resta tuttavia aperto il tema del coordinamento con l’art. 2050 c.c., soprattutto nei casi in cui l’impiego di sistemi di IA ad alto rischio possa essere qualificato quale esercizio di attività pericolosa.
- La responsabilità penale e da reato degli enti.
Di particolare interesse risultano anche le previsioni riguardanti il settore penalistico.
Lo schema di decreto prevede, anzitutto, l’introduzione all’interno del codice penale di un nuovo articolo 437-bis, ossia del reato di “Omessa adozione di misure di sicurezza nei sistemi di intelligenza artificiale e alterazione illecita dei sistemi”, volto a punire le violazioni concernenti le misure di sicurezza previste in materia di produzione, messa in circolazione ed utilizzo professionale dei sistemi di AI, quando da tali inosservanze derivi un pericolo concreto per la vita o l’incolumità pubblica o individuale, oppure per la sicurezza dello Stato.
Parallelamente, assume crescente rilevanza il sistema della responsabilità amministrativa degli enti di cui al d.lgs. n. 231/2001, prevedendosi l’introduzione del nuovo art. 25-vicies, “Reati commessi con l’uso di sistemi di intelligenza artificiale”, che estende la responsabilità da reato degli enti sia al nuovo art. 437-bis, sia al reato di illecita diffusione di contenuti generati o manipolati artificialmente di cui all’art. 612-quater, già introdotto dalla L. 132/2025.
L’utilizzo di sistemi di IA ad alto rischio rende dunque quantomai opportuno un aggiornamento dei modelli di organizzazione e gestione, con la previsione di specifici protocolli dedicati alla gestione del rischio algoritmico che garantiscano, tra l’altro, la supervisione umana e la tracciabilità delle decisioni automatizzate.
- Le ricadute per imprese e professionisti.
L’approvazione dei decreti conferma che la conformità all’AI Act non potrà essere valutata esclusivamente sotto il profilo tecnologico.
L’impiego di sistemi di intelligenza artificiale richiederà un’attenta verifica degli assetti organizzativi, dei processi decisionali e della documentazione interna, con particolare riguardo ai sistemi classificati come ad alto rischio. Accanto agli obblighi di natura tecnica, assumono crescente rilievo le procedure di governance, la formazione del personale, la gestione del rischio e la predisposizione di adeguati presidi di controllo.
L’adeguamento alla disciplina europea e nazionale, peraltro, rappresenta non solo un adempimento normativo, ma anche un elemento strategico di affidabilità nei confronti di clienti, partner commerciali e autorità di vigilanza.
In attesa dell’approvazione definitiva dei due schemi di decreto attuativo, le imprese sono chiamate a valutare tempestivamente l’impatto delle nuove disposizioni sui propri processi organizzativi. Un’attività di compliance – per così dire – preventiva consente, infatti, di ridurre il rischio di contenzioso, facilitare l’adeguamento all’AI Act e predisporre modelli di governance conformi al nuovo quadro normativo nazionale ed europeo, garantendo una maggiore affidabilità.

