Il 10 giugno 2026, l’Italia ha approvato un importante decreto che ridefinisce il contesto normativo in materia di intelligenza artificiale e di utilizzo della tecnologia biometrica. Per la prima volta, viene introdotto un reato penale per l'omissione delle misure di sicurezza nei sistemi AI a rischio significativo. Inoltre, è stata regolamentata l’identificazione biometrica in tempo reale, aprendo strada a un sistema civile di responsabilità con presunzione di nesso causale e un accesso obbligatorio alle prove. L'Italia si posiziona come pioniera a livello europeo, anticipando con questo testo legislativo normative ancora in sospeso a Bruxelles.

Un reato specifico per l'omissione di misure di sicurezza

La principale novità legislativa riguarda l’istituzione di un nuovo reato penale, che punisce l’omissione di adeguati controlli di sicurezza da parte di chi sviluppa, distribuisce o utilizza sistemi AI riconosciuti ad alto rischio dal punto di vista sociale o fisico. Questi sistemi includevano precedentemente, per esempio, quelli utilizzati nel campo della sorveglianza, della gestione di flotte di veicoli autonomi, della gestione di sistemi industriali automatizzati e dei sistemi decisionali utilizzati nel settore sanitario e bancario.

Il decreto introduce una responsabilità diretta, con pene detentive che possono variare da 6 mesi a 5 anni, in base al rischio del sistema coinvolto e all'impatto negativo effettivo. Inoltre, saranno riconosciute le responsabilità anche per chi commette omissione d’obbligo in una catena di produzione o di utilizzo, come fornitori, integratori di sistemi e responsabili IT di aziende.

Il reato di utilizzo non autorizzato di dati biometrici

Un'ulteriore iniziativa del decreto legge si concentra sull’approvazione di nuovi reati penali per il tracciamento, l'uso o la condivisione non autorizzata di dati biometrici. Questo si applica soprattutto nei sistemi di identificazione in tempo reale che impiegano biometria (come riconoscimento facciale o palmare), e in particolare quando vengono utilizzati per sorvegliare singoli individui senza loro consenso.

Vengono previste restrizioni precise per l’utilizzo di tecnologie di sorveglianza biometriche da parte delle forze dell’ordine, della Protezione Civile o di enti locali. Sarà necessario un'autorizzazione da un'autorità indipendente, con una motivazione concreta a carico e una validità temporale limitata. Non sarà più ammesso l’uso di tali tecnologie in contesti pubblici come manifestazioni o luoghi frequentati da minori senza un'autorizzazione specifica.

La modifica del codice di procedura civile

L’altra grande novità di questo decreto riguarda l’adeguamento del codice di procedura civile. Viene introdotta una presunzione di nesso causale tra un danno e un sistema AI, nel caso in cui quest’ultimo venga adottato senza un'analisi approfondita di rischio e di conformità. Questo semplifica la responsabilità per le vittime di danni causati da sistemi errati o non verificati.

Inoltre, è previsto l’accesso alle prove obbligatorio per chiunque abbia sviluppato, distribuito o utilizzato sistemi AI riconosciuti ad alto rischio. In presenza di una richiesta motivata da parte di un soggetto che ha subito un danno, gli sviluppatori saranno obbligati a fornire i dati di funzionamento del sistema e a rispondere a eventuali contestazioni legali. Questo strumento, precedentemente introdotto a livello europeo nel contesto delle direttive sulla responsabilità civile, è oggi integrato direttamente nel codice nazionale italiano.

Un modello legislativo all’avanguardia

Con l’approvazione di questo decreto, l’Italia anticipa di oltre due anni le proposte avanzate a livello europeo sulla responsabilità civile e penale per sistemi AI. La direttiva europea sull’AI Liability, nonostante sia stata ritirata in via ufficiale nel 2024, non ha mai visto luce in termini di un accordo concreto tra Stati membri, mentre l’Italia ha già completato il percorso nazionale.

Il decreto rappresenta dunque un’esperienza di modellazione legislativa da condividere con gli altri Paesi dell’Unione Europea, specialmente in un momento in cui la normativa è estremamente frammentata a livello europeo. Inoltre, il modello italiano potrebbe diventare uno spunto per ulteriori legislazioni in settori come autonomia decisionale, privacy e diritti umani.

Un impatto tangibile per enti e aziende

Per le aziende tecnologiche e gli enti governativi italiani, il decreto comporta un’ondata di controlli e di aggiornamenti. Verrà istituito un registro pubblico di sistemi AI ad alto rischio, con obbligo di aggiornamento continuo in base alle nuove valutazioni di impatto. Tutti dovranno conformarsi alle nuove normative di sicurezza, con un piano di aggiornamento obbligatorio e una valutazione periodica da parte di un ente terzo certificato.

Per gli sviluppatori e i fornitori di sistemi AI, il decreto implica un aumento dei controlli e una maggiore collaborazione con i clienti per garantire conformità e sicurezza. Sarà richiesto di dimostrare con dati e documentazione la qualità e la tracciabilità dei sistema AI utilizzata, nonostante le complessità di alcuni modelli di machine learning.

In sintesi, il decreto del 10 giugno 2026 segna un passo decisivo verso una legislazione italiana all’avanguardia nel campo dell’AI. Con l’istituzione di nuovi reati, il miglioramento della responsabilità civile e una governance avanzata sulla biometria, il testo si posiziona come un punto di riferimento per la governance globale dell’intelligenza artificiale.