Torna al Blog

Decreti attuativi sull'IA: la formazione al centro, ma il doppio binario Italia–UE resta un tema aperto

·8 min lettura
Decreti attuativi IA - doppio binario Italia-UE

Il 10 giugno 2026 il Consiglio dei Ministri ha approvato, in esame preliminare, due schemi di decreto legislativo attuativi della legge n. 132/2025, la legge italiana sull'intelligenza artificiale. Il primo riguarda i poteri delle Autorità nazionali e l'utilizzo dell'IA nella formazione; il secondo l'impiego dei sistemi di IA nell'attività di polizia e i profili di responsabilità civile e penale. Va sottolineato sin d'ora che si tratta di testi non definitivi: seguiranno il vaglio delle Commissioni parlamentari, della Conferenza delle Regioni e delle Authority competenti, e il contenuto finale potrà subire modifiche anche significative.

Il Governo presenta il pacchetto come il completamento del primo quadro normativo nazionale organico sull'IA in Europa, dichiaratamente coerente con l'AI Act (Regolamento UE 2024/1689). Il comunicato insiste su un punto: i decreti non introducono una disciplina alternativa al quadro europeo ma ne assicurano l'attuazione nell'ordinamento nazionale, frutto di un dialogo costante con la Commissione europea — informale, tramite riunioni e interlocuzioni, e formale, nell'ambito della procedura di notifica di alcune parti della legge IA — e rispettoso della completezza della disciplina UE sui requisiti fondamentali dei sistemi, "senza sovrapposizioni". È una premessa importante, perché — come vedremo — proprio il rapporto tra disciplina nazionale e regolamento europeo è il punto su cui si gioca la tenuta dell'intero impianto. Il tratto qualificante dichiarato è l'impostazione antropocentrica: la tecnica non può diventare misura dell'umano né sostituirsi alla responsabilità e al discernimento della persona.

La formazione come "condizione abilitante": cosa cambia davvero

L'elemento più caratterizzante del primo decreto è la centralità attribuita alla formazione, definita non come semplice addestramento tecnico ma come alfabetizzazione critica: consapevolezza dei rischi, capacità di interpretare gli output, responsabilità nell'uso degli strumenti. È, in sostanza, la declinazione nazionale dell'obbligo di AI literacy previsto dall'articolo 4 dell'AI Act, applicabile dal febbraio 2025, che il decreto traduce in misure settoriali concrete. L'impostazione è progressiva: competenze diffuse "sin dalla formazione scolastica, e quindi in base agli specifici settori di appartenenza".

Scuola

Nel sistema scolastico l'IA entra stabilmente nei percorsi educativi, sia come contenuto da conoscere sia come strumento per innovare la didattica — non per inseguire la tecnologia, precisa il comunicato, ma per rafforzare la missione educativa della scuola. Le misure principali prevedono l'aggiornamento delle indicazioni nazionali del secondo ciclo per integrare tecnologie avanzate e IA generativa nei percorsi di studio, l'inserimento dell'IA nell'educazione civica con attenzione ai profili etici e alla cittadinanza digitale, il rafforzamento delle competenze STEAM e dell'orientamento scolastico, e una formazione stabile dei docenti su funzionamento dei sistemi, rischi di errore e distorsione, tutela dei dati e uso responsabile.

Tre elementi meritano particolare attenzione sotto il profilo operativo:

  • I comitati tecnico-etici territoriali, organizzati in rete a supporto delle scuole, con funzioni di indirizzo pedagogico, accompagnamento alla sperimentazione didattica, tutela dei diritti fondamentali e protezione dei dati. Contribuiranno anche all'aggiornamento dei regolamenti di istituto, per rendere l'uso dell'IA "sicuro e verificabile". Si tratta di una struttura di governance inedita per il mondo scolastico, la cui efficacia dipenderà interamente dalla qualità della composizione e dal coordinamento con i ruoli già esistenti (DPO degli istituti, animatori digitali, USR). Il rischio di sovrapposizione di competenze è concreto.
  • Il piano da 100 milioni di euro per la formazione dei docenti, espressamente collegato all'emergenza educativa legata all'abuso di social media, piattaforme digitali e IA: l'obiettivo è rafforzare la capacità del sistema scolastico di prevenire rischi, dipendenze digitali, opacità algoritmica e forme di condizionamento dei minori, con il coinvolgimento delle famiglie per il benessere integrale della persona nello spazio digitale. È la prima volta che il legislatore italiano collega esplicitamente formazione sull'IA, tutela dei minori e benessere digitale con una dotazione finanziaria dedicata, qualificando la scuola come "presidio di prevenzione".
  • L'estensione agli adulti: percorsi strutturati di alfabetizzazione e formazione sull'IA, con riconoscimento delle competenze già acquisite e sostegno ad aggiornamento, riqualificazione professionale e reinserimento nel mercato del lavoro. La formazione sull'IA viene quindi trattata anche come strumento di politica attiva del lavoro, non solo come materia scolastica.

Università, AFAM, ITS Academy e ricerca

L'impostazione è quella della trasversalità: per il suo impatto orizzontale, l'IA entra in tutti gli ambiti della formazione terziaria, non solo nei percorsi specialistici. Università e istituzioni AFAM integrano attività formative sull'uso sicuro e consapevole dei sistemi, anche con modalità laboratoriali e interdisciplinari; i contenuti minimi coprono funzionamento dei sistemi, interpretazione degli output (previsioni, contenuti, raccomandazioni o decisioni), profili giuridici, rischi di cybersicurezza e impatto sui diritti.

Particolarmente interessante è la logica dell'incrocio di competenze espressamente prevista: integrazione dei profili etici e giuridici nei corsi a profilo scientifico, e dei profili tecnici nei corsi a prevalente profilo economico o giuridico. È una scelta che riconosce un dato di realtà: il giurista che non comprende come funziona un sistema di IA e l'ingegnere che ne ignora i vincoli giuridici sono entrambi, oggi, professionisti incompleti.

Completano il quadro: il monitoraggio ANVUR sulla qualità dell'offerta formativa, anche ai fini delle politiche di incentivazione; la valorizzazione delle attività di divulgazione e alfabetizzazione di docenti e ricercatori ai fini della valutazione e della progressione di carriera; e il riconoscimento degli ITS Academy come segmento strategico del terziario superiore, per formare figure capaci di operare in contesti ad alta intensità tecnologica.

Pubblica amministrazione

Nella PA il decreto va oltre la formazione in senso stretto: le amministrazioni dovranno introdurre sistemi di IA nelle politiche di reclutamento, formazione e innovazione organizzativa, con l'obiettivo di semplificare l'azione amministrativa e accelerare i procedimenti. Il Ministro per la Pubblica amministrazione assume una funzione di indirizzo e coordinamento — individuazione dei fabbisogni comuni, definizione delle priorità formative, omogeneità tra amministrazioni centrali e territoriali — proprio per impedire un'adozione frammentata o diseguale dell'IA nel settore pubblico.

La formazione si articola su tre livelli: alfabetizzazione di base per tutti i dipendenti pubblici; riqualificazione professionale per i percorsi specialistici (procedimenti amministrativi, servizi al cittadino, gestione documentale, reclutamento, analisi dei dati); alta formazione per dirigenti, responsabili della transizione digitale e uffici del personale. Il raccordo operativo è affidato alla Scuola Nazionale dell'Amministrazione, che tradurrà l'indirizzo ministeriale in moduli comuni, differenziati per funzioni e livelli di responsabilità. Il principio di fondo è quello della sorveglianza umana effettiva: l'IA può assistere l'azione amministrativa, ma la responsabilità della decisione deve restare chiara, verificabile e imputabile a persone competenti.

Operatori sanitari

In sanità la formazione sull'IA è inserita obbligatoriamente, con una specifica percentuale, nel programma ECM, con contenuti che coprono l'uso operativo degli strumenti ma anche i profili deontologici, etici e giuridici, affinché il professionista mantenga piena responsabilità clinica. La formazione entra anche nei percorsi manageriali dei dirigenti sanitari, in chiave di efficienza organizzativa (governo delle liste d'attesa, razionalizzazione degli sprechi). Il riferimento alla piattaforma "MIA", finanziata dal PNRR e in sperimentazione presso Agenas, segnala la preferenza per strumenti istituzionali affidabili e certificati per il SSN.

Professioni ordinistiche

Per le professioni, l'alfabetizzazione sull'IA entra nella formazione iniziale e continua, su tre piani: tecnico (funzionamento, potenzialità e limiti dei sistemi), giuridico (regolamento europeo e norme nazionali) e deontologico — quest'ultimo indicato come il profilo di maggiore rilievo, perché investe la responsabilità del professionista nell'uso dell'IA, gli obblighi informativi verso il cliente e il rispetto del principio antropocentrico della legge 132/2025. Gli ordini dovranno adeguare i propri regolamenti entro sei mesi, con il coinvolgimento dell'autorità vigilante quando previsto.

Di particolare rilievo per gli studi professionali è il collegamento con l'equo compenso: i decreti che fissano i parametri — comprese le tariffe forensi — saranno integrati entro dodici mesi, con parametri commisurati alla classificazione di rischio del sistema impiegato, all'effettivo apporto professionale e al livello di responsabilità connesso all'uso dell'IA. L'intento dichiarato è evitare che l'automazione svaluti il lavoro intellettuale; la traduzione di questo principio in parametri tariffari oggettivi e trasparenti si annuncia però tecnicamente complessa, e sarà uno dei banchi di prova dell'attuazione.

Magistratura e operatori di polizia

Nel settore giustizia — attività ad alto rischio secondo l'AI Act — la formazione è qualificata come condizione di affidabilità: deve assicurare che la decisione sia del magistrato e non della macchina. I percorsi, affidati alla Scuola Superiore della Magistratura su linee programmatiche del Ministero della Giustizia e del CSM, si articolano su tre piani (tecnico, incluse tecniche di interrogazione e cybersicurezza; giuridico; organizzativo e valoriale), sono differenziati per funzione e per livello di rischio dei sistemi e finalizzati in particolare alla sorveglianza umana sui sistemi ad alto rischio. Il principio cardine resta che l'IA non sostituisce lo ius dicere: la discrezionalità del magistrato nell'interpretazione e applicazione della legge resta intatta.

Anche il secondo decreto, dedicato all'attività di polizia, include tra i suoi punti chiave la formazione specifica degli operatori: le decisioni restano umane e presidiate da personale formato all'uso corretto degli strumenti, anche nei due impieghi biometrici disciplinati (identificazione in tempo reale con autorizzazione giudiziaria e riconoscimento facciale a posteriori). La formazione, insomma, è il filo conduttore dell'intero pacchetto.

Governance e sanzioni: AgID, ACN e le autorità settoriali

Il primo decreto definisce anche l'assetto delle autorità nazionali: AgID quale autorità di notifica e ACN quale autorità di vigilanza del mercato e punto di contatto unico con le istituzioni UE, affiancate dalle autorità settoriali in ragione degli ambiti di rischio. Banca d'Italia, CONSOB e IVASS vigilano sui sistemi ad alto rischio degli intermediari finanziari direttamente collegati alla fornitura di servizi finanziari; il Garante privacy interviene, per i profili di competenza, sui sistemi ad alto rischio in attività di contrasto, frontiere, giustizia e democrazia. Sono previsti strumenti di cooperazione informativa e operativa tra le autorità e una relazione annuale alla Presidenza del Consiglio, tramite il Comitato di coordinamento presso il Dipartimento per la trasformazione digitale, anche al fine di valutare eventuali revisioni normative.

Sul piano sanzionatorio, l'Italia si avvale della facoltà prevista dall'AI Act di introdurre limiti massimi inferiori rispetto a quelli europei, calibrando le sanzioni sul grado di responsabilità dei soggetti lungo la catena di approvvigionamento. È una scelta di favore per gli operatori, ma anche un primo esempio di come l'attuazione nazionale possa produrre geometrie sanzionatorie diverse da Stato a Stato.

Completano il secondo decreto due presidi di responsabilità che interessano direttamente chi sviluppa o utilizza sistemi ad alto rischio: sul piano civile, strumenti processuali a favore del danneggiato (accesso alla documentazione tecnica, presunzione del nesso di causalità, foro alternativo presso la residenza del danneggiato persona fisica, azione diretta verso l'assicurazione), dichiaratamente pensati per colmare il vuoto lasciato dal ritiro della proposta europea sulla responsabilità da IA senza imporre nuovi obblighi sostanziali alle imprese; sul piano penale, il nuovo art. 437-bis c.p., che sanziona l'omessa adozione o l'alterazione delle misure di sicurezza nei sistemi ad alto rischio quando ne derivi un pericolo concreto per la vita, l'incolumità pubblica o la sicurezza dello Stato, con estensione della responsabilità all'ente ex D.Lgs. 231/2001 e punibilità ancorata, per la forma colposa, alla colpa grave.

I rischi: normare una tecnologia in corsa, dentro un quadro già normato

Accanto agli elementi positivi — e la scelta di puntare sulla formazione come infrastruttura abilitante lo è — il pacchetto solleva questioni di metodo che chi opera nella compliance non può ignorare.

1. Il rischio di stratificazione normativa. L'AI Act è un regolamento, direttamente applicabile e concepito per garantire armonizzazione: ogni intervento nazionale, per quanto dichiaratamente attuativo, aggiunge un livello interpretativo ulteriore. Il Governo afferma che i decreti rispettano la completezza della disciplina UE sui requisiti fondamentali dei sistemi, senza sovrapposizioni, e che rappresentano il "compimento" del regolamento per le tecniche di disciplina che rientrano nella competenza statale. È un'affermazione da verificare sui testi definitivi, articolo per articolo: l'esperienza del GDPR insegna che anche gli spazi di intervento nazionale legittimi possono generare, moltiplicati per 27 Stati membri, esattamente quella frammentazione che il regolamento voleva evitare. La stessa scelta — pur legittima — di sanzioni nazionali con massimi inferiori a quelli europei conferma che l'attuazione statale produce inevitabilmente differenziazione. Per le imprese che operano su più mercati UE, ogni specificità nazionale è un costo di compliance aggiuntivo.

2. Il rischio di obsolescenza rapida. Si sta normando nel dettaglio — fino alle percentuali ECM, ai sei mesi per i regolamenti degli ordini e ai dodici mesi per i parametri dell'equo compenso — una tecnologia che evolve su cicli di mesi, non di anni. Le indicazioni nazionali scolastiche aggiornate oggi sull'IA generativa rischiano di descrivere, tra tre anni, sistemi che non esistono più nella forma considerata. Il meccanismo della relazione annuale delle autorità alla Presidenza del Consiglio, finalizzata anche a valutare interventi di revisione normativa, è un correttivo apprezzabile, ma resta da vedere se i tempi della revisione legislativa potranno mai allinearsi a quelli dell'evoluzione tecnologica.

3. Il contesto europeo è esso stesso in movimento. Il quadro su cui i decreti si innestano non è statico: a Bruxelles è in discussione il pacchetto Digital Omnibus, che — nelle proposte attualmente sul tavolo, e con tempi e contenuti ancora da definire — potrebbe incidere su scadenze e obblighi dello stesso AI Act, in particolare per i sistemi ad alto rischio. Costruire oggi un'attuazione nazionale dettagliata su un regolamento le cui tempistiche applicative potrebbero essere riviste espone al rischio concreto di dover riaprire i decreti prima ancora della loro piena operatività. Lo stesso comunicato, del resto, riconosce indirettamente l'instabilità del quadro UE quando giustifica l'intervento sulla responsabilità civile con il ritiro della proposta europea in materia (AILD): l'Italia colma un vuoto, ma se la Commissione tornasse sul tema con un nuovo strumento armonizzato, la disciplina nazionale andrebbe nuovamente ricalibrata.

4. L'attuazione è la vera incognita. Comitati tecnico-etici territoriali, moduli SNA, percentuali ECM, adeguamento dei regolamenti ordinistici in sei mesi, integrazione dei parametri tariffari in dodici: il decreto disegna un'architettura formativa imponente, la cui realizzazione dipende da decreti ministeriali, linee guida, capacità amministrativa e risorse effettivamente disponibili. La dotazione di 100 milioni per la scuola è significativa, ma la storia recente della formazione digitale nella PA italiana suggerisce prudenza sulla velocità di esecuzione. E un'architettura formativa che resta sulla carta non soddisfa neppure l'obbligo di AI literacy dell'art. 4 AI Act, che è già applicabile.

La dimensione industriale

Il comunicato chiude collegando regolazione e politica industriale: fino a 1 miliardo di euro dal Fondo di sostegno al venture capital per l'ecosistema nazionale dell'IA (art. 23, legge 132/2025), oltre 300 milioni già allocati da CDP Venture Capital a sostegno di più di 150 start-up e circa 20 fondi di SGR terze, oltre 500 milioni di nuovi investimenti previsti nel triennio e, dal 2026, il Polo nazionale di trasferimento tecnologico "SophIA" dedicato a IA e cybersicurezza, con circa 30 milioni di dotazione. Il mercato italiano dell'IA — 1,8 miliardi nel 2025, +50% sull'anno precedente — viene presentato come la base su cui costruire filiere prioritarie (robotica umanoide, guida autonoma, quantum, fotonica per HPC, IA verticale). È il tentativo dichiarato di fare dell'IA non solo un oggetto di regolazione ma un asse di crescita: la coerenza tra ambizione regolatoria e ambizione industriale si misurerà, anche qui, nell'esecuzione.

Cosa devono fare ora le organizzazioni

Pur trattandosi di schemi in esame preliminare, la direzione è chiara e conviene muoversi in anticipo:

  • Scuole e università: mappare le iniziative già in corso sull'IA (regolamenti d'istituto, policy d'uso, formazione docenti) e prepararsi a raccordarle con i futuri comitati tecnico-etici territoriali e con i contenuti formativi minimi che saranno definiti;
  • Pubbliche amministrazioni: avviare l'assessment dei fabbisogni formativi sui tre livelli previsti (base, specialistico, dirigenziale) e censire i sistemi di IA già in uso, anche in funzione degli obblighi di sorveglianza umana e dei futuri indirizzi del Ministero per la PA;
  • Strutture sanitarie e professionisti ordinistici: monitorare l'integrazione dei programmi ECM e l'adeguamento dei regolamenti degli ordini, che dovrà avvenire in tempi stretti (sei mesi), e seguire l'evoluzione dei parametri di equo compenso legati all'uso dell'IA;
  • Intermediari finanziari: prendere atto che la vigilanza sui sistemi di IA ad alto rischio collegati ai servizi finanziari farà capo a Banca d'Italia, CONSOB e IVASS, e integrare di conseguenza la mappatura dei sistemi nei framework di compliance esistenti;
  • Imprese che sviluppano o utilizzano sistemi di IA: presidiare il doppio binario AI Act–normativa nazionale, ricordando che l'obbligo di alfabetizzazione dell'art. 4 AI Act è già applicabile e che i decreti italiani ne specificheranno le modalità settoriali; e trattare le misure di sicurezza dei sistemi ad alto rischio come presidio organizzativo effettivo — non come adempimento formale — alla luce del nuovo art. 437-bis c.p. e dell'estensione della responsabilità ex D.Lgs. 231/2001, che rendono opportuno l'aggiornamento dei modelli organizzativi.

La formazione è la scelta giusta: nessun quadro regolatorio sull'IA funziona senza persone capaci di comprenderlo e applicarlo. Ma la qualità di questa attuazione si misurerà sulla capacità di restare leggera, aggiornabile e genuinamente complementare al diritto europeo — non sulla quantità di adempimenti che riuscirà a generare.

Tomato Blue affianca imprese, pubbliche amministrazioni e istituzioni formative nell'adeguamento all'AI Act e alla normativa nazionale: assessment di conformità, classificazione dei sistemi, programmi di AI literacy, aggiornamento dei modelli 231 e governance documentale. Per un'analisi del vostro perimetro di obblighi, contattateci.

Fonti

  • Comunicato stampa del Consiglio dei Ministri n. 177, 10 giugno 2026 — governo.it
  • Legge 23 settembre 2025, n. 132 — Disposizioni e deleghe in materia di intelligenza artificiale
  • Regolamento (UE) 2024/1689 (AI Act), in particolare art. 4 (AI literacy)
  • MIM — Piano di formazione docenti sull'IA da 100 milioni di euro — mim.gov.it