La Legge 23 settembre 2025, n. 132, che recepisce il Regolamento (UE) 2024/1689 (anche conosciuto come AI Act o legge italiana sull'IA) rappresenta un intervento normativo di rilievo volto a disciplinare l’impiego dei sistemi di intelligenza artificiale nel contesto professionale, economico e sociale. Oltre a definire obblighi tecnici, amministrativi e sanzionatori, la normativa solleva questioni di ordine etico che investono la concezione stessa di responsabilità, autonomia decisionale, trasparenza e linguaggio giuridico nell’epoca degli algoritmi.

L'IA ci sostituirà?

La capacità dell’intelligenza artificiale di incidere su ogni aspetto della vita sociale ed economica è ormai manifesta. Si registra una tensione irrisolta tra l’efficienza perseguita dall’automazione e il rispetto della dignità umana: il timore di rimanere sostituiti si contrappone all’esigenza di semplificare e alleggerire l’attività lavorativa. Il dibattito pubblico è dominato da tale dualismo, secondo il quale l’IA è percepita come un’estensione della sfera esistenziale e una forza potenzialmente trasformativa dell’identità personale e professionale. Nel formulare risposte normative, il legislatore, così come gli operatori economici, procede spesso per tentativi. Tuttavia non è ammissibile smarrire la consapevolezza della nostra condizione umana: non si tratta di aderire passivamente alla via più comoda dell’automazione, bensì di integrare gli strumenti intelligenti in un rapporto collaborativo, volto ad arricchire il lavoro di squadra e a valorizzare le competenze umane. Tale principio, seppure condivisibile in astratto, trova ostacoli concreti in un contesto europeo e nazionale caratterizzato da scarsa pragmaticità e da un’eccessiva burocrazia.

I giuristi tradizionali sembrano non aver colto appieno la domanda attuale di semplicità, concretezza e comprensibilità che proviene dalla collettività. La società futura (in particolare le aziende del futuro) reclama indicazioni chiare sulle condotte da adottare e sulle modalità operative da seguire: in questo quadro l’IA può rappresentare uno strumento di supporto significativo, a condizione che sia accompagnata da adeguate garanzie di legalità e di sicurezza. Le imprese, in particolare, richiedono certezze normative poiché l’impiego dell’IA nei processi decisionali e operativi diverrà generalizzato. Si profila la necessità di sistemi rapidi sì, ma affidabili. Team. In definitiva, ciò che urge non sono soltanto sanzioni repressive, bensì regole e meccanismi di compliance pratici ed efficaci che indichino come prevenire e gestire il rischio di violazioni. Occorrono tutele chiare, strumenti di governance operativi e modalità concrete per evitare le sanzioni: senza questa componente applicativa, la normativa resta sterile e incapace di offrire la sicurezza richiesta da cittadini e imprese.

La potenza trasformativa dell’IA e la tensione tra efficienza e dignità umana

L’intelligenza artificiale si configura come una tecnologia dalle potenzialità disruptive: velocizza processi, ottimizza risorse, facilita decisioni (anche su larga scala) e abilita nuovi modelli di business. Questi aspetti traducono opportunità economiche e sociali rilevanti. Sul piano morale e giuridico, tuttavia, la diffusione capillare di sistemi decisionali automatizzati determina una tensione strutturale tra l’efficacia strumentale degli algoritmi e la tutela della dignità umana. La delega sistematica di scelte a entità tecniche solleva la questione della sottrazione di funzioni valutative all’uomo: quando la decisione è in larga misura esito di una catena di procedure e inferenze statistiche, chi detiene effettivamente la responsabilità giuridica e morale delle conseguenze? Tale domanda non è soltanto retorica: interroga la capacità delle categorie tradizionali del diritto penale, civile e amministrativo di modellare responsabilità efficaci in contesti di complessità tecnica e opacità algoritmica.

La responsabilità mediata e il paradosso dell’accountability

La Legge 132/2025 e l’AI Act tentano di ricomporre la frattura posta dall’automazione attraverso principi di sorveglianza umana, trasparenza e requisiti di sicurezza. Tuttavia, il concetto di “accountability” che emerge nei testi normativi è spesso mediato e frammentato: la responsabilità viene ripartita tra sviluppatori, fornitori, deployer e titolari del trattamento di dati, in un sistema multi-player che rischia di diluire l’individuazione del soggetto responsabile. Il paradosso consiste nel fatto che l’introduzione di obblighi di governance, se non accompagnata da strumenti processuali e probatori adeguati, può tradursi in una formalizzazione della compliance senza concreta capacità di presidio. L’esperienza giudiziaria e amministrativa futura dovrà quindi misurarsi con il problema della prova tecnica, dell’interpretazione dei log e dei registri algoritmici e della necessità di organi valutativi interdisciplinari. Perché tutti i professionisti e le professioniste hanno letto su tutti i canali che "se utilizzano sistemi di intelligenza artificiale sono tenuti ad informare i propri clienti ai sensi dell'art. 13 della L. 132/2025". Di conseguenza, molti hanno ritenuto sufficiente adottare il modello di informativa predisposto dal proprio ordine professionale, ritenendosi così assolti dall’obbligo normativo.

Tuttavia, tale adempimento non esaurisce le esigenze di conformità. Non basta la mera emissione di un’informativa standard: è necessario istituire un presidio organizzativo effettivo. Occorre implementare procedure di gestione del rischio, policy aziendali o professionali specifiche, percorsi formativi per il personale, registri delle attività di trattamento e misure di accountability idonee a dimostrare l’effettiva osservanza dei principi di trasparenza, minimizzazione, correttezza e sicurezza. Serve inoltre una sensibilità professionale aumentata nella valutazione caso per caso dell’impatto dell’IA sui diritti e sulle aspettative dei clienti, nonché meccanismi di aggiornamento e controllo continui.

La legge come dispositivo di ordine simbolico e il limite dell’intervento regolatorio

Le norme hanno una funzione regolativa ma anche simbolica: stabiliscono un orizzonte di valori e orientano comportamenti. La Legge 132/2025 dispiega un chiaro messaggio valoriale in favore di un’IA “antropocentrica, sicura e rispettosa dei diritti fondamentali”.

Tale indirizzo è politicamente e culturalmente rilevante, poiché contribuisce a costruire un lessico comune sul quale organizzazioni e professionisti possono fare leva per giustificare pratiche responsabili. Tuttavia, la distanza tra il paradigma normativo e la realtà tecnologica non va sottovalutata: le tecniche di machine learning evolvono rapidamente, generando sfide di adeguamento continuo per le regole. Il rischio è che la normativa resti un quadro generale di principi che impone obblighi generici senza definire strumenti tecnici operativi e standard di audit condivisi, delegando alle imprese l’onere di interpretazione e implementazione in assenza di chiare linee guida pratiche.

L’applicazione dell’IA in ambito lavorativo apre un fronte cruciale: la tecnologia modifica processi di valutazione, controllo e allocazione del lavoro. La Legge riconosce la necessità di tutelare l’integrità psicofisica dei lavoratori e di prevenire discriminazioni; tuttavia, queste previsioni debbono fare i conti con la realtà delle prassi aziendali. Gli algoritmi di valutazione delle performance, i sistemi di monitoraggio e gli strumenti predittivi possono divenire modalità di sorveglianza continua che comprimono spazi di autonomia e aumentano precarietà e stress.

Sul piano filosofico, è utile richiamare l’intuizione che la dignità non è soltanto un valore formale ma una condizione che richiede il controllo umano sulle scelte che incidono sull’esistenza lavorativa. La sfida è dunque quella di riprogettare la governance del lavoro affinché le tecnologie non diventino strumenti di managerialismo asfissiante, ma dispositivi al servizio della valorizzazione delle competenze e della tutela della persona.

Il Modello 231 come opportunità normativa e rischio di ritualizzazione

I consulenti abili sanno trasformare un nuovo obbligo normativo in un’opportunità commerciale, proponendo servizi e documenti che arricchiscono il patrimonio documentale del cliente. Altri, invece, si limitano invece a "reinterpretare" il modello organizzativo esistente e ad “integrare” gli obblighi normativi alla realtà aziendale senza incidere profondamente né appesantire ulteriormente il patrimonio documentale. La governance non si realizza mediante l’addizione di singoli adempimenti formali, ma con l’armonizzazione di elementi che comunicano tra loro. Essa è un sistema organico, non una somma di pezzi isolati: occorre una ricetta unica e coerente, costruita su ruoli, processi, responsabilità e strumenti condivisi, suscettibile di essere rivista e perfezionata nel tempo.

L’aggiornamento del Modello 231 per includere i rischi connessi all’IA rappresenta un obbligo immediato per molte imprese. La rilettura del Modello può condurre a una reale trasformazione della governance: integrazione di controlli tecnici, procedure di validazione degli algoritmi, definizione di responsabilità interne, controlli sugli accessi e misure di protezione dei dati. Tuttavia, esiste il rischio che il Modello diventi mero strumento di difesa formale, finalizzato più a dimostrare la conformità che a prevenire effettivamente i danni. La differenza tra adempimento e cambiamento risiede nella cultura organizzativa: il Modello 231 avrà valore se accompagnato da leadership etica, investimenti in competenze e da un effettivo ripensamento dei processi decisionali.

L’ODV non può limitarsi a ricevere notizie di facciata sull’adozione di soluzioni di IA: una informazione incompleta o rituale rischia di trasformarsi in alibi formale per l’ente e di erodere il valore preventivo del Modello 231. È pertanto essenziale che l’ODV riceva dati concreti e verificabili, report forniti dagli ADS interni e dal DPO (es. modalità di accesso ai log, descrizioni delle logiche decisionali, valutazioni sui dataset e misure di mitigazione dei bias) affinché possa esercitare una vigilanza sostanziale e non meramente consultiva. Solo così l’Organismo potrà identificare tempestivamente i rischi di reato presupposto, produrre adeguati interventi correttivi e dimostrare, in sede giudiziaria o amministrativa, che l’ente ha adottato una governance realmente proattiva e non una mera compliance difensiva.

Hai bisogno di consulenza? Scrivici!

Autore: Himmel Advisors S.r.l.

Immagine di copertina: shutterstock