Il DDL sull’Intelligenza Artificiale: approvazione dal Senato

L’IA non rappresenta esclusivamente una tecnologia, bensì una sfida di natura etica e giuridica. A conferma di ciò, nella seduta del 20 marzo 2025, il Senato ha approvato il disegno di legge sull’IA (il “DDL IA”), volto a disciplinare lo sviluppo e l’applicazione nel contesto nazionale, integrando le disposizioni già previste dall'AI Act.

Il disegno era rimasto bloccato in Senato a causa di oltre 400 emendamenti e le criticità sollevate dalla Commissione europea[1] in relazione ad alcune incongruenze con l’AI Act, le quali sono state solo parzialmente risolte.

Anche il Garante Privacy italiano aveva espresso il proprio parere con il provvedimento n. 477 del 2 agosto 2024, ai sensi dell’art. 36, par. 4 del GDPR, evidenziando la necessità di un coordinamento sistematico tra le disposizioni in materia di IA e la normativa sulla protezione dei dati personali[2].

La Camera dei deputati è ora chiamata a esaminare il testo. L’implementazione delle norme, tuttavia, è subordinata all’adozione di decreti legislativi da parte del Governo, un passaggio che avverrà successivamente all’approvazione parlamentare.

L’obiettivo del legislatore è quello di rafforzare ulteriormente il livello di tutela legata all’impiego dell’IA, con particolare attenzione a determinati ambiti e settori. 

Il contenuto del DDL IA

Il DDL IA è strutturato in quattro sezioni principali:

1. i principi guida e la strategia nazionale per l’utilizzo dell’IA;
2. la regolamentazione di settore in specifici ambiti (sanità, lavoro, giustizia, pubblica amministrazione, sicurezza nazionale, tutela degli utenti e diritto d’autore);
3. la governance e le autorità nazionali competenti in materia (l’Agenzia per l’Italia digitale e l’Agenzia per la cybersicurezza nazionale);
4. gli aspetti penali con la previsione di aggravanti in caso di reati commessi con l’IA e una nuova fattispecie di reato in caso di diffusione di deep fake.

Vengono dettati alcuni principi fondamentali per l’utilizzo dell’IA, tra cui:

• la necessità di garantire che tali sistemi siano sottoposti a supervisione umana tramite la possibilità di intervento e controllo, nel rispetto dell’autonomia decisionale degli individui;
• la trasparenza e la comprensibilità delle informazioni relative al funzionamento di tali sistemi e al trattamento dei dati, mediante una comunicazione chiara e accessibile, con particolare riguardo ai minori, per i quali è previsto il consenso genitoriale per l’uso di tecnologie di IA sotto i 14 anni;
• la sicurezza e la sovranità digitale dei sistemi di IA destinati all’uso pubblico attraverso l’obbligo di installazione su server situati in Italia, al fine di garantire la protezione dei dati personali e la sicurezza nazionale, salvo specifiche eccezioni;
• la tutela del diritto d’autore e, in particolare, la tutela giuridica delle opere generate con l’IA, laddove il contributo umano sia stato determinante nella creazione dell’opera stessa.

Il DDL AI ha subito variazioni lievi rispetto al testo del 23 aprile 2024, tra di esse vi è stato un allineamento alle definizioni dell’AI Act, nonché una delega al Governo per definire una disciplina organica per l’uso di dati, algoritmi e metodi matematici nel training dei sistemi di AI.

Tali modifiche derivano anche dal parere circostanziato C(2024)7814 della Commissione europea, la quale aveva espresso riserve, evidenziando sia la difformità delle definizioni rispetto all’AI Act, sia la mancanza di indipendenza delle autorità di governance.

In ogni caso, il disegno, seppur con piccole variazioni, rimane pressoché invariato. Il DDL IA comprende 28 articoli e stabilisce criteri normativi volti a bilanciare le opportunità offerte dalle nuove tecnologie con i rischi associati al loro uso improprio, non uso o all’utilizzo dannoso. Con un approccio antropocentrico, analogo a quello adottato dal legislatore europeo, il DDL IA stabilisce che l’intero ciclo di vita dei sistemi e dei modelli di IA debba rispettare i diritti e le libertà fondamentali dell’individuo. A titolo esemplificativo, il principio che circonda l’utilizzo dell’IA nel contesto lavorativo risulta rappresentato da una prospettiva incentrata sull’uomo. L’implementazione di tali tecnologie dovrà, pertanto, essere volto a migliorare le condizioni di lavoro, tutelare l’integrità psicofisica dei lavoratori, accrescere la qualità delle prestazioni lavorative e la produttività delle persone, e dovrà essere effettuato in conformità al diritto dell’UE (per maggiori approfondimenti alla bozza del DDL IA del 23 aprile, si rimanda a un nostro precedente contributo, disponibile qui: Italy’s new draft law on artificial intelligence).

Ad ogni modo, nonostante la risoluzione del primo rilievo, le restanti obiezioni della Commissione europea sembrano essere tutt’ora aperte. Si attende ora di capire se la Camera dei deputati modificherà il testo, tenendo conto delle osservazioni della Commissione, o se procederà all’approvazione senza ulteriori cambiamenti.

[1] Il 5 novembre 2024, la Commissione europea ha trasmesso all’Italia un parere circostanziato (C(2024) 7814), in cui sottolineando i punti critici del DDL IA: (i) richiedeva un allineamento all’AI Act (ad esempio con riguardo alle definizioni); (ii) poneva un sostanziale divieto di creare nuove e ulteriori restrizioni all’applicazione dei sistemi di IA; e (iii) richiedeva di rispettare il principio di indipendenza delle Autorità di controllo del settore.

[2] Si rimanda a un nostro precedente contributo, disponibile qui: Il parere del Garante Privacy sul DDL IA: modifiche essenziali per la conformità con il GDPR e l’AI Act.