I primi schemi di decreto attuativo della Legge 132/2025 disegnano la governance italiana dell'IA: AGID autorità di notifica, ACN alla vigilanza del mercato, obbligo di trasparenza per imprese e professionisti.
La Legge 23 settembre 2025, n. 132 ha dato all'Italia un perimetro normativo nazionale per l'intelligenza artificiale. Il 10 giugno 2026 il Consiglio dei ministri ne ha approvato, in via preliminare, i primi due schemi di decreto legislativo. Il primo definisce i poteri delle autorità nazionali, la vigilanza, le sanzioni, gli spazi di sperimentazione, la formazione e le disposizioni in materia di lavoro. Il secondo disciplina l'impiego dei sistemi di IA nelle attività di polizia e introduce regole su responsabilità civile e penale.
Gli schemi restano preliminari: passano ora per i pareri del Garante, della Conferenza unificata e delle commissioni parlamentari, prima del testo definitivo. Il calendario fissa al 10 ottobre 2026 la scadenza entro cui il Governo deve adottare i primi decreti delegati previsti dagli articoli 16 e 24. L'Italia si muove così tra i primi Stati membri a tradurre il Regolamento europeo sull'IA in una governance nazionale operativa.
Il disegno istituzionale assegna due ruoli distinti. AGID — l'Agenzia per l'Italia Digitale — diventa l'autorità nazionale di notifica, con poteri ispettivi e competenza sulle procedure di notifica e sugli organismi di valutazione della conformità. ACN — l'Agenzia per la cybersicurezza nazionale — riceve la vigilanza del mercato, il potere sanzionatorio e la registrazione dei sistemi di IA ad alto rischio.
Per le imprese significa due interlocutori chiari: uno presidia la conformità a monte, l'altro controlla il mercato a valle e applica le sanzioni. La separazione ricalca la logica del Regolamento europeo, dove l'autorità di notifica e l'autorità di vigilanza restano funzioni distinte.
Il cuore pratico della riforma è un obbligo di trasparenza. Professionisti e imprese devono dichiarare in modo chiaro quando impiegano strumenti di IA nelle proprie prestazioni. L'obbligo entra nei capitolati, nei piani formativi degli Ordini professionali e nei processi organizzativi: chi firma una perizia, un progetto o una consulenza con il supporto di sistemi di IA lo esplicita al committente.
Sul lavoro il quadro è altrettanto netto. Quando un datore di lavoro usa sistemi di IA nei processi che riguardano la costituzione, la modifica o la cessazione del rapporto, la decisione definitiva resta riservata a una persona fisica con potere effettivo e autonomo. Il trattamento automatizzato resta uno strumento di supporto; la responsabilità resta in capo a una persona.
La formazione è il terzo pilastro. La legge colloca l'aggiornamento delle competenze tra i requisiti strutturali, in linea con un principio che gli hub europei di trasformazione AI praticano già: il capitale umano va elevato in parallelo all'adozione tecnologica. È la stessa direzione dell'AI Methodology, che tratta la crescita delle persone come un asset firmabile accanto all'architettura.
Il quadro italiano si innesta sul Regolamento europeo sull'IA. L'accordo provvisorio del Digital Omnibus, raggiunto il 7 maggio 2026 tra Consiglio e Parlamento, ha rimodulato il calendario: gli obblighi per i sistemi ad alto rischio dell'Allegato III slittano dal 2 agosto 2026 al 2 dicembre 2027, mentre gli obblighi di trasparenza per i chatbot restano attesi per agosto 2026. Le imprese italiane lavorano quindi su due livelli temporali sovrapposti: la scadenza nazionale di ottobre 2026 per i decreti delegati e il calendario europeo riscritto.
Questa doppia agenda chiede una lettura attenta. La proroga europea sull'alto rischio concede respiro sui sistemi più complessi, mentre l'obbligo nazionale di dichiarazione dell'uso dell'IA e le regole sul lavoro producono effetti molto prima, appena i decreti diventano definitivi. Per chi opera in settori regolati — finanza, sanità, servizi pubblici — la sequenza è chiara: prima la trasparenza e la responsabilità umana, poi l'onere documentale pieno sull'alto rischio.
Le mosse utili a qualsiasi impresa o studio professionale italiano, a prescindere dal fornitore di tecnologia scelto, sono concrete:
Per i dati più sensibili — sanità, finanza, pubblica amministrazione — uno dei pattern adottati dagli hub europei è tenere modelli e dati dentro perimetri sealed e sovrani, come propone l'approccio AI Privacy First. La scelta resta dell'impresa; la direzione regolatoria premia chi sa dimostrare il controllo end-to-end sui propri dati.
Gli schemi approvati il 10 giugno sono un punto di partenza, soggetti ai pareri e al passaggio parlamentare. La partita vera si gioca sulla tenuta del calendario: l'Italia ha scelto di correre, e la domanda aperta è se la macchina amministrativa — autorità, organismi di valutazione, Ordini — arriverà a ottobre con regole pienamente applicabili e operative. Il primo anno di evidenze dirà se il modello italiano diventa un riferimento per gli altri Stati membri o un cantiere da rivedere.
Autore
Pablo Liuzzi
Founder, Synthos Logic