Legge 132/2025 e PMI italiane: cosa cambia per chi usa l'AI in azienda
Il 10 ottobre 2025 è entrata in vigore la prima legge italiana organica sull'AI. Per una PMI manifatturiera con Copilot già attivo cambia in quattro punti precisi. AgID + ACN, sandbox, nuovi reati penali, decreti attuativi entro ottobre 2026.
Indice · 9 sezioni
- 01Il regolatore italiano ha scelto. Cosa significa concretamente per voi
- 02Le due autorità che vi controlleranno: AgID e ACN
- 03Sandbox regolatorie: 24 mesi per testare senza prendere multe
- 04Tre nuove norme penali che cambiano la responsabilità individuale
- 05La delega al Governo: cosa non si sa ancora
- 06L'invarianza finanziaria: il dettaglio che condizionerà l'enforcement
- 07Il quadro adozione AI in Italia: contesto utile per inquadrare il regolatore
- 08Cosa fare ORA, prima di ottobre 2026
- 09Cosa facciamo noi di default
Legge 132/2025 e PMI italiane: cosa cambia per chi usa l'AI in azienda
Il regolatore italiano ha scelto. Cosa significa concretamente per voi
Il 10 ottobre 2025 è entrata in vigore la Legge 23 settembre 2025, n. 132, pubblicata in Gazzetta Ufficiale n. 223 del 25 settembre. È la prima legge italiana organica sull'intelligenza artificiale. Per la stampa generalista è stata "la legge italiana sull'IA". Per il CEO di una PMI manifatturiera lombarda che ha appena attivato Copilot per i venditori, la domanda vera è un'altra: cambia qualcosa per me?
Sì, ma non come pensate. La Legge 132 non sostituisce il Regolamento UE 2024/1689 (l'AI Act). All'art. 1, comma 2, dichiara espressamente la propria subordinazione interpretativa al Regolamento europeo. All'art. 3, comma 5, introduce una clausola di non-gold-plating: non vengono aggiunti obblighi più stringenti di quelli UE. La legge italiana integra l'AI Act, non lo riscrive.
In quattro punti precisi cambia però qualcosa per chi usa sistemi AI in Italia. Vediamoli senza intermediari.
Le due autorità che vi controlleranno: AgID e ACN
Per molti mesi il dibattito interno al Governo è stato se affidare la vigilanza AI a una nuova autorità (modello Garante) o a strutture esistenti. La scelta finale dell'art. 20 L. 132/2025 è chiara: AgID (Agenzia per l'Italia Digitale) e ACN (Agenzia per la Cybersicurezza Nazionale), ciascuna per le proprie competenze.
La divisione del lavoro:
| Autorità | Competenze | Implicazione per le PMI |
|---|---|---|
| AgID | Procedure di notifica, valutazione, accreditamento degli organismi di valutazione conformità, monitoraggio | Se in futuro vi serve una certificazione per un sistema alto rischio, passa da qui |
| ACN | Vigilanza, ispezioni, azioni sanzionatorie | Se siete in audit, è l'ACN che bussa alla porta |
Il sottosegretario all'Innovazione Alessio Butti ha motivato la scelta in un'intervista al Sole 24 Ore (ripresa da ICT Security Magazine): "un'Autorità potrebbe non avere le competenze necessarie per gestire l'AI, al contrario di AgID (che ha già integrato l'intelligenza artificiale nel suo programma nazionale per l'informatica) e Agenzia per la cybersicurezza".
C'è poi un terzo livello: il Comitato di coordinamento istituito presso la Presidenza del Consiglio, che riunisce AgID, ACN, Garante Privacy, AGCOM, Banca d'Italia, CONSOB e IVASS. Sulla carta è la sede dove si coordinano le competenze sovrapposte. Nella pratica, al maggio 2026 il Comitato manca ancora di un protocollo operativo, e questo lascia un problema aperto: se un vostro sistema AI tratta dati personali e ricade anche in ambito NIS2 (ne parliamo nell'articolo su NIS2 e PMI manifatturiere), in teoria possono ispezionarvi tre autorità diverse. Per ora il rischio è teorico, ma vale la pena saperlo.
Sandbox regolatorie: 24 mesi per testare senza prendere multe
Questo è il punto più sottovalutato della L. 132/2025 e probabilmente il più utile per una PMI italiana che vuole sperimentare seriamente.
L'art. 20, comma 1 lett. c) prevede l'istituzione di spazi di sperimentazione gestiti congiuntamente da AgID e ACN, sentiti il Ministero della Difesa per i sistemi a uso duale e il Ministero della Giustizia per le applicazioni giudiziarie. La durata massima ("fino a 24 mesi") non è scritta nella L. 132 ma deriva direttamente dall'art. 57 dell'AI Act, di cui la legge italiana è l'attuazione operativa.
Cosa significa nella pratica:
- Una PMI manifatturiera che vuole testare un sistema AI potenzialmente classificabile come alto rischio (ad esempio scoring CV, oppure vision integrata in un controllo qualità che assume valenza di safety component) può farlo dentro la sandbox senza incorrere immediatamente nelle sanzioni dell'art. 99 AI Act.
- L'autorità di vigilanza segue il test, dà indicazioni, eventualmente concorda mitigazioni. Non è un'esenzione, è un accompagnamento controllato.
- Per startup e PMI è prevista priorità di accesso.
Bruno Frattasi, Direttore generale ACN, ha motivato lo strumento parlando del "conflitto tra la tecnica che si evolve e tende a svilupparsi secondo proprie regole e la sua regolazione" e ha proposto "spazi di sperimentazione normativa applicati a tutti gli ambiti toccati dagli aspetti tecnologici innovativi".
Detto in pratica per voi: se siete una PMI manifatturiera che vuole portare un sistema borderline in produzione, ed esiste anche solo l'1% di dubbio sul fatto che ricada in Annex III dell'AI Act, vale la pena valutare l'ingresso in sandbox prima del go-live commerciale.
Tre nuove norme penali che cambiano la responsabilità individuale
Qui la L. 132/2025 fa un salto di livello rispetto all'AI Act. Il Regolamento europeo si occupa di sanzioni amministrative ai sensi dell'art. 99. La legge italiana introduce profili penali nuovi che colpiscono persone fisiche, non solo le aziende.
Art. 612-quater c.p. (nuovo): reclusione da 1 a 5 anni per chi diffonde senza consenso contenuti audio, video o immagini falsificati o alterati con l'uso di sistemi AI, idonei a ingannare. Nei casi più gravi il reato è perseguibile d'ufficio.
Aggravante art. 61 n. 11-decies c.p.: per qualsiasi reato comune costituisce aggravante "l'avere commesso il fatto mediante l'impiego di sistemi di intelligenza artificiale, quando gli stessi, per la loro natura o per le modalità di utilizzo, abbiano costituito mezzo insidioso, ovvero quando il loro impiego abbia comunque ostacolato la pubblica o la privata difesa, ovvero aggravato le conseguenze del reato".
Aggravanti su aggiotaggio e attentati a diritti politici: anche l'aggiotaggio (art. 2637 c.c., art. 185 TUF) e gli attentati ai diritti politici (art. 294 c.p.) commessi con AI vedono pene aumentate.
Per una PMI manifatturiera questa parte sembra distante. In realtà tocca tre punti operativi:
- Marketing e content generato: un video deepfake di un competitor diffuso anche solo "per scherzo" da un dipendente con account aziendale apre responsabilità penale individuale e potenziale 231 sull'azienda.
- Vendor AI esterni: se commissionate un video promozionale a un'agenzia che usa generative AI, dovete contrattualmente pretendere disclosure e consenso delle persone rappresentate. Una clausola in più nel contratto, niente di drammatico.
- Conservazione log: in caso di contestazione su un output AI (ad esempio uno scoring di selezione), l'aggravante del "mezzo insidioso" può scattare se non riuscite a documentare come il sistema è stato configurato e supervisionato.
La delega al Governo: cosa non si sa ancora
L'art. 24 della L. 132/2025 delega al Governo l'emanazione di decreti legislativi attuativi entro 12 mesi, quindi entro ottobre 2026. Questi decreti definiranno fra l'altro il quadro sanzionatorio nazionale specifico, cioè come l'ACN applicherà concretamente le sanzioni previste dall'art. 99 AI Act.
È il pezzo più criticato della legge. Un commentario su appaltiecontratti.it ha definito "il massiccio ricorso alla delega in bianco al Governo su materie tecnicamente complesse e giuridicamente delicate" la "vera incognita" del provvedimento: "L'efficacia di questa legge dipenderà interamente dalla qualità e dalla tempestività dei futuri decreti legislativi".
Tradotto per voi: il quadro sanzionatorio italiano vero arriverà fra giugno e ottobre 2026. Fino ad allora si applicano direttamente le sanzioni dell'AI Act europeo (operative dal 2 agosto 2026 nella parte non rinviata dal Digital Omnibus). Non aspettate i decreti italiani per muovervi: l'AI Act è già legge in Italia per effetto diretto del Regolamento UE.
L'invarianza finanziaria: il dettaglio che condizionerà l'enforcement
L'art. 27 della L. 132/2025 contiene una clausola passata sotto silenzio nella stampa generalista, e che invece è centrale: non vengono assegnate risorse finanziarie aggiuntive ad AgID e ACN per i nuovi compiti AI.
ICT Security Magazine ha rilevato il problema in modo netto: chiedere ad AgID e ACN di gestire vigilanza, ispezioni e sandbox sull'intera economia italiana che usa AI, senza budget incrementale, è un assegno scoperto.
Cosa significa per una PMI 50-250 dipendenti nel breve termine:
- Le ispezioni saranno selettive. Le risorse limitate spingeranno ACN a concentrarsi su pratiche vietate (art. 5 AI Act), sistemi alto rischio in settori critici e segnalazioni puntuali. Una PMI manifatturiera che usa Copilot per l'office e un OCR su fatture passive non è il target prioritario.
- Sandbox a numero chiuso. Per ovvi motivi di banda, i posti in sandbox non saranno illimitati. Chi muove per primo ha vantaggio.
- Il regolatore guarderà la documentazione, non visiterà la fabbrica. Aspettatevi richieste di documenti (inventari sistemi, policy interne, evidenza di formazione AI literacy) prima ancora che eventuali ispezioni on-site.
Questo cambia la strategia operativa: investire in documentazione interna leggera ha più rendimento che investire in tecnologie compliance pesanti. Un inventario sistemi tenuto aggiornato, una policy interna AI di due pagine, evidenze di formazione documentata sono il 90% di quello che vi servirà mostrare in un audit dei prossimi 24 mesi.
Il quadro adozione AI in Italia: contesto utile per inquadrare il regolatore
Il regolatore italiano si muove dentro un contesto preciso. L'ISTAT "Imprese e ICT 2025" (15 dicembre 2025) ha rilevato che il 16,4% delle imprese italiane con almeno 10 addetti usa almeno una tecnologia AI (era 8,2% nel 2024, 5,0% nel 2023). Le grandi imprese sono al 53,1%, le PMI 10-249 addetti al 15,7%. Il divario grandi-PMI è cresciuto da 20 punti percentuali nel 2023 a 37 nel 2025.
Il dato più pesante per chi legge la L. 132 è un altro: il 58,6% delle aziende italiane che hanno valutato investimenti AI vi ha rinunciato citando la mancanza di competenze adeguate come ostacolo principale (il 43% cita anche i costi, ISTAT 2025). Skill gap interno è prevalente, ma non l'unica barriera. Approfondiamo le dinamiche in perché le PMI hanno rinunciato all'AI.
Per il legislatore italiano questo significa una cosa precisa: la L. 132/2025 non è (solo) un atto difensivo verso la tecnologia, è un tentativo di alzare il piano della compliance senza spaventare un tessuto produttivo che fatica già a partire. Da qui il non-gold-plating, le sandbox, l'invarianza finanziaria. Per voi PMI è un'opportunità: il quadro è meno punitivo di quanto la stampa lasci credere.
Cosa fare ORA, prima di ottobre 2026
So che pensate: "Bello, ma tra delega, decreti attuativi, sandbox, autorità doppie, non si capisce cosa fare". Faccio io il riassunto operativo. Tre cose, in ordine di priorità.
1. Mappatura sistemi AI in uso (mezza giornata).
Una pagina con tre colonne: nome del sistema, chi lo usa, che dati processa. Include lo "shadow AI" (ChatGPT consumer pagato a titolo personale dai dipendenti, Copilot abilitato senza che la direzione lo sappia, plugin AI in Notion o Slack). Trovarli ora costa zero. Trovarli quando ACN chiede l'elenco dopo una segnalazione costa molto.
2. Policy AI interna scritta (mezza giornata).
Due pagine: sistemi autorizzati, dati non condivisibili, regole di revisione umana, persona di riferimento per i dubbi. Non vi serve un manuale ISO. Vi serve un documento che, se mostrato a un ispettore, dimostri governance esistente.
3. Formazione AI literacy ex Art. 4 AI Act (giornate diluite nel calendario).
L'obbligo è in vigore dal 2 febbraio 2025. L'enforcement (vigilanza ACN/AgID) parte dal 2 agosto 2026. Lo Studio Legale Stefanelli & Stefanelli ha rilevato che "questo differimento temporale tra entrata in vigore dell'obbligo e attivazione della vigilanza configura un periodo transitorio durante il quale le organizzazioni dovrebbero proattivamente implementare programmi di alfabetizzazione". Tradotto: chi si attrezza ora ha 18 mesi di vantaggio. Chi non lo fa e poi viene contestato non può invocare buona fede. Dettagli operativi nell'articolo dedicato sull'Art. 4 e i corsi di alfabetizzazione.
Tutto questo va affiancato alla parte GDPR: se i sistemi AI processano dati personali (e quasi sempre lo fanno), oltre alla L. 132/2025 dovete essere a posto sul fronte privacy. La checklist operativa di cosa pretendere dai fornitori è in GDPR e AI: cosa firmare prima di far processare dati.
Cosa facciamo noi di default
Per le PMI manifatturiere italiane che ci contattano, partiamo sempre dalla mappatura sistemi e dalla policy interna. Sono i due passi che riducono il rischio compliance senza richiedere budget consulenziale. Hosting europeo, contratti DPA con clausole no-training, evidenza documentale di ogni scelta tecnica.
AICompliance: audit uso AI + mappatura obblighi Art. 50 + pacchetto contrattuale (DPA, sub-processor list, Registro trattamenti GDPR). Dettagli in AI Compliance.
Se ha senso per voi, scopriamolo in 30 minuti.
Aggiornato al 24 maggio 2026. Articolo divulgativo, non costituisce consulenza legale. La L. 132/2025 è in attesa dei decreti legislativi attuativi entro ottobre 2026 ex art. 24: alcuni elementi (in particolare il quadro sanzionatorio nazionale specifico) potranno essere precisati da successiva normativa.
Quante di queste ore perdi anche tu?
Il check-up te lo dice in 3 minuti: 12 domande, risultato subito, senza registrazione. Se non c'è un caso forte, lo vedi dai tuoi numeri. Niente proposta finta.