La Legge 132 2025 AI Italia PMI e’ la prima normativa organica nazionale sull’intelligenza artificiale. Approvata il 23 settembre 2025 e in vigore dal 10 ottobre 2025, affianca l’AI Act europeo con ruoli per AgID e ACN, obblighi informativi su lavoro e professioni, nuove fattispecie penali. Chi gestisce una PMI ha oggi una doppia compliance da rispettare.
Il testo, pubblicato in Gazzetta Ufficiale il 25 settembre 2025 (serie generale n. 223), non sostituisce il Regolamento UE 2024/1689: lo integra declinandolo nel contesto italiano. Se nella tua azienda usate ChatGPT, Copilot, Gemini, strumenti di screening CV o chatbot, questa legge tocca direttamente i tuoi processi. Prima di proseguire, se non l’hai fatto, leggi la guida sugli obblighi dell’AI Act per le PMI: il quadro europeo e’ il presupposto di quello nazionale.
Cos’e’ la Legge 132/2025 e quando si applica
La L. 23 settembre 2025, n. 132 “Disposizioni e deleghe al Governo in materia di intelligenza artificiale” si compone di 28 articoli suddivisi in sei Capi. E’ entrata in vigore il 10 ottobre 2025, quindici giorni dopo la pubblicazione in Gazzetta Ufficiale. Gli obblighi degli articoli 11 (lavoro) e 13 (professioni intellettuali) sono operativi da subito, senza periodo transitorio.
La struttura in sintesi:
- Capo I (artt. 1-6): principi, finalita’, sostegno a PMI e startup (art. 5)
- Capo II (artt. 7-17): sanita’, dati personali, lavoro, professioni, PA, giustizia
- Capo III (artt. 18-20): cybersicurezza, governance, autorita’ nazionali
- Capo IV (artt. 21-23): tutela utenti e diritto d’autore
- Capo V (artt. 24-25): disposizioni penali e art. 612-quater c.p.
- Capo VI (artt. 26-28): deleghe al Governo per i decreti attuativi
L’articolo 1, comma 1 stabilisce che la legge detta principi in materia di ricerca, sperimentazione, sviluppo, adozione e applicazione dell’AI “per promuoverne un utilizzo corretto, trasparente e responsabile, in una dimensione antropocentrica”. Non e’ un preambolo retorico: e’ il criterio con cui le autorita’ valuteranno la conformita’.
Ruoli di AgID e ACN: chi fa cosa in Italia
Il Capo III assegna la governance nazionale a due enti, con ruoli complementari e ben distinti.
AgID (Agenzia per l’Italia Digitale) e’ designata come autorita’ di notifica per la valutazione di conformita’ dei sistemi AI. Si occupa di promozione, certificazione e accompagnamento delle aziende nel percorso di adeguamento. E’ il canale istituzionale a cui rivolgersi per le procedure di conformita’ e per accedere alle sandbox.
ACN (Agenzia per la Cybersicurezza Nazionale) e’ autorita’ di vigilanza del mercato, con poteri ispettivi e sanzionatori. E’ l’ente che controlla e, se necessario, sanziona. Per una PMI il punto operativo e’ semplice: le certificazioni passano da AgID, le ispezioni le fa ACN.
A queste si aggiungono due attori preesistenti: il Garante per la protezione dei dati personali per ogni trattamento di dati via AI, e AGCOM per media e diritto d’autore. Un Comitato di coordinamento presso la Presidenza del Consiglio assicura il raccordo. Chi e’ abituato alla compliance GDPR sa gia’ come dialogare con il Garante: la novita’ sono AgID e ACN, i cui canali vanno monitorati fin da subito.
Cosa aggiunge la Legge 132/2025 all’AI Act
L’AI Act e’ un regolamento europeo direttamente applicabile in tutti gli Stati membri: non va recepito. La Legge 132/2025 non lo recepisce ma lo integra su quattro direttrici:
- Governance nazionale: definisce chi fa cosa tra AgID, ACN, Garante e AGCOM.
- Regole settoriali: introduce disposizioni specifiche per lavoro (artt. 11-12), sanita’ (artt. 7-8), professioni intellettuali (art. 13), PA (artt. 14-15), giustizia (art. 16).
- Fattispecie penali: aggiunge l’art. 612-quater c.p. contro i deepfake e altri reati legati all’uso illecito dell’AI.
- Deleghe al Governo: autorizza decreti attuativi entro dodici mesi per specificare la disciplina.
Non c’e’ contraddizione tra i due livelli: sono complementari. L’AI Act ti dice cosa fare in base al rischio del sistema. La L. 132/2025 ti dice come farlo in Italia e aggiunge obblighi specifici sui settori. Chi e’ gia’ avviato sul percorso AI Act deve aggiungere un delta gestibile; chi non ha ancora iniziato, parte in ritardo.
L. 132/2025 vs AI Act: chi fa cosa
| Ambito | AI Act (UE 2024/1689) | L. 132/2025 (Italia) |
|---|---|---|
| Classificazione del rischio | Si | No, rinvia al Regolamento |
| Autorita’ di notifica | Rinvia agli Stati membri | AgID |
| Vigilanza e sanzioni | Rinvia agli Stati membri | ACN |
| Obblighi lavoro | Principi generali | Artt. 11-12: informativa scritta |
| Professioni intellettuali | Non disciplinate | Art. 13: informativa cliente |
| Sanita’ | Sistemi ad alto rischio | Artt. 7-8: supervisione clinica |
| Deepfake | Obblighi di trasparenza | Art. 25: reclusione 1-5 anni |
| Sandbox PMI | Previste dal Regolamento | Art. 5: accesso agevolato |
Obblighi specifici per le PMI
La legge non crea un set completamente nuovo di obblighi rispetto all’AI Act: declina i principi nel contesto italiano e aggiunge regole settoriali. Ecco cosa tocca direttamente una PMI.
Obblighi informativi sul lavoro (articoli 11-12)
L’articolo 11 stabilisce che l’AI in ambito lavorativo deve essere impiegata “per migliorare le condizioni di lavoro, tutelare l’integrita’ psicofisica dei lavoratori, accrescere la qualita’ delle prestazioni e la produttivita’”. L’utilizzo deve essere sicuro, affidabile, trasparente e non puo’ svolgersi in contrasto con la dignita’ umana.
In pratica, se usi sistemi AI nei processi di lavoro (monitoraggio, pianificazione turni, assegnazione compiti, screening CV, valutazione performance) devi:
- Informare preventivamente i lavoratori, per iscritto, in modo chiaro e comprensibile
- Comunicare le modifiche significative con almeno 24 ore di anticipo
- Garantire la non discriminazione: gli algoritmi non devono produrre effetti distorsivi
- Assicurare la sorveglianza umana sulle decisioni rilevanti per il rapporto di lavoro
Anche un chatbot HR interno o un’app di pianificazione turni rientrano nel perimetro. Il tema e’ approfondito nell’articolo dedicato ai diritti di informazione dei dipendenti sull’articolo 11.
L’art. 12 rinforza il quadro richiamando la disciplina del trattamento dei dati personali: il datore di lavoro deve assicurare che l’uso dell’AI non comprometta la riservatezza dei dipendenti e che i log delle decisioni automatizzate siano conservati e accessibili in caso di contestazione. Il mancato rispetto apre a due fronti di responsabilita’: sanzione amministrativa secondo il Regolamento UE e contestazione in sede GDPR davanti al Garante. La doppia esposizione e’ reale, non teorica.
Obblighi per le professioni intellettuali (articolo 13)
Se la tua PMI opera in consulenza, ingegneria, architettura, servizi legali, commercialisti, agenzie di comunicazione, l’art. 13 ti riguarda. La regola:
- L’AI e’ ammessa solo per attivita’ strumentali e di supporto alla prestazione intellettuale
- Deve prevalere il lavoro intellettuale del professionista
- Obbligo di informare il cliente, con linguaggio chiaro, semplice ed esaustivo, sui sistemi AI utilizzati
Significa aggiornare lettere di incarico, mandati professionali e informative. Un commercialista che usa l’AI per analizzare bilanci, un architetto che genera render, un consulente che prepara report con un chatbot: tutti devono comunicarlo. Non e’ opzionale.
L’obbligo non ha periodo transitorio: dal 10 ottobre 2025 il cliente ha diritto a sapere, prima di firmare l’incarico, quali sistemi AI verranno usati e con quale ruolo. In pratica conviene inserire nel mandato una clausola breve che elenchi gli strumenti, indichi che l’output e’ sempre rivisto dal professionista e chiarisca che non vengono caricati dati del cliente su servizi che addestrano modelli senza consenso. Gli ordini professionali hanno gia’ iniziato a pubblicare modelli di informativa: vale la pena verificarne la disponibilita’ presso il proprio Ordine territoriale.
Obblighi in ambito sanitario (articoli 7-8)
Per le PMI del settore sanitario (dispositivi medici, software per studi, telemedicina, assistenza alla disabilita’) gli artt. 7-8 impongono sicurezza, non discriminazione, supervisione professionale, validazione periodica degli algoritmi. L’AI non puo’ mai sostituire il giudizio clinico.
Deepfake e art. 612-quater c.p. (articolo 25)
La legge introduce nel codice penale l’art. 612-quater, che punisce con la reclusione da uno a cinque anni chi, senza consenso, diffonde immagini, video o voci falsificati tramite AI e idonei a trarre in inganno sulla loro genuinita’. Per una PMI il rischio e’ legato alla generazione di contenuti multimediali: un dipendente che usa l’AI per creare materiali che riproducono persone reali senza consenso espone l’azienda.
Sanzioni: il regime per le PMI italiane
Il regime sanzionatorio si integra con quello del Regolamento UE 2024/1689:
- Pratiche vietate: fino a 35 milioni di euro o il 7% del fatturato globale annuo
- Sistemi ad alto rischio, violazioni: fino a 15 milioni di euro o il 3% del fatturato
- Informazioni false alle autorita’: fino a 7,5 milioni di euro o l’1% del fatturato
Per le PMI vale il principio di proporzionalita’: si applica l’importo piu’ basso tra cifra fissa e percentuale. Una PMI con 3 milioni di fatturato, nel caso piu’ grave, pagherebbe 210.000 euro (7% del fatturato), non 35 milioni. Resta una cifra che mette fuori mercato una piccola impresa. Per il dettaglio, vedi quanto costa non adeguarsi all’AI Act.
L’articolo 26 della L. 132/2025 delega il Governo a specificare ulteriormente, entro dodici mesi dall’entrata in vigore, i poteri sanzionatori delle autorita’ nazionali: il quadro si completera’ nel corso del 2026. Alle sanzioni amministrative si aggiungono quelle penali dell’art. 25.
Cosa cambia dal 10 ottobre 2025: una timeline operativa
- 10 ottobre 2025: entrata in vigore L. 132/2025. Gli obblighi degli artt. 11 e 13 sono operativi subito.
- Aprile 2026: mancano meno di quattro mesi al 2 agosto 2026. Per il calendario completo, il riferimento e’ il calendario delle scadenze AI Act 2026 per le PMI.
- 2 agosto 2026: obblighi completi AI Act, sistemi ad alto rischio, piena operativita’ ispettiva di AgID e ACN.
- Ottobre 2026 (indicativo): scadenza per i decreti attuativi delegati al Governo.
- 2 agosto 2027: obblighi sui sistemi AI ad alto rischio gia’ immessi sul mercato prima dell’entrata in vigore.
La data critica e’ il 2 agosto 2026. Da quel momento ACN avra’ pieni poteri ispettivi. Non aspettare i decreti attuativi: gli artt. 11 e 13 sono gia’ applicabili, l’AI literacy e’ obbligatoria dal 2 febbraio 2025, il tempo per adeguarsi non e’ trascurabile.
Checklist di adeguamento in 8 punti
Questa lista copre il minimo indispensabile per una PMI italiana, integrata con gli obblighi AI Act.
- Inventario degli strumenti AI in uso, inclusa la shadow AI. Il registro degli strumenti AI aziendale e’ il cuore della compliance.
- Classificazione per rischio secondo l’AI Act: inaccettabile, alto, limitato, minimo.
- Informativa scritta ai lavoratori sui sistemi AI usati nei processi che li riguardano (art. 11).
- Procedura per le modifiche: preavviso di 24 ore e comunicazione scritta.
- Aggiornamento di lettere di incarico e contratti con clausola art. 13 per le PMI professionali.
- Formazione documentata (AI literacy): date, partecipanti, contenuti.
- Governance interna secondo le quattro regole minime di governance AI per PMI: dati vietati, output a revisione umana, owner dei casi d’uso, archivio prompt.
- Monitoraggio dei canali AgID e ACN per comunicazioni, linee guida e decreti attuativi.
Due esempi concreti. Una PMI metalmeccanica da 25 dipendenti in Brianza che usa un software AI per pianificare i turni di produzione: deve consegnare ai lavoratori un’informativa scritta che descriva lo strumento, i dati trattati e come vengono prese le decisioni, piu’ una procedura per comunicare le modifiche con 24 ore di anticipo. Uno studio di commercialisti associati con 8 addetti in Emilia che usa ChatGPT per bozze di pareri: deve inserire nelle lettere di incarico la clausola dell’art. 13 e conservare evidenza della prevalenza del lavoro umano nei fascicoli.
Agevolazioni per le PMI previste dalla legge
L’articolo 5 della L. 132/2025 promuove esplicitamente l’AI come leva di competitivita’ per le imprese italiane, con attenzione a PMI e startup. In concreto:
- Sandbox normative: spazi di sperimentazione supervisionati, accesso gratuito per PMI
- Procedure semplificate per la certificazione
- Sconti sulle tariffe di valutazione di conformita’
- Accesso prioritario ai servizi di supporto delle autorita’ nazionali
Queste misure non esonerano dagli obblighi, ma rendono il percorso sostenibile. Per un inquadramento completo delle esclusioni, vedi le esenzioni dell’AI Act per le PMI.
Domande frequenti sulla Legge 132/2025
Quando e’ entrata in vigore la Legge 132/2025?
La legge e’ stata approvata il 23 settembre 2025, pubblicata in Gazzetta Ufficiale il 25 settembre 2025 (serie generale n. 223) ed e’ entrata in vigore il 10 ottobre 2025, quindici giorni dopo la pubblicazione. Gli obblighi degli articoli 11 (lavoro) e 13 (professioni) sono operativi da subito, senza periodo transitorio.
La Legge 132/2025 sostituisce l’AI Act europeo?
No. L’AI Act (Regolamento UE 2024/1689) e’ direttamente applicabile in tutti gli Stati membri. La L. 132/2025 non lo recepisce ma lo integra: specifica la governance italiana (AgID, ACN), aggiunge regole settoriali (lavoro, sanita’, professioni) e introduce fattispecie penali nazionali. Le PMI italiane devono rispettare entrambi i livelli.
Quali sono gli obblighi per una PMI non professionale?
Se la tua PMI non opera nelle professioni intellettuali e non e’ nel settore sanitario, i principali obblighi sono: informare per iscritto i lavoratori sui sistemi AI usati nei processi che li riguardano (art. 11), garantire la sorveglianza umana, evitare l’uso di AI per i deepfake (art. 25), rispettare gli obblighi generali dell’AI Act come l’AI literacy.
Cosa rischia una PMI che non si adegua?
Le sanzioni amministrative sono quelle del Regolamento UE 2024/1689: fino al 7% del fatturato per le pratiche vietate, fino al 3% per violazioni sui sistemi ad alto rischio. Per le PMI si applica l’importo piu’ basso tra cifra fissa e percentuale. Alle sanzioni amministrative si aggiungono quelle penali dell’art. 612-quater c.p. per i deepfake (reclusione 1-5 anni).
Chi vigila sull’applicazione della Legge 132/2025?
AgID e’ autorita’ di notifica e si occupa delle procedure di conformita’. ACN e’ autorita’ di vigilanza del mercato con poteri ispettivi e sanzionatori. Il Garante Privacy resta competente per i trattamenti di dati personali, AGCOM per media e diritto d’autore. Un Comitato di coordinamento presso la Presidenza del Consiglio assicura il raccordo.
E’ obbligatorio aggiornare i contratti con i clienti?
Per le PMI che operano nelle professioni intellettuali, si’. L’articolo 13 impone di informare il cliente sui sistemi AI utilizzati nella prestazione. La prassi consigliata e’ aggiornare lettere di incarico, mandati e informative con una clausola specifica che descriva gli strumenti AI, la loro funzione di supporto e la prevalenza del lavoro umano.
Da dove partire questa settimana
Tre azioni concrete per il titolare di una PMI italiana che non ha ancora fatto nulla:
- Inventario degli strumenti AI in uso, anche non autorizzati. Un foglio con nome strumento, utilizzatori, attivita’, dati trattati.
- Comunicazione scritta ai dipendenti sui sistemi AI nei processi di lavoro: elenco e finalita’.
- Se offri servizi professionali, aggiornamento delle lettere di incarico con la clausola art. 13.
Queste tre azioni ti portano avanti rispetto alla maggioranza delle PMI italiane, che oggi non ha ancora affrontato il tema. Per il percorso completo, dal primo inventario alla governance operativa, il libro Intelligenza Artigianale guida passo dopo passo con template, checklist e casi pratici pensati per le piccole e medie imprese italiane.
Il testo integrale della Legge 132/2025 e’ consultabile sulla Gazzetta Ufficiale. Le comunicazioni operative vengono pubblicate sul sito di AgID. La Legge 132/2025 e l’AI Act non sono ostacoli all’innovazione: sono il perimetro entro cui, per chi si muove in tempo, l’AI diventa un vantaggio competitivo sostenibile.
