AI Act in Italia: i decreti attuativi sono partiti. Cosa deve fare un DPO ora

Una settimana che cambia il quadro

Il 10 giugno 2026 ha segnato due passaggi che ogni DPO e responsabile compliance dovrebbe annotare. In Italia, il Consiglio dei Ministri ha approvato — in esame preliminare — i primi schemi di decreto legislativo attuativi della Legge 132/2025, il provvedimento nazionale che recepisce e integra il Regolamento UE 2024/1689 (AI Act). Lo stesso giorno, a Bruxelles, la Commissione europea ha pubblicato la versione definitiva del Codice di condotta sulla marcatura e l'etichettatura dei contenuti generati dall'IA, attuativo dell'articolo 50.

Non sono notizie astratte. Definiscono chi vigila, su cosa, e con quali obblighi a carico di chi usa sistemi di IA — la categoria in cui rientra la quasi totalità delle organizzazioni regolamentate.

Cosa prevedono i decreti italiani

Il pacchetto si articola in due schemi di decreto. Il primo adegua la normativa nazionale in materia di poteri delle autorità nazionali e di formazione sull'IA (scuola, lavoro, sanità, professioni). Il secondo disciplina l'uso dell'IA nelle attività di polizia — inclusa l'identificazione biometrica — e la responsabilità civile e penale. È in quest'ultimo che si concentra la novità più pesante (ne parliamo tra poco).

La governance ruota attorno a due soggetti: AgID, come autorità di notifica, e ACN (Agenzia per la Cybersicurezza Nazionale), come autorità di vigilanza del mercato e punto di contatto unico con le istituzioni europee. Il Garante per la protezione dei dati personali interviene, nell'ambito delle proprie competenze, sui sistemi ad alto rischio impiegati in attività di law enforcement, giustizia e tutela dei processi democratici.

Va sottolineato un punto di metodo: si tratta di un esame preliminare. I testi devono ancora passare al vaglio delle commissioni parlamentari, della Conferenza delle Regioni e delle autorità competenti, prima del ritorno definitivo in Consiglio dei Ministri. Il termine entro cui il Governo deve esercitare la delega prevista dalla Legge 132/2025 è il 10 ottobre 2026: è la scadenza per l'adozione dei decreti da parte del Governo, non un termine di adempimento a carico delle organizzazioni.

Il salto di qualità: l'IA entra nel codice penale (e nel 231)

La novità più pesante è penale. Lo schema di decreto introduce un nuovo articolo 437-bis del codice penale, che punisce l'omessa adozione delle misure di sicurezza nei sistemi di IA ad alto rischio — e la loro alterazione — quando ne derivi un pericolo concreto per la vita, l'incolumità pubblica o la sicurezza dello Stato.

Le pene previste vanno da 1 a 5 anni di reclusione, fino a 10 anni quando l'alterazione minacci la sicurezza dello Stato; è prevista una variante per colpa grave, con pena ridotta.

Soprattutto, il nuovo reato entra nel catalogo dei reati presupposto del D.Lgs. 231/2001, con l'introduzione dell'art. 25-vicies ("reati commessi mediante l'uso di sistemi di intelligenza artificiale"). Tradotto: la mancata adozione di misure di sicurezza adeguate non è più solo un rischio amministrativo o reputazionale, ma può attivare la responsabilità penale delle persone fisiche e quella amministrativa dell'ente.

Per un DPO, un organismo di vigilanza o un amministratore questo cambia l'ordine delle priorità: le "misure di sicurezza" sull'IA ad alto rischio diventano un obbligo la cui assenza ha ora un nome nel codice penale. E un obbligo penalmente rilevante richiede prove: chi ha adottato quali misure, quando, e con quali garanzie tecniche.

L'altra metà del quadro: la trasparenza europea

Il Codice di condotta UE sull'articolo 50 distingue due piani: la marcatura machine-readable, a carico dei provider di IA generativa, e l'etichettatura visibile agli utenti, a carico dei deployer. Gli obblighi di trasparenza dell'articolo 50 si applicano dal 2 agosto 2026.

Il messaggio per chi adotta strumenti di IA generativa è chiaro: la trasparenza non è solo un dovere di chi costruisce i modelli, ma anche di chi li mette in produzione nei propri processi.

Attenzione alle scadenze in movimento

Qui serve prudenza. È in corso il negoziato sul cosiddetto Digital Omnibus, con un accordo provvisorio raggiunto il 7 maggio 2026 che proporrebbe di differire gli obblighi sui sistemi ad alto rischio dell'Allegato III dal 2 agosto 2026 al 2 dicembre 2027. Finché l'adozione formale non è completata, la scadenza operativa resta il 2 agosto 2026. La raccomandazione di Attrahere ai clienti è netta: pianificare sulla data vigente, non sul rinvio annunciato.

Le azioni concrete per un DPO

Al di là dell'incertezza sui termini, gli adempimenti previsti per i deployer di sistemi ad alto rischio dall'articolo 26 dell'AI Act sono già noti e definiscono una check-list operativa:

1. Mappare ruoli e responsabilità. Con AgID, ACN e Garante come riferimenti, occorre sapere quale autorità è competente per ciascun sistema in uso e chi, internamente, ne risponde.
2. Garantire la sorveglianza umana. Nessuna decisione critica deve essere interamente automatizzata senza un presidio umano documentato.
3. Conservare i log. L'articolo 26 richiede la conservazione delle registrazioni per almeno sei mesi. Un audit trail immutabile è la prova della diligenza in caso di ispezione o contenzioso.
4. Valutare la necessità di una FRIA. La valutazione d'impatto sui diritti fondamentali (articolo 27) è richiesta, fra gli altri, agli enti pubblici e ai deployer che usano IA per merito creditizio o tariffazione assicurativa vita/salute.
5. Informare i lavoratori e formare il personale. L'obbligo di trasparenza verso i dipendenti e quello di AI literacy non sono formalità: rientrano fra i nuovi obblighi di formazione previsti anche a livello nazionale.

Perché questo è il momento di agire

La direzione è inequivocabile: la responsabilità si sposta sempre più sul deployer, cioè sull'organizzazione che integra l'IA nei propri processi. Per uno studio professionale, una struttura sanitaria, una banca o una pubblica amministrazione, questo significa dotarsi di un'infrastruttura che renda dimostrabile la conformità — tracciabilità delle interazioni, registrazione immutabile, enforcement delle policy sui dati.

È esattamente il terreno su cui Attrahere opera: governance lato deployer, on-premise e zero-egress, con audit trail verificabile. Non per sostituire il giudizio del DPO, ma per fornirgli le evidenze che le nuove regole richiederanno.

Fonti

• Governo italiano — Comunicato stampa del Consiglio dei Ministri n. 177 (10 giugno 2026): https://www.governo.it/it/articolo/comunicato-stampa-del-consiglio-dei-ministri-n-177/32050
• Il Sole 24 ORE — AI, è reato l'omessa adozione di misure di sicurezza: https://www.ilsole24ore.com/art/ai-e-reato-l-omessa-adozione-misure-sicurezza-AIewt9hD
• ADVANT Nctm — AI: il CdM approva in via preliminare i decreti attuativi della Legge n. 132/2025: https://www.advant-nctm.com/news-e-approfondimenti/ai-il-cdm-approva-in-via-preliminare-i-decreti-attuativi-della-legge-n-132-2025
• Osservatorio 231 — Intelligenza artificiale: il via ai decreti attuativi (11 giugno 2026): https://www.osservatorio-231.it/2026/06/11/intelligenza-artificiale-il-via-ai-decreti-attuativi/
• Altalex — AI Act e attuazione italiana: il primato normativo alla prova della tenuta del sistema (16 giugno 2026): https://www.altalex.com/documents/2026/06/16/act-attuazione-italiana-primato-normativo-prova-tenuta-sistema
• Sistema Penale — Disposizioni attuative in materia di IA: reato di omessa adozione di misure di sicurezza: https://www.sistemapenale.it/it/notizie/disposizioni-attuative-in-materia-di-intelligenza-artificiale-reato-di-omessa-adozione-di-misure-di-sicurezza
• Commissione europea — Code of Practice on AI-generated content (art. 50): https://digital-strategy.ec.europa.eu/en/policies/code-practice-ai-generated-content
• Diritto Bancario — Il nuovo codice di condotta sull'etichettatura dei contenuti generati dall'IA: https://www.dirittobancario.it/art/il-nuovo-codice-di-condotta-sulletichettatura-dei-contenuti-generati-dallia/
• White & Case — EU agrees Digital Omnibus deal to simplify AI rules: https://www.whitecase.com/insight-alert/eu-agrees-digital-omnibus-deal-simplify-ai-rules
• EU AI Act — Article 26: Obligations of Deployers of High-Risk AI Systems: https://artificialintelligenceact.eu/article/26/