La Legge 132/2025 sostituisce l'AI Act per le imprese in Italia?
In breve: no. È un doppio binario. Una PMI italiana deve rispettare entrambi: il regolamento europeo (direttamente applicabile) e la prima legge nazionale organica sull'IA. La L. 132/2025 è in larga parte una legge di principi e deleghe: i decreti attuativi sono attesi entro ottobre 2026. Qui sotto i fatti verificati su Normattiva, poi la nostra lettura.
I fatti · campi 1–10
Cosa dice la fonte ufficiale.
01 · Denominazione
Legge 23 settembre 2025, n. 132
«Disposizioni e deleghe al Governo in materia di intelligenza artificiale». Sigla comune: L. 132/2025 — la prima legge nazionale italiana organica in materia di IA.
Normattiva · urn:nir:stato:legge:2025-09-23;132
02 · Tipo di fonte
Legge nazionale ordinaria, con deleghe
Legge dello Stato italiano, contenente anche deleghe legislative al Governo (art. 76 Cost.) per l'adozione di successivi decreti legislativi.
Normattiva · L. 132/2025
03 · Natura
Vincolante, in parte di principio e di delega
Hard law: legge dello Stato in vigore. Parte delle disposizioni ha però natura di principio e di delega: diventerà pienamente operativa solo con i decreti legislativi attuativi.
Normattiva · L. 132/2025
04 · Oggetto
Principi nazionali, in dimensione antropocentrica
Detta principi e regole nazionali su ricerca, sperimentazione, sviluppo, adozione e uso di sistemi e modelli di IA, in una dimensione antropocentrica, e adegua l'ordinamento italiano al Regolamento (UE) 2024/1689. Interviene su settori specifici (sanità, lavoro, professioni intellettuali, pubblica amministrazione, giustizia), sul diritto d'autore e sul Codice penale, e delega al Governo il completamento della disciplina.
Normattiva · L. 132/2025
05 · A chi si applica
Ambito nazionale, con norme settoriali
Riguarda soggetti pubblici e privati che sviluppano o utilizzano IA sul territorio italiano, con disposizioni settoriali per operatori sanitari, datori di lavoro, professionisti intellettuali (uso dell'IA come mero strumento di supporto), pubbliche amministrazioni e sistema giudiziario. Si innesta sull'AI Act senza modificarne l'ambito soggettivo europeo.
Normattiva · L. 132/2025
06 · Date chiave
Dalla pubblicazione ai decreti di delega
-
Pubblicazione in Gazzetta Ufficiale, Serie generale n. 223.
-
Entrata in vigore (dopo l'ordinaria vacatio legis di 15 giorni).
-
Termine della delega al Governo (entro 12 mesi dall'entrata in vigore) per l'adozione dei decreti legislativi attuativi e di adeguamento all'AI Act.
GU Serie generale n. 223 del 25/09/2025 · Normattiva
07 · Autorità competenti
AgID e ACN; il Garante per i dati personali
- AgID (Agenzia per l'Italia digitale) — funzioni di promozione e sviluppo dell'IA e di notifica.
- ACN (Agenzia per la Cybersicurezza Nazionale) — funzioni di vigilanza, ispezione e sanzione e profili di sicurezza.
- Garante per la protezione dei dati personali — resta l'autorità competente per il trattamento dei dati personali.
La designazione è operata dalla legge; l'articolo indicato dalle fonti secondarie è l'art. 20 ⚠️ [verificare] la numerazione esatta sul testo Normattiva/GU (corroborata da AI Legal Atlas + fonte giuridica indipendente).
Normattiva · L. 132/2025 (numero articolo da confermare)
08 · Stato
In vigore dal 10 ottobre 2025, attuazione parziale
Numerose disposizioni richiedono i decreti legislativi di delega (attesi entro ottobre 2026) per essere pienamente operative. Alla data di questa scheda i decreti attuativi risultano pendenti.
Normattiva · L. 132/2025
09 · Relazioni con altre norme
Si aggiunge all'AI Act; tocca GDPR e Codice penale
- ↔ AI Act (Reg. UE 2024/1689): la L. 132/2025 si aggiunge e dà attuazione nazionale all'AI Act; non lo sostituisce e non può derogarvi (primato del diritto UE). Ne designa le autorità nazionali.
- ↔ GDPR: il trattamento dei dati personali connesso all'IA resta soggetto al GDPR e al Codice privacy, con il Garante come autorità competente.
- ↔ Codice penale: la legge modifica il Codice penale introducendo tutela contro la diffusione illecita di contenuti generati/alterati con IA (deepfake) — ⚠️ [verificare] il numero esatto del nuovo articolo del c.p. (le fonti indicano l'inserimento di un art. 612-quater c.p.).
- ↔ ISO/IEC 42001: standard volontario di gestione dell'IA, utile come framework di governance a supporto della conformità; non richiamato come obbligo di legge.
Normattiva · L. 132/2025 (numero articolo c.p. da confermare)
10 · Fonte ufficiale
Normattiva — testo vigente
Fonte primaria da citare: Normattiva, testo vigente. Pubblicazione: Gazzetta Ufficiale della Repubblica Italiana, Serie generale n. 223 del 25 settembre 2025.
Apri la fonte ufficiale su Normattiva
Fonte primaria · Normattiva + GU Serie generale n. 223/2025
Campi 11–12 · sintesi propria
La nostra lettura per una PMI.
Sintesi
- La L. 132/2025 non sostituisce l'AI Act: è un doppio binario. Una PMI italiana deve rispettare entrambi — il Regolamento europeo (direttamente applicabile) e la legge nazionale.
- È in larga parte una legge di principi e di delega: molte regole di dettaglio arriveranno con i decreti legislativi attesi entro ottobre 2026. Oggi vincola su principi, autorità e alcune norme puntuali (es. penale, professioni, lavoro).
- Rilievo pratico immediato per le PMI: le regole sull'uso dell'IA nelle professioni intellettuali (l'IA come strumento di supporto, con prevalenza del lavoro umano) e gli obblighi di trasparenza/informazione verso i lavoratori.
- L'impianto è antropocentrico: sorveglianza umana e responsabilità della persona restano il baricentro.
- Autorità italiane di riferimento: AgID (promozione) e ACN (vigilanza e sanzioni); per i dati personali resta il Garante.
Obblighi pratici per un deployer / PMI
- Monitorare i decreti attuativi (finestra fino a ottobre 2026): la disciplina di dettaglio inciderà su obblighi concreti e sanzioni.
- Professioni intellettuali: se si usa IA nell'attività professionale, documentare che è strumento di supporto e che permane la prevalenza del lavoro umano/intellettuale; garantire informazione al cliente ove dovuto.
- Lavoro: informare i lavoratori sull'uso di sistemi di IA che li riguardano; coordinare con gli obblighi giuslavoristici e con l'AI Act.
- Sanità (se applicabile): rispettare le disposizioni su uso dell'IA a supporto (non sostitutivo) della decisione clinica e sul consenso informato.
- Trasparenza sui contenuti sintetici: presidiare il rischio penale legato ai deepfake e alla diffusione illecita di contenuti alterati.
- Coordinare il presidio L.132 con quello AI Act e GDPR in un'unica governance interna, evitando adempimenti duplicati.
Nota di posizionamento (NomotecnIA): NomotecnIA fornisce orientamento e supporto alla readiness; non è un organismo notificato e non rilascia certificazioni di conformità.
Dalla norma alla tua azienda
Come si coordina la L.132 con l'AI Act nella tua PMI?
L'AI Entry Assessment unifica il presidio nazionale ed europeo in un'unica governance: mappa dei sistemi, gap analysis, roadmap prioritizzata — senza adempimenti duplicati.