by Claudio Caldarola
Avvocato specializzato in diritto delle tecnologie.
Dal 2018 Presidente di Global Professionals for Artificial Intelligence
UNA LETTURA GIURIDICA E STRATEGICA ALLA LUCE DELL’AI ACT E DELLA LEGGE 23 SETTEMBRE 2025, N. 132
INTRODUZIONE
Immaginate un’impresa italiana che decida di affidare alla tecnologia il compito di ottimizzare la produzione, prevenire i guasti e contenere gli sprechi. L’intelligenza artificiale non è più un tema da convegno, ma un alleato operativo che ridisegna il lavoro e la responsabilità. Ogni algoritmo apre possibilità straordinarie ma anche interrogativi profondi. Se la macchina sbaglia, chi risponde? Come si protegge il flusso dei dati e chi ne governa l’uso?
Sono domande che, allo stato attuale, non appartengono più soltanto ai tecnici, ma riguardano ogni imprenditore. Il Regolamento (UE) 2024/1689 (AI Act) e la Legge 23 settembre 2025, n. 132, hanno trasformato tali interrogativi in doveri concreti, imponendo alle imprese di coniugare innovazione e responsabilità. Il nuovo diritto dell’intelligenza artificiale non ostacola il progresso: lo orienta verso la fiducia.
1) DAL CASO CONCRETO ALLA STRATEGIA DIGITALE D’IMPRESA
Nel tessuto delle piccole e medie imprese italiane, la digitalizzazione è ormai parte della fisiologia economica. Secondo i dati dell’ISTAT 2024, il 70% delle aziende possiede un livello di digitalizzazione di base, il 26% uno avanzato e soltanto l’8,2% utilizza effettivamente sistemi di intelligenza artificiale (AI)¹. La distanza tra ambizione e realtà resta evidente, ma il ritmo della crescita segnala una trasformazione strutturale.
Un tipico scenario riguarda l’adozione di un sistema di machine learning per il controllo della qualità. L’algoritmo analizza i dati in tempo reale, segnala deviazioni produttive e consente di destinare le risorse umane a funzioni di maggiore valore strategico. Tuttavia, se il sistema non è trasparente o apprende da dati imperfetti, può produrre decisioni arbitrarie o discriminatorie. Da ciò nasce la necessità di una tutela giuridica costante, poiché ogni innovazione, per essere sostenibile, deve essere anche legittima e documentata.
In termini operativi, la conformità normativa (legal compliance) non è un costo ma un investimento nel capitale reputazionale e nella fiducia dell’ecosistema economico.
2) IL QUADRO NORMATIVO CHE RIDEFINISCE IL GOVERNO DELL’INNOVAZIONE
Il Regolamento (UE) 2024/1689 (AI Act) stabilisce un modello europeo basato sul risk-based approach, ovvero un approccio fondato sulla gestione proporzionata del rischio. L’articolo 4 introduce la classificazione dei sistemi di AI in quattro livelli: minimo, limitato, alto e inaccettabile. Gli articoli 9, 10 e 13 delineano il cuore della disciplina, imponendo obblighi in materia di gestione del rischio, qualità dei dati e trasparenza dell’interazione uomo-macchina.
La Legge 23 settembre 2025, n. 132, recepisce e amplia questi principi, introducendo nel diritto italiano la nozione di “sorveglianza umana” (human oversight) obbligatoria per i sistemi decisionali automatizzati. Ogni impresa è tenuta a istituire un registro interno dei sistemi di intelligenza artificiale ad alto rischio e a predisporre procedure di controllo, audit e formazione del personale.
Accanto a tali norme, il Regolamento (UE) 2019/881 (Cybersecurity Act), la Direttiva (UE) 2022/2555 (NIS 2) e il Regolamento (UE) 2024/2847 (Cyber Resilience Act) completano il quadro, introducendo un principio di accountability estesa, che impone responsabilità condivisa lungo l’intera catena del valore digitale.
Il risultato è un assetto normativo coerente: l’Europa non lascia spazio all’improvvisazione tecnologica. Ogni innovazione deve rispettare i principi della trasparenza, della proporzionalità e del controllo umano.
3) LA COMPATIBILITÀ GIURIDICA COME CONDIZIONE DELLA SOSTENIBILITÀ TECNOLOGICA
In via preliminare, l’impresa resta responsabile non solo dell’acquisto di una tecnologia conforme, ma anche del suo utilizzo corretto e verificato. Il sistema di AI non sostituisce l’autonomia decisionale dell’imprenditore: la integra e la potenzia.
L’analisi della compatibilità deve considerare quattro elementi chiave: la tracciabilità delle decisioni, la qualità dei dati di addestramento, la supervisione costante e la possibilità di revisione umana (human-in-the-loop). Un sistema che operi in modo opaco o privo di verifica esterna può violare i principi di liceità e correttezza sanciti dal Regolamento (UE) 2016/679 (GDPR).
Poiché la tecnologia evolve in modo dinamico e auto-apprendente, la conformità non è mai definitiva. La legge esige un monitoraggio permanente fondato sulla documentazione e sulla verifica periodica delle prestazioni. La responsabilità, in questo scenario, diviene un processo continuo, non un atto isolato.
Il rispetto della conformità normativa trova il suo naturale prolungamento nella protezione dei dati e nella sicurezza dei sistemi: due dimensioni inseparabili della sostenibilità digitale.
4) LA SICUREZZA DEI DATI COME ASSET STRATEGICO DELL’IMPRESA DIGITALE
La protezione dei dati rappresenta l’asse più delicato dell’ecosistema digitale. Le imprese che utilizzano l’intelligenza artificiale trattano informazioni personali e industriali di elevato valore, e ogni vulnerabilità può tradursi in un danno economico, giuridico e reputazionale.
Le misure da adottare devono essere tecniche e organizzative:
• minimizzare la raccolta dei dati, riducendola all’essenziale;
• cifrare le comunicazioni interne ed esterne;
• prevedere un’autenticazione forte e una segregazione degli accessi;
• conservare registri e log di sistema per garantire la tracciabilità;
• istituire canali dedicati alla segnalazione e alla gestione degli incidenti di sicurezza.
Il Cyber Resilience Act consolida tale impostazione, imponendo che ogni prodotto digitale sia progettato secondo il principio di security by design. L’obiettivo è superare la logica del rimedio per abbracciare quella della prevenzione: la resilienza informatica è ormai parte integrante della qualità industriale e della competitività.
5) LA VIGILANZA E LE PROSPETTIVE
Il controllo sull’applicazione della normativa si articola su più livelli. In ambito europeo, operano la Commissione europea e l’European Artificial Intelligence Office, con funzioni di coordinamento e supervisione tra gli Stati membri.
In Italia, le competenze principali sono attribuite al Ministero delle Imprese e del Made in Italy (MIMIT), quale autorità di coordinamento nazionale, e al Garante per la protezione dei dati personali, per i profili connessi ai diritti fondamentali e al trattamento dei dati. Accanto a essi, l’Agenzia per la Cybersicurezza Nazionale (ACN) e l’Agenzia per l’Italia Digitale (AgID) esercitano funzioni di vigilanza tecnica e accompagnamento: la prima in materia di sicurezza, resilienza e certificazione dei sistemi di AI, la seconda in tema di governance digitale, notifiche e promozione dell’uso responsabile dell’intelligenza artificiale nella Pubblica Amministrazione.
In questa cornice multilivello, la vigilanza non rappresenta un vincolo ma un esercizio di garanzia, volto a mantenere la proporzione tra innovazione e dignità umana. Essa non si esaurisce nella verifica documentale ma richiede audit indipendenti, valutazioni di impatto e programmi di formazione trasversale.
Occorre consolidare una cultura dell’accountability, fondata non soltanto sull’assenza di colpa ma sulla presenza effettiva di controllo, trasparenza e tracciabilità delle decisioni algoritmiche.
In prospettiva, il diritto dovrà evolversi in una struttura adattiva, capace di accogliere l’innovazione senza smarrire la propria coerenza. L’intelligenza artificiale, per sua natura, erode le categorie tradizionali dell’imputazione e impone di ripensare il rapporto tra l’atto, la volontà e la responsabilità. Ciò non significa arretrare, ma affinare gli strumenti della razionalità giuridica affinché il diritto resti il linguaggio della fiducia nell’era digitale.
CONCLUSIONI
Alla luce del quadro analizzato, la digitalizzazione non è più una variabile esterna dell’impresa ma la sua nuova grammatica. L’AI Act e la Legge 132/2025 impongono un cambio di mentalità: non una corsa alla tecnologia, ma un’edificazione della fiducia attraverso la tecnologia.
L’imprenditore che comprenda questa logica non subisce la norma, la utilizza. Integrare la conformità nella strategia d’impresa significa anticipare i rischi, valorizzare la reputazione e rafforzare la competitività. Il giurista, a sua volta, non è più un guardiano ma un architetto del diritto applicato, chiamato a trasformare la complessità normativa in architettura operativa.
Nel nuovo orizzonte digitale, il diritto non insegue la tecnologia: la accompagna, la modella e la difende, restando la più alta forma di intelligenza collettiva.
Riferimenti
¹ ISTAT, Imprese e ICT – Anno 2024, Roma, 2025.
² Regolamento (UE) 2024/2847 del Parlamento europeo e del Consiglio, 20 dicembre 2024, Cyber Resilience Act.
³ Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio, 13 giugno 2024, AI Act.
⁴ Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, 14 dicembre 2022, NIS 2.
⁵ Legge 23 settembre 2025, n. 132, Disposizioni e deleghe al Governo in materia di intelligenza artificiale, Gazzetta Ufficiale n. 223 del 25 settembre 2025.
