IA, RESPONSABILITÀ CIVILE RAFFORZATA E NUOVO REATO PER L’OMISSIONE DI MISURE DI SICUREZZA NEI SISTEMI AD ALTO RISCHIO

Il decreto legislativo di attuazione dell’AI Act europeo, approvato in esame preliminare dal Consiglio dei Ministri in data 10.06.2026, introduce un quadro organico di disciplina dell’intelligenza artificiale in Italia. L’impianto normativo si fonda su un principio antropocentrico: i sistemi di IA possono supportare decisioni e attività operative, ma la responsabilità finale resta sempre in capo all’uomo.

1. Rafforzamento della responsabilità civile

Vengono introdotte misure volte a facilitare il risarcimento dei danni causati da sistemi di IA, Le principali novità sono:

• diritto di accesso alla documentazione tecnica del sistema di IA utilizzato: il giudice può ordinare l’esibizione di registri, documentazione del sistema di gestione dei rischi, documentazione tecnica e informazioni sulla supervisione umana;
• introduzione di una presunzione del nesso causale a favore del danneggiato, con riduzione dell’onere probatorio;
• azione diretta contro l’assicurazione del convenuto.

L’obiettivo è rendere effettiva la tutela risarcitoria senza introdurre nuovi obblighi sostanziali per le imprese.

2. Nuovo reato per omissioni sui sistemi ad alto rischio

È introdotto nel codice penale il nuovo art. 437-bis, dedicato ai sistemi di IA ad alto rischio. La norma punisce chiunque, nella progettazione, addestramento, produzione, immissione sul mercato o utilizzo professionale di sistemi di intelligenza artificiale ad alto rischio, ometta le misure tecniche di sicurezza o le misure di sorveglianza umana prescritte dalla normativa vigente. Condizione di punibilità: dal fatto deve derivare un pericolo concreto per la vita o l’incolumità delle persone, ovvero per l’incolumità pubblica o la sicurezza dello Stato.

L’articolo 17 del decreto estende la responsabilità agli enti ai sensi del D.Lgs. 231/2001, inserendo il nuovo art. 25-vicies nel catalogo dei reati presupposto.

3. Utilizzo dell’IA nelle attività di polizia

Il decreto disciplina in modo dettagliato il riconoscimento biometrico.

L’Identificazione biometrica in tempo reale è consentita solo in casi eccezionali (minacce gravi, ricerca di persone scomparse o vittime di reati gravi), con autorizzazione dell’autorità giudiziaria e limiti stringenti di durata, spazio e soggetti coinvolti.

Il Riconoscimento facciale ex post è ammesso solo dopo la commissione di un reato, anche solo tentato, e su soggetti già indiziati sulla base di documentazione video-fotografica e di elementi oggettivi e verificabili.

Sono inoltre stati previsti: a) obblighi di tracciabilità; b) prerequisito obbligatorio: una valutazione d’impatto sui diritti fondamentali (FRIA) completata in via preventiva, con notifica al Garante privacy dopo l’utilizzo; c) garanzie privacy rafforzate; d) divieto di sorveglianza biometrica generalizzata e di creazione di database ottenuti da scraping massivo del web.

4. Formazione e supervisione umana

Il sistema normativo ribadisce che vi deve essere una formazione specifica per gli operatori che utilizzano sistemi di IA, oltre all’obbligo di supervisione umana lungo l’intero ciclo di vita dei sistemi, sottolineando così la centralità del controllo umano sulle decisioni.

5. Iter di approvazione

Il decreto è ora nella fase di consultazione parlamentare e con le autorità competenti. Seguirà l’approvazione definitiva, completando il recepimento nazionale dell’AI Act.