L’intelligenza artificiale è legge. il nuovo regime di compliance e l’imperativo della governance integrata

Premessa

La Legge 23 settembre 2025, n. 132, recante “Disposizioni e deleghe al Governo in materia di intelligenza Artificiale”, entrata in vigore il 10 ottobre 2025, ha ridefinito il quadro giuridico e di governance dell’Intelligenza Artificiale nel nostro Paese in coordinamento con il Regolamento
(UE) 2024/1689 (cd. “AI Act”). Questo passaggio normativo segna la definitiva transizione dell’IA da mera innovazione tecnologica a una responsabilità legale sistematica e non procrastinabile, che impone una revisione immediata e profonda dell’assetto organizzativo, dei protocolli di controllo e delle competenze interne di ogni impresa.

Il Legislatore ha chiarito che l’uso lecito di tali tecnologie è indissolubilmente legato alla sicurezza, alla tracciabilità, al rispetto dei diritti fondamentali e all’assunzione di responsabilità civile e amministrativa, rendendo la gestione del rischio algoritmico l’obiettivo primario per i board e manager delle imprese.

1. Classificazione del rischio e obblighi di documentazione

Il fondamento della nuova disciplina risiede nell’approccio basato sul rischio, che stabilisce un set di obblighi direttamente proporzionale al potenziale impatto del sistema di IA sui diritti fondamentali e sulla sicurezza.

I sistemi qualificati come Alto Rischio (ad esempio, quelli utilizzati nella selezione del personale, nella gestione dei crediti o nel controllo di infrastrutture critiche) sono soggetti ai massimi oneri di compliance, in conformità agli artt. 6, 8 e 9 dell’AI Act.

L’impresa utilizzatrice è tenuta ad adottare e documentare un rigoroso Sistema di Gestione della Qualità e a predisporre una Documentazione Tecnica completa, garantendo un Monitoraggio Post-Commercializzazione continuo, come previsto dall’art. 61 del Regolamento.

Oltre agli obblighi amministrativi, la normativa italiana (Art. 13 della Legge 132/2025) rafforza significativamente la potenziale responsabilità oggettiva dell’utilizzatore per i danni causati dai sistemi ad alto rischio. Tale previsione espone l’impresa a un grave rischio di contenzioso civile, poiché l’onere di dimostrare l’assenza del nesso causale tra l’uso del sistema e il danno effettivo ricade pesantemente sull’utilizzatore stesso.

Questa esposizione obbliga l’utilizzatore a estendere i presidi di controllo lungo tutta la catena di fornitura tecnologica, esigendo una rigorosa due diligence sui provider di IA e l’adozione di contratti di servizio che trasferiscano in modo chiaro gli obblighi di conformità e le garanzie di
sicurezza e trasparenza sul fornitore.

Infine, il requisito del Controllo Umano Effettivo (art. 14 dell’AI Act) si traduce nell’obbligo di disporre di procedure aziendali formalizzate che garantiscano che il personale possa effettivamente intervenire, interpretare e correggere le decisioni generate dai sistemi. Tale presidio è vanificato se il personale preposto alla sorveglianza non possiede le competenze adeguate (formative e tecniche) per comprendere l’output del sistema e per intervenire tempestivamente.

2. Integrazione con il GDPR – Trattamento automatizzato di dati personali

L’introduzione di sistemi di IA che operano su dati personali, in particolare attraverso la profilazione massiva e l’inferenza di dati sensibili, impone un immediato innalzamento dei presidi in materia di data protection. L’IA non è un’eccezione, ma un amplificatore dei rischi per i diritti
e le libertà delle persone fisiche.

L’utilizzo di algoritmi complessi rende la Valutazione d’Impatto sulla Protezione dei Dati (DPIA), ai sensi dell’Articolo 35 del Regolamento (UE) 2016/679 (cd. GDPR), un adempimento necessario e urgente. La DPIA in ambito IA deve analizzare con metodologie specifiche e predittive i rischi di natura algoritmica, come il drift del modello, la potenziale discriminazione algoritmica e l’impatto sulla trasparenza dei trattamenti.

Di conseguenza, i DPO e i Responsabili Privacy sono tenuti ad assicurare la piena applicazione dei principi di Privacy by Design e by Default (artt. 25 GDPR), oltre all’aggiornamento continuo del Registro dei Trattamenti (art. 30 GDPR) e della revisione delle informative verso gli interessati, in linea con il nuovo e complesso ciclo di vita del dato gestito dall’IA.

3. Profili giuslavoristici e rischio discriminazione

L’applicazione dell’IA nel contesto del rapporto di lavoro espone l’impresa a un complesso ventaglio di rischi che investono sia la disciplina sui controlli a distanza sia la normativa antidiscriminatoria.

L’utilizzo di sistemi di IA per il monitoraggio delle performance o per la valutazione dei lavoratori deve rispettare le cautele procedurali previste dall’Articolo 4 dello Statuto dei Lavoratori (Legge 300/1970), implicando l’obbligo di procedure autorizzative da parte delle rappresentanze sindacali o dell’Ispettorato del Lavoro.

Parallelamente, i sistemi di IA utilizzati per decisioni HR (selezione, gestione delle carriere) introducono un rischio elevatissimo di bias e discriminazioni algoritmiche. L’azienda deve essere in grado di dimostrare l’assenza di distorsioni, producendo evidenze sull’equità dei dataset utilizzati e sulla possibilità per il lavoratore di esercitare il proprio diritto di contestazione della decisione automatizzata, ex art. 22 GDPR. L’onere della prova in tali contenziosi ricade sull’impresa, rendendo la formazione specifica del personale HR e management sulla prevenzione del bias un requisito di diligenza ineludibile.

4. Intelligenza Artificiale Generativa e Proprietà Intellettuale

L’uso sempre più pervasivo di sistemi di IA Generativa da parte dei dipendenti, anche per mansioni di back office, solleva questioni critiche di Proprietà Intellettuale (IP) e di tutela del patrimonio informativo aziendale.

Rischi per l’impresa

L’impresa deve presidiare due fronti:

A) Violazione del diritto d’autore sugli output: l’utilizzo di contenuti generati da IA può comportare la violazione di diritti di terzi, con conseguente responsabilità dell’impresa;

B) Divulgazione involontaria di informazioni riservate: l’inserimento di dati aziendali, segreti commerciali o informazioni strategiche nei prompt forniti a sistemi esterni (es. ChatGPT, Claude) può comportare la perdita di riservatezza e la compromissione del patrimonio informativo aziendale.

Necessità di protocolli operativi

È indifferibile l’adozione di:

• una Policy aziendale sull’utilizzo dell’IA che definisca il perimetro lecito di utilizzo, le tipologie di informazioni che non possono essere inserite nei prompt e le sanzioni disciplinari in caso di violazione;

• programmi di formazione specifica per i dipendenti sui rischi connessi all’uso di IA Generativa.

5. Modelli di Organizzazione e Gestione ex D.Lgs. 231/2001

L’intelligenza artificiale introduce un nuovo vettore di rischio per la responsabilità amministrativa degli enti ai sensi del D.Lgs. 8 giugno 2001, n. 231.

Integrazione del rischio algoritmico nei MOG

I sistemi automatizzati possono costituire il mezzo per la commissione di reati presupposto (es. frodi informatiche, accesso abusivo a sistemi informatici, violazioni della privacy, reati ambientali) a vantaggio o nell’interesse dell’ente.

Gli Organismi di Vigilanza (ODV) sono chiamati a:

• procedere all’aggiornamento dei Modelli di Organizzazione e Gestione per integrare il rischio algoritmico nella mappatura dei processi sensibili;

• rivedere le procedure di Internal Investigation per garantire la tracciabilità delle audit trail algoritmiche, in conformità agli standard ISO/TS 37008:2024;

• definire protocolli per la verifica periodica della conformità dei sistemi di IA agli standard normativi e alle policy aziendali.

6. L’imperativo della competenza: formazione e governance

Tutti gli oneri normativi convergono sull’unica soluzione in grado di garantire la conformità: la preparazione strategica del Vostro personale e degli Organi di Gestione. La non-conformità sorge quando l’assetto umano non è formato per esercitare il Controllo Umano Effettivo richiesto.

Per colmare questo gap, lo Studio propone un servizio integrato di consulenza e formazione specialistica, agendo su tutti i livelli aziendali, come di seguito:

• Assessment e Policy Aziendale sull’IA: Valutazione del rischio algoritmico aziendale e redazione della Policy aziendale sull’utilizzo dell’IA, protocollo essenziale per mitigare i rischi di Proprietà Intellettuale.

• Formazione per la Governance e il Consiglio di Amministrazione: Corsi per gli Organi Direttivi sulla Governance del Rischio AI, sulla gestione della Responsabilità Oggettiva e sul Sistema di governance della Sicurezza sul Lavoro (incluse le deleghe).

• Compliance Integrata (231, Privacy, Antitrust, Whistleblowing): Formazione sul sistema di compliance integrata che unisce D.Lgs. 231/2001 + Privacy + Whistleblowing + Sicurezza sul Lavoro + Antitrust.

• Modelli 231 e Organismi di Vigilanza (ODV): Formazione di aggiornamento avanzato per i componenti degli Organismi di Vigilanza sul rischio algoritmico e le procedure di Internal Investigation (UNI/ISO TS 37008:2024).

• Privacy e Tutela Dati: Formazione obbligatoria ai lavoratori sulla privacy (base e avanzata) con un focus specifico sulla conduzione delle DPIA e sulla gestione della Catena di Fornitura di IA.

• AI Policy e Uso Lecito: Corsi specifici per i dipendenti sull’uso lecito dei software di intelligenza artificiale in ambito lavorativo e sulla tutela dei diritti d’autore e di IP.

Lo Studio garantisce un approccio tecnico e pratico, con rilascio di certificato di partecipazione e la possibilità di fruizione sia in presenza che in modalità videoregistrata per fruizione da remoto.

Conclusioni

La Legge 132/2025, in coordinamento con l’AI Act europeo, segna il passaggio dell’intelligenza artificiale da innovazione tecnologica a responsabilità legale sistemica.

La conformità non costituisce un mero adempimento burocratico, ma rappresenta una tutela essenziale per il business e una condizione necessaria per l’utilizzo lecito e sicuro dei sistemi di IA.

L’esposizione sanzionatoria prevista dall’art. 99 dell’AI Act (fino a 35 milioni di euro o al 7% del fatturato mondiale annuo) e le responsabilità dirette del management impongono un’azione tempestiva.

Si segnala inoltre che, pur essendo entrato in vigore il 1° agosto 2024 il Regolamento UE, l’applicazione piena di alcune disposizioni dell’AI Act è prevista a partire dal 2 agosto 2026, con l’Italia che ha anticipato con la legge nazionale alcune misure di governance e responsabilità.

Per maggiori informazioni, clicca qui.