Legge IA italiana: cosa cambia davvero per imprese e cittadini?

Questo provvedimento, composto da 4 capi e 26 articoli, rappresenta il primo tentativo organico del legislatore italiano di regolamentare il settore, in linea con le direttive europee. La legge è stata approvata dal Senato dopo un iter complesso, iniziato con la sua approvazione da parte del Consiglio dei Ministri il 23 aprile 2024, precedendo la pubblicazione del Regolamento 2024/1689 AI Act dell’UE. Questa tempistica ha generato alcune incongruenze, poi parzialmente risolte durante il processo parlamentare.

Uno degli aspetti più discussi riguarda l’individuazione dell’AGID (Agenzia per l’Italia Digitale) e dell’ACN (Agenzia per la Cybersicurezza Nazionale) come autorità nazionali competenti per l’IA. Alcuni esperti ritengono che, data la natura dell’AI Act orientata alla tutela dei diritti fondamentali, sarebbe stato più appropriato designare autorità amministrative indipendenti, al fine di garantire una maggiore protezione dei diritti individuali ed evitare sovrapposizioni di competenze, in particolare con il Garante per la protezione dei dati personali.

Un altro punto critico è rappresentato dall’articolo 4, comma 4, che subordina al consenso dei genitori l’accesso dei minori di 14 anni alle tecnologie di IA. Data la pervasività di tali tecnologie nella vita quotidiana, questa norma rischia di rimanere una mera dichiarazione di intenti. Allo stesso modo, gli articoli 16 e 24 conferiscono al Governo ampie deleghe nella definizione delle regole sull’IA, sollevando interrogativi sulla loro portata.

La normativa si concentra in maniera specifica su tre ambiti cruciali: sicurezza e difesa nazionale, sanità e diritto d’autore. L’articolo 6, comma 1, esclude dall’applicazione della legge le attività di ricerca, sperimentazione e utilizzo di sistemi di IA svolte a fini di sicurezza nazionale da parte di vari enti e agenzie governative. Tuttavia, l’ultimo capoverso del comma 1 richiama l’articolo 3, comma 4, stabilendo che tali attività non devono pregiudicare il corretto svolgimento della vita istituzionale e politica democratica, né la libertà del dibattito democratico. L’articolo 6, comma 3, prescrive inoltre il rispetto dell’articolo 58, commi 1 e 3, del Codice in materia di protezione dei dati personali per le attività svolte per la sicurezza nazionale.

In aggiunta, l’articolo 5 prescrive che le entità pubbliche prediligano fornitori le cui soluzioni assicurino che la localizzazione e l’elaborazione dei dati di rilevanza strategica avvengano presso data center situati all’interno del territorio nazionale. Questa tendenza è in linea con la normativa UE in materia di dati, come il Regolamento 2018/1807 sulla libera circolazione dei dati non personali e i Regolamenti 2022/868 Data Governance Act, 2023/2854 Data Act e 2025/327 European Health Data Space.

Le Implicazioni nel Settore Sanitario

Gli articoli 7, 8, 9 e 10 della legge sono dedicati alle applicazioni dell’IA in ambito sanitario. L’articolo 7 stabilisce principi generali quali la non discriminazione, l’informazione, la trasparenza, l’inclusione sociale, la preminenza della decisione umana, l’accuratezza e la sicurezza dei sistemi. Tuttavia, alcuni esperti ritengono che sarebbe stato opportuno un maggiore coordinamento con l’AI Act per integrare prescrizioni più specifiche sulla qualità dei dati. L’articolo 8 si propone di facilitare un più esteso trattamento di dati, sia personali che non personali, per la creazione di sistemi di IA nel settore sanitario. Il comma 1 qualifica come “rilevante interesse pubblico” il trattamento di dati destinato alla ricerca e alla sperimentazione scientifica per lo sviluppo di sistemi di IA nel campo della sanità. Il comma 2 autorizza l’utilizzo secondario di dati personali, privati di elementi identificativi diretti, per finalità di ricerca e sperimentazione, abolendo il requisito del consenso preliminare dell’interessato. Il comma, subordinatamente all’avviso all’interessato, concede il permesso di elaborare dati personali, inclusi quelli sensibili, per scopi di anonimizzazione, pseudonimizzazione o sintesi. Autorizza, altresì, l’analisi e lo studio dei movimenti, delle prestazioni e dei gesti atletici in ogni forma di attività sportiva.

Tuttavia, l’espressione “attività sportiva in tutte le sue forme” è considerata eccessivamente ampia e indeterminata, sollevando preoccupazioni riguardo alla tutela dei dati personali di soggetti vulnerabili, come minori e persone con disabilità. Inoltre, la legge sembra privilegiare i diritti di sfruttamento economico degli organizzatori di manifestazioni sportive rispetto ai diritti di natura personale degli atleti.

Implicazioni sul Diritto d’Autore

Il Capo IV (articolo 25) affronta la questione del diritto d’autore e stabilisce che le creazioni realizzate con l’ausilio di strumenti di intelligenza artificiale possono beneficiare di protezione, a condizione che il contributo umano sia creativo, significativo e dimostrabile. Questa disposizione è in linea con la normativa europea e la giurisprudenza della Corte di Giustizia, che richiedono un autore umano per il riconoscimento dell’originalità di un’opera. L’articolo 70-septies l.d.a., la cui introduzione è imminente, permette la riproduzione e l’estrazione da opere o materiali disponibili online o in banche dati legittimamente accessibili, al fine di estrarre testo e dati mediante sistemi di intelligenza artificiale, inclusa quella generativa, in conformità agli articoli 70-ter e 70-quater. Tali articoli disciplinano l’eccezione relativa al text and data mining (TDM), introdotta con il recepimento della direttiva sul diritto d’autore del 2019, la quale ammette l’utilizzo di materiali accessibili nel rispetto della legge per addestrare sistemi di intelligenza artificiale attraverso tecniche di web scraping.

La definizione di TDM contenuta nell’articolo 70-ter l.d.a. è ampia e si estende a tutti i modelli di IA generativa (GenAI), il che potrebbe potenzialmente avere un impatto negativo sulle aziende tecnologiche europee e sulla ricerca scientifica. L’articolo si applica unicamente agli enti di ricerca e agli istituti di tutela del patrimonio culturale, e solamente per finalità di ricerca scientifica, escludendo qualsiasi impiego di natura commerciale.

L’articolo 4 della Direttiva (articolo 70-quater l.d.a.) non è circoscritto a soggetti specifici e introduce un meccanismo di opt-out, permettendo di escludere le opere il cui utilizzo sia stato negato tramite strumenti tecnologicamente riconoscibili. Tuttavia, l’individuazione di strumenti idonei a riconoscere automaticamente i contenuti protetti rimane una sfida aperta, rendendo la norma di fatto inapplicata a causa dell’incertezza sui suoi confini e della mancanza di standard riconosciuti.

Verso un Futuro Regolamentato: Sfide e Opportunità

La nuova legge italiana sull’intelligenza artificiale rappresenta un passo importante verso la regolamentazione di un settore in rapida evoluzione. Tuttavia, come abbiamo visto, il testo presenta ancora alcune criticità e lacune che dovranno essere affrontate in futuro. La sfida principale sarà quella di trovare un equilibrio tra la promozione dell’innovazione e la tutela dei diritti fondamentali, garantendo che l’IA sia utilizzata in modo responsabile ed etico. Sarà fondamentale monitorare attentamente l’applicazione della legge e apportare le necessarie modifiche per adattarla alle nuove sfide che emergeranno nel tempo. Solo così potremo sfruttare appieno il potenziale dell’IA a beneficio della società, senza compromettere i valori fondamentali che ci contraddistinguono.

Amici lettori, spero che questa analisi approfondita della nuova legge italiana sull’intelligenza artificiale vi sia stata utile per comprendere meglio le implicazioni di questo importante provvedimento. Vorrei concludere con una breve riflessione sul concetto di responsabilità nel contesto dell’IA. Nel diritto, la responsabilità è un principio fondamentale che attribuisce a un soggetto le conseguenze delle proprie azioni o omissioni. Nel caso dell’IA, la questione della responsabilità diventa particolarmente complessa, poiché i sistemi di IA sono in grado di prendere decisioni in modo autonomo, senza un intervento umano diretto. È quindi fondamentale stabilire chi debba essere ritenuto responsabile per i danni causati da un sistema di IA: il produttore, il programmatore, l’utente o lo stesso sistema di IA? Questa è una delle sfide più importanti che il legislatore dovrà affrontare in futuro.

Un concetto legale più avanzato, applicabile al tema dell’articolo, è quello della “personality” giuridica dell’IA. Sebbene attualmente l’IA non sia riconosciuta come soggetto di diritto, alcuni studiosi stanno proponendo di attribuire una forma di personalità giuridica ai sistemi di IA più avanzati, al fine di renderli responsabili delle proprie azioni. Questa idea, sebbene controversa, potrebbe rappresentare una soluzione per affrontare il problema della responsabilità nel contesto dell’IA. Vi invito a riflettere su queste questioni e a far sentire la vostra voce nel dibattito pubblico sull’IA, perché il futuro dell’IA è nelle nostre mani.