L’anno 2025 segna un momento di svolta nella regolazione dell’intelligenza artificiale nel nostro ordinamento. Con la legge n. 132/2025 il legislatore ha scelto di intervenire in maniera organica su un fenomeno ormai radicato in moltissimi ambiti della vita economica e sociale, introducendo nuove fattispecie di reato, aggravanti specifiche e un’articolata delega al Governo per completare e rafforzare la disciplina. La scelta non sorprende: l’I.A. rappresenta oggi un formidabile strumento di supporto ai processi produttivi e decisionali, ma porta con sé un potenziale distorsivo che richiede regole chiare, soprattutto quando i suoi impieghi diventano terreno fertile per abusi, alterazioni del mercato o lesioni alla sfera personale.
Negli ultimi anni abbiamo assistito a un proliferare di condotte illecite rese possibili proprio dall’evoluzione dei sistemi intelligenti. Si pensi all’utilizzo dell’I.A. nei processi decisionali aziendali, attraverso cui è possibile manipolare dati o automatismi decisionali per generare vantaggi competitivi indebiti, con riflessi potenzialmente dirompenti sull’assetto concorrenziale. Ancora più evidente è l’impatto sulla dimensione privata: la creazione e diffusione di immagini o video artificiosi — anche a sfondo sessuale — realizzati mediante tecniche di deepfake ha aperto scenari fino a pochi anni fa inimmaginabili, lasciando le vittime prive di adeguati strumenti di tutela, salvo specifici casi già previsti per i minori.
La legge 132/2025 nasce proprio con l’obiettivo di colmare tali lacune. L’introduzione del nuovo reato di illecita diffusione di contenuti generati o manipolati artificialmente risponde all’esigenza di reprimere con precisione la divulgazione di contenuti che, pur non essendo autentici, appaiono verosimili e ingannevoli. È una risposta ad un vuoto normativo che era stato più volte denunciato e che ora trova finalmente un inquadramento penalistico chiaro, estendendo la tutela anche agli adulti, finora privi di protezione specifica in materia di deepfake.
Allo stesso modo, l’intervento sul diritto d’autore rappresenta un altro tassello fondamentale per governare il rapporto tra creatività umana e strumenti digitali. La scelta di specificare che le opere generate con l’ausilio dell’I.A. sono tutelabili solo se riconducibili al lavoro intellettuale dell’autore esprime la volontà di evitare una sostituzione integrale dell’ingegno umano, preservando la genuinità dell’opera e riconoscendo la necessità di un intervento creativo effettivo. Significativa, inoltre, è la nuova fattispecie che mira a contrastare il fenomeno del data scraping massivo non autorizzato, pratica sempre più diffusa per alimentare i sistemi di I.A. con dataset di grandi dimensioni, spesso ottenuti senza alcun rispetto dei diritti di terzi.
La legge introduce anche nuove aggravanti, tra cui una di portata generale, pensata per colpire l’utilizzo dell’I.A. come mezzo insidioso nella commissione di reati laddove renda più difficile la difesa, aumenti la pericolosità della condotta o ne aggravi gli effetti. A ciò si aggiungono aggravanti specifiche in materia finanziaria, applicabili ai reati di aggiotaggio e manipolazione del mercato, settori in cui gli strumenti intelligenti possono amplificare in maniera esponenziale la capacità di incidere artificialmente sui valori di mercato.
È importante sottolineare che la legge non si esaurisce in queste innovazioni. All’articolo 24, infatti, viene attribuita al Governo una ampia delega per intervenire ulteriormente entro dodici mesi, con l’obiettivo di costruire un quadro normativo coerente e aggiornato, capace di seguire l’evoluzione rapidissima delle tecnologie intelligenti. Il 2025, dunque, rappresenta solo la prima tappa di un percorso di regolamentazione che continuerà inevitabilmente nei prossimi anni.
Questo scenario apre riflessioni rilevanti anche sul fronte della responsabilità degli enti ai sensi del D.Lgs. 231/2001. Le nuove fattispecie introdotte dalla legge 132/2025, pur essendo strettamente collegate all’utilizzo dell’intelligenza artificiale, non sono tutte ricomprese nel catalogo dei reati presupposto del decreto 231. Si crea così un disallineamento che ha un impatto concreto sui modelli organizzativi delle imprese. Da un lato, le organizzazioni dovranno necessariamente aggiornare le proprie mappature dei rischi e i modelli di organizzazione e controllo, incorporando procedure e presidi specifici per la gestione e l’utilizzo dell’I.A. Dall’altro lato, permane l’anomalia per cui una società che tragga vantaggio da un illecito fondato sull’uso dell’I.A. potrebbe non essere destinataria di responsabilità amministrativa, semplicemente perché il relativo reato non rientra tra quelli previsti dal decreto 231.
Tutto ciò conferma l’urgenza di una integrazione più completa tra la disciplina dell’intelligenza artificiale e quella della responsabilità degli enti. Il legislatore sembra averne consapevolezza, come dimostra la delega contenuta nella stessa legge 132/2025, che offrirà al Governo l’occasione per includere nel perimetro 231 i nuovi reati e armonizzare il sistema di prevenzione interna delle imprese.
In definitiva, il 2025 segna un punto di svolta: l’Italia compie un passo importante verso una regolamentazione responsabile dell’intelligenza artificiale, riconoscendone il valore ma anche i rischi. Per le imprese, si apre una fase in cui la compliance non potrà più prescindere da una gestione consapevole dell’I.A., non solo per evitare responsabilità, ma anche per tutelare la propria affidabilità sul mercato e mantenere un vantaggio competitivo sostenibile. La disciplina del futuro sarà sempre più intrecciata con le tecnologie emergenti: comprenderle, governarle e prevenire i rischi che ne derivano diventerà un elemento imprescindibile della governance aziendale.