AI, cosa cambia per imprese e HR con la Legge 132/2025

Con la Legge 132/2025, approvata il 23 settembre 2025, l’Italia adotta il primo quadro normativo nazionale vincolante sull’intelligenza artificiale. Una norma che porta l’intelligenza artificiale dentro la governance delle imprese e nei processi HR, tra responsabilità, trasparenza e formazione. Ne parliamo con Ugo Di Stefano, senior partner di Lexellent, che ne chiarisce contenuti, implicazioni operative e rischi legali per le aziende.

Da dove è nata secondo lei l’esigenza di una Legge come la 132/2025? 

La Legge 132/2025 è il primo intervento normativo italiano cogente in materia di intelligenza artificiale. In precedenza erano già stati adottati provvedimenti a livello governativo, ma questa è la prima legge vincolante con obblighi concreti per cittadini e imprese.

Va però chiarito subito che la normativa italiana non è un’attuazione dell’AI Act europeo. Il Regolamento UE è già direttamente applicabile e vincolante senza bisogno di leggi nazionali. Ci si potrebbe dunque interrogare sulla reale indispensabilità della legge: dal punto di vista strettamente giuridico, in effetti se ne sarebbe potuto fare a meno. Non si tratta però di una norma dannosa, al contrario, è utile nella misura in cui – anche con una comprensibile valenza politica e comunicativa – contribuisce a portare l’intelligenza artificiale al centro del dibattito nazionale, richiamando l’attenzione del sistema produttivo italiano su un tema che riguarda direttamente le imprese e che richiede la conoscenza e il governo di principi ormai vincolanti.

Qual è in estrema sintesi il principio che ha guidato la legge?

Se si dovesse individuare un principio cardine della legge, questo è chiaramente il principio antropocentrico. L’intelligenza artificiale viene concepita come uno strumento potente, ma potenzialmente rischioso sotto molteplici profili: etici, giuridici, di tutela della privacy e della responsabilità. Per questo la norma riafferma la centralità dell’essere umano e la necessità di una sua supervisione sull’uso dei sistemi di AI.

Il punto è anche giuridico: nel nostro ordinamento la responsabilità non può essere attribuita a una macchina o a un software, ma deve sempre ricadere su una persona. Da qui l’esigenza di mantenere un controllo umano effettivo, soprattutto nei contesti professionali e lavorativi. Un esempio è il nostro stesso settore forense, dove è richiesto di informare il cliente quando si utilizzano strumenti di intelligenza artificiale, fermo restando che la responsabilità e l’attività intellettuale restano in capo al professionista.

Ha già fatto riferimento all’AI Act europeo, più precisamente come si collocano reciprocamente? 

L’AI Act europeo è una normativa estremamente articolata e complessa: conta un numero molto elevato di articoli e prevede una pluralità di obblighi che entreranno in vigore anche in momenti diversi nel tempo. È una regolazione ampia, che disciplina in modo organico l’intero fenomeno dell’intelligenza artificiale, partendo dalla classificazione dei sistemi in base al livello di rischio.

La legge italiana, invece, ha un impianto molto diverso. È una normativa più snella, composta da un numero limitato di articoli, che fa rinvio a decreti attuativi e a discipline di settore e più che regolare nel dettaglio, costruisce un quadro di riferimento fondato su alcuni principi chiave.

In particolare, la legge italiana insiste, come dicevo, sulla centralità della persona e sull’idea dell’intelligenza artificiale come strumento di supporto al decisore umano, evitando automatismi e richiamando con forza principi etici fondamentali, come la non discriminazione e il rispetto dei diritti della persona. In questo senso, il riferimento ai diritti del lavoratore e ai contesti organizzativi è particolarmente evidente. Le due normative non si pongono quindi in contraddizione, ma operano su piani diversi e si integrano. 

Quale ruolo assume la funzione HR nel contesto della nuova normativa?

Nell’ambito delle funzioni HR oggi è di fatto quasi impossibile non utilizzare strumenti di intelligenza artificiale, anche quando non se ne è pienamente consapevoli. Spesso si utilizzano software senza sapere che, dietro, operano algoritmi riconducibili all’AI. Questi strumenti attraversano l’intero ciclo di gestione del rapporto di lavoro: dalla gestione dei CV alla fase di selezione e via via fino alla fase finale del rapporto e alla sua cessazione.

Il direttore del personale si trova quindi a gestire una quantità rilevante di dati personali, utilizzando strumenti caratterizzati da automatismi che incidono direttamente sulle persone. Qui emerge con forza il tema della privacy e della trasparenza. Del resto, già il Decreto Trasparenza (D.Lgs. 27 giugno 2022, n. 104) aveva introdotto obblighi informativi a carico del datore di lavoro in caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati nei rapporti di lavoro, disposizioni che oggi trovano piena applicazione anche rispetto agli strumenti di intelligenza artificiale.

Questo comporta, per la funzione HR, una responsabilità ben definita, ossia acquisire piena consapevolezza degli strumenti tecnologici utilizzati in azienda e comprendere se e come questi incorporano sistemi di intelligenza artificiale e automatismi decisionali.

Oltre alla corretta applicazione dell’IA nei processi HR, quale visione organizzativa e di responsabilità la normativa affida oggi alla funzione delle Risorse Umane?

La funzione HR ha una responsabilità centrale nello sviluppo delle persone rispetto all’uso dell’intelligenza artificiale, una sfida che richiede formazione continua e accompagnamento consapevole. Il direttore del personale non è chiamato a occuparsi delle clausole contrattuali sull’AI nei contratti commerciali, ma non può delegare il controllo sull’esistenza e sull’adeguatezza di una policy aziendale sull’uso dell’intelligenza artificiale, conforme all’AI Act e alla normativa nazionale.

Non è realistico sostenere che in azienda non si utilizzino strumenti di AI: oggi vengono impiegati sia quelli ufficialmente adottati dall’organizzazione, sia quelli che i singoli dipendenti utilizzano autonomamente. L’obbligo di formazione e di responsabilizzazione discende direttamente dai principi della legge italiana e dell’AI Act. Il datore di lavoro non può limitarsi a imputare l’uso scorretto degli strumenti ai singoli lavoratori: l’intervento normativo rafforza l’obbligo di verificare che le persone conoscano potenzialità e rischi dell’intelligenza artificiale e che siano guidate attraverso una formazione adeguata e regole aziendali chiare.

In pratica, quali sono gli step operativi per l’HR?

La strada è quella di adottare un approccio strutturato: fare una valutazione iniziale, capire come e dove l’intelligenza artificiale viene utilizzata e con quali rischi, anche a livello collettivo e impostare un percorso di adeguamento progressivo.

Questo significa intervenire su più piani:

1. effettuato l’assessment su uso e rischi,
2. definire una policy chiara
3. aggiornare gli altri documenti aziendali (si pensi ai Modelli 231 per esempio, i documenti contrattuali e precontrattuali HR, il codice disciplinare, il codice etico, etc.)
4. avviare attività di formazione specifica
5. predisporre un processo di aggiornamento nel tempo delle regole in base all’evoluzione degli strumenti.

In quali situazioni l’uso dell’intelligenza artificiale diventa, per l’azienda, una fonte concreta di rischio legale?

Come abbiamo visto, i principi di responsabilità, trasparenza e supervisione umana previsti dalla legge rendono necessario, per le aziende, governare l’uso dell’intelligenza artificiale.

Proprio perché si tratta di una normativa cogente, l’assenza di questi presìdi espone le imprese a rischi legali concreti. In assenza di una cultura interna adeguata, può accadere, ad esempio, che vengano inseriti nei sistemi di intelligenza artificiale dati personali o informazioni riservate. Pensiamo al caso in cui un piano strategico aziendale venga caricato in uno strumento di AI senza alcuna garanzia su come quei dati verranno trattati o riutilizzati.

Esistono poi rischi legati agli output generati dai sistemi di AI. Il risultato di una selezione può basarsi su fonti non utilizzabili, contenere informazioni errate o adottare linguaggi discriminatori che non vengono intercettati se manca un controllo umano adeguato. A livello internazionale esistono già casi di aziende sanzionate in modo significativo per situazioni di questo tipo e anche in Italia si registrano le prime pronunce.

La selezione del personale è uno degli ambiti più delicati: in casi concreti, sistemi di intelligenza artificiale hanno operato scelte influenzate da bias evidenti, arrivando a valorizzare, in un caso reale che possiamo usare come esempio, un candidato rispetto a un altro sulla base di una definizione stereotipata di “nerd”, che l’algoritmo associava, ad esempio, a hobby come i manga. Chi conosce il funzionamento dei sistemi di intelligenza artificiale sa che non è mai possibile fare affidamento cieco, nemmeno sui sistemi più evoluti.

In assenza di formazione e di regole aziendali chiare, l’impresa fatica ad attribuire la responsabilità al singolo lavoratore e a sostenere eventuali azioni disciplinari. In caso di errore nell’uso di uno strumento di intelligenza artificiale, il lavoratore può infatti eccepire di non essere stato adeguatamente formato, facendo emergere un problema che non riguarda il singolo episodio, ma l’assetto complessivo dell’organizzazione. Senza policy e percorsi formativi strutturati, il rischio è che la responsabilità diventi sistemica, con conseguenze rilevanti sul piano del contenzioso.

La normativa prevede anche controlli e interventi diretti da parte delle autorità?

Sul tema dei controlli, la legge introduce un meccanismo particolare. In generale, la normativa europea prevede che ogni Stato individui almeno un’autorità competente per la vigilanza sull’intelligenza artificiale. In Italia, invece, sono state individuate più autorità, con competenze ripartite, a conferma del fatto che i controlli non solo esistono, ma sono strutturati su più livelli.

Accanto alle autorità specificamente individuate per l’AI, entrano in gioco anche altri soggetti a seconda del profilo coinvolto. Se il tema riguarda il trattamento dei dati personali, il controllo spetta al Garante per la protezione dei dati personali. Se riguarda il rapporto di lavoro, intervengono le autorità competenti in materia di lavoro. Se emergono profili di discriminazione o ipotesi di reato, può essere coinvolta anche l’autorità giudiziaria.

Questo significa che, sul medesimo fatto, i soggetti legittimati a intervenire possono essere molteplici. Nella pratica, oggi è più probabile che i controlli arrivino attraverso autorità già pienamente operative, come il Garante della privacy o gli organi ispettivi in ambito lavoristico, piuttosto che dalle autorità specificamente dedicate all’intelligenza artificiale, che sono ancora in fase di organizzazione.

In ogni caso, quando l’uso dell’IA incide su dati personali o sui rapporti di lavoro, i controlli scattano automaticamente, perché l’attenzione si concentra su come quei dati vengono trattati e su come le tecnologie vengono utilizzate all’interno dell’organizzazione.