HomeBlog

30 Minuti di FuturoLavora con NoiContatti
Legge 132/2025 sull’Intelligenza Artificiale: la guida pratica per le PMI italiane

Legge 132/2025 sull’Intelligenza Artificiale: la guida pratica per le PMI italiane

Stai già usando l’AI in azienda, o stai valutando di farlo. Magari hai attivato un chatbot per il customer care, stai sperimentando la generazione automatica di testi per il commerciale, o usi strumenti AI per analizzare dati di produzione. Saprai già che dal 25 settembre 2025 c’è una nuova variabile da considerare: la Legge 23 settembre 2025, n. 132.

Non è una norma che blocca l’innovazione. È una norma che chiede alle aziende di usare l’AI in modo consapevole, trasparente e proporzionale al rischio. Per molte PMI italiane, però, il primo impatto è lo stesso: «E adesso che devo fare?»

Questa guida risponde esattamente a questa domanda. Niente linguaggio da avvocato, niente tecnicismi inutili: solo quello che ti serve sapere per continuare a innovare senza esporti a rischi inutili.

2081 parole, tempo di lettura 11 minuti.

Cos’è la Legge 132/2025 e perché interessa anche te

La Legge 132/2025 è la norma nazionale italiana che recepisce e integra il Regolamento europeo sull’Intelligenza Artificiale, noto come AI Act (Regolamento UE 2024/1689). L’AI Act è il primo quadro normativo organico al mondo sull’AI: definisce regole proporzionali al livello di rischio di ogni sistema intelligente.

La legge italiana va oltre la mera trasposizione europea: introduce obblighi specifici su trasparenza, protezione dei dati, cybersicurezza e, punto spesso ignorato dalle PMI, l’obbligo di informare i lavoratori quando si introduce un sistema AI che influisce sul loro lavoro.

Chi è coinvolto? Qualsiasi azienda che «sviluppa, distribuisce, integra o utilizza» sistemi di AI in Italia. Questo include le PMI che usano strumenti AI di terzi (es. CRM con funzionalità AI, chatbot, software di analisi predittiva).

L’organo di vigilanza nazionale è AgID (Agenzia per l’Italia Digitale) in coordinamento con ACN (Agenzia per la Cybersicurezza Nazionale) per i profili di sicurezza. Sono loro a ricevere le segnalazioni e, in caso di inadempienza, a irrogare sanzioni.

[Fonte: Testo ufficiale Legge 23 settembre 2025, n. 132 — GU n. 223 del 25-9-2025]

Lo spunto chiave: perché è nata la norma

La Legge 132/2025 non è caduta dal cielo. È la risposta normativa a un fenomeno già documentato: l’AI, quando viene introdotta senza governance, non elimina i rischi, li nasconde. E i rischi nascosti, per un’azienda, sono i più pericolosi.

💡 Esempio concreto
Una PMI nel settore retail adotta un software HR con funzionalità AI per filtrare i CV e proporre una shortlist di candidati. Il problema: nessuno ha informato i candidati che la preselezione era gestita da un sistema automatizzato. Nessuno ha verificato su quali dati storici il sistema si era addestrato. Nessuno ha definito chi, in azienda, era responsabile di validare gli output prima delle convocazioni. Risultato: un’azienda esposta su tre fronti contemporaneamente: obbligo di trasparenza verso i candidati (violato), protezione dei dati personali (non presidiata), assenza di supervisione umana documentata (richiesta dalla norma per i sistemi ad alto rischio come quelli che incidono sull’occupazione). Tre obblighi della Legge 132/2025 mancati con un solo strumento.

Il punto non è che lo strumento fosse sbagliato. È che nessuno aveva definito le regole del gioco prima di attivarlo. La legge chiede esattamente questo: che le regole esistano, siano scritte, e siano rispettate. Non è burocrazia: è il presupposto perché l’AI funzioni senza creare problemi legali o reputazionali.

Cosa prevede concretamente la legge: i 4 obblighi principali per le PMI

1. Trasparenza verso clienti e utenti

Se il tuo cliente interagisce con un sistema AI (chatbot, assistente virtuale, generatore di documenti), deve saperlo. Devi comunicarlo in modo chiaro, comprensibile e prima che l’interazione inizi. La comunicazione deve essere esplicita e accessibile.

2. Informativa ai lavoratori sull’utilizzo AI nel lavoro

Se introduci un sistema AI che influisce sull’attività lavorativa dei tuoi dipendenti (es. software che monitora performance, assiste nella selezione, supporta decisioni operative), devi informarli preventivamente. Questa informativa deve spiegare: cosa fa il sistema, quali dati elabora, come incide sul lavoro.

3. Protezione dei dati personali e AI

Quando usi sistemi AI che trattano dati personali (clienti, fornitori, dipendenti), si applicano congiuntamente le regole del GDPR e quelle della nuova legge. Se passi dati personali a uno strumento AI di terzi (es. un SaaS con funzionalità AI), devi verificare che il fornitore rispetti entrambi i quadri normativi. Questo richiede di aggiornare i contratti con i fornitori AI e, in alcuni casi, le informative privacy già in uso.

4. Cybersicurezza AI e controlli di sicurezza

I sistemi AI devono essere robusti rispetto ad attacchi, manipolazioni e malfunzionamenti. ACN ha il compito di definire linee guida specifiche, già in parte derivate dall’AI Act europeo. Per una PMI, nella pratica, significa verificare che i fornitori AI adottino misure di sicurezza adeguate e che i dati aziendali non siano esposti a rischi non gestiti.

[Fonte: Regolamento (UE) 2024/1689 — AI Act (testo ufficiale UE)]

6 passi per adeguarti senza bloccare l’innovazione

Mappa i tuoi sistemi AI: prima di fare qualsiasi altra cosa: fai una lista di tutti gli strumenti che usano AI nella tua azienda. CRM con scoring automatico, chatbot, software di analisi predittiva, strumenti di generazione testi, sistemi HR con selezione assistita. Per ognuno, annota: cosa fa, quali dati tratta, chi lo usa, chi lo ha fornito.

Classifica il rischio: l’AI Act (e di conseguenza la legge italiana) classifica i sistemi AI in base al rischio: inaccettabile, alto, limitato, minimo. La maggior parte degli strumenti usati dalle PMI ricade nelle categorie a rischio limitato o minimo. I sistemi ad alto rischio (come quelli che influiscono su selezione del personale, scoring creditizio o gestione di infrastrutture critiche) richiedono misure più stringenti. Se usi qualcosa di simile, è il momento di approfondire con un consulente.

Aggiorna contratti e informative: contatta i tuoi fornitori di software AI e chiedi: sono conformi all’AI Act? Come trattano i dati che passi loro? Hai documentazione da fornire al DPO o all’autorità di controllo se richiesta? Se il fornitore non sa rispondere, è un segnale di attenzione. Aggiorna i contratti (DPA, clausole specifiche AI) e le informative privacy rivolte a clienti e dipendenti.

Scrivi una policy di utilizzo AI interna: una policy non deve essere un documento di 50 pagine. Bastano 2-3 pagine che rispondano a: quali strumenti AI si possono usare, per quali scopi, chi può usarli, come vengono gestiti i dati, chi controlla i risultati. Tutela l’azienda in caso di contestazioni, chiarisce responsabilità ai dipendenti, e formalizza il processo di supervisione umana sui sistemi AI, come richiesto dalla legge.

Forma il tuo team: la legge non richiede corsi universitari. Richiede che le persone che usano sistemi AI capiscano cosa stanno usando e quali limiti ha. Una formazione focalizzata sugli strumenti concreti in uso. Includi: cosa può e non può fare lo strumento, come riconoscere un output errato, a chi segnalare problemi.

Monitora e aggiorna: la Legge 132/2025 prevede decreti attuativi e deleghe ancora in corso di definizione. Significa che il quadro si aggiornerà nei prossimi mesi. Fissa un momento periodico per rileggere la tua mappatura e verificare eventuali novità normative.

Il confine tracciato dalla legge

La legge non vieta di automatizzare. Ma definisce un principio chiave: la supervisione umana è obbligatoria per le decisioni che impattano diritti, sicurezza o condizioni lavorative delle persone.

Ecco un riferimento pratico per orientarsi:

La legge non vieta di automatizzare. Ma definisce un principio chiave: la supervisione umana è obbligatoria per le decisioni che impattano diritti, sicurezza o condizioni lavorative delle persone.

Puoi automatizzare (rischio basso)⚠️ Mantieni supervisione umana (rischio medio-alto)
Risposta automatica a FAQ via chatbotDecisioni di selezione o valutazione del personale
Classificazione automatica di email o documentiScoring creditizio o valutazione affidabilità clienti
Generazione di bozze di testi (da revisionare) Monitoraggio continuo delle performance lavorative
Analisi predittiva di dati di vendita interniSistemi che influiscono su sicurezza fisica o accessi
Reportistica automatizzata su dati strutturatiDecisioni su contratti, promozioni, sanzioni ai lavoratori
Traduzione automatica di documenti non criticiQualsiasi sistema che elabora dati sensibili su persone

La regola pratica: se il risultato del sistema AI può incidere su una persona (lavoratore, cliente, fornitore) deve esserci un essere umano che controlla, valida e assume responsabilità.

Checklist di governance AI per PMI

MAPPATURA E CLASSIFICAZIONE

  • Ho un elenco aggiornato di tutti i sistemi AI in uso in azienda
  • Per ciascuno ho identificato: finalità, dati trattati, utenti interni, fornitore
  • Ho verificato la classificazione di rischio (basso / limitato / alto) per ogni sistema

CONTRATTI E FORNITORI

  • Ho verificato la conformità AI Act dei principali fornitori software AI
  • I contratti DPA (Data Processing Agreement) con i fornitori includono clausole AI

TRASPARENZA E COMUNICAZIONE

  • Clienti e utenti sono informati quando interagiscono con un sistema AI
  • I lavoratori hanno ricevuto informativa sull’uso di AI nei loro processi lavorativi
  • Le informative privacy sono aggiornate per includere i trattamenti AI

POLICY E FORMAZIONE

  • Esiste una policy interna di utilizzo AI (anche in versione snella)
  • Il team che usa strumenti AI ha ricevuto formazione di base
  • È stato nominato un referente interno per la governance AI

Come misurare il risultato: 3 KPI semplici

  • Tasso di conformità documentale: % di sistemi AI in uso con documentazione completa (policy, informative, contratti DPA aggiornati)
  • Copertura formativa: % di dipendenti che usano AI e hanno ricevuto formazione base
  • Incidenti/segnalazioni AI: numero di anomalie, errori o segnalazioni legate a sistemi AI per trimestre (benchmark: tendenza decrescente dopo l’adeguamento)

FAQ — Le domande più frequenti delle PMI sulla Legge 132/2025

La legge si applica anche se uso solo strumenti AI di terzi (es. ChatGPT, software SaaS)?

Sì. Se integri o utilizzi un sistema AI in processi aziendali, sei considerato «utilizzatore» e hai obblighi specifici, anche se non hai sviluppato il sistema. Devi verificare che il fornitore rispetti l’AI Act e gestire i dati in modo corretto.

Ci sono sanzioni? Di che entità?

Sì. Il sistema sanzionatorio segue la logica dell’AI Act europeo: sanzioni graduali in base alla gravità della violazione e alla dimensione dell’azienda. Per le PMI, le sanzioni più rilevanti riguardano l’uso di sistemi ad alto rischio senza le misure obbligatorie e la mancata trasparenza verso utenti e lavoratori. I decreti attuativi definiranno importi e procedure specifici.

Devo fare qualcosa anche per il diritto d’autore se uso AI generativa?

La legge affronta anche il tema di opere generate con AI (testi, immagini, codice). Se pubblichi o commercializzi contenuti generati con AI, dovrai indicarlo chiaramente e verificare che i contenuti non violino copyright di terzi. Per uso interno, le implicazioni sono minori, ma è buona pratica documentare l’utilizzo.

Cosa sono le «deleghe» e i «decreti attuativi» ancora da emanare?

La Legge 132/2025 è una legge-quadro: fissa i principi e le strutture di vigilanza (AgID, ACN), ma delega al Governo l’emanazione di decreti attuativi che specificheranno dettagli operativi, importi delle sanzioni, modalità di registrazione dei sistemi AI ad alto rischio. Nei prossimi 12-18 mesi uscirà la parte più operativa. Conviene iniziare l’adeguamento ora, senza aspettare.

Ho già un DPO per il GDPR. È sufficiente?

Il DPO è una figura importante, ma la governance AI richiede competenze specifiche che vanno oltre la protezione dei dati. Il DPO può supervisionare i profili privacy dell’AI, ma per la mappatura dei sistemi, la policy di utilizzo e la formazione operativa serve un presidio aggiuntivo — anche interno, non necessariamente un consulente esterno.

Come gestire il diritto d’autore e il text & data mining?

Se usi strumenti AI che si addestrano su contenuti aziendali (documenti, email, dati di prodotto), devi verificare le condizioni d’uso del fornitore. La norma italiana recepisce le disposizioni europee sul text & data mining: l’elaborazione automatica di grandi volumi di contenuti protetti è consentita in certi contesti, ma richiede attenzione quando si tratta di contenuti di terzi.

Conclusione: la compliance è il punto di partenza

Molte PMI si avvicinano alla Legge 132/2025 con la stessa domanda: «Quanto ci costa adeguarci?» È la domanda sbagliata — o almeno, è incompleta.

La domanda giusta è: «Quant’è esposta la mia azienda oggi, senza saperlo?» Sistemi AI già in uso senza policy scritta, fornitori di cui non hai verificato la conformità, lavoratori che usano strumenti automatizzati senza averli mai ricevuto per iscritto: questi non sono scenari futuri. Sono la situazione attuale di molte PMI italiane.

Adeguarsi alla Legge 132/2025 significa prima di tutto mappare questa realtà. Poi gestirla. Non è un costo da minimizzare: è una governance da costruire — e che, una volta costruita, diventa un vantaggio competitivo concreto nei confronti di fornitori, clienti e partner che sempre più chiedono garanzie su come viene usata l’AI.

Usi già l’AI in azienda — o stai valutando di farlo?

Facciamo insieme una prima mappatura: quali strumenti hai, come li usi, cosa già funziona e cosa vale la pena strutturare meglio. Niente consulenza generica: un confronto concreto sulla tua situazione.

→ Parliamo di come usi l’AI nella tua azienda

Tag