Il Consiglio dei Ministri di ieri ha approvato in esame preliminare gli schemi dei due decreti legislativi di adeguamento all’AI Act (Reg. UE 2024/1689). Si tratta ancora di bozze, esposte al vaglio parlamentare e a un secondo passaggio in CdM, ma la cornice regolatoria dei prossimi anni è ormai tracciata.

I due schemi danno corpo alla delega contenuta nell’art. 24 della L. 132/2025, in vigore dal 10 ottobre 2025, e che scadeva nei dodici mesi successivi. Il vincolo è noto e tutt’altro che neutro: nel perimetro già coperto dall’AI Act il legislatore delegato non può introdurre “obblighi ulteriori“ rispetto a quelli europei, dovendo limitarsi a un esercizio di coordinamento. È qui che si gioca la tenuta costituzionale dell’operazione.

Il primo decreto disegna governance, vigilanza, sanzioni e sandbox; il secondo regola l’uso dell’IA nelle attività di polizia e in ambito penale, con disposizioni su responsabilità civile e responsabilità dei fornitori.

L’assetto istituzionale conferma la scelta dualistica della L. 132/2025: AgID come autorità di notifica, ACN come autorità di vigilanza del mercato e punto di contatto unico verso l’UE. Per il comparto bancario, finanziario e assicurativo la vigilanza resta a Banca d’Italia, CONSOB e IVASS, secondo i rispettivi procedimenti sanzionatori. Il Garante privacy conserva la competenza sui sistemi ad alto rischio dell’articolo 74 dell’AI Act (biometria a fini di contrasto, immigrazione e frontiere, amministrazione della giustizia ed elezioni).

La frammentazione è evidente. Per l’impresa multisettoriale significa potenzialmente più interlocutori, procedure differenziate e un coordinamento tutto da verificare sul campo. Il rischio di conflitti di competenza non è teorico.

Il regime sanzionatorio ricalca l’AI Act: fino a 35 milioni di euro o al 7 per cento del fatturato mondiale annuo per l’impiego di pratiche vietate, con attenuazioni per PMI e start-up. La possibilità di ordini prescrittivi colloca queste autorità su un piano analogo a quello già sperimentato in materia antitrust e privacy. Per chi redige modelli di compliance, la soglia del 7 per cento impone di trattare il rischio-IA con la stessa serietà del rischio-GDPR.

Lo schema introduce il reato di “omessa adozione di misure di sicurezza nei sistemi di intelligenza artificiale e alterazione illecita dei sistemi“: sviluppatori o utilizzatori professionali che omettono le misure di sicurezza su sistemi ad alto rischio, generando pericolo per la vita, rischiano da 1 a 5 anni; pena fino a 10 anni se l’alterazione minaccia la sicurezza dello Stato. È prevista una variante per colpa grave, con pena ridotta da un terzo a un sesto.

La fattispecie entra pure nel catalogo dei reati presupposto del Dlgs. 231/2001 (il nuovo articolo 25-vicies “Reati commessi con l’uso di sistemi di intelligenza artificiale”). È l’ennesimo ampliamento di un perimetro già dilatato: basti pensare all’articoli 25-octies. In materia di misure restrittive UE (Dlgs. 211/2025) o alle novità ambientali del Dlgs. 81/2026. Ma qui il discrimine operativo resta quello di sempre: la pertinenza concreta della fattispecie all’attività dell’ente. Per gli enti che sviluppano o impiegano sistemi IA ad alto rischio, l’aggiornamento del MOG non sarà più facoltativo. Per gli altri, occorrerà una valutazione di rischio-reato seria, che eviti tanto l’omissione quanto il riempitivo formale.

Sul versante giuslavoristico il principio è netto, ma prevedibile: nelle decisioni su assunzioni, sanzioni e licenziamenti non si può deliberare unicamente su base automatizzata. Serve sempre la supervisione di una persona fisica, e il licenziamento intimato in violazione è nullo.