Legge 23 settembre 2025, n. 132, recante «Disposizioni e deleghe al Governo in materia di intelligenza artificiale»

N.d.r. Pubblichiamo di seguito, a commento della nuova disciplina italiana sull'intelligenza artificiale, un commento della Dott.ssa Beatrice Fragasso, Assegnista di ricerca in Diritto penale presso l'Università degli Studi di Milano e autrice di una recente monografia intitolata "Intelligenza artificiale e responsabilità penale. Principi e categorie alla prova di una tecnologia 'imprevedibile'" (Giappichelli, 2025), disponibile in open access sul sito internet dell'editore a questo link.

 

*Contributo pubblicato nel fascicolo 10/2025. 

 

1. Segnaliamo ai lettori che il 25 settembre 2025 è stata pubblicata sulla Gazzetta Ufficiale la legge 23 settembre 2025, n. 132, contenente Disposizioni e deleghe al Governo in materia di intelligenza artificiale. La legge si propone di introdurre un quadro normativo organico in materia di «ricerca, sperimentazione, sviluppo, adozione e applicazione di sistemi e di modelli di intelligenza artificiale» (art. 1, c. 1), in grado di “accompagnare” – questa l’espressione utilizzata nella Relazione al d.d.l. presentato dal Governo[1] – il Regolamento 2024/1689 sull’intelligenza artificiale (c.d. AI Act)[2], che, come noto, rappresenta la principale fonte euro-unitaria in materia.

Per quanto in questa sede maggiormente interessa, la legge introduce diverse norme di interesse penalistico, di cui il presente contributo intende fornire un’analisi a prima lettura:

- una nuova fattispecie di illecita diffusione di contenuti generati o manipolati artificialmente;

- una nuova figura di reato in materia di violazione del diritto d’autore;

- una circostanza aggravante comune;

- diverse circostanze aggravanti speciali;

- una delega al Governo, finalizzata anch’essa, tra le altre cose, all’introduzione di nuovi reati e circostanze aggravanti[3].

 

2. Prima di passare in rassegna le novità penalistiche, può essere utile soffermarsi brevemente sulle direttrici di fondo e sulla struttura dell’intervento normativo.

Innanzitutto, va fin da subito sottolineato che la legge in commento deve essere necessariamente letta alla luce del già menzionato Regolamento europeo sull’intelligenza artificiale. La legge 132/2025 si pone infatti in linea di continuità con il risk-based approach adottato dall’AI Act, prefiggendosi l’obiettivo, da un lato, di promuovere «un utilizzo corretto, trasparente e responsabile, in una dimensione antropocentrica, dell’intelligenza artificiale», e, dall’altro lato, di garantire «la vigilanza sui rischi economici e sociali e sull’impatto sui diritti fondamentali dell’intelligenza artificiale» (art. 1, c. 1)[4]. Il fondamento politico-valoriale su cui poggia il Regolamento europeo – e, sulla sua scia, la legge 132/2025 – consiste infatti nell’idea che l’intelligenza artificiale possa essere all’origine di enormi benefici sul piano dello sviluppo economico-sociale, e che, al contempo, essa possa tuttavia essere fonte di rischi per la tutela dei diritti fondamentali (e se vogliamo, dal punto di vista penalistico, dei beni giuridici). In questo contesto, la normativa europea – di cui la legge italiana aspira ad essere complemento normativo – mira a realizzare un bilanciamento tra le opportunità e i rischi dello sviluppo dei sistemi di i.a.

Anche i principi generali espressi dall’art. 3 della legge hanno chiare radici nel dibattito europeo sviluppatosi intorno all’intelligenza artificiale, ripercorrendo i principi etici che costituiscono il cuore dell’AI Act. Si va dalla tutela dei diritti fondamentali (comma 1), alla necessità che nei processi di sviluppo dell’intelligenza artificiale siano garantite «la correttezza, l’attendibilità, la sicurezza, la qualità, l’appropriatezza e la trasparenza, secondo il principio di proporzionalità» (comma 2), fino all’adesione ai principi della human-centered AI, in base ai quali i sistemi di i.a. «devono essere sviluppati e applicati nel rispetto dell’autonomia e del potere decisionale dell’uomo, della prevenzione del danno, della conoscibilità, della trasparenza, della spiegabilità», assicurando «la sorveglianza e l’intervento umano» (comma 3) e senza pregiudizio per «lo svolgimento con metodo democratico della vita istituzionale e politica» (comma 4).

 

2.1. Sul piano della struttura, la legge si articola come segue:

- il Capo I (artt. 1-6) detta i principi generali che presiedono allo sviluppo e all’utilizzo dei sistemi di i.a., nonché le definizioni rilevanti ai fini dell’applicazione della legge;

- il Capo II (artt. 7-18) prevede una serie di disposizioni volte a regolare l’utilizzo dell’i.a. in diversi settori (sanità[5], lavoro[6], professioni intellettuali[7], pubblica amministrazione[8], attività giudiziaria[9], cybersicurezza nazionale[10]);

- il Capo III (artt. 19-24) detta alcune norme in materia di strategia nazionale e governance, nonché una delega al Governo, da esercitare entro dodici mesi, avente ad oggetto, da un lato, l’adeguamento della normativa nazionale all’AI Act (art. 24, c. 1), e, dall’altro lato, la disciplina «dei casi di realizzazione e di impiego illeciti di sistemi di intelligenza artificiale» (art. 24, c. 3);

- il Capo IV, contenente il solo art. 25, prevede alcune «disposizioni a tutela degli utenti e in materia di diritto d’autore»;

- il Capo V, costituito dal solo art. 26, è dedicato alle disposizioni penali;

- il Capo VI, infine, consta di due articoli: l’art. 27, che detta una clausola di invarianza finanziaria (un paradosso, se si pensa agli ingenti finanziamenti che alcuni degli interventi previsti richiederebbero), e l’art. 28, che prevede alcune disposizioni di coordinamento in relazione alla legge 28 giugno 2024, n. 90 (Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici) e prevede che l’Agenzia per la cybersicurezza nazionale – l’autorità alla quale la legge 132/2025 attribuisce le funzioni di vigilanza[11] – possa concludere accordi di collaborazione con soggetti privati.

 

3. Intelligenza artificiale e responsabilità penale: una premessa. Ora, concentrandoci sul versante penalistico, ci preme preliminarmente spendere qualche parola sull’impatto che l’intelligenza artificiale potrebbe avere sull’imputazione penale, così da poter poi valutare con maggiore ponderazione le novità penalistiche contenute nella legge[12].

In estrema sintesi, a noi pare che lo sviluppo e l’utilizzo dei sistemi di i.a. possa sollevare due questioni di rilievo per il penalista sostanziale:

(i) per un verso, la crescente capacità di adattamento dei sistemi di i.a. più sofisticati, basati sul machine learning, si traduce in una certa dose di imprevedibilità nel “comportamento” dei dispositivi, con la conseguenza che potrebbe registrarsi una più o meno accentuata perdita di controllo sull’attività algoritmica: e ciò vale sia per le persone che programmano, sviluppano e mettono in commercio il prodotto intelligente, sia per coloro che lo utilizzano, o che comunque sono chiamate a supervisionarlo[13]. Una simile perdita di controllo, dal punto di vista penalistico, rischia di tradursi in una messa in crisi dei criteri ascrittivi del fatto illecito, che sono tradizionalmente fondati sul mancato dominio, da parte dell’agente, di fatti offensivi effettivamente dominabili. Il primo problema che si trova a dover affrontare il penalista, dunque, è quello di verificare se e in che modo l’imprevedibilità dell’intelligenza artificiale possa incidere sulla possibilità di configurare una responsabilità penale in capo alle persone che sviluppano o utilizzano l’i.a.;

(ii) per altro verso, gli output dell’intelligenza artificiale possono essere utilizzati per creare contenuti illeciti, o comunque contenuti che possono essere utilizzati per commettere un reato – senza, tuttavia, che l’attività algoritmica incida sulla conformazione della responsabilità penale. Si pensi al soggetto che si serva di un chatbot per generare un malware o per scrivere una mail decettiva da utilizzare nell’ambito di una campagna di phishing. In questi casi, l’effetto dirompente dell’intelligenza artificiale si apprezza comunque, ma in termini quantitativi, invece che qualitativi, nella misura in cui determina un incremento esponenziale delle capacità criminali degli agenti, offrendo loro sofisticatissimi strumenti tecnologici a basso costo.

Ebbene, anticipando alcune considerazioni che svilupperemo meglio più avanti, osserviamo fin da subito che la legge 132/2025 parrebbe incidere soprattutto sulla questione sub (ii), introducendo figure di reato e aggravanti volte a contrastare nuove forme di aggressione a beni giuridici realizzate con lo strumento dell’intelligenza artificiale. Viceversa, con riferimento al problema sub (i) – che è poi la questione destinata ad avere maggiori ripercussioni sul piano dell’imputazione penale –, la legge si limita a rinviare a future scelte dell’Esecutivo, attraverso la predisposizione di una delega volta ad introdurre, da un lato, delle fattispecie di pericolo, e, dall’altro lato, alcune forme di limitazione della responsabilità penale non meglio specificate.

 

4. La definizione di “sistema di intelligenza artificiale”. Delineate, seppur cursoriamente, le implicazioni che l’intelligenza artificiale potrebbe avere sulla responsabilità penale, passiamo ora all’esame delle disposizioni contenute nella nuova legge 132/2025.

Una prima norma di interesse, sul piano (anche) penalistico, è quella che circoscrive la nozione di “sistema di i.a.” rilevante ai fini dell’applicazione della legge. Tutte le figure di reato e le circostanze aggravanti introdotte dal provvedimento hanno infatti in comune il riferimento al “sistema di i.a.” quale elemento normativo; e lo stesso vale per le disposizioni che saranno introdotte in attuazione della delega al Governo «per adeguare e specificare la disciplina dei casi di realizzazione e di impiego illecit[o] di sistemi di intelligenza artificiale» (art. 24, c. 3). Una riflessione sulla definizione di “sistema di i.a.” adottata dalla legge è dunque d’obbligo, e preliminare rispetto alla disamina delle singole disposizioni penalistiche.

La legge 132/2025, in particolare, rinvia all’art. 3, par. 1, n. 1, AI Act, che definisce un “sistema di i.a.” come «un sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall’input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali».

Non è questa la sede per ripercorrere i dibattiti che hanno accompagnato l’adozione, a livello europeo, di una simile definizione: basterà dire che la delimitazione del campo di applicazione dell’AI Act è stata una delle questioni più discusse nell’ambito delle negoziazioni tra Commissione, Parlamento e Consiglio dell’Unione europea[14], e che anche l’attuale norma definitoria continua a generare alcune perplessità in ordine alla sua reale capacità di circoscrivere con chiarezza l’ambito di applicazione del regolamento. In particolare, come non ha mancato di mettere in luce la dottrina, in questa definizione rientreranno probabilmente anche sistemi che normalmente, oggi, non sono considerati come “intelligenti”, e che magari sono già in circolazione da tempo[15].

 

4.1. L’adozione di una nozione così ampia di intelligenza artificiale anche in materia penalistica comporta evidentemente che le nuove aggravanti e fattispecie incriminatrici siano destinate ad applicarsi anche in relazione a dispositivi tecnologici la cui produzione e il cui utilizzo non siano caratterizzati da una pericolosità maggiore (o comunque qualitativamente diversa) rispetto alla produzione e all’utilizzo di tecnologie tradizionali. Il rischio, dunque, è che le nuove norme – pensate per rispondere a quell’imprevedibilità che connota l’intelligenza artificiale, e che ha evidentemente effetti dirompenti per l’imputazione penale – finiscano per applicarsi anche in relazione a sistemi tecnologici che potrebbero non necessitare di un intervento legislativo ad hoc.

Nonostante ciò, la scelta del legislatore di rinviare alla definizione europea ci sembra, nel complesso, condivisibile.

Sono noti gli sforzi di scienziati, studiosi e rule makers per individuare una nozione di i.a. che sia al tempo stesso omnicomprensiva e sufficientemente delimitativa del fenomeno – sforzi che hanno avuto come risultato l’affastellarsi, talvolta nell’ambito del medesimo settore disciplinare, di una pletora di diverse proposte definitorie, spesso vaghe e sfuggenti[16]. Benché effettivamente la definizione fornita dall’AI Act paia lontana dai crismi della determinatezza, il beneficio del rinvio sta nel fatto che tale norma definitoria è destinata, nel corso dei prossimi anni, ad una massiccia applicazione e – si auspica – ad un’accurata opera di interpretazione da parte degli organismi della governance europea. I consociati – e i giudici – dovrebbero dunque poter contare, sul lungo periodo, su criteri stabili per valutare se il dispositivo possa essere qualificato o meno come sistema di i.a.

Nell’immediato, invece, la questione è più complicata. Se è vero che potranno essere classificati agevolmente come sistemi di i.a. tutti quei dispositivi che siano stati immessi sul mercato attraverso le procedure previste dall’AI Act, la qualificazione potrà essere più ostica nel caso di dispositivi acquisiti su circuiti illeciti – circostanza che, d’altra parte, non può di certo considerarsi peregrina, specialmente in relazione a forme di criminalità dolosa. Possiamo prevedere, in questo contesto, che la riconduzione dei device utilizzati dagli imputati alla nozione di “intelligenza artificiale” costituirà uno dei principali snodi interpretativi sui quali si confronteranno le parti del processo.

 

5. Illecita diffusione di contenuti generati o manipolati artificialmente (art. 612-quater c.p.). La prima tra le fattispecie di reato introdotte dalla legge 132/2025 è quella di Illecita diffusione di contenuti generati o manipolati artificialmente (art. 612-quater c.p.), che punisce con la reclusione da uno a cinque anni «[c]hiunque cagiona un danno ingiusto ad una persona, cedendo, pubblicando o altrimenti diffondendo, senza il suo consenso, immagini, video o voci falsificati o alterati mediante l’impiego di sistemi di intelligenza artificiale e idonei a indurre in inganno sulla loro genuinità». Il delitto è punibile a querela della persona offesa, salvo che il fatto sia connesso con un altro delitto per il quale si deve procedere d’ufficio oppure sia «commesso nei confronti di persona incapace, per età o per infermità, o di una pubblica autorità a causa delle funzioni esercitate».

 

5.1. L’obiettivo principale della fattispecie parrebbe quello di reprimere la diffusione non consensuale di deepfakes – ove per deepfake si intende, secondo la definizione fornita dall’AI Act, «un’immagine o un contenuto audio o video generato o manipolato dall’IA che assomiglia a persone, oggetti, luoghi o altre entità o eventi esistenti e che apparirebbe falsamente autentico o veritiero a una persona»[17].

Stante l’indeterminatezza nella descrizione dell’evento, si deve ritenere che il danno ingiusto non debba necessariamente avere un contenuto patrimoniale[18]. A sostegno di tale interpretazione vi è la collocazione topografica all’interno del codice – tra i delitti contro la libertà morale –, nonché la stessa relazione illustrativa al testo del d.d.l. presentato dal Governo, che sottolinea come la fattispecie miri ad offrire «una tutela rafforzata della persona, incentrando l’offensività della condotta sul pregiudizio all’autodeterminazione ed al pieno svolgimento della personalità»[19].

Scopo di tutela della fattispecie sembrerebbe essere costituito, innanzitutto, dalle condotte di diffusione non consensuale di deepfakes porn, ovverosia di immagini manipolate in cui fotografie o video raffiguranti dei visi riconoscibili vengono “innestati” su immagini di corpi di altri soggetti, nudi o impegnati in atti di natura esplicitamente sessuale[20].

Nel nostro ordinamento, effettivamente, sembrerebbero mancare, de iure condito, delle disposizioni specificamente applicabili a tali condotte. Nella nozione di «immagini o video a contenuto sessualmente esplicito» contenuta nel reato di Diffusione illecita di immagini o video sessualmente espliciti (art. 612-ter c.p.) non sembrerebbero infatti inclusi i deepfakes[21]. A tale conclusione si giunge ove si consideri che il legislatore italiano, quando ha voluto, ha dato esplicito e autonomo rilievo alle immagini manipolate: si pensi, in particolare, all’art. 600-quater.1 c.p., che stabilisce che i reati di pornografia minorile (artt. 600-ter e 600-quater c.p.) si applicano – con pena diminuita – anche quando il materiale pornografico «rappresenta immagini virtuali realizzate utilizzando immagini di minori degli anni diciotto o parti di esse» (c. 1), ove per “immagini virtuali” si intendono le «immagini realizzate con tecniche di elaborazione grafica non associate in tutto o in parte a situazioni reali, la cui qualità di rappresentazione fa apparire come vere situazioni non reali» (c. 2).

Prima che venisse approvata la legge 132/2025, dunque, una tutela penalistica specifica contro la diffusione di deepfakes porn sussisteva soltanto nel caso in cui la persona offesa fosse un minore.

L’introduzione di una fattispecie in grado di sanzionare la diffusione non consensuale di immagini manipolate sessualmente esplicite è certamente da salutare con favore, dal momento che tale condotta – oltre che costituire un’offesa alla reputazione – costituisce altresì un’aggressione all’intimità, alla riservatezza e all’autodeterminazione nel campo della sfera sessuale individuale, non meno di quanto lo siano le condotte punite ai sensi dell’art. 612-ter c.p.[22]. La sanzione penale per la diffusione di deepfakes porn, tuttavia, avrebbe forse potuto passare, in maniera più lineare, per la formulazione di una fattispecie di condotta specificamente ritagliata su tale ipotesi.

Si tenga presente, a tal proposito, che l’introduzione di uno specifico reato di condotta, volto a punire la diffusione di immagini manipolate sessualmente esplicite, è prevista anche dalla Direttiva europea 2024/1385 sulla lotta alla violenza contro le donne e alla violenza domestica[23], che richiede agli Stati membri che venga incriminata la seguente condotta intenzionale: «produrre, manipolare o alterare e successivamente rendere accessibile al pubblico, tramite TIC[24], immagini, video o analogo materiale in modo da far credere che una persona partecipi ad atti sessualmente espliciti, senza il consenso della persona interessata, qualora tali condotte possano arrecare un danno grave a tale persona»[25].

La previsione dell’evento di danno, quale elemento del reato, parrebbe dunque costituire un requisito ultroneo rispetto a quanto stabilito dalla direttiva.

 

5.2. Se la legge 132/2025 ha optato per una formulazione non specificamente tarata sul fenomeno della diffusione non consensuale di deepfakes porn è probabilmente perché il raggio d’azione della nuova fattispecie ambisce ad essere più ampio.

Ci riferiamo, in particolare, alla possibile applicazione del reato in esame in relazione all’utilizzo di deepfakes a scopo di propaganda politica o di disinformazione. Le declinazioni di tale utilizzo sono le più varie: ci limitiamo qui a menzionare, a mero titolo di esempio, il video manipolato che raffigura il Primo ministro ucraino Volodymyr Zelensky che invita i cittadini a deporre le armi e ad arrendersi di fronte all’invasione russa, o al video che riproduce artificialmente il Presidente russo Vladimir Putin che ordina il ritiro delle truppe dal suolo ucraino[26].

Un indice nel senso di ritenere che queste siano le intenzioni del legislatore può essere tratto dal secondo comma dell’art. 612-quater c.p., che stabilisce che si procede d’ufficio, tra le altre ipotesi, quando il delitto è commesso nei confronti «di una pubblica autorità a causa delle funzioni esercitate»[27].

L’evento-danno rilevante ai fini della configurazione del reato potrebbe essere, in questi casi, il danno alla reputazione. Va tuttavia osservato che, come già rilevato in dottrina, l’utilizzo di deepfakes per fini di propaganda politica s’inserisce in un più ampio fenomeno di manipolazione digitale del consenso, realizzata con o senza l’intelligenza artificiale, e che è capace di incidere sul corretto funzionamento delle istituzioni democratiche[28]. Con riferimento a queste ipotesi, insomma, un reato di danno rischia di essere, come è stato osservato, “inadeguato per difetto”[29].

Il riferimento, nell’art. 612-quater c.p., alla causazione di un generico danno ci pare in ogni caso eccessivamente indeterminato: una più precisa identificazione dei beni giuridici offesi avrebbe reso il reato maggiormente aderente ai principi di legalità e offensività[30].

 

6. Modifiche alla legge 22 aprile 1941, n. 633, in materia di diritto d’autore. Anche tra le modifiche apportate alla legge 22 aprile 1941, n. 633, sul diritto d’autore, vi sono alcuni interventi di interesse penalistico.

 

6.1. Segnaliamo, innanzitutto, che la legge sull’i.a. precisa il campo di applicazione della legge 633/1941, specificando che la protezione garantita da quest’ultimo provvedimento si intende riferita alle sole opere di ingegno «umane», anche laddove «create con l’ausilio di strumenti di intelligenza artificiale, purché costituenti risultato del lavoro intellettuale dell’autore»[31]. Ne risulta precisato, di conseguenza, anche il campo di applicazione dei reati contenuti nella medesima legge, che puniscono la diffusione e la riproduzione senza diritto di opere d’ingegno (v., in particolare, gli artt. 171 ss.). Va detto, tra l’altro, che difficilmente può parlarsi di una vera e propria modifica di un elemento normativo delle fattispecie, atteso che nella nozione di “opere di ingegno” ci pare che già potesse ritenersi implicito il requisito della derivazione “umana” della creazione.

 

6.2. Sempre in materia di diritto d’autore, la legge 132/2025 introduce poi una nuova fattispecie all’art. 171, c. 1, lett. a-ter, l. 22 aprile 1941, n. 633, che punisce chiunque, senza averne diritto, a qualsiasi scopo e in qualsiasi forma, «riproduce o estrae testo o dati da opere o altri materiali disponibili in rete o in banche di dati in violazione degli articoli 70-ter e 70-quater, anche attraverso sistemi di intelligenza artificiale». La figura di reato si va ad aggiungere alle fattispecie già previste dall’art. 171 l. 633/1941 in materia di violazione del diritto d’autore; come queste ultime, la nuova fattispecie è punita con la pena della multa da 51 a 2.065 euro, e si applica salvo quanto previsto dagli artt. 171-bis e 171-ter (che puniscono, rispettivamente, la duplicazione di “programmi per elaboratore” e la diffusione abusiva, per uso non personale, di opere letterarie, scientifiche, cinematografiche, etc.).

La nuova figura di reato mira a contrastare il fenomeno del c.d. data scraping, ovverosia di quella pratica di estrazione massiva, indiscriminata e non autorizzata di contenuti pubblicati online, finalizzata ad addestrare i modelli di i.a. Si badi, a tal proposito, che la nuova fattispecie – coerentemente con il bene giuridico che si propone di tutelare – punisce esclusivamente l’estrazione e la riproduzione di dati protetti da diritto d’autore: tale condotta, come noto, è stata oggetto di ampi dibattiti, negli ultimi anni, soprattutto in relazione alle attività della società OpenAI, accusata di aver addestrato uno dei più noti sistemi di i.a. generativa, ChatGPT, grazie all’utilizzo non autorizzato di articoli e libri scientifici[32] e di contributi pubblicati sui siti dei quotidiani[33].

Non rientrano, invece, nel campo di applicazione della fattispecie le condotte di estrazione e riproduzione, senza base giuridica, di dati personali presenti online – condotte che, già da qualche anno, sono comunque oggetto di attenzione da parte del Garante per la protezione dei dati personali, che in almeno due casi ne ha dichiarato l’illiceità, per violazione di diverse disposizioni del Regolamento (UE) 2016/679 (GDPR)[34].

 

7. Le nuove circostanze aggravanti. Tra gli interventi previsti dalla legge 132/2025 vi è poi l’introduzione di un’aggravante comune e di alcune aggravanti speciali.

 

7.1. L’aggravante comune si va ad aggiungere, al n. 11-decies, al lungo elenco di circostanze previste all’art. 61, c. 1, c.p. In particolare, l’aggravante si applica ai casi in cui il fatto sia stato commesso «mediante l’impiego di sistemi di intelligenza artificiale, quando gli stessi, per la loro natura o per le modalità di utilizzo, abbiano costituito mezzo insidioso, ovvero quando il loro impiego abbia comunque ostacolato la pubblica o la privata difesa, ovvero aggravato le conseguenze del reato».

Si noti, per inciso, che, nelle more dell’approvazione definitiva della legge sull’i.a., un nuovo n. 11-decies era già stato aggiunto all’art. 61 c.p. dall’art. 11, c. 1, d.l. 11 aprile 2025, n. 48 (c.d. decreto sicurezza), conv. in l. 9 giugno 2025, n. 80, per i reti commessi all’interno o nelle adiacenze delle stazioni ferroviarie e dei treni[35]. Oggi, di conseguenza, l’art. 61 c.p. contiene due n 11-decies: una svista che richiederebbe un pronto intervento di rinumerazione da parte del legislatore, al fine di evitare incertezze nella contestazione e nell’applicazione delle aggravanti[36].

 

7.2. L’art. 26 della legge prevede poi l’introduzione di alcune circostanze aggravanti speciali per l’aver commesso il fatto mediante l’impiego di sistemi di i.a. Le fattispecie aggravate, in particolare, sono le seguenti: attentati contro i diritti politici del cittadino (art. 294 c.p.), aggiotaggio (art. 2637 c.c.), manipolazione del mercato (art. 185, d.lgs. 24 febbraio 1998, n. 58)[37].

 

7.3. Notiamo, innanzitutto, nei rapporti tra circostanze speciali e circostanza comune, che con riferimento a quest’ultima non sarà sufficiente il mero utilizzo di un sistema di i.a. per commettere il reato, ma sarà necessaria la dimostrazione di un quid pluris di offensività derivante dall’uso del dispositivo intelligente: o in forza della peculiare insidiosità del mezzo, o perché tale mezzo – anche se non insidioso – ha «comunque ostacolato la pubblica o la privata difesa», oppure, ancora, perché l’utilizzo del sistema di i.a. ha aggravato le conseguenze del reato. Di converso, ai fini dell’applicabilità delle aggravanti speciali, sarà sufficiente che l’agente abbia utilizzato i sistemi di i.a., considerati ex se come “strumenti” insidiosi per l’aggressione ai beni giuridici tutelati dalle fattispecie incriminatrici[38]: una soluzione che non convince del tutto, dal momento che l’ampia definizione di intelligenza artificiale adottata dalla legge – sulla quale v. supra, par. 4. ss. – include anche tecnologie che non possono presumersi, in via assoluta, come più pericolose o insidiose rispetto alle ordinarie modalità di commissione dei reati.

D’altra parte, bisogna guardarsi da facili illusioni. La principale peculiarità dei sistemi di i.a., rispetto ai precedenti dispositivi tecnologici, è infatti – lo si è già detto – quella di sfuggire al pieno controllo dell’agente umano, con il risultato che l’intelligenza artificiale potrebbe incidere sulla stessa configurabilità della responsabilità penale in capo all’agente; prima ancora, dunque, che possa discutersi dell’applicabilità o meno delle circostanze aggravanti[39].

Ecco, dunque, che se in un caso di truffa attuata con l’utilizzo di deepfakes[40] l’intelligenza artificiale pare davvero come uno strumento nelle mani dell’utilizzatore, lo stesso potrebbe non accadere in relazione alle fattispecie di aggiotaggio o di manipolazione del mercato. L’algoritmo di trading potrebbe infatti esercitare, in alcune ipotesi, un vero e proprio decision making nell’identificazione delle strategie di acquisto e vendita di titoli, con la conseguenza che l’attività dell’i.a. potrebbe fuoriuscire dalla sfera della rappresentazione e volizione dell’operatore umano[41].

 

8. Le deleghe al Governo in materia penale. Se in ambito doloso il legislatore sembra concepire il sistema di i.a. come mero strumento per la commissione di reati, diversa sembra la consapevolezza circa i rischi dell’i.a. per quanto riguarda l’imputazione colposa. È da questo punto di osservazione che, a nostro avviso, va letta la delega al Governo prevista dalla legge 132/2025.

In particolare, l’art. 24 prevede, al comma 3, che il Governo sia delegato ad adottare, entro dodici mesi dalla data di entrata in vigore della legge, «uno o più decreti legislativi per adeguare e specificare la disciplina dei casi di realizzazione e di impiego illeciti di sistemi di intelligenza artificiale». A tal fine, il comma 5 elenca una serie di principi e criteri direttivi, di cui ci limitiamo a menzionare quelli di interesse strettamente penalistico[42]:

- «previsione di strumenti, anche cautelari, finalizzati a inibire la diffusione e a rimuovere contenuti generati illecitamente anche con sistemi di intelligenza artificiale, assistiti da un sistema di sanzioni effettive, proporzionate e dissuasive» (lett. a)

- «introduzione di autonome fattispecie di reato, punite a titolo di dolo o di colpa, incentrate sull’omessa adozione o sull’omesso adeguamento di misure di sicurezza per la produzione, la messa in circolazione e l’utilizzo professionale di sistemi di intelligenza artificiale, quando da tali omissioni deriva pericolo concreto per la vita o l’incolumità pubblica o individuale o per la sicurezza dello Stato» (lett. b);

- «precisazione dei criteri di imputazione della responsabilità penale delle persone fisiche e amministrativa degli enti per gli illeciti inerenti a sistemi di intelligenza artificiale, che tenga conto del livello effettivo di controllo dei sistemi predetti da parte dell’agente» (lett. c);

- «modifica, a fini di coordinamento e di razionalizzazione del sistema, della normativa sostanziale e processuale vigente, in conformità ai princìpi e ai criteri enunciati nelle lettere a), b), c), d) ed e)» (lett. f).

 

8.1. Innanzitutto, non si può non rilevare come la delega, in molte delle sue parti, sia ben lontana da quegli standard di analiticità e chiarezza che soli potrebbero giustificare il ricorso, in materia penale, alla delega legislativa – e il tema è ancora più delicato se si considera che, come ormai è prassi, il provvedimento è di iniziativa governativa.

Gravemente deficitario, sul piano della determinatezza, è senz’altro il criterio indicato nella lett. a), che prevede l’introduzione di «strumenti, anche cautelari, finalizzati a inibire la diffusione e a rimuovere contenuti generati illecitamente anche con sistemi di intelligenza artificiale, assistiti da un sistema di sanzioni effettive, proporzionate e dissuasive». Anche volendo sorvolare sulla farraginosità della formulazione – che pretende che delle «sanzioni effettive, proporzionate e dissuasive» possano “assistere” un’attività avente contenuto cautelare –, non si può non rilevare come la definizione di quali siano le condotte illecite meritevoli di sanzione (e, dunque, del precetto penale) sia demandata in toto al Governo, con grave vulnus per il principio di riserva di legge in materia penale.

Non è del tutto chiaro, inoltre, se l’espressione “anche con sistemi di intelligenza artificiale” sia riferita agli strumenti di inibizione o rimozione dei contenuti o ai contenuti generati illecitamente, e, di conseguenza, se l’i.a. debba, in questa sede, essere considerata come un possibile supporto alle autorità di contrasto, oltre che come uno strumento di generazione di contenuti illeciti. L’utilizzo del termine “anche” ci induce ad escludere che la precisazione sia da associare al sintagma “contenuti generati illecitamente” – atteso che l’utilizzo dell’i.a. sembrerebbe essere elemento necessario, e non invece accessorio, degli illeciti di cui si richiede l’introduzione.

Se abbiamo inteso correttamente l’intentio legis, dunque, l’obiettivo della disposizione è quello di consentire l’impiego dell’i.a. nell’ambito dell’attività di law enforcement. Tale prospettiva – da leggersi congiuntamente alle disposizioni della legge 132/2025 che regolano l’utilizzo dell’i.a. in ambito giudiziario[43] – apre evidentemente una serie di interrogativi su come garantire che gli output algoritmici siano sempre sottoposti al vaglio critico della persona responsabile del procedimento, e al contempo che tali output possano essere messi in discussione dai soggetti interessati, conformemente al principio del giusto processo e al diritto di difesa.

 

8.2. Centrale, nella struttura dell’intervento normativo, è senz’altro la delega volta ad introdurre delle fattispecie, punite a titolo di dolo o di colpa, incentrate «sull’omessa adozione o sull’omesso adeguamento di misure di sicurezza per la produzione, la messa in circolazione e l’utilizzo professionale di sistemi di intelligenza artificiale, quando da tali omissioni deriva pericolo concreto per la vita o l’incolumità pubblica o individuale o per la sicurezza dello Stato» (lett. b). È in questa disposizione, a nostro parere, che si coglie la consapevolezza che le fattispecie che puniscono eventi di danno potrebbero risultare inadeguate a sanzionare la condotta degli utilizzatori e dei produttori dei sistemi di i.a., e che, di conseguenza, potrebbe essere necessaria l’introduzione di reati che anticipino la tutela penale allo stadio della creazione del pericolo.

Sebbene la scelta del legislatore ci paia tendenzialmente condivisibile, nella misura in cui consente di mantenere un presidio penalistico in un settore in cui sono evidenti i rischi di deresponsabilizzazione di produttori e utilizzatori, non può sottacersi come la tecnica del pericolo concreto richiamata dalla norma renda pur sempre necessario, per il giudice, l’accertamento dell’esistenza di un pericolo illecito, nonché del nesso tra violazione cautelare e pericolo: valutazioni, quelle menzionate, che potrebbero rivelarsi tutt’altro che immediate, stante l’opacità e l’inesplicabilità che attualmente caratterizzano i risultati algoritmici[44].

 

8.3. Quanto ai criteri descritti dalla lett. c), obiettivo del legislatore sembrerebbe quello di delimitare la responsabilità penale, piuttosto che imporre nuove fattispecie o aggravanti: in questo senso inducono a ritenere l’utilizzo del termine “precisare” – che rimanda ad una funzione limitativa rispetto all’area del penalmente rilevante – e il riferimento al “livello effettivo di controllo”, che sembrerebbe voler dar rilievo a forme di inesigibilità nell’esercizio della sorveglianza sull’algoritmo.

La finalità della delega è senz’altro condivisibile. In un contesto di crescente perdita di controllo sull’attività algoritmica, la persona fisica incaricata della supervisione del sistema di i.a. rischia di diventare il capro espiatorio dell’intera regolazione dell’intelligenza artificiale. Il supervisore, infatti, pur essendo gravato da un obbligo di sorveglianza, potrebbe, nei fatti, risultarne privo, stante il tipico deficit di controllabilità che caratterizza i rapporti tra sistemi di i.a. ed esseri umani[45].

La via più immediata per l’attuazione della delega consiste nella limitazione della responsabilità penale del supervisore alla sola colpa grave – una prospettiva che ormai trova concordi diversi studiosi che si sono occupati dei rapporti tra i.a. e responsabilità penale[46]. In altra sede, alla quale rinviamo, abbiamo tentato di formulare una possibile norma in questo senso, che tiene conto dei fattori che più possono incidere sulla capacità del supervisore di conformarsi alle regole cautelari che disciplinano la sorveglianza dei sistemi di i.a.[47]

Ammettiamo, d’altra parte, di non essere del tutto convinti della necessità, quantomeno ad oggi, di una simile soluzione, nella misura in cui una limitazione della colpa ad hoc, di cui possano beneficiare soltanto i supervisori dei sistemi di i.a., introdurrebbe nell’ordinamento penale una disparità di trattamento della cui ragionevolezza si potrebbe opinare[48].

Piuttosto, una riduzione del rischio di eccessiva esposizione penale per il supervisore potrebbe derivare, in maniera a nostro avviso più equilibrata, dall’introduzione di una rigida separazione di “competenze” tra agente umano e algoritmo, che consenta al primo di fare affidamento sull’ordinario funzionamento del sistema di i.a. Tale soluzione, tuttavia, necessiterebbe di un approccio settoriale, che identifichi le applicazioni dell’intelligenza artificiale che – per la loro affidabilità, per il tipo di interazione i.a.-essere umano, e per i beni giuridici coinvolti – consentono di introdurre delle forme di affidamento. Non è dunque, di certo, in applicazione di una delega legislativa avente obiettivi generali che una simile operazione selettiva può essere effettuata.

 

8.4. La medesima lett. c) dell’art. 24, c. 5, delega poi il Governo alla precisazione dei criteri di imputazione della responsabilità “amministrativa degli enti”, per gli “illeciti inerenti a sistemi di intelligenza artificiale”. Dato il contesto, sembrerebbe di potersi ritenere che il riferimento sia alla responsabilità degli enti ex d.lgs. 231/2001. Gli indici che dovrebbero indurre a ritenere che l’intento della delega sia quello di una limitazione della responsabilità sono quelli già menzionati nel precedente paragrafo: il termine “precisazione” e il riferimento al “livello effettivo di controllo”.

A ben guardare, tuttavia, non pare che siano rinvenibili delle esigenze di limitazione della responsabilità da reato degli enti. È piuttosto vero il contrario: vi sarebbe, in effetti, la necessità di estendere l’elenco dei reati-presupposto, per comprendervi quantomeno i reati di omicidio e lesioni colpose commessi nell’ambito dell’attività produttiva – un’esigenza che era già emersa con riferimento alla casistica “tradizionale” del danno da prodotto[49] –, e per includere altresì le nuove fattispecie di pericolo introdotte in attuazione della delega (v. supra, par. 8.2.).

Va infatti osservato che spesso, sia sul versante della produzione dei sistemi di i.a., sia sul versante del loro impiego, è il soggetto collettivo, più che la persona fisica, il reale centro degli interessi coinvolti nella commissione del reato, e l’espansione dell’elenco dei predicate crimes è un primo passo ineludibile – anche se, va detto, forse non sufficiente[50] – per rendere applicabile il d.lgs. 231/2001 alla nuova criminalità “da intelligenza artificiale”.

È difficile, tuttavia, che una simile operazione possa essere effettuata, in attuazione della lett. c) dell’art. 24, c. 5, l. 132/2025, senza che si sfoci in un eccesso di delega. O meglio, delle due l’una: o si ritiene che il criterio previsto dalla delega imponga effettivamente un intervento delimitativo della responsabilità degli enti, e allora un’estensione dell’elenco dei reati-presupposto contenuto nel d.lgs. 231/2001 non sarebbe ammissibile; oppure si ritiene che la delega non fornisca alcun criterio politico-criminale al Governo, il che dovrebbe ritenersi inequivocabilmente incompatibile con il principio di riserva di legge penale, oltre che, evidentemente, con l’art. 76 Cost.

 

8.5. Infine, la lett. f) prevede una revisione “complessiva del sistema”, in conformità ai principi già enunciati: anche in questo caso, un’indeterminatezza che si pone in tensione con il principio di riserva di legge, e che potrebbe aprire la strada ai più svariati interventi legislativi.

 

***

 

9. La sensazione complessiva che si ha, leggendo le disposizioni di rilievo penalistico contenute nella legge 132/2025, è che il legislatore abbia rinviato ad un momento successivo – all’attuazione delle deleghe da parte del Governo – la risoluzione di alcune delle questioni più spinose inerenti all’imputazione della responsabilità penale per i c.d. AI-crimes. Se si escludono le nuove fattispecie in materia di deepfakes e di diritto d’autore, l’intervento diretto della legge è infatti limitato alla facile “arma” delle aggravanti – a conferma di una tendenza ormai ampiamente affermatasi nella legislazione penale contemporanea, che sempre più spesso vede nelle aggravanti uno strumento poco oneroso per segnalare ai consociati una presa in carico simbolica delle più svariate esigenze di tutela.

Sarà dunque il Governo a dover prendere posizione su alcuni degli interrogativi più complessi che riguardano i rapporti tra i.a. e responsabilità penale:

- innanzitutto, in quali forme potrà concretizzarsi un’anticipazione della tutela penale – anticipazione a nostro avviso indispensabile, affinché la crisi del diritto penale di evento-danno, determinata dall’imprevedibilità dell’intelligenza artificiale, non si traduca in una sostanziale deresponsabilizzazione dei produttori dei sistemi di i.a.;

- in secondo luogo, come garantire – attraverso una limitazione della responsabilità penale – che la persona incaricata della supervisione dell’intelligenza artificiale non si trasformi in un capro espiatorio, destinato a rispondere di default per tutti gli eventi lesivi derivanti dall’impiego del dispositivo;

- infine, quale ruolo è chiamato a rivestire, in questo settore, il sistema della responsabilità da reato degli enti, specialmente in un contesto in cui l’AI Act prevede già un apparato di sanzioni amministrative – evidentemente riconducibili alla matière pénale[51] – destinato ad applicarsi ai produttori e agli utilizzatori professionali dei sistemi di i.a. che non rispettino le disposizioni contenute nel Regolamento. Si noti, a tal proposito, che, oltre alla delega in materia penale, l’art. 24 della legge 132/2025 prevede, al comma primo, una delega finalizzata all’«adeguamento della normativa nazionale al regolamento (UE) 2024/1689», comprensiva dell’«adeguamento del quadro sanzionatorio».

Il rapporto tra sanzioni penali, sanzioni ex d.lgs. 231/2001, e sanzioni amministrative “para-penali” previste dall’AI Act è uno dei profili sui quali, in vista dell’attuazione della delega, varrebbe la pena avviare un’attenta riflessione – così da non ritrovarci, ancora una volta, con l’ennesimo doppio binario sanzionatorio in odore di incostituzionalità. Se in relazione a specifiche forme di offesa può senz’altro rendersi opportuno un intervento penalistico, è infatti indispensabile individuare meccanismi di coordinamento che scongiurino la duplicazione dei procedimenti in relazione all’idem factum[52].

Occorre evitare, insomma, che da un rischio di deresponsabilizzazione si passi ad un carico punitivo sproporzionato a carico dei produttori e degli utilizzatori dei sistemi di i.a.[53].