L’Italia approva la Legge 132/2025 sull’IA: le novità e le sanzioni per uso illecito
Roma, 26 ottobre 2025 –Se fino a oggi creare immagini, video o voci “fake” con l’intelligenza artificiale poteva sembrare un gioco, un esperimento creativo o un modo per intrattenere, da ora non lo è più.
Con la Legge n. 132 del 2025, l’Italia mette fine alla “zona grigia” dell’uso improprio dell’IA, introducendo sanzioni severe per chi utilizza algoritmi e sistemi generativi per manipolare contenuti, diffondere falsità o trarre vantaggi illeciti.
La norma, entrata in vigore a ottobre 2025, trasforma in reato penale la creazione e la diffusione di deepfake non autorizzati e punisce chi sfrutta l’IA per commettere truffe, frodi o manipolazioni di mercato. In poche parole, la stagione dell’“AI senza regole” è ufficialmente terminata.
Con la pubblicazione nella Gazzetta Ufficiale del 25 settembre 2025 e l’entrata in vigore il 10 ottobre 2025, l’Italia è il primo Stato membro dell’Unione Europea ad adottare una legge organica sull’intelligenza artificiale (IA) finalizzata a integrare il regolamento europeo (AI Act) con norme nazionali specifiche.
Tra gli aspetti più rilevanti, la Legge 132/2025 introduce nuove fattispecie penali, aggravanti per reati commessi con l’ausilio di sistemi di IA e sanzioni pecuniarie e detentive per atti illeciti correlati all’uso improprio dell’IA — misure volte a contrastare la diffusione di deepfake, manipolazioni di mercato e altri abusi tecnologici.
I principi generali: trasparenza, controllo umano, responsabilità
La legge si fonda su alcuni principi cardine che guidano tutte le disposizioni successive:
-
L’utilizzo dell’IA deve rispettare i diritti fondamentali, la dignità umana, la non discriminazione e la sostenibilità, in linea con la Costituzione e con il quadro europeo.
- Deve essere garantita trasparenza e tracciabilità dei sistemi: ogni sistema IA dovrà essere documentato, con log che attestino le origini dei dati, i parametri utilizzati, le modifiche e i risultati.
- È prevista la supervisione umana: l’IA può assistere ma non sostituire il giudizio e la responsabilità umana, in particolare nei settori sensibili (giustizia, sanità, pubblica amministrazione).
- Le disposizioni italiane devono essere interpretate in coerenza con il Regolamento UE 2024/1689 (AI Act), e la normativa italiana ha il compito di colmare gli spazi aperti e definire dettagli specifici.
Questi principi stabiliscono un “perimetro etico-legale” che condiziona l’uso lecito dell’intelligenza artificiale nel contesto nazionale.
Novità penali e aggravanti per l’uso illecito dell’IA
Uno degli elementi più rilevanti della Legge 132/2025 riguarda l’introduzione di nuovi reati e aggravanti penali in relazione all’uso improprio dell’IA. Ecco le disposizioni chiave:
Il nuovo reato di diffusione di deepfake (Art. 612-quater c.p.)
La legge introduce un nuovo articolo nel Codice Penale — art. 612-quater — volto a punire chi diffonde, senza consenso e con sistemi di IA, immagini, video o voci falsificate o alterate in modo da ingannare sulla loro autenticità.
-
La pena prevista è la reclusione da 1 a 5 anni, in caso di danno ingiusto causato dalla diffusione.
-
In presenza di circostanze aggravanti (per esempio danni rilevanti, esposizione pubblica, recidiva), la procedibilità può divenire d’ufficio
Aggravante generale per reati commessi con l’IA
La legge modifica l’art. 61 c.p., introducendo una circostanza aggravante comune qualora un reato venga commesso mediante l’impiego di sistemi di IA. In particolare:
-
Se l’IA costituisce mezzo «insidioso» o impedisce la difesa, o rende più gravi le conseguenze del reato, la pena base può essere aumentata.
- Ciò significa che per reati tradizionali (truffa, frode, appropriazione indebita, etc.), l’uso dell’IA può comportare un aggravamento della pena.
| Norma / fattispecie | Sanzione aumentata se uso IA |
|---|---|
| Art. 2637 c.c. – Aggiotaggio | Reclusione da 2 a 7 anni (se commesso mediante IA) |
| Art. 185 TUF (manipolazione del mercato) | Reclusione da 2 a 7 anni + multa da € 25.000 a € 6.000.000 |
| Art. 294 c.p. – attentati ai diritti politici | Se l’inganno è realizzato con IA, reclusione da 2 a 6 anni |
Inoltre, la legge prevede che per queste fattispecie l’uso dell’IA rappresenti circostanza aggravante autonoma, che si somma alle aggravanti già previste.
Nel testo della legge è prevista l’introduzione di un’ipotesi di reato anche per text-and-data mining illecito, ossia l’uso automatizzato di dati o testi per estrarre informazioni senza autorizzazione o fuori dai limiti consentiti.
Implicazioni per la responsabilità delle imprese (D. Lgs. 231/2001)
Poiché molte delle fattispecie sopra (aggiotaggio, manipolazione del mercato) rientrano tra i reati presupposto del decreto legislativo 231/2001 (responsabilità degli enti), le società dotate di un Modello Organizzativo 231 dovranno aggiornare il risk assessment per includere i rischi collegati all’IA.
Inoltre, si prospetta un possibile disegno di sinergia — e talvolta tensione — tra sanzioni penali, sanzioni amministrative dell’AI Act e responsabilità degli enti.
Applicazioni settoriali: sanità, lavoro, pubblico e giustizia
Oltre alle sanzioni, la Legge 132/2025 stabilisce limiti e regole stringenti per l’uso dell’IA nei settori sensibili:
-
Sanità: è vietato usare l’IA per discriminare l’accesso a cure o servizi sanitari; i pazienti devono essere informati quando l’IA è utilizzata nella loro cura; decisioni definitive restano affidate ai medici.
-
Lavoro e professioni: l’IA può supportare l’attività professionale, ma non sostituire il contributo umano; è istituito un Osservatorio sull’adozione di IA nel mondo del lavoro.
-
Pubblica amministrazione e giustizia: l’IA può essere utilizzata per scopi organizzativi e di supporto, ma non può delegare la valutazione dei fatti, l’interpretazione della legge o l’adozione di decisioni al sistema algoritmico.
Queste restrizioni delineano un “contorno cautelativo” sull’impiego dell’IA nelle funzioni istituzionali, riducendo il rischio di decisioni arbitrarie, discriminazioni automatizzate o operazioni opache.
Strategie di compliance e criticità per imprese e pubbliche amministrazioni
Con l’entrata in vigore della legge, è urgente per soggetti pubblici e privati adottare un percorso strutturato per attuare la governance dell’IA:
-
Mappatura dei sistemi IA attualmente in uso: individuare ogni sistema, il relativo ambito applicativo, i dati utilizzati e i rischi connessi.
-
Valutazione legale e tecnica: verificare la presenza di basi giuridiche, misure di sicurezza, idoneità, trasparenza e tracciabilità.
-
Implementazione di log e registri operativi: tracciare modifiche, versioning, parametri e risultati dei modelli.
-
Formazione e consapevolezza: istruzione adeguata per responsabili, sviluppatori, utenti finali.
-
Adeguamento dei modelli organizzativi (ex 231): includere i rischi IA, aggiornare procedure e controlli interni.
-
Accordi contrattuali con fornitori esterni: imporre obblighi di conformità, responsabilità, trasparenza e audit.
-
Prepararsi all’attività ispettiva e sanzionatoria: predisporre documenti, audit interni e risposte alle richieste delle autorità competenti (AgID, ACN, autorità settoriali).
Tuttavia, persistono alcune criticità e zone grigie, ad esempio:
-
L’effettiva coordinazione tra le norme penali nazionali, il modello 231 e le sanzioni dell’AI Act: rischio di duplicazione o conflitto tra i regimi sanzionatori.
-
L’attuazione delle deleghe al Governo entro 12 mesi, che dovranno chiarire modalità operative, criteri sanzionatori e procedure ispettive.
-
La complessità tecnica nel dimostrare il nesso tra IA e aggravamento del reato, soprattutto in contesti automatizzati complessi o a “cassetta nera”.
-
L’esigenza di bilanciare innovazione e conformità normativa, evitando che regole troppo rigide frenino lo sviluppo tecnologico.
Conclusione
La Legge 132/2025 rappresenta una svolta nel panorama regolatorio italiano ed europeo, introducendo un perimetro legale nazionale specifico per l’intelligenza artificiale che integra, rafforza e dettaglia il quadro dell’AI Act.
Le sanzioni e i reati introdotti — dalla diffusione illecita di deepfake agli aggravamenti per reati commessi con AI fino alla responsabilità delle imprese ex 231 — mostrano l’intento del legislatore di mettere sotto controllo gli utilizzi distorsivi dell’IA, proteggendo diritti, trasparenza e equità.
Per imprese, istituzioni e pubbliche amministrazioni, il tempo per adeguarsi è breve: occorre avviare tempestivamente strategie di compliance, audit interni, formazione e governance dell’IA, anticipando le disposizioni attuative che il Governo dovrà emanare nei prossimi dodici mesi.