Legge nazionale · fonte: Normattiva

La Legge 132/2025 sostituisce l'AI Act per le imprese in Italia?

In breve: no. È un doppio binario. Una PMI italiana deve rispettare entrambi: il regolamento europeo (direttamente applicabile) e la prima legge nazionale organica sull'IA. La L. 132/2025 è in larga parte una legge di principi e deleghe: i decreti attuativi sono attesi entro ottobre 2026. Qui sotto i fatti verificati su Normattiva, poi la nostra lettura.

I fatti · campi 1–10

Cosa dice la fonte ufficiale.

Verificato su Normattiva

01 · Denominazione

Legge 23 settembre 2025, n. 132

«Disposizioni e deleghe al Governo in materia di intelligenza artificiale». Sigla comune: L. 132/2025 — la prima legge nazionale italiana organica in materia di IA.

Normattiva · urn:nir:stato:legge:2025-09-23;132

02 · Tipo di fonte

Legge nazionale ordinaria, con deleghe

Legge dello Stato italiano, contenente anche deleghe legislative al Governo (art. 76 Cost.) per l'adozione di successivi decreti legislativi.

Normattiva · L. 132/2025

03 · Natura

Vincolante, in parte di principio e di delega

Hard law: legge dello Stato in vigore. Parte delle disposizioni ha però natura di principio e di delega: diventerà pienamente operativa solo con i decreti legislativi attuativi.

Normattiva · L. 132/2025

04 · Oggetto

Principi nazionali, in dimensione antropocentrica

Detta principi e regole nazionali su ricerca, sperimentazione, sviluppo, adozione e uso di sistemi e modelli di IA, in una dimensione antropocentrica, e adegua l'ordinamento italiano al Regolamento (UE) 2024/1689. Interviene su settori specifici (sanità, lavoro, professioni intellettuali, pubblica amministrazione, giustizia), sul diritto d'autore e sul Codice penale, e delega al Governo il completamento della disciplina.

Normattiva · L. 132/2025

05 · A chi si applica

Ambito nazionale, con norme settoriali

Riguarda soggetti pubblici e privati che sviluppano o utilizzano IA sul territorio italiano, con disposizioni settoriali per operatori sanitari, datori di lavoro, professionisti intellettuali (uso dell'IA come mero strumento di supporto), pubbliche amministrazioni e sistema giudiziario. Si innesta sull'AI Act senza modificarne l'ambito soggettivo europeo.

Normattiva · L. 132/2025

06 · Date chiave

Dalla pubblicazione ai decreti di delega

  1. Pubblicazione in Gazzetta Ufficiale, Serie generale n. 223.

  2. Entrata in vigore (dopo l'ordinaria vacatio legis di 15 giorni).

  3. Termine della delega al Governo (entro 12 mesi dall'entrata in vigore) per l'adozione dei decreti legislativi attuativi e di adeguamento all'AI Act.

GU Serie generale n. 223 del 25/09/2025 · Normattiva

07 · Autorità competenti

AgID e ACN; il Garante per i dati personali

  • AgID (Agenzia per l'Italia digitale) — funzioni di promozione e sviluppo dell'IA e di notifica.
  • ACN (Agenzia per la Cybersicurezza Nazionale) — funzioni di vigilanza, ispezione e sanzione e profili di sicurezza.
  • Garante per la protezione dei dati personali — resta l'autorità competente per il trattamento dei dati personali.

La designazione è operata dalla legge; l'articolo indicato dalle fonti secondarie è l'art. 20 ⚠️ [verificare] la numerazione esatta sul testo Normattiva/GU (corroborata da AI Legal Atlas + fonte giuridica indipendente).

Normattiva · L. 132/2025 (numero articolo da confermare)

08 · Stato

In vigore dal 10 ottobre 2025, attuazione parziale

Numerose disposizioni richiedono i decreti legislativi di delega (attesi entro ottobre 2026) per essere pienamente operative. Alla data di questa scheda i decreti attuativi risultano pendenti.

Normattiva · L. 132/2025

09 · Relazioni con altre norme

Si aggiunge all'AI Act; tocca GDPR e Codice penale

  • ↔ AI Act (Reg. UE 2024/1689): la L. 132/2025 si aggiunge e dà attuazione nazionale all'AI Act; non lo sostituisce e non può derogarvi (primato del diritto UE). Ne designa le autorità nazionali.
  • ↔ GDPR: il trattamento dei dati personali connesso all'IA resta soggetto al GDPR e al Codice privacy, con il Garante come autorità competente.
  • ↔ Codice penale: la legge modifica il Codice penale introducendo tutela contro la diffusione illecita di contenuti generati/alterati con IA (deepfake) — ⚠️ [verificare] il numero esatto del nuovo articolo del c.p. (le fonti indicano l'inserimento di un art. 612-quater c.p.).
  • ↔ ISO/IEC 42001: standard volontario di gestione dell'IA, utile come framework di governance a supporto della conformità; non richiamato come obbligo di legge.

Normattiva · L. 132/2025 (numero articolo c.p. da confermare)

10 · Fonte ufficiale

Normattiva — testo vigente

Fonte primaria da citare: Normattiva, testo vigente. Pubblicazione: Gazzetta Ufficiale della Repubblica Italiana, Serie generale n. 223 del 25 settembre 2025.

Apri la fonte ufficiale su Normattiva

Fonte primaria · Normattiva + GU Serie generale n. 223/2025

Lettura NomotecnIA · interpretazione, non fonte

Campi 11–12 · sintesi propria

La nostra lettura per una PMI.

Sintesi

  • La L. 132/2025 non sostituisce l'AI Act: è un doppio binario. Una PMI italiana deve rispettare entrambi — il Regolamento europeo (direttamente applicabile) e la legge nazionale.
  • È in larga parte una legge di principi e di delega: molte regole di dettaglio arriveranno con i decreti legislativi attesi entro ottobre 2026. Oggi vincola su principi, autorità e alcune norme puntuali (es. penale, professioni, lavoro).
  • Rilievo pratico immediato per le PMI: le regole sull'uso dell'IA nelle professioni intellettuali (l'IA come strumento di supporto, con prevalenza del lavoro umano) e gli obblighi di trasparenza/informazione verso i lavoratori.
  • L'impianto è antropocentrico: sorveglianza umana e responsabilità della persona restano il baricentro.
  • Autorità italiane di riferimento: AgID (promozione) e ACN (vigilanza e sanzioni); per i dati personali resta il Garante.

Obblighi pratici per un deployer / PMI

  1. Monitorare i decreti attuativi (finestra fino a ottobre 2026): la disciplina di dettaglio inciderà su obblighi concreti e sanzioni.
  2. Professioni intellettuali: se si usa IA nell'attività professionale, documentare che è strumento di supporto e che permane la prevalenza del lavoro umano/intellettuale; garantire informazione al cliente ove dovuto.
  3. Lavoro: informare i lavoratori sull'uso di sistemi di IA che li riguardano; coordinare con gli obblighi giuslavoristici e con l'AI Act.
  4. Sanità (se applicabile): rispettare le disposizioni su uso dell'IA a supporto (non sostitutivo) della decisione clinica e sul consenso informato.
  5. Trasparenza sui contenuti sintetici: presidiare il rischio penale legato ai deepfake e alla diffusione illecita di contenuti alterati.
  6. Coordinare il presidio L.132 con quello AI Act e GDPR in un'unica governance interna, evitando adempimenti duplicati.

Nota di posizionamento (NomotecnIA): NomotecnIA fornisce orientamento e supporto alla readiness; non è un organismo notificato e non rilascia certificazioni di conformità.

Meta · campi 13–15

Revisione, disclaimer e fonte

Ultima revisione · 2026-07-06

Disclaimer

Questo contenuto ha finalità esclusivamente informative e di orientamento generale; non costituisce consulenza legale né attestazione di conformità. Trattandosi di legge in parte ancora attuata da decreti delegati, per ogni valutazione fa sempre fede la fonte ufficiale (Normattiva / Gazzetta Ufficiale). NomotecnIA non è un organismo notificato.

  • #L132_2025
  • #LeggeItalianaIA
  • #IntelligenzaArtificiale
  • #DelegaAlGoverno
  • #AgID
  • #ACN
  • #GarantePrivacy
  • #AIAct
  • #Deepfake
  • #PMI

Fonte ufficiale · Normattiva

Dalla norma alla tua azienda

Come si coordina la L.132 con l'AI Act nella tua PMI?

L'AI Entry Assessment unifica il presidio nazionale ed europeo in un'unica governance: mappa dei sistemi, gap analysis, roadmap prioritizzata — senza adempimenti duplicati.