AI Act, il Governo accelera: più poteri ad ACN, nuove regole su biometria, lavoro e formazione

Con i due schemi di decreto legislativo all’esame del Consiglio dei ministri del 10 giugno il Governo compie un passaggio decisivo nell’attuazione nazionale del Regolamento europeo sull’intelligenza artificiale (AI Act).

Ricordiamo, infatti, che al prossimo 10 ottobre 2026 è fissata la scadenza per l’esercizio della delega legislativa prevista dall’articolo 24 della Legge 132/2025: si tratta evidentemente di una data fondamentale nel panorama italiano dell’intelligenza artificiale e l’approvazione dei due schemi di decreto legislativo rappresenta un’importante accelerazione da parte del Governo nella definizione di una disciplina operativa di dettaglio per l’applicazione delle normative sull’IA a livello nazionale.

L’Italia completa l’attuazione dell’AI Act: perché i decreti in arrivo sono importanti

Si tratta di provvedimenti che vanno ben oltre un semplice adeguamento normativo. Da una parte disciplinano i poteri delle autorità nazionali, la vigilanza del mercato e l’utilizzo dell’intelligenza artificiale nei percorsi formativi; dall’altra introducono un articolato quadro giuridico per l’impiego dell’IA nelle attività di polizia, nelle indagini penali e nei procedimenti civili relativi ai danni causati da sistemi intelligenti.

Il messaggio politico e regolatorio è chiaro: l’Italia intende posizionarsi tra i Paesi europei che puntano a favorire l’innovazione, ma senza rinunciare a un forte presidio istituzionale su sicurezza, cyber sicurezza e tutela dei diritti fondamentali.

Per aziende e professionisti del settore cyber si tratta di una svolta che richiederà un rapido adeguamento organizzativo e di compliance.

ACN diventa protagonista della governance italiana dell’IA

Uno degli aspetti più rilevanti riguarda il ruolo attribuito all’Agenzia per la cybersicurezza nazionale.

Lo schema di decreto conferma che ACN sarà l’autorità nazionale di vigilanza del mercato per i sistemi di IA e assumerà anche il ruolo di punto di contatto unico nazionale previsto dall’AI Act.

La scelta non è soltanto amministrativa.

Dal punto di vista strategico rappresenta il riconoscimento che la sicurezza dei sistemi di IA non può essere separata dalla cyber sicurezza.

ACN avrà poteri ispettivi, poteri di vigilanza, competenze sulla registrazione nazionale dei sistemi ad alto rischio e potrà effettuare controlli anche sulle sperimentazioni in condizioni reali.

Per le imprese che sviluppano o utilizzano sistemi di IA ad alto rischio questo significa confrontarsi con un’autorità che ha già maturato esperienza nella gestione di incidenti cyber, supply chain security e protezione delle infrastrutture critiche.

In prospettiva, è ragionevole attendersi che le verifiche di conformità all’AI Act incorporino sempre più elementi di cyber security-by-design e security-by-default.

Arrivano i sandbox nazionali per l’intelligenza artificiale

Il secondo elemento di grande interesse riguarda l’istituzione dello Spazio di sperimentazione italiano per l’IA.

Il modello ricalca i regulatory sandbox già sperimentati nel fintech e consentirà a imprese e sviluppatori di testare sistemi innovativi in un ambiente controllato sotto la supervisione di AgID e ACN.

L’obiettivo dichiarato è favorire l’innovazione e accelerare l’accesso al mercato europeo dei sistemi di IA, con particolare attenzione a startup e PMI.

Dal punto di vista delle aziende cyber, il sandbox potrebbe diventare uno strumento prezioso per verificare la conformità di modelli e applicazioni prima della commercializzazione, riducendo il rischio normativo e reputazionale.

Riconoscimento facciale e biometria: il Governo apre all’uso nelle attività di polizia

La parte destinata a suscitare maggiore dibattito riguarda senza dubbio l’utilizzo dell’intelligenza artificiale nelle attività di polizia.

Lo schema di decreto consente l’impiego di sistemi di identificazione biometrica remota in tempo reale per specifiche finalità di prevenzione, ricerca di persone scomparse e tutela delle vittime di particolari reati, prevedendo però un articolato sistema di autorizzazioni, controlli e garanzie.

L’utilizzo dovrà essere autorizzato dal pubblico ministero, limitato nel tempo e nello spazio e supportato da valutazioni preventive d’impatto sui diritti fondamentali. Sono inoltre previste registrazioni obbligatorie, conservazione dei log e notifiche al Garante Privacy.

Particolarmente significativo è il divieto di utilizzare database biometrici costruiti mediante scraping indiscriminato di immagini provenienti dal web o da sistemi di videosorveglianza.

Si tratta di un tentativo di trovare un equilibrio tra esigenze investigative e tutela delle libertà individuali, in linea con le eccezioni previste dall’AI Act.

Videosorveglianza intelligente: una novità destinata a far discutere

Un ulteriore passaggio rilevante riguarda la possibilità di integrare sistemi di videosorveglianza con tecnologie di riconoscimento facciale a posteriori.

Il decreto stabilisce che tali strumenti possano essere utilizzati esclusivamente dopo la commissione di un reato e per identificare soggetti già indiziati sulla base di elementi oggettivi e verificabili.

L’impianto normativo cerca di evitare forme di sorveglianza massiva e indiscriminata, vietando esplicitamente utilizzi generalizzati e imponendo il controllo umano sulle decisioni.

Tuttavia, dal punto di vista della cyber security e della protezione dei dati, emergono nuove sfide:

1. Sicurezza delle basi dati biometriche. I database contenenti template biometrici diventeranno obiettivi ad altissimo valore per attori criminali e gruppi APT.
2. Gestione degli accessi. La conservazione dei log e il monitoraggio degli accessi dovranno essere accompagnati da rigorose misure di identity governance.
3. Rischio di manipolazione degli algoritmi. I sistemi di riconoscimento facciale potranno diventare bersagli di attacchi adversarial finalizzati a produrre falsi positivi o falsi negativi.

Nascono nuovi reati legati ai sistemi di IA

Un altro elemento di assoluto rilievo è l’introduzione nel Codice penale del nuovo articolo 437-bis.

La norma punisce l’omessa adozione di misure di sicurezza nei sistemi di intelligenza artificiale ad alto rischio e l’alterazione illecita del loro funzionamento quando da tali condotte derivi un pericolo concreto per persone, sicurezza pubblica o sicurezza dello Stato.

La novità segna un cambio di paradigma.

Per la prima volta la mancata implementazione di adeguate misure di sicurezza nei sistemi di IA viene elevata a questione penalmente rilevante.

Per sviluppatori, integratori, produttori e utilizzatori professionali il messaggio è inequivocabile: la sicurezza dell’IA non è più soltanto una best practice tecnica ma diventa un obbligo giuridico con possibili conseguenze penali.

Responsabilità civile: aumenta il rischio per fornitori e utilizzatori

Lo schema di decreto introduce anche nuove regole processuali per le richieste di risarcimento dei danni causati dall’utilizzo di sistemi di IA.

Tra gli aspetti più significativi figurano:

• accesso facilitato alle prove;
• possibilità per il giudice di ordinare l’esibizione di documentazione tecnica e registri;
• presunzione del nesso causale in caso di violazione degli obblighi previsti dall’AI Act;
• azione diretta verso le compagnie assicurative.

Per le aziende si tratta di un elemento destinato ad aumentare il contenzioso e a rafforzare l’importanza della documentazione di compliance.

In futuro, mantenere traccia delle attività di governance dell’IA potrebbe diventare importante quanto gestire correttamente i registri privacy previsti dal GDPR.

L’alfabetizzazione sull’IA diventa una politica pubblica

Il secondo schema di decreto in discussione oggi al Consiglio dei Ministri affronta un tema spesso trascurato: la preparazione del capitale umano.

Dalla scuola primaria alle università, dalla formazione professionale alla pubblica amministrazione, il testo introduce obblighi e percorsi strutturati di alfabetizzazione sull’intelligenza artificiale.

Particolare attenzione viene dedicata:

• alla formazione dei docenti;
• alla riqualificazione professionale dei lavoratori;
• all’uso dell’IA nella PA;
• alla formazione delle professioni regolamentate;
• alla sanità;
• alla magistratura.

Per il mondo cyber questo rappresenta un passaggio essenziale.

La carenza di competenze è oggi uno dei principali fattori di rischio nell’adozione dell’IA e la costruzione di una cultura diffusa sulla sicurezza e sui limiti dei sistemi intelligenti potrebbe risultare persino più importante delle misure tecnologiche.

Cosa devono fare le aziende adesso

Anche se i decreti dovranno completare il proprio iter, il quadro che emerge è già sufficientemente chiaro.

Le organizzazioni che sviluppano, integrano o utilizzano sistemi di IA dovrebbero iniziare immediatamente a:

1. Mappare i sistemi di IA presenti in azienda. Occorre identificare quali applicazioni rientrano nelle categorie dell’AI Act e valutarne il livello di rischio.
2. Rafforzare la governance. Servono processi formalizzati di supervisione umana, gestione del rischio e documentazione.
3. Integrare cyber security e AI governance. Le nuove disposizioni mostrano chiaramente che sicurezza dell’IA e cybersicurezza stanno convergendo.
4. Prepararsi alle verifiche. Le funzioni attribuite ad ACN suggeriscono un futuro caratterizzato da controlli più strutturati e da requisiti tecnici sempre più stringenti.

Verso un modello italiano dell’intelligenza artificiale

Nel complesso, i due decreti delineano un modello nazionale che punta a combinare innovazione, controllo pubblico e sicurezza.

L’impressione è che il Governo abbia scelto di interpretare l’AI Act non soltanto come una disciplina tecnologica, ma come un nuovo pilastro della sicurezza nazionale digitale.

Per le imprese il messaggio è chiaro: la compliance all’AI Act non sarà un adempimento isolato, ma diventerà parte integrante delle strategie di governance, gestione del rischio e cyber sicurezza.

Chi inizierà ad adeguarsi oggi potrà trasformare questo obbligo normativo in un vantaggio competitivo. Chi aspetterà l’entrata in vigore definitiva delle nuove regole rischia invece di trovarsi a rincorrere un cambiamento che appare ormai inevitabile.