Il modello italiano: la Legge 132/2025

L’Italia prima in Europa: la Legge 132/2025 sull’Intelligenza Artificiale

Il 23 settembre 2025, l’Italia ha firmato la propria legge sull’Intelligenza Artificiale (Legge n. 132/2025), diventando il primo Stato membro dell’Unione Europea a dotarsi di un quadro normativo nazionale completo sull’AI, complementare all’AI Act europeo. La legge, approvata definitivamente dal Senato il 17 settembre 2025, è entrata in vigore il 10 ottobre 2025. Al cuore della legge c’è un principio chiaro: l’AI deve supportare le persone, non sostituirle.

La legge ha una portata ampia, spaziando dalla protezione dei minori alla formazione dei dati AI, dal diritto d’autore ai deepfake, dalla sanità alla pubblica amministrazione. Ma è nelle disposizioni relative ai minori che la legge italiana si distingue particolarmente, stabilendo un sistema di protezione a doppio livello basato sull’età che rappresenta un modello per l’intera Europa.

Il doppio livello di protezione per i minori

L’articolo 4 della Legge 132/2025 stabilisce un meccanismo di protezione dei minori articolato in due fasce d’età. Per i minori al di sotto dei 14 anni, è richiesto il consenso parentale per accedere alle tecnologie AI e per il relativo trattamento dei dati personali. Per i minori tra i 14 e i 18 anni, è prevista la possibilità di esprimere il proprio consenso in modo autonomo, a condizione che le informazioni fornite siano facilmente accessibili e comprensibili.

Questa soglia dei 14 anni non è casuale: corrisponde all’età in cui il diritto italiano tradizionalmente riconosce una maggiore autonomia al minore in diversi ambiti, dal consenso al trattamento dei dati personali ai sensi del GDPR alla capacità di discernimento in materia civile. Il modello italiano offre un compromesso intelligente tra la protezione assoluta dei più piccoli e il riconoscimento della crescente autonomia degli adolescenti, evitando sia l’eccesso di paternalismo sia l’abbandono a sé stessi dei minori nell’ambiente digitale.

La legge vieta o limita severamente l’accesso dei minori a determinate applicazioni AI, inclusi chatbot sociali come Replika e strumenti di AI generativa come ChatGPT, a meno che non siano presenti meccanismi rigorosi di verifica dell’età e di consenso parentale. Questa disposizione affronta direttamente le crescenti preoccupazioni sull’impatto dell’AI sulla privacy e sulla salute mentale dei bambini.

Il Garante della Privacy contro Replika: un caso di scuola

L’Italia ha giocato un ruolo pionieristico nella protezione dei minori dai companion AI con il caso Replika, che rappresenta uno dei precedenti regolatori più significativi a livello mondiale. Nel febbraio 2023, il Garante per la Protezione dei Dati Personali ha emesso un provvedimento d’urgenza (n. 39/2023) che limitava le attività di trattamento dati di Replika in Italia ai sensi dell’articolo 58(2)(f) del GDPR. L’autorità aveva riscontrato che Replika poneva rischi significativi per i minori, mancava di meccanismi efficaci di verifica dell’età — chiedendo solo nome, indirizzo email e genere — e non rispettava gli obblighi di trasparenza previsti dagli articoli 5, 6, 8, 9 e 25 del GDPR.

Nell’aprile 2025, il Garante ha ribadito il divieto, constatando che Luka Inc., la società sviluppatrice di Replika con sede a San Francisco, non aveva implementato misure correttive sufficienti a risolvere le violazioni identificate. Tra le carenze persistenti: l’informativa sulla privacy rimaneva carente, priva di una descrizione sufficientemente dettagliata della base giuridica per il trattamento dei dati personali, e mancava l’identificazione dello sviluppo del modello linguistico come finalità del trattamento.

Il caso ha avuto risonanza internazionale. Nel gennaio 2025, tre organizzazioni americane hanno presentato un reclamo di 67 pagine alla Federal Trade Commission statunitense, allegando pratiche di marketing ingannevole e tattiche di design manipolativo da parte di Replika, inclusa la progettazione deliberata per favorire la dipendenza emotiva negli utenti e l’offerta di companion AI che possono assumere ruoli emotivamente carichi come “fidanzato” o “fidanzata”, con preoccupazioni etiche particolarmente gravi quando i minori possono accedere a queste funzionalità.

La governance italiana: un modello di coordinamento

La struttura di governance prevista dalla Legge 132/2025 è particolarmente sofisticata. L’Agenzia per l’Italia Digitale (AgID) è designata come autorità di notifica, responsabile delle procedure di valutazione e accreditamento. L’Agenzia per la Cybersicurezza Nazionale (ACN) funge da autorità di sorveglianza del mercato e punto di contatto unico con le istituzioni UE. I poteri esistenti del Garante per la Privacy e dell’AGCOM (Autorità per le Garanzie nelle Comunicazioni) sono preservati e operano nell’ambito delle rispettive competenze.

L’articolo 16 prevede uno o più decreti attuativi entro l’ottobre 2026 per definire un quadro organico su dati, algoritmi e metodi di addestramento dell’AI, inclusi diritti, obblighi, rimedi e sanzioni. Sul fronte penale, la diffusione illecita di contenuti AI dannosi può comportare da 1 a 5 anni di reclusione, con pene aggravate quando l’AI viene utilizzata per crimini gravi come frode o furto d’identità. Il modello italiano rappresenta un benchmark per la regolamentazione dell’AI in Europa, combinando standard UE con priorità nazionali su privacy, sicurezza e protezione dei gruppi vulnerabili.

Estratto da Infanzia Algoritmica: Intelligenza Artificiale, Minori e Salute di Giuseppe Siciliani Disponibile su Amazon