Diritto e Tecnologia

Analisi e Implicazioni della Legge n. 132/2025

Sezione I: Il Contesto Normativo e la Filosofia della Legge 132/2025

1.1. L'Inquadramento Normativo: Dalla Strategia Nazionale all'AI Act

La Legge n. 132 del 23 settembre 2025 (originata dal Disegno di Legge A.C. 2316) si configura come la prima normativa quadro organica italiana in materia di intelligenza artificiale (IA). La sua promulgazione risponde all'esigenza di governare lo sviluppo tecnologico in modo etico, responsabile e competitivo. Essa si innesta in un quadro europeo in rapida evoluzione, agendo come normativa di coordinamento e integrazione rispetto al Regolamento (UE) 2024/1689, noto come AI Act.

L'architettura della Legge 132/2025 è complessa, articolandosi in sei capi che coprono i principi generali, le disposizioni di settore (dalla sanità alla pubblica amministrazione), la strategia nazionale, la tutela degli utenti e il diritto d'autore, le disposizioni penali e, infine, quelle finanziarie. La filosofia centrale è stabilita nell'Articolo 1, il quale enuncia la finalità di promuovere un utilizzo "corretto, trasparente e responsabile" dell'IA, bilanciando le opportunità di innovazione con la necessaria vigilanza sui rischi economici, sociali e, soprattutto, sui diritti fondamentali. Tale visione è coerente con l'approccio antropocentrico del Regolamento europeo, che concepisce la tecnologia come strumento al servizio dell'essere umano.

Nonostante la finalità di armonizzazione con l'AI Act (che, ad esempio, a partire dal 2 febbraio 2025, vieta le applicazioni ad "alto rischio inaccettabile"), l'introduzione di una legislazione quadro nazionale aggiuntiva stabilisce un layer normativo domestico specifico. Per il libero professionista italiano, questo significa che la conformità non si limita solo agli obblighi imposti ai fornitori o agli utilizzatori di sistemi ad alto rischio ai sensi dell'AI Act, ma si estende a obblighi procedurali e di trasparenza nazionali, in particolare l'Articolo 13, aumentando il carico di compliance rispetto ad altri Paesi membri in attesa di recepimenti o regolamenti attuativi specifici.

1.2. Ambito di Applicazione Soggettivo: Il Professionista come "Deployer"

La Legge 132/2025 si indirizza in modo puntuale alle professioni intellettuali regolamentate, includendo avvocati, commercialisti, consulenti del lavoro, ingegneri e architetti. Quando un professionista utilizza un sistema di IA per le proprie attività (esclusa l'attività personale non professionale), esso assume il ruolo di “deployer” (utilizzatore) ai sensi della normativa sull'IA. Questo ruolo comporta obblighi diretti di conformità, monitoraggio e gestione del rischio.

È fondamentale notare che la legge non introduce esoneri basati sulla dimensione dello studio o sul regime fiscale adottato. La normativa estende gli obblighi di trasparenza e accountability anche ai professionisti che operano in regime semplificato (ditte individuali, società di persone). Indipendentemente dal fatturato o dalla struttura contabile, l'uso dell'IA a supporto della prestazione intellettuale rende applicabile l'Articolo 13.

Sezione II: Il Presidio Umano e la Disciplina Operativa (Articolo 13)

L'Articolo 13 della Legge 132/2025 costituisce la disposizione cardine che definisce le modalità ammesse per l'utilizzo dei sistemi di IA nelle attività professionali.

2.1. L'Uso Consentito: Funzione Esclusivamente Strumentale e di Supporto

Il legislatore italiano ha stabilito un principio di sussidiarietà per l'IA: il suo utilizzo è consentito esclusivamente per esercitare attività strumentali e di supporto alla prestazione professionale. L'IA deve operare in una funzione ausiliaria, assistendo il professionista senza mai sostituire l'attività critica di valutazione e decisione.

I sistemi di IA possono essere impiegati, ad esempio, per la ricerca avanzata (giurisprudenziale, dottrinale), l'analisi predittiva di dati (come i dati fiscali, purché in pieno rispetto del GDPR), la classificazione documentale o la generazione di bozze. Questo inquadramento riflette la necessità di tutelare il cuore della prestazione d'opera, che per sua natura deve rimanere espressione della competenza e dell'intelletto umano.

2.2. Il Principio della Prevalenza del Lavoro Intellettuale (Human-in-the-Loop)

Il requisito della prevalenza del lavoro intellettuale costituisce il meccanismo normativo di salvaguardia della visione antropocentrica. Questa prevalenza non deve essere interpretata in senso meramente quantitativo (ad esempio, il tempo speso in un'attività), ma si misura nella qualità del contributo intellettuale, critico e valutativo che il professionista apporta alla prestazione.

Il primato del decisore umano è inequivocabile: l'elaborazione autonoma di valutazioni da parte dell'algoritmo deve essere saldamente ancorata all'esercizio personale della competenza professionale. Il software non può, in alcun caso, ricevere una delega decisionale, posizione condivisa anche dagli Ordini professionali. Per garantire questo controllo sostanziale, il professionista è obbligato ad adottare criteri interni per la selezione, la validazione e il monitoraggio continuo degli strumenti di IA.

L'obbligo di esercitare un controllo sostanziale sull'intero ciclo di vita dell'IA impone una ridefinizione dei flussi di lavoro (workflow re-engineering) all'interno degli studi professionali. Se un professionista si limita ad accettare l'output algoritmico senza una verifica critica e documentata, violerebbe il principio di prevalenza. Ciò significa che il costo dell'adozione dell'IA non è limitato all'acquisto della tecnologia, ma include l'implementazione di rigorosi protocolli interni di Audit Trail e Validazione Umana. In caso di contestazione o contenzioso, il professionista dovrà essere in grado di dimostrare documentalmente di aver fornito il contributo intellettuale prevalente, trasformando l'IA, se non ben gestita, da elemento di efficienza a fattore di rischio legale.

2.3. Il Rischio Deontologico e L'Aggiornamento del Mandato

L'uso dell'IA impone il rigoroso rispetto dei doveri etici e deontologici stabiliti dai rispettivi Ordini professionali. Il professionista deve salvaguardare la dimensione fiduciaria del rapporto con il cliente. L'Articolo 13, pertanto, non è solo una norma di diritto positivo, ma anche uno standard minimo di diligenza professionale nell'era digitale.

Per allinearsi alla Legge 132/2025, è essenziale procedere a una revisione delle disposizioni contrattuali. I modelli di mandato professionale devono includere clausole che esplicitamente rendano noto e disciplinino l'utilizzo dell'IA. Questo aggiornamento contrattuale è il primo passo formale per mitigare il rischio di contenzioso e per rispettare l'obbligo di trasparenza.

Sezione III: L'Obbligo Informativo e la Tutela del Consumatore di Servizi Professionali

La trasparenza nell'uso dell'IA è uno degli obblighi più concreti e immediati imposti dalla Legge 132/2025.

3.1. Decorrenza e Ambito di Applicazione

L'obbligo di comunicare ai clienti l'eventuale impiego di strumenti di Intelligenza Artificiale a supporto delle prestazioni professionali è vincolante a partire dal 10 ottobre 2025. Questa norma si applica in modo trasversale a tutti i professionisti (avvocati, commercialisti, consulenti, ecc.). L'obbligo di informativa, tuttavia, non retroagisce e non si applica ai contratti già stipulati relativi a opere intellettuali prodotte precedentemente a tale data.

3.2. Contenuto e Modalità dell'Informativa (Art. 13, comma 2)

L'informativa deve essere resa in forma chiara, semplice ed esaustiva, evitando tecnicismi inutili, al fine di rafforzare il rapporto fiduciario. Sebbene la legge non imponga unicamente la forma scritta, è preferibile che l'informativa sia formalizzata per iscritto per garantire tracciabilità e prova in caso di necessità.

La Legge 132/2025 richiede che l'informativa sia estremamente dettagliata al momento della sottoscrizione dell'incarico. In caso di utilizzo di sistemi di IA, la dichiarazione deve indicare esplicitamente:

1. La tipologia di IA impiegata (es. sistemi predittivi, generativi, agentici o conversazionali).

2. La provenienza del sistema (nazionale, europea o extra-UE; residente in-house o fornito online).

3. Le finalità di utilizzo nel contesto specifico dell'incarico (es. ricerca, supporto all'analisi dati, redazione di bozze).

La richiesta di specificare la provenienza (extra-UE) e la tipologia (es. generativa) del sistema algoritmico non è una mera formalità. Tale dettaglio funge da meccanismo di trasparenza preventiva che, de facto, stabilisce una matrice di rischio per il cliente. Un sistema generativo extra-UE, ad esempio, può sollevare maggiori interrogativi in merito al diritto d'autore, al bias algoritmico o alla giurisdizione applicabile in caso di errore, rispetto a un modello analitico sviluppato internamente. Il professionista che adotta strumenti percepiti come a rischio più elevato (in base a provenienza e funzione) si trova quindi a dover giustificare e documentare un livello di controllo critico superiore.

3.3. Intersezione con il GDPR

L'informativa ex Articolo 13 si affianca e si integra con gli obblighi imposti dal Regolamento Generale sulla Protezione dei Dati (GDPR). Quando il professionista tratta dati personali, in particolare dati fiscali o sensibili, mediante sistemi di IA, è tenuto a rispettare integralmente la normativa sulla privacy. È necessario informare il cliente non solo sull'uso strumentale dell'IA, ma anche sulle modalità di trattamento dei dati, garantendo che questi siano processati esclusivamente per lo scopo previsto e nel rispetto dei principi di minimizzazione e sicurezza.

Sezione IV: Responsabilità, Rischio e Deontologia Professionale

L'aspetto più critico dell'adozione dell'IA nelle professioni intellettuali riguarda la definizione e l'imputazione della responsabilità in caso di errore algoritmico.

4.1. L'Accountability Personale e la Responsabilità Civile

La Legge 132/2025 ribadisce con forza il principio della accountability personale: la responsabilità per le decisioni prese, anche se mediate o supportate dall'IA, ricade in modo pieno e inequivocabile sul singolo professionista. L'IA, mancando di personalità giuridica, non può essere ritenuta responsabile per i danni.

Un errore generato dall'algoritmo (sia esso un bug di programmazione, un difetto nel training set che porta a decisioni discriminatorie, o un errore di calcolo) si traduce, nella sfera professionale, come una negligenza del deployer nell'attività di supervisione, selezione, validazione o monitoraggio del sistema. L'affermazione del primato del decisore umano esclude la possibilità di addurre l'errore del software come esimente.

4.1.1. Delega al Governo e Criteri di Imputazione

La Legge 132/2025 include una delega al Governo per definire i criteri specifici di imputazione della responsabilità penale delle persone fisiche e amministrativa degli enti in relazione agli illeciti commessi tramite sistemi di IA.

Tali criteri dovranno tenere in debito conto il livello effettivo di controllo dei sistemi da parte dell'agente. Questo è un elemento cruciale: un professionista che dimostri di aver implementato rigidi protocolli di validazione (human-in-the-loop) e di aver agito con la massima diligenza possibile mitigherà la propria posizione, mentre l'utilizzo passivo dell'output algoritmico, privo di verifica critica, potrebbe aggravare l'imputazione di colpa.

4.2. Sistemi Ad Alto Rischio e Norme Deontologiche

L'integrazione della L. 132/2025 con l'AI Act impone la valutazione dei sistemi come potenziali sistemi ad alto rischio, specialmente se utilizzati in ambiti professionali critici (es. servizi medici, gestione di infrastrutture, selezione del personale). Se un sistema impiegato da un professionista rientra nell'Allegato III del Regolamento UE, gli obblighi di documentazione, risk assessment e human oversight diventano massimi.

Inoltre, la violazione dell'Articolo 13 (in particolare l'inosservanza della prevalenza umana o l'omessa/insufficiente informativa) non espone il professionista solo al rischio di sanzioni amministrative legali, ma anche al procedimento disciplinare deontologico. La L. 132/2025, stabilendo standard di diligenza e trasparenza, rafforza implicitamente i poteri degli Ordini professionali di vigilare sull'uso etico e responsabile della tecnologia.

4.3. Sanzioni Amministrative e Autorità di Vigilanza

In caso di inosservanza delle disposizioni (sia quelle della Legge italiana che del Regolamento UE), l'autorità competente può imporre le sanzioni e le misure amministrative previste dall'Articolo 99 dell'AI Act, nel rispetto dei limiti edittali stabiliti.

Il quadro di vigilanza in Italia è affidato a una pluralità di enti:

• L'Agenzia per la Cybersicurezza Nazionale (ACN) agisce come autorità di vigilanza del mercato e punto di contatto unico.

• AgID è l'autorità di notifica.

• Restano ferme le competenze di Garante Privacy (per la tutela dei dati personali), Banca d'Italia, CONSOB e IVASS (per i settori finanziari).

Questa frammentazione di autorità richiede che il professionista adotti un approccio di compliance olistico, in grado di rispondere contemporaneamente alle esigenze di protezione dei dati, cybersicurezza e trasparenza professionale.

Sezione V: Le Implicazioni Assicurative e la Gestione del Rischio Finanziario

L'introduzione della Legge 132/2025 trasforma il rischio algoritmico in un rischio professionale assicurabile, richiedendo un aggiornamento delle coperture.

5.1. L'Adeguamento delle Polizze RCP

La responsabilità oggettiva del professionista per l'errore algoritmico rende spesso inadeguate le polizze di Responsabilità Civile Professionale (RCP) tradizionali. Tali polizze sono tipicamente disegnate per coprire danni derivanti da negligenze o errori umani. Con l'IA, la fonte del danno può essere un bug di sistema, un difetto di addestramento (training set) o una decisione errata presa dal modello.

È indispensabile che i professionisti, specialmente quelli che trattano grandi volumi di dati o operano in settori ad alto impatto (es. commercialisti nell'apposizione del visto di conformità), richiedano estensioni specifiche alla propria polizza RCP. Queste estensioni devono coprire esplicitamente i danni patrimoniali e/o materiali causati da sistemi di machine learning, reti neurali e automazione intelligente. La mancata adozione di coperture adeguate lascia il professionista esposto economicamente in caso di danno al cliente derivante da malfunzionamento algoritmico.

Il costo del rischio algoritmico, mitigato attraverso l'adeguamento della polizza e l'implementazione di protocolli di controllo interno (come richiesto dall'Art. 13), si converte in un costo operativo fisso. Questo orientamento economico spinge gli studi professionali a selezionare e implementare strumenti di IA solo nei processi che generano un valore aggiunto sufficiente a giustificare l'investimento in compliance e l'aumento dei premi assicurativi.

5.2. Gestione della Catena di Fornitura e Compliance by Design

La responsabilità del professionista come deployer impone una gestione attenta della catena di fornitura dell'IA. Il professionista deve assicurarsi che l'apporto creativo umano resti centrale e che l'uso dei contenuti (per l'addestramento dei modelli, dataset governance) avvenga entro confini normativi chiari, anche in relazione al diritto d'autore.

La Legge 132/2025 sollecita l'adozione di prassi di compliance by design nei contratti di licenza con i fornitori di software IA, negoziando clausole relative a:

• Tracciabilità delle fonti e contenuti.

• Diritto di opt-out (per i dati utilizzati nell'addestramento).

• Obblighi di audit e responsabilità lungo la catena di fornitura.

5.3. Misure di Promozione e Incentivi (Articolo 23)

Parallelamente agli obblighi, la Legge 132/2025 promuove lo sviluppo dell'IA. L'Articolo 23 si concentra sugli investimenti strategici nell'IA, nella cybersicurezza e nel calcolo quantistico. Questi investimenti sono sostenuti tramite la sottoscrizione di quote o azioni di fondi di venture capital gestiti da SGR, anche mediante coinvestimento.

Sebbene queste misure siano primariamente dirette a supportare lo sviluppo di imprese operanti nel settore dell'IA, i liberi professionisti, in quanto utilizzatori finali, possono accedere ad altri meccanismi di supporto. Ad esempio, per l'acquisto di hardware e software strumentali all'implementazione dell'IA, i professionisti autonomi possono già beneficiare di crediti d'imposta per investimenti in beni strumentali (es. 10% per investimenti fino a 2 milioni di euro, per beni non 4.0). La strategia nazionale di cui all'Art. 19 e la previsione di percorsi di alfabetizzazione e formazione in materia di IA mirano a incrementare la capacità degli studi professionali di adottare la tecnologia in conformità.

Conclusioni

La Legge n. 132/2025 segna un punto di svolta per i liberi professionisti italiani, elevando il livello di diligenza e trasparenza richiesto per l'integrazione dell'Intelligenza Artificiale nelle loro pratiche. L'Articolo 13 codifica il principio secondo cui l'IA è un mero strumento ancillare, mai sostitutivo, della competenza umana.

L'implicazione più profonda risiede nella trasformazione del rischio: l'adozione dell'IA non è più una scelta meramente tecnologica, ma un atto che impone l'internalizzazione di costi di compliance maggiori (per la verifica, la documentazione e l'adeguamento assicurativo). Il successo nell'integrazione dell'IA non dipenderà dalla potenza dell'algoritmo, ma dalla capacità del professionista di dimostrare, in ogni fase, il proprio effettivo e critico controllo sul processo decisionale, mantenendo inalterata la dimensione fiduciaria e deontologica della prestazione.

Autore: Dott. Alessandro Cervellino