Assonime: analisi legge sull’IA. Responsabilità umana e delle imprese

La Legge n. 132 del 23 settembre 2025, conosciuta come la legge quadro sull’intelligenza artificiale, è entrata in vigore il 10 ottobre 2025 e stabilisce un quadro normativo volto a regolamentare l'uso dell'IA in Italia. La Legge, che si inserisce nel contesto europeo, mira a promuovere l'innovazione tecnologica pur mantenendo un forte controllo sui rischi e sulle implicazioni sociali ed economiche legate all’utilizzo di queste tecnologie.

Un aspetto fondamentale della legge riguarda la responsabilità umana e aziendale. La normativa amplia la responsabilità penale, introducendo aggravanti per i reati commessi tramite l'uso dell'IA, e stabilisce nuove responsabilità amministrative per le imprese, che potrebbero essere sanzionate anche senza l’identificazione del colpevole. Di conseguenza, le imprese sono chiamate a rivedere i propri modelli organizzativi per prevenire reati legati all'uso dei sistemi IA, adottando un approccio di "compliance by design".

L’11 dicembre 2025, Assonime ha diffuso la circolare n. 27, dedicata proprio alla Legge n. 132/2025, con particolare attenzione agli obblighi che le imprese devono rispettare.

Responsabilità umana

La Legge n. 132/2025 introduce una sfida significativa nella determinazione della responsabilità umana nell’uso dell’IA. Poiché i sistemi IA operano con un grado crescente di autonomia, stabilire chi debba essere ritenuto responsabile in caso di danno o illecito diventa complesso.

La legge prevede che, per i reati commessi tramite l’uso dell'IA, venga identificato un "controllo significativo" da parte dell’essere umano. Tuttavia, la difficoltà risiede nel definire con precisione cosa costituisca tale controllo, soprattutto quando l’IA agisce autonomamente. Questa difficoltà nell'individuare la responsabilità umana rappresenta una delle principali sfide, poiché l'autonomia crescente dell’IA può "dissociare" l’autore fisico dal reato stesso.

Responsabilità delle imprese

Per le imprese, la Legge comporta un ampliamento significativo della responsabilità amministrativa. Secondo il Decreto Legislativo 231/2001, un’impresa può essere sanzionata anche se non è possibile identificare l’autore di un reato, purché si accerti che il crimine sia stato commesso da un dipendente o amministratore nell’ambito dell'attività aziendale. Con l’introduzione dell’IA, le imprese rischiano di essere coinvolte in reati anche quando l’autore materiale del crimine non è facilmente identificabile. In particolare, l'uso di sistemi IA autonomi potrebbe complicare ulteriormente l’attribuzione di un reato a una persona fisica, aumentando così il rischio di sanzioni amministrative per l'impresa. Le aziende sono quindi chiamate ad adottare misure concrete per prevenire l'uso improprio dell'IA, garantendo la trasparenza e la responsabilità nei loro processi aziendali, e rivedendo i modelli organizzativi per allinearsi alle nuove normative.

In questo contesto, la circolare n. 27 di Assonime dell’11 dicembre 2025 offre un approfondimento importante sulla legge, evidenziando come la responsabilità amministrativa delle imprese sia destinata ad ampliarsi, specialmente quando il reato è commesso tramite l’uso dell’IA. La circolare sottolinea la necessità per le aziende di rivedere i propri processi aziendali per prevenire i rischi di sanzioni e garantire che l'uso dell'IA avvenga in piena conformità con la legge, tutelando nel contempo la reputazione delle imprese.