Ecco le regole italiane per l’IA, cosa significa per le imprese

L’Italia ha adesso un quadro operativo per l’intelligenza artificiale. Il Consiglio dei Ministri del 10 giugno 2026 ha approvato i due decreti attuativi della legge 132/2025, in vigore dal 10 ottobre scorso, e ha chiuso il cantiere che mancava: ruoli delle autorità, sanzioni, sandbox regolatorie, formazione, sperimentazioni in scuola e sanità. Da qui al 2 agosto 2026, data di piena applicazione dell’AI Act europeo, il perimetro entro cui le imprese italiane dovranno muoversi è definito.

Per chi fa impresa le autorità competenti hanno un volto, le sanzioni una soglia, le procedure di conformità una scadenza. L’Osservatorio Artificial Intelligence del Politecnico di Milano misura intanto un’altra realtà: l’8% delle PMI italiane ha avviato almeno un progetto di IA, il 76% non investe e non ha piani per i prossimi dodici mesi. Le regole arrivano prima dell’adozione.

Cosa dicono i due decreti attuativi della legge 132/2025

AgID diventa l’autorità di notifica, con competenze su sandbox regolatorie, accreditamento degli organismi di valutazione e promozione dell’uso dell’IA nella pubblica amministrazione. ACN assume il ruolo di autorità di vigilanza del mercato per i sistemi ad alto rischio, con poteri di ispezione, accertamento e applicazione delle sanzioni previste dall’AI Act. È la prima volta che l’Italia separa con nettezza la funzione promozionale da quella sanzionatoria, ed è un modello che le imprese troveranno utile da decifrare prima di scegliere i propri interlocutori.

Il secondo decreto regola scuola, sanità, lavoro e giustizia. Lo Stato finanzia 200 milioni di euro complessivi per la formazione scolastica, equamente divisi tra lo schema decreto sull’articolo 36 (formazione di docenti su social, digitale e IA) e il DM 219/2025 più l’avviso PNRR del 27 marzo 2026 sugli snodi formativi territoriali. Almeno il 40% delle risorse va al Mezzogiorno, ogni progetto può ricevere fino a 50.000 euro, deve coinvolgere almeno 50 partecipanti. Sul versante biometrico, i log dei sistemi di identificazione vanno conservati cinque anni, mentre i dati di riconoscimento facciale a posteriori restano disponibili sette giorni.

Sul lavoro, il decreto traduce nel diritto italiano la disciplina dei sistemi di IA usati per selezione, monitoraggio e valutazione del personale. Il datore di lavoro deve garantire supervisione umana significativa, tracciabilità delle decisioni automatizzate, informativa preventiva ai lavoratori. Senza prova documentata dell’intervento umano nella catena decisionale, la conformità formale non basta più davanti a un tribunale del lavoro o all’autorità garante: lo stesso rischio sanzioni nel recruiting già emerso a livello europeo si trasferisce ora sulle imprese italiane.

Le imprese ora hanno un interlocutore unico, ma anche un obbligo nuovo

AgID accompagna, ACN vigila. Le aziende che vogliono testare un sistema ad alto rischio in ambiente controllato si rivolgono ad AgID per accedere alle sandbox regolatorie, ambienti dove i requisiti di conformità sono temporaneamente attenuati a fronte di una stretta supervisione. Quelle che invece mettono in produzione sistemi soggetti all’AI Act rispondono ad ACN per le verifiche periodiche, comprese le ispezioni non annunciate previste dal regolamento europeo.

Confindustria e Anitec-Assinform hanno chiesto e ottenuto un coordinamento operativo tra le due autorità, perché un’impresa che esce dalla sandbox AgID con un sistema validato non dovrebbe ritrovarsi sotto contestazione da parte di ACN sei mesi dopo. Sul piano del diritto privato la responsabilità civile per danni causati da sistemi di IA non è ancora disciplinata in modo organico, e le polizze assicurative dedicate iniziano appena ad apparire sul mercato italiano. Il vuoto si traduce in costi di contenzioso difficili da preventivare.

Le sanzioni dell’articolo 99 del Regolamento UE 2024/1689 arrivano fino a 35 milioni di euro o al 7% del fatturato mondiale annuo per chi utilizza sistemi proibiti (manipolazione cognitiva, social scoring, riconoscimento biometrico in tempo reale fuori dai casi consentiti); 15 milioni o 3% per altre violazioni; 7,5 milioni o 1% per informazioni false alle autorità. Le soglie funzionano da deterrente per le grandi imprese ma rischiano di essere irrilevanti per le piccole, che difficilmente verranno colpite con il massimo edittale eppure dovranno sostenere costi di compliance proporzionalmente molto più alti.

Chi vuole orientarsi nella sequenza degli adempimenti trova nella roadmap di conformità pubblicata da Tom’s Hardware una mappa delle tappe operative, dal mapping dei sistemi alla nomina dei responsabili interni.

Quanto vale il mercato AI italiano e quanto costerà davvero conformarsi

L’Osservatorio del Politecnico stima il valore del mercato dell’IA in Italia a 1,8 miliardi di euro nel 2025, in aumento del 50% sul 2024. Di questi, il 46% è composto da soluzioni di IA generativa o ibrida, il 54% da machine learning tradizionale. La generativa cresce nei budget aziendali a una velocità che il resto del comparto non aveva mai visto, ma resta concentrata sulle grandi imprese: il 71% di queste ha avviato almeno un progetto, contro l’8% delle PMI.

Anitec-Assinform nel rapporto “Il Digitale in Italia 2025” valuta il mercato digitale complessivo a 81,6 miliardi di euro nel 2024 (+3,7%), in proiezione a 93 miliardi nel 2028. Dentro questo aggregato il segmento IA supera i 900 milioni di euro con una crescita del 38,7% anno su anno tra 2023 e 2024, e si proietta su un tasso medio annuo del 28% fino al 2028. I capitali ci sono, le competenze no: il sistema produttivo italiano ha richiesto 44.000 posizioni con competenze IA nel solo 2025, in crescita del 93% rispetto all’anno precedente.

Il costo della conformità è la voce che le PMI ancora non hanno messo a bilancio. Stime preliminari di consulenti che lavorano su clienti di fascia media indicano un range tra 30.000 e 150.000 euro per un primo ciclo di adeguamento di un’impresa con uno o due sistemi ad alto rischio, polizze assicurative dedicate escluse. Per una grande impresa è una cifra trascurabile, per una piccola può equivalere all’investimento in IA stesso. Il rinvio europeo sui codici di condotta, di cui Tom’s Hardware ha analizzato l’impatto nello speciale sul rinvio europeo al 2027-2028, sposta in avanti alcune scadenze ma non riduce la responsabilità delle imprese sui sistemi già in produzione.

L’Italia parte ventisettesima nella corsa europea all’AI

Il Stanford AI Vibrancy Index, pubblicato da Stanford HAI insieme a Tortoise, mette l’Italia al 27° posto mondiale con uno score di 10,68 punti. Il confronto con gli altri grandi mercati è impietoso: gli Stati Uniti si attestano a 78,60, la Cina a 36,95, il Regno Unito a 16,64. All’Italia mancano capitali di rischio dedicati, centri di ricerca con massa critica internazionale e una base di imprese che adotti l’AI in modo diffuso.

Il 22% delle imprese italiane utilizza almeno una soluzione di IA, contro una media UE del 32%. Su questo punto Tom’s Hardware ha già messo in fila la fotografia di un Paese in cui tre PMI su quattro restano ferme, mentre l’Italia resta indietro nelle classifiche di adozione effettiva. La sproporzione tra una legge italiana sull’IA tra le prime in Europa e un parco aziende lontano dalla maturità per attuarla è la cifra strutturale di questa fase.

La legge italiana ha scelto un perimetro più ampio dell’AI Act europeo, includendo previsioni su scuola, sanità, lavoro e giustizia che Bruxelles aveva lasciato volutamente fuori dal regolamento orizzontale. La scelta è coerente con un’idea di sovranità regolatoria, ma sposta sulle imprese il peso di interpretare due quadri sovrapposti, italiano ed europeo, che non sempre coincidono nei dettagli operativi. Il quadro normativo per le imprese messo a punto da Tom’s Hardware aiuta a leggere la stratificazione.

Compliance, formazione, assicurazioni: il triangolo che ridisegna l’AI in azienda

Nel 2026 la funzione di compliance esce dal perimetro IT ed entra nell’organigramma stabile, come accadde con il GDPR nel 2018. Il responsabile AI compliance non è più un consulente esterno chiamato per il singolo progetto, ma una figura che presidia la mappatura dei sistemi, il registro dei trattamenti algoritmici, la gestione dei log, il rapporto con ACN e AgID. Le imprese che hanno già un DPO troveranno naturale estenderne il mandato; quelle che non lo hanno mai avuto si troveranno a costruire da zero una funzione che richiede competenze legali, tecniche e organizzative insieme.

I 200 milioni stanziati sulla scuola sono un segnale politico, ma il collo di bottiglia è interno alle aziende: secondo AI4Business più di un’impresa su due dichiara di non avere personale formato sulle implicazioni regolatorie dell’IA, e questo vale anche tra le grandi. La voce “alfabetizzazione AI” prevista dall’articolo 4 dell’AI Act non è un consiglio ma un obbligo, già in vigore dal 2 febbraio 2025: ogni impresa deve garantire un livello adeguato di competenza al proprio personale che utilizza sistemi di IA. Nessuna soglia minima è indicata, ma la prova della formazione effettuata diventerà documentazione difensiva in caso di contestazione.

Le polizze per la responsabilità civile da IA esistono già nei mercati anglosassoni e iniziano ad apparire in Italia, ma con coperture parziali e franchigie elevate. Il problema attuariale è la mancanza di una serie storica di sinistri: gli assicuratori non sanno ancora quanto costi mediamente un danno da decisione algoritmica errata, e si tutelano con premi alti e clausole stringenti. Per le PMI questo si tradurrà in due strategie possibili: trasferire il rischio al fornitore del sistema con clausole contrattuali esplicite, oppure assumere il rischio internamente e ridurlo con processi di supervisione umana documentata.

Una legge ben scritta su un Paese non ancora pronto

I decreti italiani sono fatti bene. L’architettura AgID-ACN è coerente, le sanzioni proporzionate, le sandbox un’opportunità reale, i 200 milioni sulla scuola un investimento sensato sul medio periodo. Il problema è che l’impalcatura normativa presuppone aziende con un grado di maturità organizzativa che il tessuto produttivo italiano in larga parte non ha. Il governo costruisce autorità, procedure, responsabilità documentali stringenti; il Politecnico misura un 8% di adozione tra le PMI e un 76% senza piani. La distanza tra le due dimensioni è il vero rischio politico dei prossimi diciotto mesi.

I decreti producono un trasferimento di rischio asimmetrico. Le imprese strutturate investiranno in compliance, audit, polizze, dipartimenti legali; quelle non strutturate, che sono la maggioranza in Italia, resteranno esposte a costi di conformità sproporzionati rispetto al loro fatturato, con le sandbox regolatorie come unico ammortizzatore reale. La scommessa dei 200 milioni sulla scuola arriva tardi rispetto all’orologio dei decreti, ma è l’unica voce che affronti una causa anziché un sintomo: la mancanza di competenze è il limite a monte di tutto il resto.

Il banco di prova è il modo in cui AgID e ACN sapranno calibrare vigilanza e tolleranza nei primi diciotto mesi dopo il 2 agosto 2026, data di piena applicazione dell’AI Act. Troppo lassismo svuota la norma e produce una conformità di facciata; troppo rigore consegna il mercato italiano agli attori esteri già conformi, che hanno strutture compliance pronte dal 2024. La via stretta è quella di una vigilanza graduata sulla dimensione d’impresa e sull’effettivo rischio del sistema, con le PMI accompagnate dentro la sandbox AgID prima di essere giudicate dentro l’aula ACN. Se questo equilibrio non viene trovato, l’Italia avrà la legge migliore d’Europa e l’adozione peggiore d’Occidente.