La macchina decide. Chi risponde?
Pressenza - Saturday, June 13, 2026I decreti attuativi sull’intelligenza artificiale approvati il 10 giugno 2026 aprono una stagione nuova. Ma aprono anche una domanda che nessuna norma tecnica può chiudere da sola.
Il 10 giugno 2026, quasi in sordina, il Consiglio dei Ministri ha approvato in esame preliminare i decreti legislativi attuativi della legge n. 132 del 23 settembre 2025, che delega il Governo ad adeguare l’ordinamento nazionale al Regolamento europeo sull’intelligenza artificiale — il cosiddetto AI Act (Reg. UE 2024/1689). Non è un dettaglio tecnico, né una delle tante circolari che transitano nei bollettini ufficiali senza lasciare traccia nel dibattito pubblico. È il momento in cui l’Italia smette di ricevere le regole dell’intelligenza artificiale dall’esterno e comincia — almeno formalmente — a farle proprie, traducendole in obblighi giuridici esigibili, in responsabilità individuali perseguibili, in sanzioni penali effettive.
Quello che è entrato nell’ordinamento in punta di piedi ridisegna in modo profondo i confini tra chi governa i sistemi automatizzati e chi risponde quando quei sistemi sbagliano o fanno del male. Varrebbe tenerlo a mente, in un Paese che tende a trattare il recepimento europeo come un adempimento burocratico piuttosto che come un’occasione di riforma.
Il quadro: da Bruxelles a Roma
L’AI Act europeo classifica i sistemi di intelligenza artificiale per livelli di rischio. Quelli ad alto rischio — impiegati nell’amministrazione della giustizia, nel controllo delle frontiere, nell’accesso alle prestazioni sociali, nella valutazione del merito creditizio, nella selezione del personale pubblico — sono soggetti agli obblighi più stringenti: trasparenza, supervisione umana, documentazione tecnica, registrazione obbligatoria in una banca dati europea. Non basta costruirli: bisogna tenerli sotto controllo, monitorarli nel tempo, essere in grado di spiegarli.
La legge delega italiana del 2025 ha recepito questo impianto aggiungendo però un elemento che l’Europa aveva lasciato in gran parte agli Stati membri: la dimensione penale e quella della responsabilità. I decreti attuativi del 10 giugno completano l’architettura, distribuendo competenze tra AgID come autorità di notifica e l’Agenzia per la Cybersicurezza Nazionale come autorità di vigilanza del mercato, e declinando in modo specifico gli obblighi per la pubblica amministrazione, le professioni, la sanità, il lavoro.
Il nuovo art. 437-bis c.p.: quando l’omissione diventa reato
La novità più densa di conseguenze sul piano pratico è l’introduzione dell’art. 437-bis nel codice penale. La disposizione sanziona l’omessa adozione delle misure di sicurezza nei sistemi di intelligenza artificiale ad alto rischio, nonché la loro alterazione deliberata, quando da tali condotte derivi un pericolo concreto per la vita, l’incolumità pubblica o la sicurezza dello Stato.
Due caratteristiche meritano attenzione. La prima: la punibilità è ancorata al pericolo concreto, non alla mera violazione formale. Non basta che la misura di sicurezza manchi: occorre che la sua assenza abbia creato un rischio reale, verificabile, non ipotetico. Il legislatore ha voluto evitare la criminalizzazione degli errori tecnici, delle imperfezioni operative, delle lacune documentali prive di effetti sul mondo. La seconda: per la forma colposa è richiesta la colpa grave. Uno scostamento veniale, una disattenzione isolata, un aggiornamento ritardato non bastano.
A questa responsabilità penale individuale se ne affianca una collettiva: il decreto estende le conseguenze all’ente ai sensi del d.lgs. 231/2001, quando il vantaggio tratto dall’impiego del sistema sia riconducibile all’organizzazione nel suo complesso. Le persone giuridiche non possono più limitarsi a scaricare la responsabilità sui singoli tecnici o dirigenti operativi. Se il sistema era strutturalmente carente, se la governance era inadeguata, se i modelli di organizzazione e controllo erano assenti o decorativi, l’ente risponde.
La pubblica amministrazione: il nodo irrisolto
Il discorso sulla pubblica amministrazione è il più urgente, e il più difficile da chiudere con soddisfazione.
L’intelligenza artificiale è già dentro la pubblica amministrazione italiana. Non come ipotesi futuristica, ma come realtà operativa. Algoritmi che supportano la valutazione delle domande di accesso alle prestazioni sociali, sistemi di profilazione del rischio in ambito fiscale, strumenti di supporto alle decisioni in materia di appalti, selezione del personale, pianificazione urbanistica. Un’indagine recente di AgID ha censito oltre centoventi progetti di intelligenza artificiale nelle amministrazioni centrali, cinquanta dei quali nelle cosiddette infrastrutture sociali.
Il problema è che gran parte di questi sistemi è stata adottata senza un quadro normativo che ne regolasse la responsabilità. Si è usato l’algoritmo come se fosse uno strumento neutro, come se la sua applicazione fosse equiparabile all’uso di un foglio di calcolo. Non lo è. Un sistema di intelligenza artificiale che produce output su cui si fondano decisioni amministrative orienta scelte, distribuisce chances, penalizza o avvantaggia individui e gruppi sulla base di variabili che spesso nessuno ha analizzato criticamente.
I decreti attuativi intervengono su questo punto con una previsione che suona, sulla carta, incoraggiante: la pubblica amministrazione è tenuta ad attivare percorsi di formazione coordinati con la Scuola Nazionale dell’Amministrazione, articolati su tre livelli di competenza. È tenuta a garantire la supervisione umana sulle decisioni ad alto rischio, a documentare i sistemi utilizzati, a sottoporli a verifica, a renderli spiegabili. Ma chi controlla, e come? La governance distribuita tra AgID, ACN e Garante per la protezione dei dati ha una logica di specializzazione che può essere razionale, ma porta con sé il rischio della frammentazione, dei conflitti di attribuzione, delle zone grigie in cui nessuno si sente davvero responsabile. È uno schema che l’Italia conosce bene, e di cui ha pagato costi alti in altri settori regolatori.
La cornice antropocentrica: dichiarazione di intenti o vincolo effettivo?
Il comunicato governativo dichiara che la scelta di fondo è «promuovere l’innovazione, ma governarla dentro una cornice antropocentrica: l’IA può sostenere decisioni, servizi, formazione e competitività, ma non sostituire la responsabilità umana né comprimere i diritti fondamentali».
Il problema è che nel diritto pubblico italiano le formule di principio hanno una vita molto più lunga delle loro conseguenze pratiche: sopravvivono nei comunicati, nelle premesse normative, nei discorsi di presentazione, e si dissolvono nel momento in cui qualcuno dovrebbe applicarle contro un soggetto che ha le risorse per resistere. La cornice antropocentrica non diventa un vincolo finché non si traduce in meccanismi di controllo effettivi, in risorse per le autorità di vigilanza, in procedure di ricorso accessibili, in obblighi di trasparenza che qualcuno sia in grado di azionare.
La biforcazione con l’approccio nordamericano rende il modello europeo ancora più significativo, almeno nelle intenzioni. Due giorni prima, il 2 giugno, l’amministrazione Trump aveva firmato l’Executive Order “Promoting Advanced Artificial Intelligence Innovation and Security”, che prosegue nel sistematico smantellamento dell’apparato regolatorio ereditato da Biden. Il 5 giugno aveva fatto seguito il National Security Presidential Memorandum che integra i frontier model direttamente nella macchina militare e di intelligence — quattro pilastri dichiarati — Adoption, Adaptation, Assurance e Accountability — e, nella sostanza, l’abbattimento dei freni all’uso militare dell’IA avanzata. Il modello europeo ha scelto la strada opposta, privilegiando i diritti fondamentali sulla velocità di innovazione, con un costo competitivo reale che chi lo difende non può continuare a ignorare. Ma quella scelta regge soltanto se qualcuno è disposto a farla valere: contro le amministrazioni pubbliche inadempienti, contro le grandi imprese con capacità di interlocuzione politica, contro tutti quelli che nel frattempo avranno imparato a costruire sistemi formalmente conformi e sostanzialmente opachi.
Una domanda che la norma non chiude
Rimane, al fondo di tutto questo, una domanda che nessun decreto legislativo può esaurire. Che cosa intendiamo quando diciamo che la responsabilità umana non può essere sostituita dalla macchina? Lo intendiamo davvero, o è una formula di rassicurazione collettiva che consente di procedere all’automazione senza confrontarsi con le sue implicazioni più scomode?
L’intelligenza artificiale è già dentro le decisioni che riguardano la vita delle persone — l’accesso ai servizi, la distribuzione delle risorse, la valutazione individuale — con una velocità e una scala che rendono difficile persino localizzare il momento in cui qualcosa è andato storto. La sua trasparenza tende a essere inversamente proporzionale alla sua potenza: i modelli più sofisticati sono anche i meno spiegabili, il che significa che la supervisione umana, quando c’è, rischia di essere una controfirma su qualcosa che nessuno ha davvero letto.
I decreti del 10 giugno 2026 introducono strumenti che prima mancavano del tutto e portano l’Italia in allineamento con un quadro europeo che ha almeno il merito di esistere. Chi risponde, quando la macchina sbaglia? Risponde chi ha esercitato un potere: chi l’ha costruita, chi l’ha adottata, chi l’ha lasciata funzionare senza controllare. Il diritto lo sa da secoli, e i decreti lo ribadiscono con strumenti nuovi. Resta da vedere se chi li deve applicare ha davvero intenzione di farlo, o se anche questa volta il principio sopravviverà più a lungo delle sue conseguenze pratiche.
Francesco Russo è avvocato cassazionista e autore del volume “Il Principio del Risultato. AI e decisione pubblica” (Amazon KDP, 2025).