La quota di imprese italiane con almeno 10 addetti che oggi dichiara di utilizzare almeno una tecnologia di intelligenza artificiale è pari al 16,4%. Era l’8,2% nel 2024, il 5% nel 2023. Un raddoppio netto in dodici mesi, certificato dall’ISTAT nel dicembre 2025. Non si tratta di una tendenza: è un’accelerazione. E, come ogni forma di impatto dirompente, pone una domanda urgente: chi governa tutto questo?
Al centro di questa trasformazione ci sono gli agenti AI: la frontiera più avanzata – e, allo stesso tempo, più sfidante – dell’intelligenza artificiale applicata alle imprese. A differenza dei modelli generativi tradizionali, che rispondono a un singolo prompt, gli agenti perseguono obiettivi complessi in autonomia: prendono decisioni, interagiscono con sistemi esterni, agiscono senza necessariamente attendere un avallo umano.
È proprio nelle funzioni commerciali e di relazione con il cliente che questa evoluzione sta trovando le applicazioni più rapide e misurabili: avatar conversazionali integrati nei siti aziendali e negli e-commerce, assistenti virtuali capaci di rispondere a domande tecniche articolate mantenendo coerenza di tono e qualità, e sistemi che attivano contatti proattivi — via telefono o tramite messaggistica — per ricordare scadenze, proporre servizi o accompagnare il cliente lungo il ciclo di acquisto. Non si tratta più di semplici chatbot, ma di interfacce operative che incidono direttamente su conversioni, fidelizzazione e qualità del servizio. Sono, a tutti gli effetti, nuovi attori nei processi aziendali per il marketing e le vendite. Ed è proprio questa capacità di incidere direttamente su decisioni e risultati che rende necessario inquadrarli all’interno di regolamentazioni precise.
La Banca Centrale Europea ha rilevato come la crescita della produttività del lavoro nell’area euro nel 2025 sia stata superiore alle attese. McKinsey stima incrementi di ricavi nelle funzioni commerciali e strategiche, e riduzioni significative dei costi nell’ingegneria del software, nel manifatturiero e nell’IT. Non è la tecnologia in sé a fare la differenza, bensì la sua capacità di governarla. Accompagnare l’implementazione di questi processi, oggi, significa anche sapersi muovere dentro un quadro normativo che è cambiato radicalmente.
Il Regolamento (UE) 2024/1689 – il cosiddetto AI Act – è entrato in vigore a partire dal 1° agosto 2024 ed è il primo quadro giuridico uniforme al mondo in materia di intelligenza artificiale. La sua logica è semplice nella struttura, ma esigente dal punto di vista dell’applicazione. La regolamentazione difatti classifica i sistemi di AI per livello di rischio e stabilisce obblighi proporzionali. Vieta categoricamente le pratiche incompatibili con i valori democratici, come i sistemi di social scoring o le tecniche subliminali di manipolazione. Impone requisiti stringenti in termini di trasparenza, qualità dei dati e supervisione umana per i sistemi ad “alto rischio” impiegati in settori critici: infrastrutture, istruzione, giustizia.
Ed è proprio qui che le imprese devono prestare massima attenzione: molti agenti AI impiegati in contesti aziendali – selezione del personale, valutazione delle performance, gestione delle decisioni operative – ricadono in questa categoria ad alto rischio. La loro autonomia decisionale li espone ai requisiti più stringenti del regolamento, con implicazioni dirette e concrete sulle scelte di adozione e governance.
Rilevante anche l’apparato sanzionatorio. Le imprese rischiano fino a 35 milioni di euro di multa per inottemperanza. Ma la normativa non è solo restrittiva: introduce anche misure esplicite a tutela delle PMI e delle startup, con iter burocratici semplificati, sconti proporzionali alle tariffe di certificazione e accesso prioritario alle regulatory sandbox, ovvero spazi di sperimentazione controllata dove testare le idee prima del lancio sul mercato. Un equilibrio deliberato tra vincoli e incentivi.
L’Italia non si è limitata a recepire passivamente il regolamento europeo. Con la Legge 23 settembre 2025, n. 132, entrata in vigore il 10 ottobre 2025, ha costruito il primo quadro normativo nazionale organico dedicato all’AI. Non si sovrappone all’AI Act: lo integra, riempiendo gli spazi lasciati alla discrezionalità degli Stati membri e aggiungendo strumenti che il diritto europeo non poteva prevedere.
Sul piano istituzionale, la legge affida all’Agenzia per l’Italia Digitale il ruolo di autorità di notifica per la valutazione della conformità, e all’Agenzia per la Cybersicurezza Nazionale la vigilanza del mercato, con poteri ispettivi e sanzionatori. Banca d’Italia, CONSOB e IVASS esercitano la sorveglianza nei rispettivi ambiti settoriali.
Per chi gestisce persone, le novità sono particolarmente rilevanti. L’Articolo 11 introduce obblighi informativi precisi per le imprese che impiegano strumenti di intelligenza artificiale nei rapporti con i lavoratori. A tal proposito, il datore di lavoro è obbligato a informare preventivamente i dipendenti, secondo le modalità del D.Lgs. n. 152/1997. I sistemi di AI usati per selezione del personale, valutazione delle prestazioni o gestione delle carriere – tutti rientranti nella categoria ad alto rischio-richiedono una valutazione preventiva dell’impatto sui diritti dei lavoratori e l’informativa ai rappresentanti sindacali. Non è semplicemente burocrazia, si tratta del perimetro dentro cui l’innovazione diventa sostenibile e credibile.
La legge va ancora oltre, colmando aspetti che l’AI Act non toccava. Le opere creative realizzate con l’ausilio di sistemi AI sono tutelate sul piano del diritto d’autore, se costituiscono il risultato del lavoro intellettuale dell’autore. E nel Codice penale fa il suo ingresso il reato di illecita diffusione di contenuti generati o alterati attraverso AI – il cosiddetto deepfake lesivo – colmando un vuoto che il sistema sanzionatorio amministrativo europeo non poteva riempire.
Non solo. Accanto agli obblighi strettamente normativi, le imprese si trovano oggi ad affrontare un tema che ne rappresenta una naturale estensione: la sicurezza dei sistemi e, in particolare, la cybersecurity. Gli agenti AI, operando su dati, infrastrutture e processi decisionali, ampliano infatti il perimetro della responsabilità aziendale anche sul piano della protezione e dell’integrità delle informazioni. In questo contesto, la compliance non può più essere interpretata in senso esclusivamente giuridico. Gli stessi requisiti dell’AI Act — dalla qualità dei dati alla supervisione umana — presuppongono sistemi sicuri e affidabili. Garantire la conformità significa quindi anche prevenire accessi impropri, attacchi, manipolazioni degli output o utilizzi distorti. È anche su questa integrazione tra diritto e cybersecurity che si giocherà, sempre più, la reale tenuta dei modelli di governance dell’intelligenza artificiale.
Ciò che emerge dunque dalla stratificazione normativa tra AI Act e Legge 132/2025 è un’architettura binaria che richiede alle organizzazioni una nuova forma di integrazione strategica. Il regolamento europeo è già direttamente applicabile; mentre la legge nazionale è ancora in fase di attuazione, con decreti legislativi attesi entro dodici mesi. Le imprese italiane si trovano quindi a dover far coincidere due livelli di compliance in un contesto normativo che si consoliderà progressivamente.
Per le imprese italiane, questo significa dover far coincidere due livelli di compliance in un contesto in cui la piena operatività del quadro regolatorio è destinata a consolidarsi progressivamente nel corso dei prossimi anni. Le imprese che affronteranno questa transizione con consapevolezza – mappando i propri sistemi di AI, classificandone il livello di rischio, dotandosi di processi di supervisione umana e comunicazione trasparente – non si limiteranno a evitare sanzioni; si posizioneranno in anticipo rispetto a un mercato in cui la fiducia nei sistemi AI diventerà un differenziale competitivo reale.
