Decreto AI: Come Cambia la Responsabilità Civile e Penale per l’Uso dell’IA

Il Consiglio dei ministri, il 10 giugno 2026, ha avviato l’esame preliminare di due schemi di decreto legislativo attuativi della legge n. 132/2025 (di seguito “legge IA”), che introduce disposizioni per l’allineamento normativo al regolamento UE 2024/1689 (cosiddetto AI Act). Uno di questi schemi disciplina l’utilizzo dei sistemi di intelligenza artificiale nelle attività di polizia e introduce una serie di modifiche al contesto nazionale per quanto riguarda la responsabilità civile e penale.

Il contesto normativo

L’AI Act, emanato a livello europeo, è direttamente applicabile ma prevede che alcuni profili siano demandati agli Stati membri, come ad esempio il regime processuale civile e penale relativo ai sistemi di IA. La legge IA, entrata in vigore il 10 ottobre 2025, ha conferito al Governo le necessarie deleghe attraverso l’articolo 24. Allo schema si applica quindi un termine di dodici mesi per l’esercizio della delega, che scadrà il 10 ottobre 2026.

Un nuovo reato penale

La norma introduce un nuovo reato nel codice penale, disciplinato dall’articolo 437-bis inserito dopo l’articolo 437 esistente, con il titolo “Omessa adozione di misure di sicurezza nei sistemi di intelligenza artificiale e alterazione illecita dei sistemi.” Il nuovo articolo si articola in tre commi:

• comma primo: riguarda l’omissione di misure di sicurezza nei sistemi ad alto rischio;
• comma secondo: punisce l’alterazione illecita di sistemi di IA;
• comma terzo: stabilisce l’attenuazione della pena nel caso di colpa grave, limitatamente alle condotte omissive.

La norma si applica specificamente ai sistemi ad alto rischio, come definiti nell’AI Act, e introduce un ulteriore elemento di tutela riguardo la sorveglianza umana, la cui mancanza, in presenza di un concreto pericolo, può integrare un illecito.

Estensione del catalogo dei reati-presupposto

L’articolo 17 introduce un nuovo articolo (art. 25-vicies) al decreto legislativo 231/2001, riguardante i reati commessi con l’uso di sistemi di IA. Questi reati diventano dunque reati-presupposto e potranno essere soggetti alle sanzioni interdittive dell’art. 9 del citato decreto.

• Il primo reato riguarda l’uso di un sistema di IA in modo tale da comprometterne l’integrità;
• il secondo si riferisce al danno causato da un sistema di IA non in conformità con gli obblighi derivanti dal regolamento UE.

Tale estensione rappresenta un’importante evoluzione del quadro normativo italiano, per quanto riguarda la prevenzione di condotte illecite attraverso l’utilizzo di sistemi di IA.

Modifiche alla responsabilità civile

L’aspetto più rilevante dello schema riguarda il tema della responsabilità civile. L’articolo 18 introduce strumenti giuridici per il risarcimento del danno, sia contrattuale che extracontrattuale, causato dall’uso di un sistema di IA. Questo strumento si basa sul criterio diretto della ripartizione dell’onere della prova in base alla classificazione di rischio del sistema, come stabilito per l’applicazione dell’AI Act.

Accesso alle prove

L’articolo 19 regola l’accesso alle prove relative all’uso sistematico di sistemi di IA in processo civile. Su istanza del danneggiato, il giudice può ordinare l’esibizione di elementi relativi al sistema, compresi registri, documentazione tecnica, prove relative al sistema di gestione dei rischi, informazioni sulla sorveglianza umana, nonché documentazione conforme agli articoli dell’AI Act come il 9, 11, 12 e 14.

L’ordine al rispettivo soggetto di fornire tali elementi è limitato a quanto necessario e proporzionato, con tutela specifica anche per i segreti commerciali. In caso di inadempimento parziale o completo da parte del destinatario dell’ordine, il giudice può desumere elementi di prova anche ai sensi dell’articolo 116 del codice di procedura civile e ritenere ammessi i fatti allegati in base a elementi forniti.

Presunzione di causalità

L’articolo 20 introduce una presunzione legale del nesso causale tra una violazione del AI Act e il danno provocato. Ciò genera una inversione a carico del destinatario dell’azione risarcitoria del carico di provare la mancanza di tale nesso. Questo regime processuale è estremamente favorevole per la parte danneggiata, permettendo di superare le classiche difese basate sull’avversario.

Conformità non esclude la responsabilità

L’articolo 21 chiarisce in modo definitivo che la conformità del sistema agli obblighi previsti dall’AI Act, anche in presenza di certificazioni rilasciate ai sensi del capo III, sezione 5 dell’AI Act, non esclude la responsabilità del coimputato.

Il significato strategico

Bisogna considerare il contesto internazionale: nel febbraio 2025 la Commissione UE ha ritirato la sua proposta di direttiva sulla responsabilità da IA, avanzata nel 2022. Di conseguenza, lo schema italiano colma un vuoto in materia, introducendo in via autonoma un sistema normativo che accompagna l’applicazione del regolamento europeo.

Linee operative per i soggetti interessati

In vista della pubblicazione del testo definitivo, vengono indicate alcune linee guida:

• verificare l’efficacia e la documentabilità della sorveglianza umana, con il relativo rischio;
• assicurare la tracciabilità e conservazione di registri, log, documentazione tecnica e sistemi di gestione previsti dall’AI Act;
• aggiornare i Modelli 231 con i nuovi reati e i protocolli di sicurezza legati all’uso di sistemi di IA.

Rispettare tali indicazioni sarà cruciale per fornire un livello di conformità e sicurezza che non comporti rischi legali e reputazionali in futuro.