Mentre gli Stati Uniti osservano con interesse il dinamismo normativo europeo, l’Italia traccia una rotta chiara. Con l’entrata in vigore della Legge n. 132/2025, il nostro Paese non solo recepisce l’EU AI Act, ma introduce disposizioni verticali per la sanità che rivoluzionano l’accesso ai dati e la pratica clinica.
L’intelligenza artificiale in medicina è passata da frontiera tecnologica a realtà regolamentata. La Legge 17 settembre 2025, n. 132 (in vigore dal 10 ottobre 2025) rappresenta il punto di svolta per la salute digitale. Se da un lato il provvedimento riflette la cautela tipica dell’UE, dall’altro introduce aperture strategiche che posizionano l’Italia come laboratorio d’avanguardia per la ricerca medica mondiale.
Governance Nazionale: Il Modello Duale (AgID e ACN)
A differenza di altri Paesi, l’Italia non ha creato una nuova Authority, ma ha affidato la gestione dell’IA a due pilastri consolidati, sotto il coordinamento della Presidenza del Consiglio:
ACN (Agenzia per la Cybersicurezza Nazionale): Il braccio “vigile”. Monitora la resilienza dei sistemi, con poteri ispettivi e sanzionatori per prevenire vulnerabilità algoritmiche.
AgID (Agenzia per l’Italia Digitale): Il braccio “proattivo”. Gestisce l’innovazione, le notifiche per i sistemi di IA e supporta imprese e Pubblica Amministrazione nell’adozione sicura della tecnologia.
Il primato dell’uomo: la decisione clinica resta medica
L’Articolo 7 della Legge 132/2025 stabilisce un principio invalicabile: l’IA è uno strumento di supporto, mai un sostituto.
Ogni decisione relativa a prevenzione, diagnosi, cura e scelta terapeutica deve restare in capo al professionista sanitario.
Per le aziende produttrici di Software Medical Device (SaMD), la trasparenza algoritmica diventa un obbligo legale. I sistemi devono essere affidabili, verificati periodicamente e i pazienti devono essere esplicitamente informati sull’uso dell’IA nel loro percorso di cura.
La “Svolta dei Dati”: l’uso secondario per la ricerca
Il cuore pulsante della norma, che attira l’attenzione degli stakeholder internazionali, è l’Articolo 8. La legge dichiara il trattamento dei dati sanitari per lo sviluppo dell’IA come attività di “rilevante interesse pubblico”. Questo permette il riutilizzo di dati (pseudonimizzati) senza richiedere un nuovo consenso ai pazienti, a patto di garantire protocolli di sicurezza elevati, e comunicare il trattamento al Garante della Privacy almeno 30 giorni prima dell’avvio.
Il ruolo di AGENAS e la Piattaforma Nazionale IA
L’Agenzia Nazionale per i Servizi Sanitari Regionali (AGENAS) assume un ruolo centrale nella gestione del Fascicolo Sanitario Elettronico (FSE).
Autonomia Medica: La legge ribadisce che il medico può — e deve — ignorare il suggerimento algoritmico se lo ritiene clinicamente opportuno.
Supporto Decisionale: La piattaforma nazionale IA erogherà suggerimenti non vincolanti ai medici (es. alert su interazioni farmacologiche o rischi predittivi).
Sfide per le aziende USA e Sanzioni
Per le multinazionali americane, l’Italia offre un accesso ai dati più snello ma richiede una conformità rigorosa. Le sanzioni per violazioni dei diritti o uso improprio dei dati possono raggiungere il 7% del fatturato globale, con l’aggiunta di responsabilità penali per manipolazione o danno (Art. 10).
Tabella Tecnica: Sintesi Normativa 2026
| Feature | Stato Corrente (Marzo 2026) | Riferimento Legale |
| Decisione Medica | Esclusiva dell’uomo (Professionista Sanitario) | Legge 132/2025 Art. 7 |
| Uso Dati Ricerca | Permesso previo avviso al Garante (senza nuovo consenso) | DL 19/2024 & L. 132/2025 Art. 8 |
| Standard Tecnici | Allineati all’EU AI Act (Sistemi ad Alto Rischio) | Regolamento UE 2024/1689 |
| Sanzioni | Amministrative (fino al 7% turnover) e Penali | AI Act & Codice Privacy |
| Governance | Duale: AgID (Innovazione) + ACN (Cybersecurity) | Legge 132/2025 |
