Il Consiglio dei ministri ha approvato in esame preliminare due schemi di decreto legislativo destinati a completare l’attuazione italiana del Regolamento UE 2024/1689, l’AI Act europeo. Il pacchetto interviene sui punti che il regolamento affida agli Stati membri: autorità nazionali competenti, poteri di vigilanza e ispezione, sistema sanzionatorio, coordinamento con le autorità già attive nei settori regolati e sperimentazione controllata per startup e PMI.
L’intervento si innesta sulla legge 23 settembre 2025, n. 132, entrata in vigore il 10 ottobre 2025, che ha definito il quadro nazionale sull’intelligenza artificiale e delegato il Governo ad adeguare l’ordinamento interno alle regole europee. La legge aveva già individuato AgID e ACN come soggetti centrali nella governance nazionale: l’Agenzia per l’Italia Digitale è orientata soprattutto alla promozione, all’innovazione e al supporto alle amministrazioni e alle imprese, mentre l’Agenzia per la cybersicurezza nazionale assume un ruolo rilevante per la sicurezza, la sorveglianza del mercato e gli aspetti tecnico-operativi collegati ai sistemi di IA.
Il decreto di adeguamento deve rendere operativa questa architettura, definendo in modo più preciso chi controlla i fornitori, chi verifica gli obblighi dei deployer, quali autorità intervengono nei diversi ambiti settoriali e come vengono trattate le non conformità. Il punto è essenziale perché l’AI Act non regola soltanto lo sviluppo del modello, ma l’intero ciclo di vita di un sistema: progettazione, raccolta e gestione dei dati, addestramento, valutazione, messa sul mercato, utilizzo, monitoraggio successivo e gestione degli incidenti.
La classificazione del rischio rimane il perno del regolamento europeo. Le pratiche considerate vietate, come alcune forme di manipolazione, social scoring o categorizzazione biometrica, sono già soggette alle disposizioni applicabili dal 2 febbraio 2025. Dal 2 agosto 2025 sono entrate in applicazione le norme sulla governance, sulle autorità competenti, sui modelli di IA per finalità generali e sulle sanzioni. La parte generale del regolamento, compresi molti obblighi relativi ai sistemi ad alto rischio, diventa applicabile dal 2 agosto 2026.
Per i sistemi ad alto rischio, la conformità non consiste in una dichiarazione generica di affidabilità. Il fornitore deve predisporre un sistema di gestione del rischio, definire requisiti di qualità e governance dei dati, produrre documentazione tecnica, mantenere log e tracciabilità, stabilire procedure di sorveglianza umana, verificare accuratezza, robustezza e sicurezza informatica. Prima della commercializzazione o della messa in servizio, il sistema deve superare la valutazione di conformità prevista dalla normativa e, quando applicabile, recare la marcatura CE.
L’attuazione italiana deve inoltre coordinare la vigilanza AI con le autorità che già esercitano competenze su diritti fondamentali, dati personali, concorrenza, comunicazioni, disabilità e persone private della libertà. Il Dipartimento per la trasformazione digitale ha indicato, ai fini dell’articolo 77 dell’AI Act, il Garante per la protezione dei dati personali, AGCM, AGCOM, il Garante nazionale delle persone private della libertà e il Garante nazionale dei diritti delle persone con disabilità. Questi organismi possono richiedere documenti e informazioni, collaborare con la sorveglianza del mercato e sollecitare verifiche tecniche su sistemi ad alto rischio che possano incidere sui diritti fondamentali.
Il pacchetto attuativo comprende anche la definizione di strumenti regolatori destinati a evitare che la conformità diventi un percorso accessibile soltanto ai grandi operatori. Le sandbox regolatorie previste dall’AI Act consentono a startup, PMI, fornitori e amministrazioni di testare sistemi in un ambiente supervisionato, con interlocutori istituzionali e condizioni definite per l’uso sperimentale. Il loro obiettivo non è sospendere gli obblighi, ma consentire di applicarli fin dalla fase di sviluppo, verificando dati, controlli, documentazione e misure di sicurezza prima dell’immissione sul mercato.
Sul piano organizzativo, il provvedimento rafforza anche il tema delle competenze. La norma UNI 11621-8:2026, pubblicata il 30 aprile 2026, definisce dodici profili professionali per l’ecosistema dell’intelligenza artificiale, dal Chief AI Officer agli specialisti di dati, sicurezza, machine learning, deep learning, linguaggio naturale e ricerca. Per ciascun profilo la norma identifica compiti, competenze, conoscenze, abilità, risultati attesi e indicatori di prestazione, offrendo una base tecnica per strutturare team AI nelle imprese, nella pubblica amministrazione e nei percorsi formativi.
L’adeguamento nazionale non modifica il carattere direttamente applicabile dell’AI Act, ma costruisce l’infrastruttura italiana necessaria per farlo funzionare: autorità con competenze definite, procedure di controllo, raccordo con le regole esistenti su privacy e cybersicurezza, canali di sperimentazione e strumenti per attribuire responsabilità tecniche e organizzative. Per le organizzazioni che sviluppano o utilizzano sistemi di IA, il passaggio operativo è l’identificazione concreta dei sistemi impiegati, della loro funzione, del soggetto responsabile, dei dati utilizzati, del livello di rischio e della documentazione disponibile lungo l’intero ciclo di vita.