Tra il 10 e l’11 giugno 2026 il Consiglio dei Ministri ha approvato, in esame preliminare, i decreti legislativi attuativi della legge 132/2025 — i provvedimenti che allineano l’Italia all’AI Act europeo (Reg. UE 2024/1689). È un passaggio che riguarda da vicino chi fa impresa, anche le realtà più piccole.
Il motivo è semplice: oggi tantissime PMI usano già l’intelligenza artificiale senza nemmeno chiamarla così — un chatbot sul sito, uno strumento che fa una prima scrematura dei CV, un sistema di scoring sui clienti, un copilota che scrive bozze o codice. I decreti introducono obblighi concreti proprio su questi usi. La buona notizia: siamo in esame preliminare, quindi gli obblighi sono in arrivo, non ancora in vigore. C’è il tempo per arrivare pronti.
Cosa ha approvato il Consiglio dei Ministri
Secondo il comunicato del CdM n.177 e le ricostruzioni delle fonti, i decreti attuano la legge 132/2025 in coerenza con l’AI Act. Per le imprese i punti che contano di più sono tre, e sono adempimenti organizzativi, non solo dichiarazioni di principio:
- Alfabetizzazione e formazione del personale. Chi usa l’AI deve garantire che le persone che la utilizzano sappiano cosa stanno usando, con quali limiti e con quali rischi.
- Sorveglianza umana. I sistemi di AI non possono “decidere da soli” senza un controllo umano effettivo nei punti che contano.
- Mappatura interna dei sistemi AI. L’azienda deve sapere — ed essere in grado di dimostrare — quali strumenti di intelligenza artificiale usa, dove e per fare cosa.
Cosa arriva per chi usa l'AI
3 obblighi
I tre adempimenti-chiave previsti per le imprese: formazione del personale, sorveglianza umana e mappatura interna dei sistemi di intelligenza artificiale usati. Sono obblighi in arrivo: i decreti sono in esame preliminare, non ancora in vigore.
Fonte: Governo.it — Comunicato CdM n.177; IPSOA — 11/06/2026
Lo stop alle decisioni automatizzate sul lavoro
Il punto più netto riguarda il rapporto di lavoro. Secondo le fonti, i decreti introducono il divieto di decisioni esclusivamente automatizzate su assunzioni e licenziamenti: deve sempre intervenire una persona.
Le conseguenze sono pesanti e vanno conosciute: un licenziamento deciso in violazione di questa regola sarebbe nullo, e il lavoratore avrebbe diritto a una spiegazione della decisione. In pratica, se in azienda c’è uno strumento che incide su chi viene assunto o su chi viene mandato via, l’AI può supportare, ma la decisione finale resta umana e tracciabile.
C’è poi un secondo aspetto da non sottovalutare. Per i sistemi ad alto rischio, le fonti indicano una responsabilità penale — e non solo amministrativa — per chi omette le misure di sicurezza previste. È un salto di livello rispetto alla sola sanzione economica, e segnala quanto il legislatore consideri serio il tema.
Chi vigila: la governance AgID e ACN
I decreti definiscono anche chi controlla. La governance è affidata a due soggetti principali:
- AgID (Agenzia per l’Italia Digitale), competente sulla parte di notifica.
- ACN (Agenzia per la Cybersicurezza Nazionale), competente sulla vigilanza.
A questi si affiancano, per i rispettivi ambiti, Banca d’Italia, Consob, Ivass e il Garante Privacy. Per una PMI il messaggio operativo è: non c’è un’unica “porta”, ma il punto di riferimento sugli adempimenti generali sarà l’asse AgID-ACN.
Obblighi in arrivo, non ancora attivi
L'approvazione è in esame preliminare: i decreti devono ancora passare in commissione e in Gazzetta Ufficiale prima di entrare in vigore. È il momento per prepararsi con ordine, non per agire in emergenza.
Cosa fare ora (senza correre)
Visto che gli obblighi non sono ancora operativi, l’approccio giusto è metodico. Per una PMI che già usa l’AI, tre mosse da fare nei prossimi mesi:
- Fai l’inventario dei tuoi sistemi AI. Scrivi nero su bianco quali strumenti usi (chatbot, screening CV, scoring, copiloti per testi/codice), per quale scopo e su quali dati. È la base della futura “mappatura” e ti serve comunque.
- Metti un essere umano nei punti sensibili. Soprattutto su assunzioni e licenziamenti: nessuna decisione deve restare al solo algoritmo. Definisci chi rivede, chi decide e come si motiva la scelta.
- Forma chi usa l’AI. Anche un mezzo pomeriggio di allineamento su cosa fa lo strumento, cosa non deve fare e quali dati non vanno inseriti, è già un passo nella direzione della futura alfabetizzazione richiesta.
Tieni anche d’occhio il calendario europeo: il 2 agosto 2026 scatta la fase generale dell’AI Act UE. È un riferimento utile per ordinare le priorità, ricordando che i decreti italiani, allo stato, sono ancora in esame preliminare.
In breve
Il Consiglio dei Ministri ha approvato in esame preliminare i decreti attuativi della legge 132/2025, allineati all’AI Act. Per le PMI che usano l’AI arrivano tre obblighi — formazione, sorveglianza umana e mappatura dei sistemi — più il divieto di decisioni esclusivamente automatizzate su assunzioni e licenziamenti (con licenziamento nullo in caso di violazione) e una responsabilità penale sui sistemi ad alto rischio privi di misure di sicurezza. La vigilanza sarà di AgID e ACN. La mossa giusta non è correre, ma fare l’inventario dei propri strumenti AI e mettere ordine nei processi, così da farsi trovare pronti quando i decreti completeranno l’iter.
