Normativa

Il doppio binario: AI Act e Legge 132/2025 per le PMI italiane

C'è un equivoco che incontriamo di continuo nei tavoli con le PMI italiane: l'idea che, dal momento in cui esiste una legge nazionale sull'intelligenza artificiale, il Regolamento europeo passi in secondo piano. È vero l'esatto contrario. Dall'autunno del 2025 un'impresa che sviluppa o utilizza IA in Italia si muove su due binari paralleli e cumulativi: il Regolamento (UE) 2024/1689 — AI Act, direttamente applicabile, e la Legge 23 settembre 2025, n. 132, la prima legge nazionale italiana organica in materia di IA. Non si scelgono. Si rispettano entrambi.

Perché due norme, e non una

La ragione è di gerarchia delle fonti. L'AI Act è un regolamento dell'Unione europea: in quanto tale è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno Stato membro, senza bisogno di alcun atto nazionale di recepimento. Una PMI italiana è tenuta a rispettarlo anche se il legislatore italiano non avesse mai scritto una riga. La Legge 132/2025, dal canto suo, non sostituisce e non può derogare all'AI Act — vige il primato del diritto UE. Fa qualcosa di diverso e complementare: designa le autorità nazionali competenti, adegua l'ordinamento interno e detta principi propri su settori sensibili.

Chi sono queste autorità? La legge italiana affida ad AgID funzioni di promozione e sviluppo, e ad ACN i compiti di vigilanza, ispezione e sanzione; per il trattamento dei dati personali resta competente il Garante. È un'architettura che una PMI deve conoscere, perché individua chi bussa alla porta in caso di controllo.

Una precisazione di metodo: la numerazione esatta degli articoli della L. 132/2025 (ad esempio quello che designa le autorità) è in parte ancora da confermare sul testo ufficiale di Normattiva. Su questi dettagli manteniamo un flag di verifica: preferiamo dire «la legge designa AgID e ACN» — fatto solido — piuttosto che citare un numero d'articolo prima di averlo riscontrato sulla fonte primaria.

Cosa cambia nella pratica, oggi

Il punto che più interessa un imprenditore è quali obblighi sono già operativi. Sul binario europeo, alcune scadenze sono passate:

  • dal 2 febbraio 2025 si applicano i divieti sulle pratiche a rischio inaccettabile (art. 5 AI Act) e l'obbligo di alfabetizzazione in materia di IA (art. 4) — un dovere trasversale, spesso sottovalutato, che impone un livello adeguato di competenza al personale che usa questi sistemi;
  • dal 2 agosto 2025 sono operative le regole sui modelli per finalità generali (GPAI) e l'impianto di governance;
  • gli obblighi più stringenti per i sistemi ad alto rischio hanno invece un orizzonte più lontano (Allegato III e Allegato I), secondo un calendario di applicazione scaglionato che il legislatore europeo ha rivisto con il pacchetto di semplificazione in discussione. Su queste date manteniamo prudenza editoriale finché la pubblicazione ufficiale non è completata.

Sul binario italiano, la L. 132/2025 è in vigore dal 10 ottobre 2025, ma in larga parte è una legge di principi e di delega: molte regole di dettaglio arriveranno con i decreti legislativi attuativi, attesi entro circa ottobre 2026. Questo non significa «aspettare». Vincola già oggi su principi, autorità e alcune norme puntuali — in particolare l'impianto antropocentrico (la persona resta il baricentro, con sorveglianza umana), le regole sull'uso dell'IA nelle professioni intellettuali come strumento di supporto, e gli obblighi di informazione verso i lavoratori.

La lettura NomotecnIA per una PMI

Il nostro consiglio operativo è semplice nella logica, esigente nell'esecuzione: una sola governance, due binari da presidiare. Concretamente:

  1. Mappare i sistemi di IA usati in azienda e stabilire il proprio ruolo — la maggior parte delle PMI è deployer (utilizzatore), non fornitore, e questo cambia gli obblighi.
  2. Chiudere subito i divieti (art. 5) e attivare l'alfabetizzazione del personale: sono già dovuti.
  3. Monitorare i decreti attuativi della L. 132 fino a ottobre 2026, perché è lì che si definiranno obblighi concreti e sanzioni sul versante nazionale.
  4. Documentare l'uso dell'IA nelle professioni intellettuali come supporto, e informare i lavoratori dove dovuto.

Il vantaggio competitivo, per una PMI, non è «essere a posto con le carte». È poter dimostrare — a clienti, partner, bandi — una governance dell'IA verificabile. Il doppio binario non è un peso burocratico: è l'infrastruttura di fiducia su cui un'impresa italiana costruisce credibilità.

Contenuto informativo ed editoriale. Non costituisce consulenza legale né attestazione di conformità. NomotecnIA non è un organismo notificato. Per ogni valutazione fa fede la fonte ufficiale citata nelle schede collegate.

Autore

Matteo Colacchio

CEO · AI Governance, NomotecnIA

Profilo dell'autore →

LinkedIn: da collegare

Dall'analisi alla tua azienda

Vuoi capire su quale binario ti trovi?

L'AI Entry Assessment mappa i tuoi sistemi di IA e li cala su AI Act e Legge 132/2025 in un'unica governance.