Con l’entrata in vigore della Legge n. 132/2025, l’Italia è diventata il primo Paese dell’Unione Europea a dotarsi di un quadro normativo nazionale pienamente allineato all’AI Act europeo. Un cambio di paradigma che ridisegna il confine tra innovazione e responsabilità per migliaia di imprese.
Fino a ieri, adottare sistemi di intelligenza artificiale significava cavalcare l’onda dell’innovazione con poche regole scritte. Da oggi, l’AI è un oggetto di compliance obbligatoria, con sanzioni che – a livello europeo- possono arrivare fino a 35 milioni di euro o al 7% del fatturato globale. Il segnale è inequivocabile.
Due autorità, una visione: ACN e AgID al centro del sistema
La legge individua due istituzioni come pilastri della governance AI in Italia. L’Agenzia per la Cybersicurezza Nazionale (ACN) presidia la resilienza cibernetica, integrando l’intelligenza artificiale nelle strategie di difesa e sicurezza delle infrastrutture digitali nazionali. L’Agenzia per l’Italia Digitale (AgID) assume il ruolo di promotore dell’innovazione, definendo le procedure di notifica, valutazione e monitoraggio degli organismi di certificazione.
I due ruoli sono complementari: ACN e AgID disegnano un ecosistema in cui la tecnologia cresce insieme alla sicurezza, rafforzandosi reciprocamente.
L’approccio antropocentrico: la persona al centro dell’algoritmo
Uno dei principi fondanti della legge è il cosiddetto approccio antropocentrico: qualunque decisione ad alto impatto deve sempre poter essere rivista, contestata o annullata da una persona fisica. L’algoritmo calcola, suggerisce, ottimizza, ma la responsabilità finale nei processi critici resta umana, documentata e attribuibile.
Per le imprese, questo significa ripensare i propri workflow automatizzati: chi ha la supervisione finale? Come viene documentata? Chi risponde in caso di errore del sistema?
Un miliardo di euro per non lasciare indietro nessuno
Consapevole che la conformità ha un costo, specialmente per le PMI, il legislatore ha stanziato 1 miliardo di euro a supporto delle startup e delle piccole e medie imprese che vogliono adottare soluzioni AI conformi. Un segnale chiaro: la regolamentazione nasce per rendere l’innovazione sostenibile e competitiva sul lungo periodo.
Cosa devono fare le aziende: la fine della compliance spot
Per il settore large corporate, la legge segna la fine degli audit ‘a campione’ e delle verifiche periodiche. Oggi è richiesta una supervisione algoritmica continua: i sistemi di AI devono essere mappati, classificati per livello di rischio e monitorati nel tempo – inclusi i fornitori terzi che li sviluppano o li gestiscono.
L’inventario tecnologico diventa un documento strategico, e la compliance AI si affianca con pari dignità a cybersecurity e privacy nel framework di governance aziendale. La regolamentazione è il motore che rende l’innovazione credibile agli occhi di clienti e investitori.
Go GRC Platform è il sistema tecnologico avanzato sviluppato da Deda Bit per centralizzare la gestione dei rischi, della conformità normativa e dei processi di audit aziendale. Certificata dall’ACN nel Marketplace Cloud italiano e basata sul modello OCEG, la piattaforma offre moduli integrabili per Corporate Governance, Internal Audit, Operational & IT Risk e Line Controls.
Scopri come Go GRC Platform può trasformare la tua compliance da centro di costo a vantaggio competitivo.
