Decreti AI, più controlli e nuove responsabilità per le imprese

I decreti attuativi dell’AI Act e della Legge IA spostano il focus dagli obblighi europei al sistema italiano di enforcement. L’Agenzia per l’Italia Digitale (AgID), l’Agenzia per la Cybersicurezza Nazionale (ACN) e le autorità settoriali avranno nuovi poteri di vigilanza, mentre nuove regole aumentano le responsabilità civili, l’accesso alle prove e la compliance aziendale.

Per anni, il dibattito europeo sull’intelligenza artificiale si è concentrato sugli obblighi richiesti ai fornitori e ai deployer dei sistemi di IA. La classificazione dei sistemi ad alto rischio, i requisiti di trasparenza, la governance dei dati, la supervisione umana e le procedure di valutazione della conformità hanno dominato la discussione tra istituzioni, imprese e operatori del settore. Con l’approvazione, da parte del Consiglio dei ministri del 10 giugno 2026, dei due schemi di decreto legislativo attuativi del Regolamento UE sull’IA (AI Act) e della legge n. 132 del 2025 (Legge IA), il focus sembra cambiare: non più solo di quali obblighi impone l’AI Act, ma chi e come deve svolgere tale attività di vigilanza.

Dal dibattito teorico agli strumenti concreti

I nuovi decreti non mirano soltanto ad adattare la normativa ai requisiti europei, ma costruiscono un sistema nazionale di enforcement, combinando vigilanza amministrativa, responsabilità civile e tutela penale. Questo sistema affronta alcune questioni che il legislatore europeo non ha ancora disciplinato in modo compiuto.

AgID, ACN, Banca d'Italia, CONSOB e IVASS: chi vigila

La Legge IA aveva già attribuito a AgID e ACN ruoli chiave nella gestione del settore. Ora, grazie ai nuovi decreti, il legislatore italiano sembra seguire una strategia di continuità, mantenendo una governance coerente con modelli consolidati dell’ordinamento europeo.

Insieme ad AgID e ACN entrano in gioco le autorità settoriali che vigilano sui settori dove il rischio associato ai sistemi di IA è particolarmente alto. Per esempio:

• La Banca d'Italia vigila su sistemi usati nel settore bancario;
• CONSOB sul settore finanziario;
• IVASS su quello assicurativo;
• Il Garante per la protezione dei dati personali continua a vigilare su sistemi ad alto rischio usati in settori sensibili.

Nonostante la divisione sembri logica, si corre il rischio di sovrapposizioni, duplicazioni di controlli e interpretazioni non uniformi. Per prevenire questi problemi, i decreti introducono un comitato di coordinamento, accordi interautoriali e obblighi di notifica reciproca.

Poteri di vigilanza: da distanti a vicini

Il quadro normativo attribuisce ad ACN e alle autorità settoriali il potere di effettuare ispezioni a distanza o in loco, anche senza preavviso. Questo dimostra una volontà chiara: la conformità dell’IA non è un atto formale ma un requisito da mantenere lungo l’intero ciclo di vita del sistema.

Le sanzioni: multe e alternative

Pensiamo alle misure sanzionatorie previste. Il potere è suddiviso tra:

• L’AgID, per la valutazione e monitoraggio di organismi;
• Le autorità nazionali, come ACN, Banca d'Italia, CONSOB, IVASS e il Garante, che operano per settore.

Un’importante innovazione introdotta è la possibilità di adottare misure sanzionatorie alternative alle multe. L’autorità può richiedere ad un soggetto inadempiente di eliminare le violazioni, astenersi da ripeterle e adottare le misure necessarie. Se la violazione è cessata, potrebbe essere ordinata una pubblica dichiarazione da parte dell’ente.

Resta, però, incerto il criterio di “scarsa pericolosità” e “offensività” necessario per optare per una sanzione alternativa. Senza chiarimenti operativi, tali parametri potrebbero non influenzare in maniera determinante la pratica.

Responsabilità civile e accesso alle prove

Un tema importante trattato nei decreti è l'opacità algoritmica in relazione alla responsabilità civile. Finora, su questo aspetto, l’Europa non ha offerto una soluzione definitiva. Le nuove disposizioni italiane però sembrano offrire risposte innovative.

Nella giustizia civile, il risarcimento del danno causato da un sistema di IA richiede che l’algoritmo funzionamento, i dati usati, le registrazioni delle operazioni e le misure di controllo umano siano accessibili esclusivamente al fornitore o al deployer. Questo è un problema per eventuali danneggiati.

Ai danneggiati sarà però ora riconosciuto il diritto di chiedere in giudicato l’esibizione delle documentazioni relative al sistema di IA. I documenti rilevanti includono i registri dei log, la documentazione sui rischi e le procedure previste dal regolamento EU.

Sovrapposizioni e nuove prospettive

I nuovi decreti anticipano una tendenza più ampia nel diritto europeo: riconoscere l’importanza dell’accesso alle prove in settori ad alte asimmetrie informative.

La portata di questa normativa non limita i benefici ad un singolo processo ma riconosce per la prima volta che l’accesso alle informazioni è un asse essenziale per la garanzia dell’effettività della giustizia.